Inga produkter i varukorgen.
”Datasäkerheten ett lapptäcke”
Bransch Neal Hindocha, säkerhetsexpert på Trustwave Norden, ifrågasätter EUs strategi mot cyberbrott i den här debattartikeln.
I början av juli antog EU ett nytt direktiv om fängelsestraffen för personer som döms för dataintrång. Direktivet fokuserar på straff för olaglig åtkomst till, och manipulation av, system och data, och behandlar specifikt de maximala fängelsestraffen som i dag ligger på två år. Direktivet höjde straffen till tre år för intrång med hjälp av botnät och fem år för attacker som orsakat allvarlig skada eller som angripit kritisk infrastruktur.
Men även om intentionerna med direktivet var ädla så utgör det dessvärre ytterligare ett tillägg till ett komplext, ständigt växande lapptäcke av lagar runt datasäkerhet. Promemorian från Europaparlamentet handlar främst om den lilla andel av alla databrott som utnyttjar botnät. Man behöver dock inte använda botnät för att genomföra attacker. Dessutom är direktivets lydelser otydliga och därmed öppna för tolkningar, även av branschexperter, vilket sannolikt inte var avsikten.
Att få bort hackare från gatorna
Även om det är ett steg i rätt riktning kommer detta direktiv inte i sig att leda till någon betydande minskning av mängden databrott. Direktivet kommer absolut vara användbart för att få bort en del hackare ”från gatorna”, men det innebär inte att gärningsmän kan fångas in på ett mer effektivt sätt. Att samarbeta över nationsgränser för att upprätthålla lag och ordning är trots allt en process och inget som förändras över en natt.
Som en del i EU:s databrottsstrategi föreslogs ett regelverk för dataskydd inom EU, i ett försök att uppdra företag som hanterar, lagrar eller överför personuppgifter att ge dessa uppgifter ett fullgott skydd. Det föreslagna regelverket skulle lägga ansvaret för att skydda personuppgifter på individuella organisationer, de som ibland kallas för ”dataförvaltare”. Det väcker dock viktiga frågor om hur mindre företag på bästa sätt kan vägledas och utbildas på området.
Vem bär ansvaret för datasäkerheten?
I slutändan måste datasäkerhet vara en fråga som tas upp på styrelsenivå. Direktörer behöver inse att teknologi i allt högre grad har blivit hjärtat i deras verksamhet, snarare än ett hjälpmedel för den. Riktade attacker mot deras organisationer kan potentiellt sätta permanent stopp för affärsverksamheterna. Våra erfarenheter med olika kunder visar att många anställda fortfarande är relativt ovetande om vissa helt grundläggande säkerhetsprinciper. I vår Trustwave Global Security Report för 2013 fann vi till exempel att ”Password1” fortfarande är det mest använda lösenordet.
Organisationer har en skyldighet att skydda sina kunders data, och behöver robusta datasäkerhetsstrategier för att kunna göra det. För att en datasäkerhetsplan ska fungera måste den komma från toppen, vare sig det är från styrelserummet i ett stort företag eller direkt från direktören i ett litet bolag. Samtidigt behöver lagstiftningen på både nationell och internationell nivå fokusera på själva arbetet med att ta fast databrottslingar, och regelverk måste utarbetas som kan underlätta förståelsen och genomförandet av strategier för datasäkerhet.
Det nya direktivet om attacker mot informationssystem är en del av en mycket större EU-strategi för att ta sig an databrott, och det finns mycket kvar att göra. Det behöver finnas ett bredare samarbete mellan polismyndigheter och regeringar när det gäller informationsutbyte i syfte att effektivt lokalisera och ta fast databrottslingar. Företagen får dock inte bli bekväma. De måste förstå att databrott inte är ett problem som kan lösas enbart med lagar. De måste fortsätta implementera och förbättra säkerhetsstrategier – som i sista hand hjälper dem att skydda sina system och data.
Denna artikel var tidigare publicerad på tidningen telekomidag.se
