top of page

Reguliranje kibernetičke sigurnosti – nije tako jednostavno

Od Opće uredbe o zaštiti podataka (GDPR), uvedene 2018., očekivalo se da će revolucionarizirati način na koji tvrtke i organizacije u EU-u postupaju s podacima i bave se kibernetičkom sigurnošću kako bi se incidenti sveli na minimum. Od aktivista za zaštitu privatnosti do birokrata, svi su bili sretni. Od tada su mnoge druge zemlje slijedile sličan put, budući da je GDPR inspirirao nove zakone o privatnosti podataka diljem svijeta: od Bahreina, Kanade, Južne Afrike i Novog Zelanda, sve veći broj zemalja usvaja nove zakone stavljajući privatnost na prvo mjesto, u nadi da će se slabe prakse kibernetičke sigurnosti smanjiti (potpomognute pozamašnim kaznama).


Danas, više od četiri godine od uvođenja GDPR-a, kibernetički napadi neumoljivo rastu, a osobni podaci cure svakodnevno. Od malih i srednjih poduzeća do kritične infrastrukture, čini se da su temelji tehnološkog društva ugroženi od strane zlonamjernih aktera koji koriste sve sofisticiranije tehnike napada. Zlonamjerni akteri uključuju udruženja pod pokroviteljstvom država do poslovnih subjekata koji pružaju ransomware kao uslugu, baš kao da se radi o legitimnoj usluzi pretplate. Situacija je toliko loša da Gartner, konzultantska tvrtka, sada očekuje do 2025. prve ljudske žrtve zbog nesreća koje su rezultat kibernetičkih napada.


U isto vrijeme propisi o privatnosti, a posebno GDPR, proizveli su mnoge neželjene posljedice, što čak i najvatreniji zagovornici sada priznaju.


Prvo, postoji sve više dokaza da se zakoni o privatnosti koriste (osobito u regiji jugoistočne Europe) za zaštitu identiteta korumpiranih ili nesposobnih državnih službenika. Inicijative za transparentnost i zahtjevi za otkrivanje podataka često su osujećeni navođenjem zaštite osobnih podataka prema GDPR-u. Naravno, GDPR jasno kaže da treba pažljivo balansirati javni interes i zaštitu podataka, ali čini se da u mnogim slučajevima vlasti imaju svoju interpretaciju.


Nadalje, kako izvještava Economist, GDPR se koristi protiv novinara koji istražuju korupcijske prakse raznih pojedinaca, najčešće ruskih kleptokratskih oligarha. "Moćni tužitelji sve su svjesniji snage GDPR-a. 2021. godine gotovo 300 slučajeva protiv medija pokrenuto je pred britanskim sudovima prema pravilima o zaštiti podataka – više od polovice ukupnog broja tužbi u vezi s medijima te godine", piše Oliver Bullough.

Pomalo je ironično da se zakon o privatnosti koristi kao oružje protiv novinara, a kako bi se ušutkala sloboda govora.


Drugo, propisi o zaštiti podataka sada se često brkaju sa protekcionizmom podataka, tj. slabo prikrivenim pokušajima da se zaštite nacionalne tvrtke i zadrže podaci unutar zemlje. Kreatori politike koriste koncept suvereniteta podataka kako bi "zaključali" domaće podatke, kako bi tobože bili zaštićeniji unutar zemlje (naravno da neće). Autokratski režimi sigurno će biti više oduševljeni takvom zaštitom podataka jer im omogućuje lakši pristup podacima građana unutar zemlje. Međutim, čak ni demokracije poput Australije i Indije nisu imune na ovakvo razmišljanje, brkajući privatnost podataka s protekcionizmom podataka u svojim politikama i akcijskim planovima.

Inzistiranje na "suverenitetu" podataka neizbježno dovodi do nekoliko nepovoljnih ishoda: lošije i manje inovativne usluge, veća korupcija uz vlastima bliske "igrače", te naravno više cijene za potrošače, koji zapravo snose račune za troškove regulativa i zatvorenosti.


Treće, propisi (uglavnom GDPR sa svojim visokim kaznama) neproporcionalno utječu na mala i srednja poduzeća. Iako GDPR deklarativno ne pravi razliku između velikih i malih tvrtki, činjenica je da si samo velike mogu priuštiti skupe odvjetničke timove i konzultante za rješavanje kompleksne regulative. GDPR je sada učinkovita prepreka protiv manjih tvrtki koje pokušavaju oboriti dominaciju velikih tržišnih lidera. Jedini mali i srednji poduzetnici na koje GDPR pozitivno utječe su zapravo konzultanti za privatnost, čiji se broj namnožio od uvođenja Uredbe.


I na kraju, postoje mnoge negativne posljedice GDPR-a i drugih propisa o privatnosti koje su više tehničke prirode. Dovoljno je razmotriti propise koji prisiljavaju web stranice da obavještavaju korisnike o korištenju kolačića. Dosadni pop-up prozori sada se nalaze na svim web stranicama na planeti, tako da smo svi naučili automatski kliknuti "Prihvaćam", "U redu" ili "Slažem se", samo da se riješimo prozora koji zaklanja sadržaj web stranice. Posljedica je takozvani zamor od pristanka na kolačiće (eng. cookie consent fatigue). Ovo ima jasne sigurnosne implikacije - korisnici su sada skloniji klikati na upite bez čitanja ili pregledavanja sadržaja. A to je upravo ono što phishing napadači traže: manje pažljivi korisnici koji nemarno klikaju na skočne prozore znači da je veća vjerojatnost da će napadači dobiti neovlašteni pristup IT sustavima i ukrasti osobne podatke. Upravo suprotno od privatnosti podataka.


Propisi o privatnosti također utječu na marketinške prakse na neočekivani način. Uzdižući pristanak (eng. consent) kao najvažniji preduvjet marketing komunikacija, tvrtkama postaje lakše koristiti implicitnu privolu koju pružaju društvene mreže, kako bi distribuirale sadržaj i došle do kupaca. Posljedica: e-pošta i izravni marketing su u padu, a marketing na društvenim mrežama popularniji nego ikada. Na taj način, propisi o privatnosti povećavaju moć i prihode velikih tehnoloških tvrtki koje upravljaju platformama društvenih mreža, iako su te iste kompanije jedne od okidača regulative o privatnosti. U međuvremenu, malo tko se pita zašto je obrada uglavnom javnih podataka (kao što je poslovna e-mail adresa, ime, prezime, itd.) podignuta gotovo na istu razinu kao i rukovanje osjetljivim zdravstvenim kartonima ili podacima iz policijskih dosjea.


Sudeći po povijesti, budući pokušaji reguliranja digitalnog gospodarstva bit će jednako konfuzni. Pokušaji reguliranja sada se pomiču s privatnosti kao pokretača, na prijavu sigurnosnih incidenata u određenim industrijama kao što su zrakoplovstvo i cjevovodni transport. Kao primjer, pogledajte nedavni pokušaj u SAD-u da se kompanije u zrakoplovnom sektoru prisile na prijavu svih incidenata Agenciji za kibernetičku sigurnost i sigurnost infrastrukture (CISA) u roku od 24 sata. Nejasno je što se takvim rigidnim zahtjevima može dobiti, osim poticaja tvrtkama da budu manje transparentne. Bolji je pristup usredotočiti se na segmentaciju, kontrolu pristupa, nadzor i druge dobre prakse.


Jedan novi pristup se trenutno iskušava u Finskoj: vlada tamo namjerava poticati tvrtke da financiraju poboljšanja svoje kibernetičke sigurnosti putem vaučera. Prijedlogom bi se financirala obuka o kibernetičkoj sigurnosti, alati, procjene i testovi u tvrtkama u sektorima koji se smatraju ključnima. Shema bi bila usmjerena i na mala i srednja, ali i na velika poduzeća. Mogućnost zlouporabe sredstava izgleda velika, ali vrijedi pratiti koji će biti ishod ovog eksperimenta.


U konačnici, najveći motivator za organizacije da usvoje ozbiljniji pristup kibernetičkoj sigurnosti jest prijetnja stečaja, gubitka novca ili narušenog ugleda zbog prekida poslovanja. Čini se da su rastući troškovi cyber osiguranja, ali i načini snižavanja cijena polica osiguranja dobar pokazatelj. Globalna prijetnja ransomware-a svakako povećava svijest u mnogim organizacijama, kako onima pogođenima napadima tako i onima koji gledaju svoje konkurente kako se muče sa skupim posljedicama napada.


Međutim, oni kojima ne prijeti stečaj, a to su državne institucije i organizacije, bit će najmanje motivirani da poboljšaju svoje upravljanje kibernetičkom sigurnošću. Ujedno su to subjekti koji čuvaju najveći opseg privatnih podataka svojih građana poput zdravstvenih, biometrijskih, kaznenih i drugih vrsta osjetljivih zapisa. Zabrinjavajuće je to što su upravo ovdje regulatori i aktivisti za zaštitu privatnosti uglavnom nijemi, radije se fokusirajući na američki Big Tech ili druge popularne mete za regulaciju.

Comments


Latest news

bottom of page