Regulisanje sajber bezbednosti - nije tako lako
Očekivalo se da će Opšta uredba o zaštiti podataka (GDPR) uvedena 2018. godine revolucionirati način na koji kompanije i organizacije u EU tretiraju podatke i bave se sajber bezbednošću kako bi se incidenti sveli na minimum. Od aktivista za privatnost do birokrata, svi su bili srećni. Od tada, mnoge druge zemlje su sledile sličan put, pošto je GDPR inspirisao nove zakone o privatnosti podataka širom sveta: od Bahreina, Kanade, Južne Afrike i Novog Zelanda, sve veći broj zemalja usvaja nove zakone koji privatnost stavljaju na prvo mesto, u nada da će slabe prakse sajber-bezbednosti biti eliminisane (potpomognute pozamašnim kaznama).
Više od četiri godine od uvođenja GDPR-a, sajber napadi neumoljivo rastu, a podaci o korisnicima cure svakodnevno. Od malih i srednjih preduzeća do kritične infrastrukture, čini se da su temelji tehnološkog društva ugroženi od strane zlonamernih aktera koji koriste sve sofisticiranije tehnike. Akteri pretnji se kreću od organizacija koje sponzoriše država do poslovnih subjekata koji pružaju ransomvare-kao-uslugu, baš kao da je to legitimna pretplatnička usluga. Situacija je toliko strašna da Gartner, konsultantska kuća, sada očekuje prve ljudske žrtve zbog nesreća koje su rezultat napada na sajber bezbednost do 2025.
U isto vreme, propisi o privatnosti, a posebno GDPR, izazvali su mnoge neželjene posledice, koje čak i najvatreniji zagovornici sada priznaju.
Prvo, sve je više dokaza da se zakoni o privatnosti koriste (posebno u regionu jugoistočne Evrope) da bi se zaštitili identiteti korumpiranih ili nesposobnih državnih službenika. Inicijative za transparentnost i zahtevi za otkrivanje podataka često su osujećeni navođenjem zaštite ličnih podataka prema GDPR-u. Naravno, GDPR jasno navodi da se pažljivo balansira javni interes i zaštita podataka, ali kao da nikog nije briga.
Štaviše, kako prenosi The Economist, GDPR se koristi protiv novinara koji istražuju korupcijske prakse raznih pojedinaca, najčešće ruskih kleptokratskih oligarha. „Moćni podnosioci zahteva sve su svesniji moći GDPR-a. U 2021. godini skoro 300 slučajeva protiv medija pokrenuto je pred britanskim sudovima prema pravilima o zaštiti podataka – više od polovine ukupnog broja tužbi u vezi sa medijima“, piše Oliver Bullough.
Pomalo je ironično da se zakon o privatnosti koristi kao oružje protiv novinara, kako bi se ućutkala sloboda govora.
Drugo, propisi o zaštiti podataka se sada često mešaju sa protekcionizmom podataka, tj. slabo prikrivenim pokušajem da se zaštite lokalni igrači u industriji i da se podaci čuvaju unutar zemlje. Koncept suvereniteta podataka koriste kreatori politike koji pokušavaju da zaključaju domaće podatke, kao da će biti zaštićeniji unutar zemlje (naravno, neće). Autokratski režimi će sigurno biti više oduševljeni protekcionizmom podataka jer im omogućava lakši pristup podacima građana unutar zemlje. Međutim, čak ni demokratije kao što su Australija i Indija nisu imune na ovo zbrkano razmišljanje, brkajući privatnost podataka sa protekcionizmom podataka u svojim politikama i akcionim planovima.
Protekcionizam podataka neizbežno vodi do nekoliko negativnih ishoda: loša usluga i manje inovacija, više korupcije uz vladi bliske "prijatelje", i naravno više cene za potrošače, koji snose račun za troškove koji su nastali zbog dodatnih propisa i manje skalabilnosti poslovanja.
Treće, propisi (uglavnom GDPR sa visokim kaznama) nesrazmerno utiču na mala i srednja preduzeća. Iako GDPR deklarativno ne pravi razliku između velikih i malih kompanija, činjenica je da samo velike mogu priuštiti skupe advokatske timove i konsultante da se pozabave složenom regulativom. GDPR je sada efikasna prepreka manjim kompanijama koje pokušavaju da ugroze dominaciju velikih tržišnih lidera. Jedina mala i srednja preduzeća na koja GDPR pozitivno utiče su industrija konsultanata za privatnost koja je nastala od njegovog uvođenja.
I na kraju, postoje mnoge tehničke negativne posledice GDPR-a i drugih propisa o privatnosti. Razmotrite zakone koji primoravaju veb stranice da priznaju upotrebu kolačića. Dosadni iskačući prozori su sada predstavljeni na svim veb lokacijama na planeti, tako da smo svi naučili da automatski kliknemo na „Prihvatam“, „U redu“ ili „Da, slažem se“, samo da bismo se rešili banera. Posledica je takozvani zamor pristanka na kolačiće (eng. cookie consent fatigue). To ima jasne bezbednosne implikacije – korisnici su sada skloniji da kliknu na upite bez čitanja ili ispitivanja sadržaja. A to je upravo ono što phishing napadači traže: manje pažljivi korisnici koji nepažljivo klikću na iskačuće prozore znači da je veća verovatnoća da će napadači dobiti neovlašćeni pristup IT sistemima i ukrasti lične podatke. Upravo suprotno od privatnosti podataka.
Propisi o privatnosti takođe utiču na marketinške prakse na nenameran način. Uzdizanjem saglasnosti kao glavnog preduslova (marketing vođen saglasnošću), kompanijama je lakše da koriste implicitnu saglasnost koju pružaju platforme društvenih medija za distribuciju sadržaja i dosezanje kupaca. Posledica: e-mail i direktni marketing nestaju, a raste marketing na društvenim mrežama. I tako kontraintuitivno, propisi o privatnosti povećavaju moć velikih tehnoloških kompanija, koje su ujedno početni pokretači za regulisanje privatnosti. U međuvremenu, malo ko se pita zašto je obrada uglavnom javnih podataka (kao što je poslovna e-pošta radi slanja newslettera) podignuta na isti nivo kao rukovanje osetljivim zdravstvenim kartonima ili podacima policijskih dosijea.
Ako će istorija suditi, budući pokušaji regulisanja digitalne ekonomije biće jednako zbrkani. Pokušaji regulacije se sada okreću sa privatnosti kao pokretača na izveštavanje o incidentima u sajber bezbednosti u specifičnim industrijama kao što su avijacija i transport kroz cevovode. Kao primer, pogledajte nedavni pokušaj u SAD da se nateraju kompanije iz sektora vazduhoplovstva da nalože da se svi incidenti u vezi sa sajber-bezbednošću prijavljuju Agenciji za sajber bezbednost i infrastrukturnu bezbednost (CISA) u roku od 24 sata. Nejasno je šta se može dobiti od ovakvih opterećujućih zahteva, osim konfuzije i podsticaja za kompanije da budu manje transparentne. Bolji pristup je fokusiranje na segmentaciju, kontrolu pristupa, praćenje i druge najbolje prakse.
U Finskoj se isprobava novi pristup: vlada treba da pomogne kompanijama da finansiraju poboljšanja svoje sajber bezbednosti kroz šemu vaučera. Predlog bi finansirao obuku o sajber bezbednosti, alate, procene i testove u kompanijama u sektorima koji se smatraju kritičnim. Šema bi bila usmerena i na mala i srednja preduzeća, kao i na velike kompanije. Potencijal za zloupotrebu sredstava izgleda veliki, ali vredi pratiti eksperiment.
Istina je da je najveći motiv za organizacije da usvoje ozbiljniji pristup sajber bezbednosti pretnja bankrotom, gubljenjem novca ili narušenom reputacijom zbog prekida poslovanja. Čini se da su rastući troškovi sajber osiguranja, ali i načini da se smanje cene polisa osiguranja dobar pokazatelj za budućnost. Globalna pretnja ransomvare-a svakako povećava svest u mnogim organizacijama, kako pogođenim napadima, tako i onima koji gledaju kako se njihovi konkurenti muče sa skupim posledicama napada.
Međutim, oni kojima ne preti bankrot zbog loše sajber sigurnosti, kao što su vladine institucije i organizacije, biće najmanje motivisani da poboljšaju svoje upravljanje sajber sigurnošću. Istovremeno, to su subjekti sa najvrednijim i najprivatnijim podacima građana kao što su zdravstvena, biometrijska, krivična i druge vrste osetljivih evidencija. Zabrinjavajuće je da su upravo ovde regulatori i aktivisti za privatnost uglavnom nemi, radije se fokusirajući na američke Big Tech kompanije i druge popularne mete za regulaciju.
