Kevin Powers, strokovnjak iz ZDA: Kraja podatkov postalo vprašanje nacionalne varnosti

Profesor Kevin Powers je ustanovitelj in direktor magistrskega programa politika in upravljanje kibernetske varnosti na Bostonskem kolidžu. Ima 27 let izkušenj, delal je tako za ameriško vojsko kot zasebna podjetja, ki delujejo na področju kibernetske varnosti. Na konferenci Cyber Security, ki jo je organizirala Bloomberg Adria, se je z njim pogovarjal Daniel Fazlić, odgovorni urednik regionalnega digitalnega uredništva Bloomberg Adria.

Kako bi primerjali zavedanje o kibernetski varnosti v Sloveniji in ZDA?

V ZDA kibernetska varnost dolgo ni bila v središču poslovne kulture, dokler niso sprejeli ustrezne zakonodaje. Med administracijo Baracka Obame leta 2013 so se osredotočili na varovanje kritične infrastrukture. V državi New York pa so leta 2017 sprejeli prvi zakon o kibernetski varnosti (Cybersecurity regulation compliance requirements – DFS). Kibernetska varnost ni več le stvar IT-oddelkov, ampak je del glavnega posla in se dotika tudi vodilnih v družbah.

Lahko pojasnite primera napada na podjetji Drizly in Solar Winds?

Drizly je aplikacija, ki so jo razvili študenti v Bostonu za dostavo alkoholnih pijač. Prišlo je do vdora in kraje osebnih podatkov uporabnikov. Ukrepal je regulator, Zvezna komisija za trgovino (FTC), in podjetje je dobilo milijon dolarjev kazni, poleg tega so vodilni privolili v redne zunanje preglede na lastne stroške. Tudi generalni direktor je prejel kazen in ta ga bo spremljala tudi, ko bo zamenjal podjetje.  

Pri Solar Winds pa so napadalci prek podjetja prišli do osebnih podatkov uslužbencev na tisoče organizacij v ZDA, tudi v javnem sektorju. Prišlo je do tožbe zoper odbor direktorjev. Preiskovalci so našli predstavitev za upravni odbor podjetja, in to je bilo dovolj, da so obtožili glavnega direktorja za informatiko (CIO), da članom odbora ni posredoval vseh informacij.

Nejc Pernek

 

Kot posledica ukrepov zoper vodstva podjetij se zdaj pripravlja zakonodaja tako v ZDA kot Evropi. Podjetja bodo morala razkriti, kakšno znanje imajo vodilni s področja kibernetske varnosti. S tem se je odgovornost prenesla na vodstva podjetij. Člani odbora morajo podpisati dokument, v katerem piše, da sledijo najboljšim poslovnim praksam. Če pride do vdora v sistem, se s tem ne morejo več izogniti odgovornosti. Pričakujemo lahko tudi tožbe zoper direktorje za informatiko, generalne direktorje in člane upravnih odborov podjetij.

Koliko so po vaših izkušnjah člani odborov v podjetjih vključeni v zagotavljanje kibernetske varnosti?

Člani odbora so običajno zelo uspešni in inteligentni ljudje. To so voditelji. Ampak do zdaj je bila kibernetska varnost vedno stvar IT-oddelkov, zato se niso želeli ukvarjati s tem področjem. Zdaj so se razmere spremenile. Podjetja uvajajo izobraževanja zaposlenih, prihaja do bolj celostnega pristopa. Zdaj se na ravni odbora podjetja zavedajo težave in so prisiljena ukrepati.

Kako naj države z zakonodajo 'prisilijo' posameznika, na primer starejšega zaposlenega, da sprejme ukrepe za kibernetsko zaščito?

Del regulacije je tudi obveznost podjetij za izvajanja treningov zaposlenih s področja kibernetske varnosti. To morajo biti osebni treningi za izboljšanje sposobnosti posameznika. Regulatorji lahko to od podjetij zahtevajo.

Pogosto poudarjamo, da bi moralo biti več komunikacije med podjetji in regulatorji glede kibernetskih napadov.

Zdaj zakonodaja zahteva, da morajo podjetja poročati o napadu v 72 urah ali nekem podobno določenem času, sicer jim grozi kazen. Najprej je bil rok v ZDA določen pri 90 dnevih, nato se je skrčil na 30 dni, pa so se v podjetjih pritoževali, da je to prehitro. Zdaj smo že pri 72 urah in manj. In so tudi posledice, če podjetje napada ne prijavi.

Spletni izsiljevalski napadi (ransomware) se povečujejo po številu in težavnosti. Kako se braniti?

Podjetje mora najprej preveriti, kakšen je najslabši možni scenarij, in se vprašati, kako bo ukrepalo ter kako hitro bo lahko znova začelo poslovati. Znan je denimo primer mesta Oakland v ZDA, ki je bilo tarča napada ransomware in je bilo nepripravljeno ter ni imelo načrta akcije. Posledično mesto kar šest tednov ni moglo zagotavljati osnovnih storitev.

Kako nevarne so kraje podatkov podjetij?

To je postalo vprašanje nacionalne varnosti. Igra se je spremenila. Včasih so vohuni kradli podatke, zdaj delujejo celotne države. V središču so Kitajska in njeni sodelavci. Njihova tarča so korporacije in vlade na Zahodu, ki jim kradejo intelektualno lastnino. Na podlagi teh ukradenih podatkov vzpostavijo proizvodnjo svojih izdelkov in jih prodajajo ceneje na Zahodu ter tako ogrožajo poslovanje zahodnih podjetij. 

Primer je podjetje National Steel Corporation iz ZDA, ki je vložilo 200 milijonov v znanje za proizvodnjo lažjega jekla. Kitajci so ukradli podatke in začeli proizvajati to jeklo, kar je ogrozilo obstoj podjetja.

"Kibernetska varnost zdaj ni več le stvar IT, ampak je del glavnega posla."

Kako nasloviti težave kibernetskih napadov?

Tako, da se to prepozna kot problem nacionalne varnosti. Pri tem morajo sodelovati vlade, univerze, zasebna podjetja in organi pregona. Vsi morajo biti v enem prostoru, se pogovarjati. Podjetja se preprosto ne morejo sama braniti pred napadi velikih držav. Ukrepati morajo nacionalne agencije, da poskrbijo za zaščito varnostne infrastrukture. Da podjetja ne ostanejo sama s posledicami napada, tožbami, kaznimi regulatorja in podobno.

Nejc Pernek

 

Kakšno je sodelovanje med državami in podjetji?

V Evropi je več sodelovanja med državami in podjetji. V ZDA si podjetja ne želijo vmešavanja vlade, regulatorjev, takšna je pač tradicija v ZDA. Ampak na področju kibernetske varnosti moramo sodelovati. 

Kaj bi morali učiti uporabnike, na primer člane upravnih odborov?

To, kakšna je njihova odgovornost, kakšna so tveganja, kakšni so ukrepi regulatorjev, kakšni so zakoni.

Kakšni so bili po vaših izkušnjah odzivi članov odborov na izobraževanja iz kibernetske varnosti?

Ugotovili so, da se niso zares zavedali tveganja z vidika poslovanja. Člani odborov namreč razumejo, kaj je upravljanje tveganj (risk managment).

Lahko navedete primer, ko je podjetje želelo primer kibernetskega napada pomesti pod preprogo?

Uber in njihov direktor za informacijsko varnost Joseph Sullivan, ki je zdaj obsojen, ker ni obvestil regulatorjev o vdoru v sistem podjetja. Regulator FTC je že vodil preiskavo v podjetju in Sullivan je FTC obljubil, da bo sporočil, če se bo zgodil še kakšen incident. In nato, ko so doživeli izsiljevalski napad, je raje plačal podkupnino in ni prijavil incidenta ter ni obvestil odbora direktorjev. Seveda je zadeva prišla v javnost in so ga obsodili [na pogojno triletno zaporno kazen]. To je močno sporočilo za vse, da ničesar ni mogoče prikriti.