Hoće li kazne smanjiti povrede kibernetičke sigurnosti?

Ovogodišnji napad na IT sisteme albanske vlade doveo je do strašnih posledica po vladine IT radnike zadužene za administriranje pogođenih servera: krajem novembra albanski tužioci su zatražili da se zaposleni stave u kućni pritvor jer nisu ažurirali i zakrpiai vladine računare. Albanski IT zvaničnici su navodno optuženi za "zloupotrebu položaja", za koju je predviđena kazna do sedam godina zatvora, navodi Associated Press.

Čak i zagovornici oštrijih kazni u tome vide neželjene posljedice: vladi će sigurno biti teže u budućnosti zaposliti IT talente, a teško je vidjeti kako će zatvaranje ljudi koji nisu uspjeli preuzeti ažuriranja softvera poboljšati stanje sajber sigurnosti, osim ako se rješavaju osnovni razlozi sigurnosnih grešaka.

Sajber napadi neumoljivo rastu, a podaci o klijentima cure svakodnevno, čak i ako većina vlada već godinama uvodi zakone kojima se izriču teške kazne kompanijama.

Na primjer, očekivalo se da će Opća uredba o zaštiti podataka (GDPR) revolucionirati način na koji kompanije i organizacije u EU tretiraju podatke i bave se sajber sigurnošću kako bi se incidenti sveli na minimum. Međutim, novčane kazne prema GDPR-u (do 4% globalnog prihoda) nisu uticale na smanjenje vala uspješnih povreda podataka.

Vlade širom svijeta sada su spremne da pooštre pravila i uvedu sve strože kazne. Nedavno je australska vlada predložila petostruko povećanje maksimalnih kazni koje se primjenjuju na kršenje podataka, do čak 30% prometa kompanije u periodu koji se odnosi na kršenje, što je manje od GDPR-a. Sigurno je da će i druge vlade slijediti ovaj trend.

Jednom kazne povećavaju poticaje za sajber napadače i aktere prijetnji. Operateri ransomware-a kao usluge sigurno će imati koristi i dalje se prilagođavati: kada se kompanije suoče s većim kaznama, neke će biti sklonije plaćati veće otkupnine i manje spremne prijaviti kršenja. Akteri prijetnji to već koriste u takozvanim šemama dvostruke ekstorzije, gdje eksfiltriraju podatke prije šifriranja, a zatim prijete da će procuriti ukradene podatke kao polugu tokom pregovora.

Umjesto fokusiranja na kazne, mnogo produktivniji pristup je podsticanje i podsticanje usvajanja sigurnih praksi, što je najvažnije:

• Eliminišite što je više moguće usluga koje se hostuju na licu mesta i dajte prioritet prelasku na ponude kao usluge (SaaS), kao što preporučuje CISA. U slučaju albanskog napada, početni pristup je dobijen preko lokalnih servera aplikacija, koje je mnogo teže održavati.

• Koristite multifaktorsku autentifikaciju gdje god je to moguće i manje se oslanjajte na lozinke. Napadači ih rutinski prikupljaju, nakon što imaju uporište u organizaciji.

• Kontinuirano provodite obuke za podizanje svijesti o sigurnosti (postoje automatizirana i nenametljiva rješenja). Prevariti zaposlenike da kliknu na zlonamjerni sadržaj i dalje je najčešća tehnika koju koriste akteri prijetnji.