사이버 보안의 책임에 대한 또 다른 관점
- 사이버 보안 사고는 가용성 문제 그 이상입니다.
- 악의적인 공격자들은 법적 절차를 유리하게 이용하고 있습니다.
- 사이버 보안 부주의에 대한 개인 책임이 점점 더 보편화되고 있습니다.
한때 사소한 장애로 치부되던 사이버 보안 사고는 이제 광범위한 결과를 초래하는 중대한 위협으로 진화했습니다. 처음에는 일시적인 장애로 간주되어 비즈니스 운영에 미치는 영향이 과소평가되었습니다. 시간이 지남에 따라 몸값 지불 및 규제 벌금과 같은 재정적 영향에 대한 인식이 커졌습니다. 이러한 인식의 변화는 사이버 보안 실패에 대한 법적 책임이 형사 책임으로까지 확대되면서 사이버 보안 관리의 중요성이 커지고 환경이 크게 변화하면서 더욱 강화되었습니다.
역사적 맥락: "사무실에서의 나쁜 하루"
과거에는 사이버 보안 사고가 업무에 지장을 주지만 지속적인 피해로 이어지지는 않는 '사무실의 나쁜 날'로 여겨졌습니다. 이러한 관점은 사이버 공간의 디지털 영역과 현실 세계의 결과 사이에 단절을 초래했습니다. 조직은 단기적인 복구에 집중하면서 장기적인 사이버 보안 전략의 필요성을 간과하는 경우가 많았습니다. 이러한 접근 방식은 반복되는 사고로 이어졌고, 각 사고는 시스템 취약성의 증상이라기보다는 개별적인 사건으로 취급되었습니다.
현재 상태: 운영상의 위험부터 형사 책임까지
사이버 보안 실패를 형사 고발의 잠재적 근거로 간주하는 변화는 다음과 같은 사례에서 잘 드러납니다. 핀란드의 바스타모 전 CEO. 민감한 환자 데이터를 유출한 대규모 데이터 유출 사건 이후, 전 CEO는 기소되어 징역형을 선고받았습니다. (유예) 징역형.
이 유출 사고로 수만 명의 환자의 개인 정보와 치료 세션 기록이 노출되었으며, 이 중 일부는 다크웹에 게시되었습니다. 법원은 전 CEO가 환자 데이터를 암호화하지 않아 GDPR 요건을 준수하지 않았고, 수년간 사이버 보안의 허점을 알고 있었으며, 침해 사실을 은폐하려고 시도했다는 사실을 밝혀내 형사 책임을 물었습니다.
사이버 범죄자들의 새로운 수법: 법률 시스템 악용
사이버 범죄자들은 점점 더 정교해지고 있으며, 법적 시스템을 악용하여 공격을 강화합니다. 랜섬웨어 조직, 랜섬웨어 조직인 ALPHV/BlackCat이 피해자인 MeridianLink를 상대로 SEC에 제소했습니다.를 상대로 심각한 데이터 유출을 보고하지 않았다는 이유로 SEC에 제소했습니다. 피해자에 대한 사이버 보안 사고 의무 공개에 대한 법적 요건을 이용하는 이 혁신적인 전술은 사이버 범죄자들이 법적 허점을 이용해 표적에 대한 압력을 높이고 디지털 갈취의 규칙을 재정의하는 우려스러운 추세를 보여줍니다.
참고로 이 사람은 라스베이거스 카지노 해킹(9월 MGM 및 시저스 사건)의 배후에 있는 것으로 알려진 것과 동일한 위협 행위자입니다.
SEC는 위협 행위자의 신고에 대해 조치를 취하지 않았지만 이는 부분적으로 최근 판결이 발효되지 않았기 때문입니다(새로운 보고 기간은 SEC에 의해 승인되었지만 12월 중순에야 발효될 예정). 이것은 위협 행위자가 악용하는 허점에 대한 우려를 제기하지만 규제 기관의 효율성에 대해서도 우려를 불러일으킵니다 – 기억에 남는 영화 인용문으로 가장 잘 묘사된 상황에서 규제 기관의 조치로 이어져야 하는 불만 뒤에 사실적인 자료가 있는 것 같았습니다.개와 고양이가 함께 살고 있습니다 (...)".
다소 예기치 못한 사건으로 인해 이러한 모든 사건은 감소될 수 있습니다. (의무) 보고로 이어질 수 있으며, CEO/CIO/CISO는 보고를 전혀 하지 않을 경우의 잠재적 법적 책임과 잠재적 위험을 비교 검토합니다.
이는 또한 초기 액세스 후 침해가 감지되지 않는 시간인 별도의 문제와 깔끔하게 연결됩니다(2022년 IBM 보고서에 따르면 이 수치는 270일 이상으로 추정됨). 이러한 법적 허점이 계속된다면, 이 감지되지 않은 시간은 보고되지 않은 위반에 대한 불만을 제기하기에 충분하며, 이는 사실적으로 정확할 것입니다.
사례 연구: 솔라윈즈와 강화된 법적 조사
솔라윈즈 사건은 사이버 보안에 대한 법적 조사가 강화되고 있음을 보여주는 대표적인 사례입니다. SEC는 SEC는 열악한 사이버 보안 관행과 위험을 은폐한 혐의로 SolarWinds와 그 CISO를 기소했습니다. 이 사건은 SEC가 개인을 상대로 사이버 보안 집행 소송을 제기한 최초의 사례입니다.
이 소장은 2018년 기업공개부터 최소 2020년 12월까지 솔라윈즈가 사이버 보안 관행에 대해 오해의 소지가 있는 공개 진술을 하고, 알려진 취약점 및 위반 사항을 공개하지 않았으며, 중요 자산을 보호하기 위한 적절한 통제를 유지하지 않았다고 주장했습니다. 이 사례는 정확한 사이버 보안 위험 공개와 경영진 및 보안 책임자의 개인적 책임에 대한 기대치를 강조합니다.
사이버 보안 책임의 새로운 시대
사이버 보안 사고가 운영 위험에서 형사 책임의 근거로 진화함에 따라 기업과 리더가 사이버 보안에 접근하는 방식이 크게 바뀌었습니다. 이는 조직과 경영진에게 강력한 사이버 보안 조치의 우선 순위를 정하고, 규제 요구 사항을 준수하고, 사이버 보안 관행을 투명하게 공개하라는 분명한 메시지입니다. 그렇게 하지 않으면 조직뿐만 아니라 책임자 개인에게도 심각한 법적, 재정적 영향을 미칠 수 있습니다. 사이버 보안 위협의 환경이 계속 진화함에 따라 예방, 투명성 및 책임을 강조하는 사이버 보안 위협에 대처하기 위한 전략도 진화해야 합니다.
어쩌면 이것이 마침내 사이버 보안 문제를 산업 전반의 최전선으로 끌어올리는 원동력이 될 수도 있습니다.