Trzy prognozy dotyczące bezpieczeństwa w 2016 roku, o których powinna usłyszeć Twoja firma

bezpieczeństwo

Bezpieczeństwo cyfrowe w 2016 roku – prognozy Erki Koivunena

Rok 2016 jest tuż za rogiem; podczas gdy wiele firm szykuje się na nowy rok, badacze bezpieczeństwa próbują przygotować się na zagrożenia, na które firmy powinny być gotowe w 2016 roku.

Erka Koivunen, Doradca ds. Bezpieczeństwa Cyfrowego w F-Secure, specjalizuje się w badaniach nad tym, jak rządy i firmy mogą chronić swoje dane. Erka twierdzi, że najważniejsze kwestie, na które muszą przygotować się firmy, mają związek z nowymi regulacjami oraz z debatami na wysokim szczeblu dotyczącymi przyszłości szyfrowania, ale również z radzeniem sobie z konsekwencjami lekceważenia bezpieczeństwa operacyjnego.

Oto część, która doprowadzi was do szaleństwa: rządy z jednej wywierają coraz większą presję na sektor prywatny, aby zachowywać prywatność klientów, a z drugiej domagają się coraz szerszego dostępu do ich danych. To ironia regulowana prawem – więc najlepszą strategią jest zaakceptować ten paradoks i przygotować się na rosnące żądania rządów, nawet jeśli te żądania są ze sobą sprzeczne.

„Reformy prawa wywiadowczego będą dominującą kwestią bezpieczeństwa w 2016 roku”

Przyszłość szyfrowania jest obecnie przedmiotem gorących sporów, ponieważ niektóre rządy domagają się od firm stworzenia rozwiązań technicznych, które umożliwiłyby monitorowanie szyfrowanej komunikacji. Dyskusja nie dotyczy tego, czy zakazać używania technologii kryptograficznych, ale czy produkty komercyjne powinny być projektowane w taki sposób, aby zapewniały rządom dostęp przez „tylne drzwi”.

Gdyby na przykład rządy Stanów Zjednoczonych i Wielkiej Brytanii przeforsowały swoje zdanie, niektóre firmy potencjalnie musiałyby zmienić modele biznesowe, aby spełnić rządowe wymagania w zakresie dostępu do danych. Zwłaszcza komunikatory w rodzaju iMessage, Signal i Whatsapp były używane jako przykłady produktów „zbyt bezpiecznych dla naszego własnego dobra”. Z drugiej strony, Facebook Messenger i bezpośrednie wiadomości Twittera spełniałyby wymogi prawne bez żadnych zmian ze względu na sposób, w jaki zostały zaprojektowane.

Grupa największych światowych firm technologicznych, w tym Apple, publicznie wyraziła sprzeciw wobec idei, że osłabienie szyfrowania leżałoby w interesie publicznym. Słowa te poparli najbardziej szanowani badacze kryptografii, którzy również przypomnieli nam o tak zwanych „kryptowojnach” z lat dziewięćdziesiątych.

Łamanie szyfrów jest zagrożeniem dla firm, ponieważ zasadniczo wymusza na nich zajęcie się przetwarzaniem danych osobowych, co jest poważnym obciążeniem, bo wymaga stworzenia systemów, które pozwalałyby robić to w sposób bezpieczny. A zważywszy na rosnącą liczbę i skalę naruszeń bezpieczeństwa danych w zeszłym roku, jest to odpowiedzialność, której firmy nie udźwigną samodzielnie.

„Wprowadzenie takich przepisów narazi ludzi na więcej zagrożeń, niż ich przed nimi ochroni, więc wyeliminuje wiele środków bezpieczeństwa, które uważamy za oczywiste, nie przynosząc żadnych namacalnych korzyści”, powiedział Koivunen. Naleganie służb wywiadowczych na hurtowy dostęp do prywatnych danych i komunikacji (zamiast ukierunkowanych nakazów dotyczących konkretnych danych) też nie brzmi zbyt zachęcająco. „Firmy chcą oferować szyfrowanie na całej drodze przesyłu danych, ponieważ w ten sposób chronią siebie, swoich partnerów i swoich klientów. Jeśli czegoś nie wiesz, nie ujawnisz tego, choćby cię zmuszali. Przez tylne drzwi otwarte przed jednym rządem prędzej czy później wślizgną się obce służby wywiadowcze, korporacyjni sabotażyści i przestępcy, więc można oczekiwać, że w 2016 roku wszystkie zainteresowane strony będą zdecydowanie zabierać głos w tej debacie”.

„Obowiązkowe raportowanie wprowadzone niedawno do europejskiego prawodawstwa zmieni zasady gry, jeśli chodzi o odpowiedzialność w dziedzinie cyfrowego bezpieczeństwa”.

Rządy, które domagają się dostępu tylnymi drzwiami do firm, jednocześnie zaczynają dostrzegać, że firmy również coraz częściej stają się celem ataków. Może się to wydawać niekonsekwentne, dopóki nie uświadomi sobie, że rządy nie mówią jednym głosem, zwłaszcza w Unii Europejskiej.

Zdaniem europejskich urzędników zajmujących się ochroną danych, zbyt często koszty ataków są przerzucane na osoby prywatne i użytkowników końcowych. W UE te zastrzeżenia przełożyły się na nowe regulacje (mówiąc ściślej, ogólne rozporządzenie o ochronie danych oraz dyrektywę w sprawie sieci i systemów informatycznych), które określają wytyczne w sprawie bezpieczeństwa cyfrowego oraz przetwarzania danych dla firm działających w Europie, m.in. opisując kroki, jakie należy podjąć w przypadku naruszenia bezpieczeństwa danych.

Kary finansowe zostaną ustandaryzowane, a raportowanie incydentów naruszenia bezpieczeństwa stanie się obowiązkowe. Firmy nie będą miały więc łatwej drogi wyjścia z sytuacji ani okazji do ukrycia wpadek, co sprawi, że zabezpieczanie danych będzie miało znacznie większy wpływ na ich działalność.

„Firmy, które stanowią część łańcucha dostaw danych, odczują wzrost kosztów prowadzenia działalności, ale będzie to kropla w morzu w porównaniu z tym, co je spotka, jeśli nie spełnią wymogów prawnych — powiedział Koivunen. — Jeśli zsumujemy potencjalne straty spowodowane karami finansowymi, utratą klientów i uszczerbkiem na reputacji, oraz inne wydatki, staje się oczywiste, że firmy będą musiały poważnie traktować bezpieczeństwo. W 2016 roku będą musiały zacząć przyzwyczajać się do nowej rzeczywistości”.

„Rządy nie nabiorą poczucia ironii”

Rządy chcą, żebyśmy zabezpieczali dane klientów przed wszystkimi, tylko nie przed nimi. Stany Zjednoczone, Wielka Brytania i Francja to tylko niektóre państwa, które chcą dostępu na żądanie do prywatnej komunikacji i danych osobowych. Jednocześnie domagają się, żeby dostawcy usług wzięli na siebie odpowiedzialność za zagwarantowanie „domyślnej prywatności danych”, jak mówią w UE.

„Rządy wymagają, aby firmy wprowadziły skuteczniejsze zabezpieczenia ze względu na zagrożenie ze strony przestępców internetowych i obcych rządów — powiedział Koivunen. — Jednocześnie albo same po prostu włamują się do tych firm, albo zmuszają je do instalowania tylnych drzwi lub otwierania systemów w inny sposób przez organami ścigania lub służbami wywiadowczymi”.

Być może właśnie łatwość, z jaką rządy włamują się do firm, sprawia, że tak podejrzliwie traktują one obecne praktyki w zakresie bezpieczeństwa? To niepokojąca myśl. Ale prawda może być jeszcze smutniejsza.

„Rządy nie mają poczucia ironii — powiedział Koivunen — Mają departamenty”.

Nie porównuje się wagi poszczególnych żądań, ponieważ rządy zwykle nie mają w naturze równoważenia sprzecznych potrzeb, przynajmniej jeśli chodzi o zabezpieczanie zasobów cyfrowych.

„Jeśli urzędnicy rządowi zrobią krok w tył, zobaczą jak na dłoni, że to, czego się domagają, ma charakter dwubiegunowy — powiedział, odwołując się do swoich doświadczeń z pracy w fińskim zespole CERT. — Problem w tym, że między organami rządowymi i ich mandatami są głębokie podziały. Departamenty rządu działają w izolacji. Ludzie od ochrony danych praktycznie nie rozmawiają z tymi od wywiadu. Regulatorzy telekomunikacji nie mają pojęcia, co zaraz wymyśli pion ścigania”.

To, czego domagają się różne odizolowane grupy, nie wydaje się sprzeczne, kiedy twoja grupa ma rozwiązać konkretny problem i nic innego.

„Gdyby wszystkie inicjatywy rządowe były doprowadzane do logicznego końca przez kogoś na poziomie gabinetu — powiedział Koivunen — może suma zawiłych sygnałów wysyłanych przez rządy stałaby się oczywista”.

Nie liczmy jednak na to, że stanie się to wkrótce.

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: