Hoće li kazne smanjiti proboje kibernetičke sigurnosti?
Ovogodišnji napad na IT sustave albanske vlade rezultirao je strašnim posljedicama na vladine IT radnike zadužene za administriranje pogođenih servera: krajem studenog albanski tužitelji zatražili su da se zaposlenici stave u kućni pritvor, jer nisu ažurirali i zakrpali vladina računala. Albanski informatički dužnosnici navodno su optuženi za "zlouporabu položaja" što može dovesti do kazne do sedam godina zatvora, navodi Associated Press.
Čak i zagovornici strožih kazni ovdje vide neželjene posljedice: vladi će sigurno biti sve teže u budućnosti zapošljavati IT talente i teško je razumjeti kako će zatvaranje ljudi, koji nisu preuzeli ažurirani softver, poboljšati stanje kibernetičke sigurnosti, osim ako se rješavaju temeljni razlozi sigurnosnih propusta.
Cyber napadi nemilosrdno rastu, a podaci o klijentima svakodnevno cure, čak iako velik broj vlada već godinama uvodi zakone koji tvrtkama nameću visoke novčane kazne.
Na primjer, od Opće uredbe o zaštiti podataka (GDPR) očekivalo se da će revolucionirati način na koji tvrtke i organizacije u EU postupaju s podacima i adresiraju kibernetičku sigurnost kako bi se incidenti sveli na minimum. Međutim, novčane kazne koje su vezane za GDPR (do 4% globalnog prihoda) su napravile malo po pitanju smanjenja vala uspješnih krađa podataka.
Sada su vlade diljem svijeta spremne pooštriti pravila i nametnuti još strožije kazne. Nedavno je australska vlada predložila peterostruko povećanje maksimalnih kazni koje se primjenjuje na krađu podataka, pri čemu se otišlo toliko daleko da se u razdoblju koje se odnosi na krađu podataka tvrtke kažnjavaju s 30% prometa, što je drastično više nego kod GDPR-a. Gotovo je sigurno da će i druge vlade slijediti ovaj trend.
Zapravo, novčane kazne povećavaju poticaje za cyber napadače i aktere prijetnji. Operateri Ransomware-a-kao-usluge svakako će imati koristi i dodatno će se prilagoditi: kada se tvrtke suoče s većim kaznama, neke će biti sklonije plaćati veće otkupnine i bit će manje voljne prijaviti kršenja privatnosti. Akteri prijetnji to već iskorištavaju u takozvanim shemama dvostrukog iznuđivanja, gdje eksfiltriraju podatke prije enkripcije, a zatim prijete curenjem ukradenih podataka ucjenjujući tijekom pregovora.
Umjesto da se usredotočite na kazne, mnogo produktivniji pristup je poticanje i njegovanje usvojenih sigurnih praksi s fokusom na sljedeće:
Što je više moguće eliminirati lokalno administrirane poslužitelje uz prednost prelasku na usluge (SaaS), prema preporuci CISA-e. U slučaju albanskog napada, inicijalni pristup je dobiven putem lokalnih poslužitelja aplikacija, što je mnogo teže održavati.
Koristiti multifaktorsku provjeru autentičnosti gdje god je to moguće i manje se oslanjajti na lozinke. Napadači ih rutinski prikupljaju nakon što uđu u organizaciju.
Kontinuirano održavati obuku za podizanje svijesti o sigurnosti (postoje automatizirana i nenametljiva rješenja). Navođenje zaposlenika da kliknu na zlonamjerni sadržaj još je uvijek najčešća tehnika koja se koristi od strane napadača.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
