18.11.11

Objava sigurnosnih incidenata

Može li se regulatornim zahtjevima urediti i unaprijediti informacijska sigurnost? Dijelim mišljenje onih koji nisu sasvim uvjereni u uspjeh takvih inicijativa, no stvari nisu crno-bijele (o tome ću nešto više drugom prilikom). Sada bih ukazao na jedan oblik regulatorne obveze čiji su počeci prisutni već nekoliko godina, a smatram je primjerom učinkovitog zakonskog pritiska na informacijsku sigurnost.

Naime, u SAD-u, točnije u saveznoj državi Kaliforniji, od 2003. godine je na snazi zakon koji propisuje obvezu objave svih sigurnosnih incidenata koji su rezultirali povredom osobnih podataka. Obaveza se odnosi na državne institucije, agencije i tvrtke u privatnom sektoru koji pohranjuju ili obrađuju osobne podatke. To znači da je svaka tvrtka koja je bila žrtva cyber napada i krađe osobnih podataka ili koja je uslijed nemara izgubila npr. backup traku s osobnim podacima, dužna obavijestiti oštećene osobe. Zakon je izazvao značajan učinak jer, pored dodatnog truda koje moraju provesti da bi odgovorile na ovu regulativu, organizacije je više pogodilo potencijalno ugrožavanje reputacije zbog obveza javne objave podataka o incidentima. Primjer Kalifornije slijedila je i većina drugih država, no savezni zakon još nije donesen.

Europska unija slijedi ovu inicijativu ponešto sporijim tempom. Za sada je obveza objave podataka incidentima predviđena samo za telekomunikacijske tvrtke (i ovogodišnje izmjene našeg Zakona o elektroničkim komunikacijama uključuju ove odredbe). Ipak, puno veći učinak imati će najavljene izmjene smjernica o zaštiti osobnih podataka, o kojima se govori u europskoj administraciji. Njima se predviđa obveza objave podataka o incidentima do kojih dolaze i u ne-telekomunikacijskim sektorima -  što će imati najveći učinak na sektor financijskih usluga. Trenutno, jedino Njemačka ima na snazi zakon koji sadrži takvu obavezu, a slične obaveze možemo očekivati i u našem zakonodavstvu.

Obveza javne objave podataka o ugrožavanju osobnih podataka svakako je dodatna mjera očuvanja privatnosti, bez obzira što američki primjer sa sobom nosi i neke nejasnoće oko implementacije zakona, pa se od države do države razlikuju uvjeti i rokovi objave, donekle se relativizira samo značenje incidenta... Očekujem da slične nepreciznosti ili nejasnoće, koje će biti rezultat utjecaja lobističkih grupa, možemo očekivati i u europskoj regulativi.

Gledajući na ovu regulativu s pozicije osobe koja se bavi informacijskom sigurnošću, smatram da je upravo praćenje i objava incidenata prava mjera uspješnosti programa informacijske sigurnosti u nekoj tvrtki. Dakle, ono što se može prikriti formalnim ispunjavanjem check-lista tijekom različitih revizija ili certifikacija, vrlo brzo će isplivati na površinu. Pravo vrednovanje informacijske sigurnosti proizlazi iz činjenice je li se neki incident dogodio ili nije. Ostaje samo još jedna prepreka koja se treba riješiti: organizacija stvarno mora znati da se incident dogodio, dakle mora aktivno pratiti i poznavati zbivanja na svojoj mreži i sustavima. Mora ovladati incidentom od prvog trenutka njegovog nastanka. Biti pasivan i čekati da te lupe posljedice incidenta biti će ne samo problem za reputaciju, nego će uključivati i zakonske posljedice.

Na kraju, ukazao bih i na jedan novi moment koji dolazi, ponovo, iz američke regulative. Naime, područje javnog interesa koje stoji iza obveze objave sigurnosnih incidenata širi se od zaštite privatnosti prema korporativnom poslovanju: SEC je donio smjernice prema kojima se tvrtke izlistane na burzi obvezuju objaviti podatke o sigurnosnim incidentima koji mogu utjecati na njihovo poslovanje. Takva odredba je proširenje postojeće obveze objave ne-informatičkih incidenata koji bi mogle utjecati na poslovanje neke tvrtke i cijenu dionice. Naravno,  nove smjernice otvaraju mnogo pitanja - prije svega oko kriterija prema kojima se određuje materijalan utjecaj pojedinih informatički incidenata, no čini se da je ovo još jedan dokaz da sigurnosni incidenti mogu imati značajan utjecaj na našu svakodnevnicu.