Австралийските фирми не трябва да чистят след инфосекциите на други организации. Време е да се заемете строго с уведомяването за нарушаване на сигурността на данните.
„Аргументите против задължителното уведомяване за нарушение са доста фалшиви“, казва Гари Блеър, помощник-професор в Изследователския институт по сигурността на университета „Едит Коуан“. „Организациите, които не са чисти, имат съпътстващо въздействие и това причинява съпътстващи щети на останалата част от индустрията.“
The Улов на деня Пробив в данните е ясен пример. То беше съобщено на клиенти едва миналия месец - три години след като се е случило - по причини, които все още не са ясни.
„В рамките на индустрията това [нарушение] беше добре известно още през 2011 г.“, казва Блеър. „Въпросът беше защо тогава не си направиха труда да вдигнат телефона и да се свържат с комисаря по поверителността? Предполагам, че други в индустрията са предположили, че са го направили, но това не беше така. Бъркотията, която това създаде, други в индустрията също трябваше да поемат."
Блеър, с повече от 25 години опит в ИТ в банковата и финансовата индустрия, говори на Cisco "Cyber Day" за медии и анализатори в Сидни миналата седмица. Други участници в панела се съгласиха с неговата точка, че отговорните организации действат отговорно и вече правят правилното нещо в рамките на процеса на доброволно уведомяване за нарушения.
„Въздействието надолу по веригата върху [компаниите], които действат отговорно и бързо, реакцията е много по-малка от тези, които не го правят. Просто трябва да поставите това като част от вашата култура и процес и да се справите с него по този начин“, каза Стив Мартино, вицепрезидент на Cisco по информационна сигурност.
Д-р Джейсън Смит, технически директор на CERT Австралия, се съгласи, че „някои индустрии“ – вероятно обичайните типове критична инфраструктура – имат доброволни кодове, които „изглежда работят“.
Но не всяка организация действа отговорно – и с всяко нарушение на данните, което коства време и пари на индустрията, очевидно е време да стане задължително. Всъщност Блеър би искал да направи крачка напред.
„Ако имате достоверни познания за нарушение, извършено другаде, в друга организация, имате ли задължение да го докладвате?“ Блеър казва „да“.
„Видовете случаи, за които говоря конкретно, са когато има действителни доказуеми доказателства, че тези данни са били действително ексфилтриран и всъщност е бил използван от престъпници за действително извършване на измама срещу тези картодържатели, за пример."
Алистър Макгибън, генерален мениджър по сигурността в Dimension Data Australia и бивш федерален агент в Австралийската федерална полиция, е съгласен.
„Във всеки щат и територия днес има закони, които казват, че ако знаете за сериозно престъпление, подлежащо на обвинение, трябва да го докладвате“, каза той.
„По някаква странна причина ние разделихме онлайн света и казахме, че той е над и отвъд нашия нормалните обществени очаквания за това как трябва да се държи една организация или индивид, а това не е случай. Това не е така в закона, не е така в морална гледна точка и ако го изискваме, нека въведем нещо, което принуждава хората да вървят по този път."
Сега може да има потенциални недостатъци на задължителния режим за уведомяване при нарушаване на сигурността на данните. Не искаме да пришпорваме нещата.
„Просто имам предвид тази фраза, че ако искате закон наистина, наистина много, ще получите наистина, наистина лош закон“, каза анализаторът на индустрията за сигурност на IBRS Джеймс Търнър от публиката.
Търнър има право. Любимият главен прокурор на Австралия, сенаторът Джордж Брандис QC, все още не е показал дълбоко разбиране на последиците от технологиите. Предишното правителство беше така прибързани в изготвянето на закони за киберпрестъпността че един законодателен акт никога не би могъл да постигне заявената си цел, което води до също толкова прибързано преработване.
MacGibbon е загрижен, че задължителното уведомяване за нарушение може да бъде „демотивиращ фактор за някои да знаят какво се случва“ и да предизвика „умишлена слепота“ – въпреки че предложи лек.
„Ако те са постъпили правилно като организация, по отношение на възприемането на ефективен подход към разбирането на тяхната заплаха и рисковата среда е и предприемат каквито и да са тези разумни стъпки, за да я минимизират, вие не ги наказвате в процеса," Макгибън казах. „Но ако не са, ако наистина са били небрежни в подхода си, тогава страдат за това финансово.“
Джоди Сангстър, ръководител на Асоциацията за управляван от данни маркетинг и реклама (ADMA), също е загрижена. Миналата седмица тя предупреди потребителите да не бъдат „заливани“ с известия за нарушения, размивайки значението на всякакви последващи предупреждения за по-сериозни нарушения - въпреки че лично аз смятам, че това трябва да зависи от отделните лица засегнати, за да решат дали е „сериозно“ или не, и зависи от организациите да накарат своята информация да действат заедно и да защитят данните, които събират.
Но всички тези опасения са неопределени количествено чувства, докато цената на нарушенията на данните е реална. Съгласен съм с Блеър. Тези аргументи не се натрупват.
Пробивите на данни все още се случват. Броят на нарушенията, които се докладват, изглежда не съответства на цифрите, които виждаме в натоварените с гибел доклади на доставчиците на сигурност. Ясно е, че много фирми все още решават да скрият своите опаки от своите клиенти - или дори по-лошо, не успяват да ги открият на първо място.
Говоренето за задължителни закони за уведомяване при нарушаване на данните продължава от години.
„Всички мои клиенти отчаяно искат да получат действителна информация, за да могат да потвърдят какво правят на своите ръководители“, каза Търнър.
Ако австралийските фирми не могат да решат това помежду си, тогава е време да се сложи нещо.