Reklama

Parlament Brytyjski rozważa wprowadzenie przerzucenie odpowiedzialności za niewystarczający poziom cyberbezpieczeństwa przedsiębiorstw na szefów firm. Chodzi o sytuacje, w których firmy są atakowane przez hakerów ponownie. Izba niższa Parlamentu Brytyjskiego sugeruje, że to właśnie szefowie firm są odpowiedzialni finansowo za brak odpowiedniego przygotowania systemu w kwestii cyberbezpieczeństwa.

Według raportu parlamentarzystów, brytyjska agencja Infomation Commisioner’s Office (ICO) regulująca kwestie bezpieczeństwa danych powinna wprowadzić kary pieniężne za opieszałość w kwestii bezpieczeństwa. Szczególnie chodzi o przypadki, kiedy po poprzednim włamaniu hakerskim pozostała niezabezpieczona luka. Rozmiar oraz wymiar kary nie został dokładnie omówiony przez twórców rekomendacji. skłaniają się oni do kary pieniężnej zależnej od wielkości przedsiębiorstwa.

Dziś ICO może tylko wystosować karę w wysokości tysiąca funtów za opieszałość w naprawie systemu informatycznego po włamaniu hakera. Wprowadzenie większych kar, ma być bodźcem do szybszego łatania dziur przez firmy – tłumaczy Jesse Norman, przewodniczący komisji kultury, mediów i sportu.

Wśród rekomendacji wymieniono jako przykład atak wstrzykujący złośliwe oprogramowanie do SQL. Polega on na wykorzystaniu luki w zabezpieczeniach aplikacji,  która objawia się przy nieodpowiednim filtrowaniu danych użytkowników. Według firmy Sophos, która omówiła wnioski komisji z parlamentu brytyjskiego, wykorzystanie luki w zabezpieczeniach SQL jest równie stare, jak sam internet. Skoro prosty atak, o którym wiedzą nie tylko specjaliści, nadal jest możliwy do wykonania, to znaczy, że firmy nie przykładają należytej wagi do cyberobrony.

Członkowie komisji są także zaskoczeni faktem, że do tej pory nie zostały wypracowane zalecenia, które zwiększałyby poziom zabezpieczeń w oprogramowaniu. Parlamentarzyści jednocześnie zarekomendowali, aby bezpieczeństwo oprogramowania zyskało status „security by design”. Chodzi o to, by jeszcze w fazie projektu przeznaczyć czas na poprawę bezpieczeństwa, a nie dopiero podczas testów lub po wypuszczeniu aplikacji na rynek. Dziś takie sytuacje są smutną normą.

Czytaj też: Firmy nie wiedzą, jakie są koszty cyberataku

Reklama
Reklama

Komentarze