През април 2016 г. президентът Барак Обама назначи главния служител по сигурността (CSO) на Uber Джо Съливан в така наречената Комисия за повишаване на националната киберсигурност. Четири години по-късно Съливан проучваше затворите и как да останем в безопасност и здрави, докато сме вътре.
Той беше странно определен за престъпник, прекарал първите осем години от кариерата си в издигане по стълбицата в Министерството на правосъдието на САЩ, а следващото половин десетилетие – като помощник-прокурор на САЩ. Дори беше водил първото в историята дело, свързано със Закона за авторското право в цифровото хилядолетие (DMCA), „Съединените щати срещу „Елком“ ООД“, от името на правителството.
Достатъчно е да се каже, че малко хора на земята разбираха законите, бизнеса и реалността на киберсигурността по-добре от Съливан. Но за това, че през ноември 2016 г. се е справил зле с голямо нарушение на сигурността на данните, той и до днес се защитава в съда.
„Правителството на САЩ разполага с толкова много власт и може да контролира хората по наистина несправедлив начин“, казва Джес Нъл, партньор в Baker McKenzie LLP. „Това, което се разви през последните 10 години, е, че CISO и други специалисти по информационна сигурност – включително адвокати по защита на личните данни и сигурността на данните, както и други служители по информационна сигурност – биват хвърляни под автобуса, когато се случват големи кибератаки.“
Нал има личен опит в това отношение, тъй като успешно защитава служители на Yahoo след историческите и фарсови нарушения. Сега, в презентация на Black Hat 2024, тя ще сподели какво е научила. Резултатът? Лидерите в сферата на сигурността са обект на съдебно преследване както никога досега, но умните от тях могат да предприемат стъпки сега, за да избегнат тази съдба.
В продължение на години правителството опитва да използва моркови и тояги, за да накара компаниите да управляват по-добре данните на своите потребители. По повод на тази дълга история Съливан казва пред Dark Reading: „Мисля, че в момента се намираме в грозния среден период“.
Когато е работил за администрацията на Обама, той си спомня: „Нещото, с което се борихме най-много, беше: Как федералното правителство да накара корпорациите да се ангажират да правят повече в областта на киберсигурността? Дълго време подходът беше публично-частно партньорство и сътрудничество. Все още виждате варианти на това в много от дейностите, които извършва [Агенцията за киберсигурност и инфраструктурна сигурност]. Но през март 2023 г. администрацията на Байдън излезе със своята Национална политика за киберсигурност, в която много ясно се казва, че сме решили да прехвърлим отговорността на тези, които имат средствата да го направят – по-големите корпорации в частния сектор.“
В условията на поляризиран и вял Конгрес съдебните дела са своеобразен обратен път за налагане на добро корпоративно поведение. „Изпълнителната власт получава крясъци от хората [по отношение на киберсигурността] и се обръща към искове за принудително изпълнение, защото можеш да регулираш със закон или да регулираш с прецедент. Така че всяко дело, което правителството завежда, е опит за създаване на прецедент“, обяснява Съливан.
Разбира се, съденето на анонимни или чуждестранни хакери не помага на никого. „И така, кого искат да направят пример за възпиране?“ Нъл пита риторично. „Обикновено това е някой тук, в САЩ, обикновено някой в някоя от тези компании, които са били атакувани.“
Идеята е, че заплахата от юридическа санкция ще запали огъня под иначе неправилните, небрежни или злонамерени лидери в областта на сигурността. Но се шушука, че тя вече има други, по-малко желани ефекти.
„Вече има толкова силна нужда от специалисти по киберсигурност и мисля, че всичко, което правим като държава, за да възпрем това, е лошо. И мисля, че хората са малко по-неохотни да поемат ролята на CISO“, казва Нал. Когато най-добрите от най-добрите се колебаят дали да поемат ръководството, тя добавя: „Чувала съм следното: че хората влизат в ролята на младши и са притискани да изпълняват задължения, за които не са съвсем [готови]. Има такова търсене, че контролът на качеството на това кой е в тази роля пада. Мисля, че ще се наблюдава влошаване на качеството на защитниците на всички наши данни.“
Ключът към избягването на проблеми като лидер в областта на сигурността, казва Нал, е да се осъзнаят три неща: как работят правителствените разследвания, как правителството взаимодейства с компаниите по време на процеса и какви са стимулите на компаниите да разрешат делата си по един или друг начин.
Например, когато се стигне до натиск, компаниите ще бъдат притиснати да назоват имената на лицата и да ги опозорят. По време на съдебния процес правният екип на Съливан обрисува картина на компания (Uber), която се опитва да се преквалифицира и го държи като агне за заколение.
„Това е много жалко, защото с последствията се сблъсква едно лице или няколко лица, въпреки че възможността да се гарантира, че [инцидент] няма да се случи, е усилие, основано на общността в организациите“, казва Картик Сварнам от ArmorCode, бивш главен директор по информационната сигурност (CISO) на Kroger, DIRECTV и TransUnion.
За да не бъдат изключени (и защото това е добра практика в областта на сигурността), CISO трябва да се съсредоточат върху изграждането на ясни и стабилни линии за комуникация, които да включат останалите членове на борда в процеса на вземане на решения в областта на киберсигурността.
„На първо място трябва да създадете съвет по риска, в който да имате ясно дефинирани роли и отговорности“, препоръчва Сварнам и добавя: „Управлението на риска изисква две неща: съобщаване на риска на правилните лица и правилните организации и работа с тях по план, за да се справим с него.“
Комуникацията и сътрудничеството, съгласни са Нал и Съливан, са предпазната мрежа, на която лидерите в областта на сигурността ще се опрат, когато най-лошото се случи.
„В крайна сметка това е пресечната точка между всички тези случаи: че комуникацията между междуфункционалните групи не е била налице в необходимата степен“, казва Нал. „И хората, които поеха основната тежест от това, не бяха юристите, не бяха изпълнителните директори, не бяха управителният съвет. Това беше информационната сигурност.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
