Avocatul James North organizează în mod regulat exerciții de simulare a „jocului de război” cu clienții pentru a testa modul în care aceștia ar face față unui atac cibernetic. În ultimul an, el a trecut de la a face aceste exerciții de obicei o dată pe lună la aproape săptămânal.
North, care este șeful departamentului de tehnologie, media și telecomunicații la firma de avocatură australiană Corrs Chambers Westgarth, spune că securitatea cibernetică a devenit acum o prioritate de top pentru multe companii, alături de problemele de mediu, sociale și de guvernanță. „Au fost multe atacuri cu adevărat semnificative în ultima vreme”, avertizează el. „Pregătirea este inegală în întreaga economie”.
Atacurile cibernetice sunt, de asemenea, din ce în ce mai complexe. Un raport anual al Centrului australian de securitate cibernetică, o agenție guvernamentală, a declarat în noiembrie că țara este expusă la amenințări din ce în ce mai sofisticate și că a primit peste 76.000 de rapoarte de infracțiuni cibernetice între iunie 2021 și iulie 2022 – o creștere de 13% față de anul precedent.
Atacurile cibernetice, cum ar fi cel care a vizat compania de telecomunicații Optus, deținută de Singapore, în septembrie anul trecut și a expus datele personale a milioane de clienți din Australia, au determinat guvernul australian să introducă măsuri mai dure, cum ar fi creșterea sancțiunilor maxime pentru încălcări grave.
În același timp, organizațiile publice și private își intensifică propriile reacții și apelează la firme de avocatură pentru a naviga în peisajul de reglementare în evoluție rapidă.
Serviciul cibernetic al Corrs Chambers Westgarth utilizează o echipă multidisciplinară care include investigatori IT, avocați și specialiști în situații de criză pentru a gestiona consecințele juridice, de reglementare și de comunicare ale unui atac cibernetic.
North și colegii săi îi ajută pe clienți să își „joace „războiul” răspunsurile la posibilele atacuri cibernetice folosind „exerciții de masă” – analizând modul în care s-ar putea desfășura un scenariu realist.
„Un exercițiu de masă ar putea dura două sau trei ore, cu o situație concepută pentru a reprezenta două-trei săptămâni în urma unui atac”, spune el. Clienților care participă li se oferă de obicei un nou set de fapte în fiecare oră – reprezentând zile diferite după atac – și trebuie să ia în considerare aspecte precum ce trebuie să facă directorii pentru a-și îndeplini obligațiile fiduciare și de raportare sau dacă ar trebui plătită o răscumpărare în mod legal oricărui atacator cibernetic.
North spune că un răspuns corporativ extins la orice atac cibernetic este vital, mai degrabă decât să lase orice răspuns doar în seama echipei IT.
„În cazul în care este încredințat echipei IT, este posibil ca aceasta să nu înțeleagă implicațiile mai largi”, explică el. „Ei ar putea șterge un server care este compromis, deci s-ar putea să se ocupe de un virus, dar ar putea, de asemenea, să șteargă toate jurnalele de acces, care spun ce date au fost extrase și s-ar putea să aveți nevoie de acestea pentru a îndeplini obiectivele de reglementare.”
Îngrijorările legate de atacurile cibernetice și de încălcarea securității datelor sunt tot mai răspândite pe teritoriile din Asia-Pacific. Într-un raport care analizează situația răspunsului la incidente în cazul atacurilor cibernetice din regiune, publicat de Kroll, grupul de informații corporative, în octombrie 2022, pierderea de date a apărut ca principala preocupare pentru 70 la sută dintre directorii de afaceri chestionați.
Raportul a constatat că întreprinderile din regiune „resimt impactul atacurilor cibernetice, dar multe dintre ele trebuie încă să elaboreze planuri de răspuns adecvate sau să aibă acces regulat la expertiză cibernetică relevantă”.
Vietnamul este în curs de elaborare a unei noi legislații privind protecția datelor, în timp ce, în Thailanda, Legea privind protecția datelor cu caracter personal a fost adoptată în 2019 și a intrat în vigoare anul trecut, unii din țară așteptându-se ca autoritățile de reglementare să adopte o poziție din ce în ce mai dură în cazul nerespectării legii.
Noua legislație thailandeză impune ca orice serviciu care monitorizează comportamentul rezidenților să aibă un reprezentant local pentru confidențialitatea datelor în țară. Acest lucru a oferit o oportunitate pentru firma de avocatură din Asia de sud-est Tilleke & Gibbins, care a înființat un serviciu de soluții digitale în Thailanda pentru a servi drept reprezentant local pentru clienții săi existenți, printre care se numără Meta Platforms, proprietarul Facebook.
Nop Chitranukroh, partener cu sediul în Thailanda și director al departamentului corporativ și comercial al Tilleke & Gibbins, spune că serviciul a fost conceput pentru a ajuta clienții existenți, cum ar fi Meta, evitându-i să fie nevoiți să își înființeze propriul reprezentant în Thailanda: „Încercăm să ajutăm clienții existenți despre care știm că sunt conformi și să devenim reprezentantul local pentru ei.”
Ea crede că autoritățile de reglementare adoptă o linie mai dură pe măsură ce legislația se așterne. „Anul trecut, când legea a fost pusă în aplicare, abordarea autorității de reglementare a fost mai educativă”, spune ea. „În acest an, m-aș aștepta ca autoritatea de reglementare să înceapă să impună amenzi. Ei încep să aplice mai strict”.
GDPR, legislația europeană privind protecția datelor, a fost adoptată ca standard global de multe companii. Chitranukroh spune că clienților cu operațiuni globale care au adoptat deja GDPR le-a fost mai ușor să se conformeze noilor reglementări: „Erau o mulțime de lucruri (pe care (ei) trebuiau să le parcurgă dacă nu aveau (acest lucru)”.
În India, un nou proiect de lege privind protecția datelor cu caracter personal digitale este în curs de a fi introdus – la șase ani de la o hotărâre fundamentală a Curții Supreme din India din 2017, care a confirmat că viața privată este un drept fundamental, într-o hotărâre privind sistemul de identificare digitală al guvernului. Cel mai recent proiect de lege urmează unor proiecte anterioare care au fost criticate pentru că au oferit agențiilor guvernamentale prea mult spațiu de manevră pentru a accesa datele personale fără consimțământul utilizatorilor.
Este nevoie doar de o singură persoană dintr-o organizație pentru a face o greșeală și a face clic pe un link dintr-un e-mail legat de un malware
Odată ce legislația va fi adoptată, este probabil că organismele din sectorul public și privat vor avea la dispoziție o perioadă de tranziție de unul sau doi ani pentru a se conforma noilor norme.
Firma de avocatură Khaitan & Co a fost chemată să participe la prima consultare pe care Ministerul indian al Electronicii și Tehnologiei Informației a organizat-o pentru a oferi feedback cu privire la proiectul de lege.
Supratim Chakraborty, partener la Khaitan & Co, spune că este probabil ca firmele familiarizate cu GDPR să fie mai bine pregătite pentru noua legislație. „O mulțime de firme au interacțiune cu Europa și sunt mai conștiente de protecția datelor. Dar unii jucători ar putea sta pe gard și să vadă cum se desfășoară”, spune el.
Cu toate acestea, în timp ce autoritățile de reglementare și guvernele din regiunea Asia-Pacific își intensifică jocul, la fel și atacatorii cibernetici.
„Companiile trebuie să facă mai mult, chiar dacă sunt sofisticate – este nevoie doar de o singură persoană dintr-o organizație pentru a face o greșeală și a face clic pe un link dintr-un e-mail legat de un malware”, spune North de la Corrs Chambers Westgarth.
Sursa – www.ft.com