Južnokorejski NIS dobiva ovlast za istraživanje hakerskih napada na tvrtke na temelju sumnje

Južnokorejski NIS dobiva ovlast za istraživanje hakerskih napada na tvrtke na temelju sumnje

Južnokorejska Nacionalna obavještajna služba uskoro će dobiti znatno širi doseg u privatni sektor. Novo zakonodavstvo koje je prošlo kroz južnokorejski zakonodavni odbor ovlašćuje NIS da intervenira u kibernetičkim napadima na korporacije kada se ti napadi tek sumnjaju na uključenost državno sponzoriranih ili međunarodnih hakerskih skupina. Ovo proširenje korporativnog nadzora od strane južnokorejskog NIS-a privatnosektorske sigurnosne incidente preoblikuje u pitanja nacionalne sigurnosti, dajući obavještajnoj agenciji pravno uporište unutar korporativnih mreža koje joj prethodno nije bilo dostupno.

Za tvrtke koje posluju na južnokorejskim tržištima ili uz njih, implikacije sežu daleko izvan stranih aktera prijetnji. Pitanje nije samo tko je napao neku tvrtku, već tko sada ima zakonsko pravo to istražiti.

Što novo zakonodavstvo NIS-a zapravo ovlašćuje

Prije ove zakonodavne izmjene, NIS je pri odgovaranju na kibernetičke incidente djelovao pretežno unutar javnog sektora i industrija bliskih obrani. Nova izmjena tu granicu znatno pomiče. Agencija je sada ovlaštena prikupljati, analizirati i dijeliti obavještajne podatke o kibernetičkim napadima na privatne tvrtke kada postoji razumna osnova za sumnju na uključenost stranih ili državno sponzoriranih aktera.

Ključno je da je prag sumnja, a ne potvrda. NIS ne mora utvrditi da je akter neke nacije-države bio odgovoran prije pokretanja istrage. Dovoljno je samo tvrditi da je takva uključenost moguća. Ovaj standard, iako je možda praktičan s gledišta brzog odgovora, kompanijama koje pokušavaju razumjeti kada bi mogle biti podložne vladinom nadzoru ne nudi gotovo nikakvu jasnoću.

Zakonodavstvo također proširuje nadležnost agencije na stabilnost opskrbnih lanaca i strateške tehnologije — kategorije dovoljno široke da obuhvate širok raspon industrija, od poluvodičke i baterijske proizvodnje do logistike i infrastrukture e-trgovine.

Na koje tvrtke i industrije se odnosi prošireni mandat

Južnokorejska vlada paralelno s ovim proširenjem ovlasti NIS-a širi i zahtjeve za otkrivanje informacija o informacijskoj sigurnosti. Zasebna vladina inicijativa krenula je s obveznim standardima otkrivanja sigurnosnih podataka za sve listane tvrtke — otprilike 2.700 poduzeća — u odnosu na prethodnih oko 666. Taj kontekst ovdje je važan jer će tvrtke koje se sada snalaze s obvezama otkrivanja istovremeno biti suočene s mogućnošću uključivanja NIS-a svaki put kada dođe do kibernetičkog incidenta.

Industrije koje su najvjerojatnije obuhvaćene novim mandatom uključuju one koje su već označene kao nositelji „strateških tehnologija" — klasifikacija koja pokriva poluvodiče, napredne baterije, tehnologiju zaslona i biofarmaceutike. No jezik o stabilnosti opskrbnih lanaca u izmjeni uvodi nejasnoće za pružatelje logističkih usluga, procesore plaćanja i svaku tvrtku čiji bi poremećaj mogao imati val učinka na kritičnu ekonomsku infrastrukturu.

Strane investicijske tvrtke s južnokorejskim podružnicama nalaze se u posebno neizvjesnom položaju. Kibernetički napad na seulski ured multinacionalne kompanije, ako se sumnja da ima strano državno podrijetlo, mogao bi sada potaknuti NIS na pristup internim sustavima i komunikacijama koji seže daleko izvan južnokorejskih granica. Povreda podataka tvrtke Coupang, koja je otkrila osobne podatke desetaka milijuna korisnika i brzo se prepletela s pitanjima geopolitike i korporativne odgovornosti, ilustrirala je koliko brzo privatnosektorski incident u Južnoj Koreji može eskalirati na teritorij gdje se sudaraju obavještajni interesi i poslovna privatnost.

Rizik od puzanja nadzora: gdje 'sumnja' postaje bjanko ček

Riječ „sumnja" u ovom zakonodavstvu nosi velik teret, i to je upravo ono na što bi zagovornici privatnosti i korporativni pravni savjetnici trebali usmjeriti pozornost.

Obavještajne agencije diljem svijeta pri istraživanju prijetnji nacionalnoj sigurnosti djeluju uz različite stupnjeve sudskog nadzora. U Južnoj Koreji, NIS je povijesno djelovao uz znatnu diskreciju, a njegova povijest uključuje dokumentirane epizode prekoračenja ovlasti u domaćim političkim pitanjima. Davanje agenciji niskopraga ulaska u privatnosektorski odgovor na incidente stvara uvjete u kojima istražni mandat može se proširiti daleko izvan izvorne sigurnosne brige.

Kada istražitelji imaju pristup korporativnim mrežama na temelju opravdanja nacionalnom sigurnošću, opseg onoga što mogu promatrati rijetko je ograničen na tehničke tragove određenog napada. Komunikacije zaposlenika, poslovne strategije, podaci o klijentima i vlasnički procesi postaju vidljivi. Za tvrtke koje su pretrpjele povrede podataka koje uključuju financijske podatke — kao što su osjetljivi podaci o zajmovima izloženi u incidentima poput povrede NRL Capital Lend — izgled da obavještajna agencija pristupi istim sustavima na temelju mandata zasnovanog na sumnji dodaje drugi sloj izloženosti povrh izvornog incidenta.

Bez snažnih zahtjeva za sudskim ovlaštenjem ili strogih pravila minimizacije podataka koja reguliraju što NIS može zadržati, granica između odgovora na kibernetičku sigurnost i prikupljanja obavještajnih podataka postaje teško odrediva.

Kako tvrtke mogu zaštititi osjetljive operacije od nadzora na državnoj razini

Tvrtke koje posluju u Južnoj Koreji ne mogu se isključiti iz zakonitog vladinog nadzora, niti bi to trebale pokušati spriječiti zakonite istrage. No postoje smisleni koraci koje organizacije mogu poduzeti kako bi osigurale da je njihova operativna izloženost proporcionalna i da su osjetljivi podaci prikladno segmentirani.

Kao prvo, pregledajte svoju arhitekturu podataka. Osjetljive komunikacije, intelektualno vlasništvo i podaci o klijentima trebali bi biti pohranjeni i preneseni na načine koji ograničavaju bočni pristup. Ako bi istraga dosegla vaše sustave, dobra kompartmentalizacija znači da će upit ostati ograničen.

Kao drugo, ažurirajte svoj model prijetnji. Većina korporativnih modela prijetnji usredotočena je na vanjske napadače. Ovo zakonodavstvo podsjetnik je da bi model prijetnji trebao uzeti u obzir i scenarije vladinog pristupa — uključujući kako reagirati, kojeg pravnog savjetnika angažirati i koje kategorije podataka zahtijevaju najrigorozniju zaštitu.

Kao treće, VPN i politike enkripcije zaslužuju pomnu pažnju. End-to-end šifrirane komunikacije i zaštite na razini mreže ne mogu spriječiti sve oblike vladinog pristupa, ali podižu cijenu i složenost masovnog prikupljanja podataka te osiguravaju da pristup zahtijeva namjerno ciljanje, a ne pasivno promatranje.

Naposljetku, tvrtke bi trebale pratiti kako južnokorejski sudovi i nadzorna tijela tumače novi standard „sumnje" kako se razvija sudska praksa. Praktične granice ovlasti NIS-a prema ovom zakonu bit će definirane kroz primjenu, a rane odluke oblikovat će koliko agresivno će se mandat primjenjivati.

Što to znači za vas

Južna Koreja važno je tehnološko i trgovinsko središte, i ova zakonodavna promjena utječe na svaku organizaciju koja tamo ima značajno prisutnost. Proširenje korporativnog nadzora NIS-a ne znači da svaka tvrtka u Seulu suočava s neposrednim obavještajnim nadzorom, ali znači da su se pravila igre promijenila.

Ključni zaključak je jednostavan: ako vaša organizacija posluje na južnokorejskim tržištima, sada je pravo vrijeme da preispitate kako su korporativni podaci pohranjeni, preneseni i zaštićeni. Izgradite odnose s pravnim savjetnicima koji poznaju južnokorejski zakon o nacionalnoj sigurnosti. Provedite realistični model prijetnji koji uključuje scenarije vladinog pristupa uz vektore vanjskih napada. I tretirajte ovaj razvoj kao dio šireg obrasca — jer Južna Koreja nije jedina zemlja koja proširuje doseg obavještajnih agencija u kibernetičke incidente privatnog sektora.

Sjecište korporativne privatnosti i nacionalne sigurnosti nije daleka politička rasprava. Za tvrtke s južnokorejskim operacijama, postaje praktična svakodnevna razmatranje.