Milyen mércét kell az NIS-nek teljesítenie, mielőtt kivizsgálhat egy vállalati kibertámadást?

Az NIS-nek csupán gyanítania kell, nem kell megerősítenie, hogy külföldi vagy államilag támogatott szereplő érintett, mielőtt vizsgálatot indít. Azt kell állítania, hogy az ilyen érintettség valószínűsíthető, nem pedig azt, hogy azt már megállapították.

Mely iparágakat érinti legvalószínűbben az NIS kiterjesztett hatásköre?

A „stratégiai technológiákat" tartóként megjelölt iparágakat érinti a legvalószínűbben, beleértve a félvezetőket, a fejlett akkumulátorokat, a kijelzőtechnológiát és a biofarmaceutikumokat. A logisztikai szolgáltatók és a fizetési feldolgozók szintén a hatáskör alá eshetnek a módosítás ellátásilánc-stabilitásra vonatkozó megfogalmazása miatt.

Hány vállalatra vonatkoznak most a kötelező biztonsági közzétételi követelmények Dél-Koreában?

Körülbelül 2700 tőzsdén jegyzett vállalat köteles most megfelelni a kötelező biztonsági közzétételi standardoknak. Ez jelentős emelkedés a korábban lefedett mintegy 666 vállalathoz képest.

Az új NIS-törvény csak a dél-koreai vállalatokat célzó külföldi fenyegetőszereplőkre vonatkozik?

Nem, a következmények túlmutatnak a külföldi fenyegetőszereplőkön, mivel a jogszabály törvényes felhatalmazást ad az NIS-nek magánszektorbeli vállalatok kivizsgálására, valahányszor államilag támogatott érintettség csupán gyanítható. A kulcskérdés az lesz, hogy kinek van törvényes joga kivizsgálni egy vállalatot, nem csupán az, hogy ki támadta meg azt.

Dél-Korea NIS jogkört kap vállalati hackertámadások kivizsgálására gyanú alapján

Dél-Korea Nemzeti Hírszerző Szolgálata hamarosan jelentősen szélesebb hatáskört kap a magánszektorban. A dél-koreai törvényhozói bizottságon átment új jogszabály felhatalmazást ad az NIS-nek arra, hogy beavatkozzon vállalatok elleni kibertámadásokba, valahányszor csupán gyanú merül fel államilag támogatott vagy nemzetközi hackercsoport részvételére vonatkozóan. Ez a dél-koreai NIS vállalati megfigyelési hatáskörének kiterjesztése a magánszektor biztonsági eseményeit nemzetbiztonsági ügyként kezeli, és olyan jogi alapot biztosít a hírszerző ügynökségnek a vállalati hálózatokon belül, amellyel korábban nem rendelkezett.

A Dél-Koreában vagy a dél-koreai piacokkal összefüggésben működő vállalkozások számára a következmények messze túlmutatnak a külföldi fenyegetőszereplőkön. A kérdés nem csupán az, hogy ki támadta meg a vállalatot, hanem az is, hogy most kinek van törvényes joga kivizsgálni azt.

Mit engedélyez valójában az új NIS-törvény

A jogszabályi változást megelőzően az NIS kibertámadásokra reagálva elsősorban az állami szektorban és a védelemhez kapcsolódó iparágakban működött. Az új módosítás ezt a határt jelentősen eltolva az ügynökséget felhatalmazza arra, hogy magánvállalatok elleni kibertámadásokra vonatkozó hírszerzési adatokat gyűjtsön, elemezzen és osszon meg, amennyiben észszerű alapja van külföldi vagy államilag támogatott érintettség gyanújának.

Kritikus elem, hogy a küszöb a gyanú, nem a megerősítés. Az NIS-nek nem kell bizonyítania egy nemzetállami szereplő felelősségét a vizsgálat megindítása előtt. Csupán annyit kell állítania, hogy az ilyen érintettség valószínűsíthető. Ez a mérce, bár gyors reagálási szempontból talán praktikus, igen kevés egyértelműséget nyújt azoknak a vállalatoknak, amelyek meg kívánják érteni, mikor kerülhetnek kormányzati vizsgálat alá.

A jogszabály az ügynökség hatáskörét az ellátási lánc stabilitására és a stratégiai technológiákra is kiterjeszti – ezek a kategóriák elég szélesek ahhoz, hogy az iparágak széles körét lefedjék, a félvezetőktől és akkumulátorgyártástól a logisztikáig és az e-kereskedelmi infrastruktúráig.

Mely vállalatok és iparágak tartoznak a kiterjesztett hatáskör alá

A dél-koreai kormány párhuzamosan az NIS hatáskörének kiterjesztésével bővíti az információbiztonsági közzétételi követelményeket is. Egy külön kormányzati kezdeményezés keretében kötelező biztonsági közzétételi standardokat vezetnek be valamennyi tőzsdén jegyzett vállalatra – körülbelül 2700 cégre –, szemben a korábbi mintegy 666-tal. Ez az összefüggés itt is jelentős, mivel a közzétételi követelményekkel most szembesülő vállalatok egyidejűleg számolhatnak az NIS bevonásának lehetőségével is, valahányszor kibertámadás következik be.

Az új hatáskör alá legvalószínűbben eső iparágak közé azok tartoznak, amelyeket már „stratégiai technológiákat" tartóként jelöltek meg – ez a besorolás félvezetőket, fejlett akkumulátorokat, kijelzőtechnológiát és biofarmaceutikumokat foglal magában. A módosítás ellátásilánc-stabilitásra vonatkozó megfogalmazása azonban bizonytalanságot teremt a logisztikai szolgáltatók, fizetési feldolgozók és minden olyan vállalat számára, amelynek leállása a kritikus gazdasági infrastruktúrán keresztül tovagyűrűző következményekkel járhat.

A dél-koreai leányvállalattal rendelkező külföldi befektetési hátterű vállalatok különösen bizonytalan helyzetben vannak. Egy multinacionális vállalat szöuli irodáját ért kibertámadás, ha külföldi állami eredete gyanítható, az NIS számára most már hozzáférést biztosíthat a belső rendszerekhez és a dél-koreai határokon jóval túlmutató kommunikációhoz. A Coupang adatvédelmi incidens, amely tízmilliók személyes adatait tette ki, és gyorsan geopolitikai és vállalati elszámoltathatósági kérdésekbe gabalyodott, jól illusztrálta, milyen gyorsan eszkalálódhat Dél-Koreában egy magánszektorbeli eset olyan területre, ahol a hírszerzési érdekek és az üzleti magánszféra ütköznek egymással.

A megfigyelési kúszás kockázata: amikor a „gyanú" üres csekké válik

A „gyanú" szó ebben a jogszabályban rendkívül sok terhet hordoz, és pontosan erre kell összpontosítaniuk az adatvédelmi szakértőknek és a vállalati jogi tanácsadóknak.

A világ hírszerző ügynökségei különböző mértékű bírói felügyelet mellett működnek a nemzetbiztonsági fenyegetések kivizsgálásakor. Dél-Koreában az NIS történelmileg jelentős mérlegelési jogkörrel rendelkezett, és múltja tartalmaz dokumentált eseteket a belföldi politikai ügyekbe való túlkapásokra vonatkozóan. Az ügynökségnek alacsony küszöbű belépési pontot biztosítani a magánszektorbeli incidenskezelésbe olyan feltételeket teremt, amelyek között a vizsgálati megbízatás jóval túlterjeszkedhet az eredeti biztonsági aggályon.

Amikor a nyomozók nemzeti biztonsági jogcímen hozzáférnek a vállalati hálózatokhoz, a megfigyelhető tartalom köre ritkán korlátozódik egy adott támadás technikai nyomaira. Az alkalmazottak kommunikációja, üzleti stratégiák, ügyféladatok és szellemi tulajdont alkotó folyamatok mind láthatóvá válnak. Azon vállalatok számára, amelyek pénzügyi adatokat érintő incidenseket szenvedtek el – mint amilyen az olyan esetekben kitett érzékeny hiteladatokat érintő NRL Capital Lend adatvédelmi incidens – egy hírszerző ügynökség gyanúalapú megbízatáson keresztüli, ugyanazon rendszerekhez való hozzáférésének lehetősége az eredeti incidens tetejére egy második kitettségi réteget helyez.

Robusztus bírói engedélyezési követelmények vagy az NIS által megőrizhető adatokat szabályozó szigorú adatminimalizálási szabályok hiányában a kiberbiztonsági reagálás és a hírszerzési adatgyűjtés közötti határvonal nehezen húzható meg.

Hogyan védelmezheti a vállalat az érzékeny működést az állami szintű vizsgálattal szemben

A Dél-Koreában működő vállalatok nem vonhatják ki magukat a jogszerű kormányzati felügyelet alól, és nem szabad törvényes vizsgálatokat sem akadályozniuk. Ugyanakkor vannak értelmes lépések, amelyeket a szervezetek megtehetnek annak érdekében, hogy működési kitettségük arányos legyen, és az érzékeny adatok megfelelően szegmentáltak legyenek.

Első lépésként vizsgálja felül adatarchitektúráját. Az érzékeny kommunikációt, szellemi tulajdont és ügyféladatokat olyan módon kell tárolni és továbbítani, amely korlátozza az oldalirányú hozzáférést. Ha egy vizsgálat eléri rendszereit, a megfelelő kompartmentalizáció gondoskodik arról, hogy az eljárás körülhatárolt maradjon.

Másodsorban frissítse fenyegetési modelljét. A legtöbb vállalati fenyegetési modell külső támadókra összpontosít. Ez a jogszabály emlékeztet arra, hogy a fenyegetési modellnek a kormányzati hozzáférési forgatókönyvekre is ki kell terjednie, beleértve a reagálás módját, a megtartandó jogi tanácsadókat és azt, hogy mely adatkategóriák igénylik a legszigorúbb védelmet.

Harmadsorban a VPN- és titkosítási szabályzatok alapos felülvizsgálatot érdemelnek. A végponttól végpontig titkosított kommunikáció és a hálózati szintű védelem nem képes megelőzni a kormányzati hozzáférés minden formáját, de növeli a tömeges adatgyűjtés költségét és összetettségét, és biztosítja, hogy a hozzáférés szándékos célzást igényeljen passzív megfigyelés helyett.

Végül a vállalatoknak nyomon kell követniük, hogyan értelmezik a dél-koreai bíróságok és felügyeleti szervek az új „gyanú" standardot a joggyakorlat kialakulásával párhuzamosan. Az NIS törvény szerinti hatáskörének gyakorlati korlátait az alkalmazás fogja meghatározni, és a korai döntések azt is meghatározzák, milyen agresszívan alkalmazzák majd a megbízatást.

Mit jelent ez az Ön számára

Dél-Korea fontos technológiai és kereskedelmi csomópont, és ez a jogszabályi változás minden olyan szervezetet érint, amelynek ott jelentős jelenléte van. Az NIS vállalati megfigyelési hatáskörének kiterjesztése nem jelenti azt, hogy minden szöuli vállalat közvetlen hírszerzési vizsgálattal néz szembe, de azt igen, hogy a játékszabályok megváltoztak.

A legfontosabb tanulság egyszerű: ha szervezete dél-koreai piacokon működik, most van itt az ideje felülvizsgálni, hogyan tárolja, továbbítja és védi a vállalati adatokat. Alakítson ki kapcsolatot a dél-koreai nemzetbiztonsági joggal jártas jogi tanácsadókkal. Végezzen reális fenyegetési modellezést, amely a kormányzati hozzáférési forgatókönyveket is tartalmazza a külső támadási vektorok mellett. És kezelje ezt a fejleményt egy tágabb minta részeként – hiszen Dél-Korea nem az egyetlen ország, amely kiterjeszti a hírszerző ügynökségek hatáskörét a magánszektorbeli kibertámadásokra.

A vállalati adatvédelem és a nemzetbiztonság metszéspontja nem egy távoli szakpolitikai vita. A dél-koreai tevékenységgel rendelkező vállalkozások számára egyre inkább napi gyakorlati szemponttá válik.