Da li će kazne smanjiti kršenja sajber bezbednosti?

Ovogodišnji napad na IT sisteme albanske vlade doveo je do strašnih posledica po vladine IT radnike zadužene za administraciju pogođenih servera: krajem novembra, albanski tužioci su zatražili da zaposleni budu stavljeni u kućni pritvor jer nisu ažurirali i zakrpili vladine računare . Albanski IT zvaničnici su navodno optuženi za „zloupotrebu položaja“, za koju može biti predviđena kazna do sedam godina zatvora, navodi Asošijeted pres.

Čak i zagovornici oštrijih kazni ovde vide neželjene posledice: vladi će sigurno biti teže da angažuje IT talente u budućnosti, a teško je videti kako će zatvaranje ljudi koji nisu uspeli da preuzmu ažuriranja softvera poboljšati stanje sajber bezbednosti, osim ako rešavaju se osnovni razlozi bezbednosnih propusta.

Sajber napadi nemilosrdno rastu, a podaci o klijentima svakodnevno cure, čak i ako većina vlada već godinama uvodi zakone kojima se izriču teške kazne kompanijama.

Na primer, očekivalo se da će Opšta uredba o zaštiti podataka (GDPR) revolucionirati način na koji kompanije i organizacije u EU tretiraju podatke i bave se sajber bezbednošću kako bi se incidenti sveli na minimum. Međutim, kazne prema GDPR-u (do 4% globalnog prihoda) nisu uticale na smanjenje talasa uspešnih povreda podataka.

Vlade širom sveta sada su spremne da pooštre pravila i uvedu sve oštrije kazne. Nedavno je australijska vlada predložila petostruko povećanje maksimalnih kazni koje se primenjuju za kršenje podataka, koje idu do kazne od 30% prometa kompanije u periodu koji se odnosi na kršenje, što je manje od GDPR-a. Sigurno je da će i druge vlade pratiti ovaj trend.

Već jednom, kazne povećavaju podsticaje za sajber napadače i pretnje. Operateri ransomvare-a kao usluge sigurno će imati koristi i dalje se prilagođavati: kada se kompanije suoče sa većim kaznama, neke će biti sklonije da plate veće otkupnine i manje spremne da prijave kršenja. Akteri pretnji to već koriste u takozvanim šemama dvostruke ekstorzije, gde eksfiltriraju podatke pre šifrovanja, a zatim prete da će procuriti ukradene podatke kao polugu tokom pregovora.

Umesto da se fokusiramo na kazne, mnogo produktivniji pristup je da se podstakne i podstakne usvajanje sigurnih praksi, što je najvažnije:

• Eliminišite što je više moguće usluga koje se hostuju na licu mesta i dajte prioritet prelasku na ponude kao usluge (SaaS), kao što preporučuje CISA. U slučaju albanskog napada, početni pristup je dobijen preko lokalnih servera aplikacija, koje je mnogo teže održavati.

• Koristite multifaktorsku autentifikaciju gde god je to moguće i manje se oslanjajte na lozinke. Napadači ih rutinski sakupljaju, nakon što imaju uporište u organizaciji.

• Kontinuirano sprovodite obuke o svesti o bezbednosti (postoje automatizovana i nenametljiva rešenja). Prevariti zaposlene da kliknu na zlonamerni sadržaj i dalje je najčešća tehnika koju koriste akteri pretnji.