Есть несколько очень больших скачков веры, когда речь заходит о недавно заявленной доктрине министра кибербезопасности Ангуса Тейлора о «Передовой обороне».
Главным среди них является эффективное взаимодействие как с бизнесом, так и с правительством.
Заявление Тейлора-это долгожданная и необходимая перезагрузка первоначальной политики кибербезопасности, запущенной Малкольмом Тернбуллом в 2016 году; но давайте надеяться, что она все еще продолжается на нескольких фронтах.
(И давайте отбросим ‘остановить ботов’, пока мы этим занимаемся. Даже Тони Эббот съежился бы от этой глупой ухмылки.)
В основе большой новой кибер-сделки Тейлора лежит молчаливое предположение, что крупные корпорации и малый бизнес логически свяжут оружие с правительством и будут руководствоваться нашими органами безопасности для создания “новой динамики взаимодействия с частным сектором».”
Проблема в том, что в бизнес — сообществе уже наблюдается новая динамика-и большая часть участия исходит от регуляторов, которым поручено устранить некоторые заметные сбои в корпоративном управлении, не в последнюю очередь связанные с финансовыми услугами и энергетическими рынками.
В игре по кибербезопасности статус-кво до сих пор заключался в том, что бизнес и правительство публично соглашались работать вместе над общими целями защиты жизненно важных национальных интересов Австралии.
Но под этим хорошо поддерживаемым фасадом существует опасно тонкий баланс интересов, который может вступать в конфликт с другими политическими установками – например, заставить крупные корпорации серьезно очистить свои действия, когда дело доходит до защиты потребителей и акционеров.
“Активный, интервенционистский и коллаборационистский” — вот любимые слова Тейлора для коллегиального подхода к борьбе с кибер-противниками, но сигналы за пределами киберпространства не совсем обнадеживают.
Давайте начнем с основы киберпреступности-мошенничества с онлайн-платежами. Потому что, каков бы ни был вектор, речь почти всегда идет о деньгах.
Тейлор на прошлой неделе похлопал по спине федеральные агентства здесь за то, что они помогли завести мошеннический рэкет под названием Fin7, который грабил счета по всему миру и произвел “арест киберпреступников, нацеленных на Австралию».”
Чтобы украсть фразу из Провода, это была “дурь на столе”.
Тейлор умолчал о том, что мошенничество с онлайн-платежами в Австралии или против австралийцев неуклонно растет в течение многих лет и теперь подталкивает 500 миллионов долларов в год.
И это только по кредитным картам.
Кто несет расходы на это мошенничество, глубоко неясно – подробнее об этом чуть позже, – но, как заметила Комиссия по производительности труда, Австралийская Комиссия по ценным бумагам и инвестициям должна пересмотреть режим ответственности за онлайн-транзакции.
Они имеют свою точку зрения.
Одно из самых больших заблуждений заключается в том, что, поскольку потребители защищены банками и карточными схемами с помощью режима «нулевой ответственности» за онлайн-мошенничество, индустрия финансовых услуг поглощает расходы. Если бы.
На самом деле это торговцы – то есть магазины или поставщики услуг, продающие онлайн, – которые берут плату через непрозрачную смесь соглашений об обслуживании, которые различаются в зависимости от банка, бренда карты и типа бизнеса.
Именно здесь вся сделка по кибербезопасности становится действительно очень мрачной.
Банки и карточные схемы в течение, по крайней мере, десятилетия навязывали большую часть ответственности за мошеннические покупки в Интернете своим коммерческим клиентам, что является массовым сдвигом ответственности, который просто не происходит в мире кирпичей и минометов.
Существует два глубоко извращенных результата, порожденных этим искаженным режимом ответственности.
Во –первых, это сводит на нет любые финансовые штрафы, чтобы побудить банки улучшить безопасность транзакций-потому что они просто не чувствуют жала. Хуже того, он позволяет платежным схемам доставлять неуклюжие шмотки, такие как PCI-DSS, которые могут стоить больше, чем мошенничество, совершенное для развертывания.
Во-вторых, это увековечивает пагубное заблуждение среди общественности и многих политиков о том, что индустрия финансовых услуг, как в Австралии, так и во всем мире, делает все возможное для борьбы с мошенничеством, когда на самом деле они, скорее всего, просто проходят через издержки.
Существует также правдоподобный аргумент, что отсутствие единого и окончательного режима ответственности за мошенничество для защиты торговцев действует как скрытая субсидия сектору финансовых услуг, тем самым препятствуя инновациям в области продуктов и безопасности.
Именно здесь видение Тейлора о совместной сделке в области безопасности становится довольно запутанным, особенно представление о том, что “Передовая защита кибербезопасности должна обеспечивать широкий взгляд на кибербезопасность в экономике.”
Под “комплексной стратегией” “новой национальной кибернетической повестки дня” Тейлор перечисляет некоторые внешне логичные, но практически досадные решения.
Блокировка и таргетирование угроз, расширение обмена данными и “структура для сильной атрибуции и реагирования на киберугрозы” – все это достаточно логично, но будет ли это включать в себя публичное объявление отдельными банками того, какое онлайн-мошенничество они совершили? Нет, если они могут помочь.
Настоящая дуза в миксе Тейлора — это понятие киберстрахования.
В своей речи Тейлор называет создание “страхового рынка, который признает инвестиции в безопасность и данные, необходимые для этого”, элементом новой национальной киберзащиты.
Кто и что будет покрываться – наряду с тем, как будет оформляться политика – это самые очевидные вопросы.
Уместным является вопрос о том, будет ли создание такого рынка киберстрахования лишь усугублять нынешнее весьма сомнительное смещение ответственности с поставщиков услуг, таких как банки, на их коммерческих клиентов.
Почему, например, онлайн-бизнес, который использует управляемую банком систему приема торговых платежей, работает на банковской инфраструктуре и принимает банковские кредитные карты, должен платить премию за привилегию не быть ограбленным?
Раньше именно поэтому вы пользовались банком.
Возникает также вопрос о том, кто будет регулировать качество выдаваемых страховых полисов и определять оспариваемые требования.
Будут ли владельцы полисов застрахованы в случае, если вредоносная кибератака будет приписана национальному государству? На ум приходят война и гражданские беспорядки.
Какое влияние окажет страховое покрытие на потенциальную ответственность, возникающую из-за дефектного или уязвимого программного обеспечения? Как можно контролировать адвокатов, ищущих арендную плату?
Возможно, промежуточным решением на пути к национальной кибер-повестке дня было бы разоблачение того, где текущие обязательства по онлайн-мошенничеству падают на хорошую дозу солнечного света.
Это может быть подкреплено облегчением использования банками, а также правительством стандартизированных, взаимозаменяемых цифровых идентификационных данных. В речи Тейлора не было даже упоминания о цифровой идентификации.
Если вы не можете управлять тем, что не можете измерить, киберстрахование, несомненно, будет оценено на уровне мусора наряду с такими новинками, как стоматологическое покрытие для собак.