Legislatíva týkajúca sa ochrany informácií, resp. kybernetickej bezpečnosti sa vyvíja a my môžeme akademicky diskutovať o správnosti použitia pojmov v tejto oblasti. Ide však o robustný komplex nadnárodných, európskych predpisov, národných predpisov a podzákonných predpisov a nariadení spolu s medzinárodnými smernicami, a už len vymenovanie daných predpisov by nám zabralo veľa času.
Stratégie kybernetickej bezpečnosti
Vnútorné zraniteľné miesta v kybernetickom priestore a neustále sa stupňujúce kybernetické útoky majú tendenciu neustále ohrozovať národnú bezpečnosť štátov, ekonomiku a každodenný život občanov v jednotlivých štátoch sveta, preto viac ako päťdesiat krajín po celom svete sformulovalo stratégie kybernetickej bezpečnosti. Tieto stratégie sú formálne zamerané na riešenie vážnych obáv občanov − kybernetickú ochranu občanov a organizácií. Vzhľadom na rôzne situácie v oblasti hrozieb a značné variácie bezpečnostných rizík sú predstavované opatrenia najmä v podobe preventívnych, defenzívnych a ofenzívnych opatrení a prístupov. Odkiaľ sa však táto iniciatíva daných štátov nabrala? Začal by som pekne zvrchu. Vlastne niekto by povedal, že je to konšpirácia, že kybernetická bezpečnosť je o niečom inom. Je o komplexe hrozieb a zraniteľností.
Ale zamyslime sa spolu. Áno, rozumiem, že zavírený počítač, aplikácia žiadajúca kryptomeny za odšifrovanie disku, vypnutie technológií alebo ukradnutie hesiel spôsobuje problémy. Niekedy až existenčné. Kedy to vlastne ľudí a organizácie zabolí? Až keď ide o peniaze priamo. Keď niekomu ukradnú heslo, tak nečítame v mainstreame palcové titulky. To je v podstate bežné. Je niekoľko reálnych štúdií, ako použiť phishing (pokus o podvodné získanie citlivých informácií) na krádež hesiel, ktoré sa prezentujú na konferenciách. Je to v podstate ľahké. Vždy sa nájde obeť. Ale keď niekomu vytiahnu peniaze z banky, tak sú palcové titulky. Prečo vlastne? Veď aj oprava počítača v servise môže zabolieť. Aha, všimli ste si slovo „banka“? A už sme bližšie. Začneme formálnym pohľadom finančných manažérov a pohľadom úradníkov na bezpečnosť a nebezpečnosť.
Legislatíva AML – ANTI MONEY LAUNDRING – u nás známa aj ako zákon proti praniu špinavých peňazí. Predpis vyžaduje transponovanie do legislatív jednotlivých štátov. AML a kybernetická bezpečnosť sa v nasledujúcich rokoch od svojho vzniku výrazne prekrývajú. Kybernetická bezpečnosť bola kedysi považovaná za problém tímov informačnej bezpečnosti vo väčšine finančných inštitúcií už v minulosti, ale odborníci v oblasti boja proti praniu špinavých peňazí by mali byť v budúcnosti oveľa viac zapojení do kybernetickej bezpečnosti. Oblasti boja proti praniu špinavých peňazí a kybernetickej bezpečnosti sa budú v nasledujúcich rokoch pravdepodobne ešte viac prekrývať, pretože osoby, ktoré perú špinavé peniaze, a finančníci teroristi si nájdu nové spôsoby, ako využiť technologický pokrok vo svoj prospech (vlastnia množstvo špinavých peňazí). Vo väčšine finančných spoločností sú boj proti praniu špinavých peňazí a sankcie často iba v oblasti dodržiavania právnych predpisov, ale v tomto sektore sa už výrazne zvyšuje posun smerom k začleňovaniu právnych predpisov v oblasti kybernetickej bezpečnosti. Niektoré banky už dávnejšie oznámili, že majú v celej organizácii výbory pre mimoriadnu bezpečnosť v oblasti IT a počítačovú kriminalitu, ktorými riešia AML, a k tomu majú compliance managerov a právnikov špecializovaných na IT a kybernetickú bezpečnosť.
Regulačné orgány sú si tiež vedomé prekrývania medzi kybernetickou bezpečnosťou a praním špinavých peňazí. „Pranie špinavých peňazí alebo financovanie terorizmu môže prebiehať prostredníctvom nedostatkov v kybernetickej bezpečnosti, takže musíme pracovať ako jeden tím, pretože všetko je spojené na jednej strane,“ uviedol počas svojho webinára Dr. Amit Kumar, prezident amerických bezpečnostných poradcov AAA so sídlom v USA, ktorý organizuje Asociácia certifikovaných odborníkov proti praniu špinavých peňazí (ACAMS). Firmy poskytujúce profesionálne služby v danej oblasti tiež vidia súvislosť medzi kybernetickou bezpečnosťou a AML. „Existuje prepojenie v činnosti, ak sledujete transakcie a identifikujete podozrivé alebo potenciálne podozrivé transakcie,“ uviedol Rick Small, senior poradca pre boj proti praniu špinavých peňazí a finančné trestné činy EY a bývalý federálny prokurátor USA. „Vidíte v tom prvok počítačovej kriminality, ako napríklad krádež identity pomocou hekerských metód alebo odcudzenia účtov, alebo vytváranie nových účtov, ktoré sa nedajú vysledovať. Máme povinnosti na identifikáciu a hlásenie podozrivej činnosti. Teraz pracovníci na dodržiavanie súladu zoberú informácie, ako sú adresy IP, a vložia ich do správ o podozrivej činnosti (SAR), ak sú k dispozícii, keď sú podané,“ uviedol.
Hrozby kybernetickej bezpečnosti sa pomerne úzko spájajú s rizikami finančnej kriminality a podvodmi. V roku 2018 Svetové ekonomické fórum uviedlo, že podvody a finančná trestná činnosť boli priemyslom v biliónoch dolárov, pričom súkromné spoločnosti len v roku 2017 vynaložili približne 8,2 miliardy dolárov na kontroly boja proti praniu špinavých peňazí (AML), pričom boli početnejšie a nákladnejšie ako kedykoľvek predtým. Podľa všeobecne uvádzaného odhadu stratia inštitúcie za každý dolár podvodov takmer tri doláre, keď sa k samotnej strate podvodov pripočítajú súvisiace náklady. V oblasti finančnej kriminality medzitým regulačné orgány neustále revidujú pravidlá, aby čoraz viac zohľadňovali nelegálne obchodovanie a pranie špinavých peňazí, a vlády postupne zvyšujú mieru využívania ekonomických sankcií zameraných na krajiny, verejné a súkromné subjekty, dokonca aj na jednotlivcov. Inštitúcie zisťujú, že ich súčasné prístupy k boju proti takýmto trestným činom nemôžu uspokojivo zvládnuť množstvo hrozieb a záťaže. Z tohto dôvodu vedúci manažéri organizácií a vlády jednotlivých krajín transformujú svoje operačné modely, aby získali holistický pohľad na vyvíjajúcu sa finančnú kriminalitu v krajine. Tento pohľad sa stáva východiskom efektívneho riadenia rizika podvodu. Keď banky začnú zosúlaďovať operácie s meniacim sa profilom finančnej kriminality, následne sa konfrontujú s prehlbujúcimi sa súvislosťami medzi kybernetickými hrozbami a druhmi finančnej kriminality. Kybernetický prvok tu však nie je úplne nový.
AUTOR: Peter Veselý
