Rząd Kanady zakazał korzystania z aplikacji WeChat i oprogramowania antywirusowego Kaspersky na urządzeniach służbowych pracowników administracji publicznej. Decyzja ta została podjęta w związku z obawami dotyczącymi bezpieczeństwa narodowego.
Kanada oskarża WeChat o zbieranie danych osobowych użytkowników i przekazywanie ich chińskiemu rządowi. „W przypadku Kaspersky istnieje prawdopodobieństwo, że współpracuje z rosyjskimi służbami specjalnymi”, chociaż nigdy nie przedstawiono dowodów na szpiegowską aktywność firmy Kaspersky, która zrobiła dużo, aby otworzyć się na publiczną transparentność.
Decyzja Kanady jest kolejnym krokiem w kierunku ograniczenia korzystania z chińskiego oprogramowania. Wcześniej podobne decyzje podjęły Stany Zjednoczone, Australia i Wielka Brytania.
Zakaz korzystania z wymienionych producentów dotyczy wszystkich pracowników rządowych, w tym członków parlamentu, urzędników państwowych i pracowników służb bezpieczeństwa.
Zakaz obejmuje instalowanie oprogramowania na urządzeniach mobilnych oraz stacjonarnych.
Rząd Kanady zapewnił, że pracownicy będą mieć dostęp do „alternatywnych aplikacji i oprogramowania antywirusowego”, co oznaczałoby, że wcześniej nie zapewnił im takiej możliwości.
Przeprowadź własną analizę ryzyka!
W kontekście zakazu korzystania z WeChat i Kaspersky przez pracowników rządowych analiza ryzyka polegała na ocenie prawdopodobieństwa wystąpienia cyberataku – rząd Kanady uznał, że jest ono zbyt duże, dlatego odpowiednią strategią zaradczą było wycofanie oprogramowania ze służbowych urządzeń i zakaz jego stosowania w przyszłości.
Analiza ryzyka jest kluczowym elementem bezpieczeństwa. Ma bezpośrednie przełożenie na identyfikację systemów, oprogramowania i usług, które są używane w każdej organizacji. Dalej – to ma wpływ na rozpoznanie danych, które są przetwarzane przez te systemy. Pod analizę ryzyka kwalifikuje się analiza podatności oraz ocena skutków cyberataku. Te wszystkie elementy są ze sobą powiązane, są nierozerwalne, by na samym końcu łączyć się w zaufanie klientów oraz partnerów biznesowych.
Od poprawnego wdrożenia środków zaradczych zależy ciągłości działania firmy, minimalizowanie przestoju po cyberataku i czasu potrzebnego na przywrócenie systemów IT do działania. Poza tym wiele standardów branżowych (RODO, HIPAA, PCI DSS) wymaga od firmy kalkulowanie ryzyka i wdrożenia odpowiednich środków zaradczych.
Zaplanowany sposób postępowania w przypadku incydentów bezpieczeństwa, cyberataków, mogą pomoc w szybkim znalezieniu źródła problemu, wdrożeniu utwardzonych ustawień oprogramowania i systemu, i co jest z tym związane, zmniejszenie kar finansowych i odszkodowania dla klientów.
Zatem analiza ryzyka to w teorii bardzo ogólna procedura, ale w praktyce wymaga oddzielnego dostosowania do każdej organizacji. Dodatkowo ocenę ryzyka należy traktować jako proces, ponieważ technologie, jak i zagrożenia nieustannie ewoluują, a oprogramowanie i systemy, z których korzystają pracownicy zmienia się w czasie.
