Ilmeisesti ei ole olemassa pomminvarmaa tietojärjestelmää. Suljettuihin ja eristettyihin järjestelmiin on ujutettavissa ohjelmia ja rautaa, joilla ne avataan. Salaisuuksia kaapataan langattomastikin. Valtio saattaa horjuttaa toista tunkeutumalla sen alueella kriittisiin tietojärjestelmiin.
Miksi haavoittuvia järjestelmiä saa kaupattua yhteiskuntien elintärkeisiin toimintoihin? Miksi haavoittuvia järjestelmiä otetaan käyttöön? Kuka korvaa vahingot?
Tässä joitakin vastuutahoja:
- Organisaatio tai yrityksen omistaja: Yritys, joka omistaa IT-infrastruktuurin, on yleensä vastuussa sen turvallisuudesta. Tähän kuuluu riittävien tietoturvatoimenpiteiden toteuttaminen, ohjelmistojen ja järjestelmien säännöllinen päivittäminen sekä työntekijöiden kouluttaminen turvallisuuskäytännöistä. Näiden velvollisuuksien laiminlyönti voi johtaa vastuuseen organisaatiolle.
- IT-osasto tai palveluntarjoaja: Jos organisaatio ulkoistaa IT-palvelunsa kolmannelle osapuolelle, kuten hallinnoidulle palveluntarjoajalle (MSP) tai pilvipalveluntarjoajalle, molemmat osapuolet voivat jakaa vastuuta palvelusopimuksessa määriteltyjen ehtojen perusteella. Palveluntarjoajan on yleensä vastattava palveluiden toimittamisesta sovittujen tietoturvastandardien mukaisesti, ja se voi joutua vastuuseen, jos tietoturvaloukkaukset tapahtuvat huolimattomuudesta tai sopimusvelvoitteiden täyttämättä jättämisestä.
- Ohjelmisto- tai laitteistonvalmistaja: IT-tuotteiden ja -ratkaisujen toimittajia voidaan pitää vastuussa, jos niiden tarjoamissa tuotteissa esiintyvät tietoturva-aukot edistävät loukkausten tapahtumista. Vastuu voi riippua tekijöistä, kuten valmistajan tietoisuudesta haavoittuvuuksista, niiden vastausajasta korjausten tarjoamiseen ja noudatuksesta tietoturva-alan standardeja.
- Työntekijät tai sisäiset tekijät: Yksittäisiä organisaation sisällä toimivia henkilöitä voidaan pitää vastuussa tietoturvaloukkauksista, erityisesti tapauksissa, joissa kyse on huolimattomuudesta, sisäisistä uhkista tai tarkoituksellisista toimista. Työnantajilla on velvollisuus kouluttaa työntekijöitä turvallisuusohjeiden noudattamiseen ja valvoa pääsyoikeuksia sisäisten riskien minimoimiseksi. Työntekijät voivat kohdata kurinpidollisia toimenpiteitä tai oikeudellisia seuraamuksia, jos he eivät noudata vahvistettuja tietoturvamääräyksiä.
- Säädösvalvontaviranomaiset: Sääntelyviranomaiset voivat pitää organisaatioita vastuussa tietovuodoista sovellettavien tietosuojalakien ja toimialan säännösten mukaisesti. Rikkomuksista voi seurata merkittäviä sakkoja, maineen vahingoittumista ja pakollisia korjaustoimia. Säännösten noudattaminen on ratkaisevan tärkeää oikeudellisen vastuun lieventämiseksi ja luottamuksen ylläpitämiseksi sidosryhmien kanssa.
- Vakuutusyhtiöt: Kyberturvavakuutus voi tarjota taloudellista suojaa tietoturvaloukkausten tapahtuessa. Kuitenkin kattavuus riippuu vakuutussopimuksen ehdoista eikä välttämättä vapauta organisaatiota kaikista vastuista. On välttämätöntä, että yritykset tarkistavat huolellisesti vakuutussopimuksensa ymmärtääkseen kattavuuden laajuuden ja mahdolliset poikkeukset.
Kyberturvallisuuden vastuun jakaminen edellyttää kattavaa ymmärrystä oikeudellisista velvoitteista, sopimuksellisista velvoitteista ja alan standardeista. Organisaatioiden on proaktiivisesti arvioitava ja minimoitava riskejä suojellakseen herkkiä tietoja, suojatakseen sidosryhmiä ja noudattaakseen säädöksiä.
Katettava vastuu voi osoittautua ylivoimaiseksi niin, etteivät vahingon kärsijät saa mitään korvausta.
Vastaamon tapaus herättää kysymyksen: olisiko järjestelmien itse estettävä tietojen tallennus, jos oletustunnukset ovat edelleen käytössä?
Esimerkiksi tuon sähköpostin avaaminen tai sen liitteen avaaminen voi olla vahingollista
https://malwaretips.com/blogs/fake-dropbox-sent-you-a-file-email-scam-explained/
https://malwaretips.com/threads/the-week-in-ransomware-may-17th-2024-mailbombing-is-back.131081/