Regulisanje sajber sigurnosti - nije tako lako

Očekivalo se da će Opća uredba o zaštiti podataka (GDPR) uvedena 2018. godine promijeniti način na koji kompanije i organizacije u EU tretiraju podatke i bave se sajber sigurnošću kako bi se incidenti sveli na minimum. Od tada, mnoge druge zemlje su slijedile sličan put, jer je GDPR inspirirao nove zakone o privatnosti podataka širom svijeta: od Bahreina, Kanade, Južne Afrike i Novog Zelanda, sve veći broj zemalja usvaja nove zakone koji privatnost stavljaju na prvo mjesto, u nada da će slabe prakse sajber-sigurnosti biti eliminirane (potpomognute pozamašnim kaznama).

Više od četiri godine od uvođenja GDPR-a, sajber napadi neumoljivo rastu, a podaci o korisnicima cure svakodnevno. Od malih i srednjih preduzeća do kritične infrastrukture, čini se da su temelji tehnološkog društva ugroženi od strane zlonamjernih aktera koji koriste sve sofisticiranije tehnike. Napadači se kreću od organizacija koje sponzorira država do skupina koji pružaju ransomware-kao-uslugu, baš kao da je riječ o legitimnoj pretplatničkoj usluzi. Situacija je toliko loša da konsultantska kuća Gartner sada očekuje do 2025. prve ljudske žrtve zbog nesreća koje su rezultat sajber napada.

Istovremeno, propisi o privatnosti, a posebno GDPR, izazvali su mnoge neželjene posljedice, koje sada priznaju i najvatreniji zagovornici privatnosti na internetu.

Prvo, sve je više dokaza da se zakoni o privatnosti koriste (posebno u regionu jugoistočne Evrope) za zaštitu identiteta korumpiranih ili nesposobnih državnih službenika. Inicijative za transparentnost i zahtjevi za otkrivanje podataka često su osujećeni navođenjem zaštite ličnih podataka prema GDPR-u. Naravno, GDPR jasno navodi da se pažljivo balansira javni interes i zaštita podataka, ali uzalud.

Nadalje, kako prenosi The Economist, GDPR se koristi protiv novinara koji istražuju korupcijske prakse raznih pojedinaca, najčešće ruskih kleptokratskih oligarha. "Moćni podnosioci zahtjeva sve su svjesniji GDPR-a. U 2021. godini skoro 300 slučajeva protiv medija pokrenuto je pred britanskim sudovima prema pravilima o zaštiti podataka – više od polovine ukupnog broja tužbi u oblasti medija te godine", piše Oliver Bullough.

Pomalo je ironično da se zakon o privatnosti koristi kao oružje protiv novinara, kako bi se ušutkala sloboda govora.

Drugo, propisi o zaštiti podataka sada se često miješaju sa protekcionizmom podataka, tj. slabo prikrivenim pokušajima zaštite domaćih proizvođača i čuvanja podataka unutar zemlje. Koncept suvereniteta podataka koriste kreatori politike koji pokušavaju da zaključaju domaće podatke, kao da će biti zaštićeniji unutar zemlje (naravno, neće). Autokratski režimi će sigurno biti više oduševljeni protekcionizmom podataka jer im omogućava lakši pristup podacima građana unutar zemlje. Međutim, čak ni demokratije kao što su Australija i Indija nisu imune na ovo zbrkano razmišljanje, brkajući privatnost podataka sa protekcionizmom podataka u svojim politikama i akcionim planovima.

Protekcionizam podataka neizbježno vodi do nekoliko negativnih ishoda: loša usluga i manje inovacija, više korupcije uz vladi bliske "prijatelje", te naravno više cijene za potrošače, koji snose račun za troškove koji su nastali zbog dodatnih lokalnih propisa i manje skalabilnosti.

Treće, propisi (uglavnom GDPR sa svojim visokim kaznama) nesrazmjerno utiču na mala i srednja preduzeća. Iako GDPR deklarativno ne pravi razliku između velikih i malih kompanija, činjenica je da samo velike mogu priuštiti skupe advokatske timove i konsultante da se pozabave složenom regulativom. GDPR je sada efikasna prepreka manjim kompanijama koje pokušavaju umanjiti dominaciju velikih tržišnih lidera. Jedina mala i srednja preduzeća na koja je GDPR pozitivno utjecao su zapravo kućna industrija konsultanata za privatnost koja je nastala od njegovog uvođenja.

I na kraju, postoje mnoge tehničke negativne posljedice GDPR-a i drugih propisa o privatnosti. Razmotrite zakone koji prisiljavaju web stranice da priznaju upotrebu kolačića. Dosadni iskačući prozori su sada predstavljeni na svim web stranicama na planeti, tako da smo svi naučili da automatski kliknemo na "Prihvatam", "U redu" ili "Slažem se", samo da bismo se riješili banera. Posljedica je takozvani zamor pristanka na kolačiće (eng. cookie consent fatigue). To ima jasne sigurnosne implikacije - korisnici su sada skloniji klikanju na upite bez čitanja ili pregleda sadržaja. A to je upravo ono što phishing napadači traže: manje pažljivi korisnici koji nepažljivo klikću na iskačuće prozore znači da je veća vjerovatnoća da će napadači dobiti neovlašteni pristup IT sistemima i ukrasti lične podatke. Upravo suprotno od privatnosti podataka.

Propisi o privatnosti također utiču na marketinške prakse na nenamjeran način. Uzdizanjem pristanka kao glavnog preduslova (marketing vođen pristankom), kompanijama je lakše koristiti implicitni pristanak koji daju platforme društvenih medija za distribuciju sadržaja i dosezanje kupaca. Posljedica: e-mail i direktni marketing nestaju, a raste marketing na društvenim mrežama. I tako kontraintuitivno, propisi o privatnosti imaju koristi i povećavaju moć velikih tehnoloških kompanija, koje su i početni okidači za regulaciju privatnosti. U međuvremenu, malo ko se pita zašto je obrada uglavnom javnih podataka (kao što je poslovna e-pošta radi slanja newslettera) podignuta na isti nivo kao rukovanje osjetljivim zdravstvenim kartonima ili podacima policijskih dosijea.

Ako će historija suditi, budući pokušaji reguliranja digitalne ekonomije će biti jednako zbrkani. Pokušaji regulacije sada se okreću sa privatnosti kao pokretača na izvještavanje o sajber incidentima u specifičnim industrijama kao što su avijacija i cjevovodni transport. Kao primjer, pogledajte nedavni pokušaj u SAD-u da se primoraju kompanije iz sektora avijacije da nalože da se svi incidenti cyber sigurnosti prijavljuju Agenciji za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA) u roku od 24 sata. Nejasno je šta se može dobiti od ovakvih opterećujućih zahtjeva, osim konfuzije i poticaja kompanijama da budu manje transparentne. Bolji pristup je fokusiranje na segmentaciju, kontrolu pristupa, praćenje i druge najbolje prakse.

U Finskoj se upravo isprobava novi pristup: vlada treba da pomogne kompanijama da finansiraju poboljšanja svoje sajber-sigurnosti kroz šemu vaučera. Prijedlog bi finansirao obuku o sajber bezbjednosti, alate, procjene i testove u kompanijama u sektorima koji se smatraju kritičnim. Šema bi bila usmjerena i na mala i srednja preduzeća i na velike kompanije. Potencijal za zloupotrebu sredstava izgleda velik, ali vrijedi pratiti eksperiment.

Istina je da je najveći motiv za organizacije da usvoje ozbiljniji pristup sajber sigurnosti prijetnja propasti, gubitka novca ili narušene reputacije zbog prekida poslovanja. Čini se da su rastući troškovi sajber osiguranja, ali i načini da se smanje cijene polisa osiguranja dobar pokazatelj budućeg smjera. Globalna prijetnja ransomware-a svakako povećava svijest u mnogim organizacijama, kako pogođenim napadima, tako i onima koji gledaju kako se njihovi konkurenti muče sa skupim posljedicama napada.

Međutim, oni kojima ne prijeti bankrot, kao što su vladine institucije i organizacije, biće najmanje motivirani da poboljšaju svoje upravljanje sajber sigurnošću. Istovremeno, to su subjekti sa najvrednijim i najprivatnijim podacima o građanima kao što su zdravstvena, biometrijska, krivična i druge vrste osjetljivih evidencija. Zabrinjavajuće je da su upravo ovdje regulatori i aktivisti za privatnost uglavnom nijemi, radije se fokusiraju na američku Big Tech i druge popularne mete za regulaciju.