Kubersekerheid: Wie is verantwoordelik?

Foto: Google Maps

Foto: Google Maps

Deur prof. Basie von Solms, direkteur van die sentrum vir kuberveiligheid aan die Universiteit van Johannesburg.

Instansies vanuit die privaat én openbare sektore maak al meer gebruik van die kuberruimte om dienste aan kliënte, pasiënte en die burgerlike sektore te verskaf. Sodanige toepassings gebruik die internet, en  maak dit makliker vir  almal om met die instansie kontak te maak vanaf enige plek in die wêreld, te eniger tyd. Sodanige instansies het gewoonlik ʼn webwerf waar almal wat dienste of inligting van die betrokke instansie verlang, moet aanteken. Sodanige webwerf kan gesien word as die instansie se “deur of poort” tot en vanuit die kuberruimte.

Net soos kliënte deur middel van die webwerf toegang kan kry tot die instansie se rekenaarstelsels, so kan kubermisdadigers dit ook doen. Dit is uiters belangrik dat instansies wat sulke webwerwe het, verseker dat die nodige kubersekerheid in werking gestel word om te verseker dat ongemagtigde toegang nie verkry kan word nie. Indien dit nie behoorlik gedoen word nie, kan kubermisdadigers toegang kry tot die instansie se rekenaarstelsels en byvoorbeeld die webwerf ontsier, of data en inligting van die maatskappy se databasisse steel.

Sodanige kuberinbrake lei nie net tot die verlies van sensitiewe data en inligting nie, maar veroorsaak ook ʼn reuseverleentheid vir die instansie.

Voorbeelde van sodanige kuberinbrake in Suid-Afrika die afgelope paar weke sluit in dié by die SAUK en Krygkor. Daar sal later na die gevalle teruggekeer word om te evalueer wie die blaam moet dra vir die uitlek van die data en die gepaardgaande verleentheid vir die betrokke instansie.

Die vraag is nou wie is verantwoordelik (“responsible”) en verantwoordbaar (“accountable”) vir die  inwerkingstelling van behoorlike kubersekerheid in ʼn instansie? Hieroor bestaan daar ʼn aantal wanpersepsies wat  baie gevaarlik kan wees.

Een van die belangrikste wanpersepsies is dat kubersekerheid suiwer ʼn tegniese aspek is wat ten volle die verantwoordelikheid van die tegniese kundiges in die instansie is.

Hierdie uiters belangrike wanpersepsie sal nou in meer detail bekyk word, en wel in terme van die volgende aspekte:

  • Kubersekerheid is ʼn multidimensionele dissipline waarvan die tegniese deel net ʼn subaspek is.
  • Die alles omvattende verantwoordbaarheid en verantwoordelikheid van die raad van direkteure van die instansie ten opsigte van kubersekerheid.
  • Kubersekerheid is ʼn multidimensionele dissipline

Een van die belangrikste nietegniese dimensies van kubersekerheid is die menslike/gebruikersdimensie. Die dimensie behels die kubersekerheidsbewusmaking en -bewustheid van al die instansie se werknemers en gebruikers van hulle rekenaarstelsels. Werknemers moet deur middel van kursusse en opleiding bewus gemaak word van die risiko’s van die gebruik van die kuberruimte – risiko’s wat as dit sou realiseer, die kubermisdadigers toegang tot die maatskappy se databasisse sou kon gee. Voorbeelde hiervan is die veilige gebruik en bewaring van toegangswagwoorde, die besef dat aanhangsels tot e-posboodskappe virusse kan bevat wat die stelsels kan infekteer, en baie meer. ʼn Instansie kan die beste en duurste kubersekerheidstegnologie installeer, maar as die werknemers en gebruikers nie bewus is van die reëls en regulasies vir veilige gebruik en toegang tot die kuberruimte nie, help al die tegniese oplossings niks nie.

ʼn Ander baie belangrike nietegniese dimensie van kubersekerheid is die beleidsdimensie. As ʼn instansie nie behoorlike kubersekerheidsbeleidsdokumente het nie, sal hulle tegniese oplossings ook nie veel waarde hê nie. So ʼn kubersekerheidsbeleidsdokument spesifiseer duidelik wie mag watter aksies vanuit die instansie na die kuberruimte en vanaf die kuberruimte na die instansie uitvoer. Dit is veral baie belangrik waar werknemers hulle eie slimfone, skootrekenaars en tablette wil gebruik om byvoorbeeld van die huis af via die kuberruimte (internet) na die instansie se rekenaarstelsels aan te teken.

  • Die verantwoordbaarheid en verantwoordelikheid van die raad van direkteure van die instansie ten opsigte van kubersekerheid

Die topverantwoordelikheid van die raad van direkteure van ʼn instansie is ten opsigte van korporatiewe bestuurskunde (“Corporate Governance”). Korporatiewe bestuurskunde behels die behoorlike en suksesvolle bestuur van die maatskappy op alle gebiede. Die raad van direkteure het dus ʼn oorsigrol oor alle aspekte van die bestuur van die instansie, en moet onder meer verseker dat alle risiko’s wat die instansie skade kan berokken, behoorlik bestuur word.

Korporatiewe bestuurskunde word onderlê deur normpraktyke (“Best Practices”) wat duidelik uitspel wat die verantwoordbaarheid en verantwoordelikheid van die raad van direkteure voorskryf.

In Suid-Afrika is die King-reeks dokumente die absolute rigtinggewer sover dit korporatiewe bestuurskunde betref. Die nuutste konsepweergawe is King 4, en die dokument spel dit onomwonde uit (vry vertaal in Afrikaans):

Die raad van direkteure sal oorsig uitoefen oor kubersekerheidsrisiko’s.

Die dokument gaan dan verder en spel duidelik uit wat die oorsigrol presies behels. Ander internasionale voorskrifdokumente oor die oorsigrol van die raad van direkteure oor kubersekerheid gee ook streng voorskrifte, byvoorbeeld dat die aspek van kubersekerheid ʼn vaste agendapunt op elke raadsvergadering moet wees. Nalatigheid oor die saak vanaf die raad van direkteure kan persoonlike en regsgevolge vir die individuele direkteure inhou.

In verskeie internasionale gevalle waar kliënte persoonlike data het en finansiële verliese gely het weens ʼn suksesvolle kuberaanval teen die instansie, het dit gelei tot klas-aksies deur die kliënte teen die raad van direkteure vir nalatigheid. Dit kan selfs lei tot strafregtelike gevolge vir die direksie en uitvoerende bestuur. Sulke aksies is grootliks weens die streng wetlike voorskrifte in baie lande oor die gevolge van instansies wat deur nalatigheid en swak kubersekerheid die oorsaak is dat kuberaanvalle slaag en kliënte finansiële en dataverlies ly.

Sover die kubersekerheid betref, kan dit dus onomwonde gestel word dat die eindverantwoordelikheid reg op die topvlak is en die gevolge van enige suksesvolle kuberaanval moet voor die deur van die raad van direkteure gelê word.

Om dan terug te keer tot die vraag wie die blaam moet dra vir die suksesvolle kuberaanvalle op die SAUK en op Krygkor, moet die volgende dus gevra word.

Was die raad van direkteure van die instansies totaal op die hoogte van die kuberrisiko’s van hulle instansies? Het hulle die vereiste korporatiewe bestuurskundige oorsig oor kuberrisiko’s uitgeoefen volgens die relevante normpraktyke? Indien nie, was die raad nalatig en moet die blaam dra.

Indien hulle wel op die hoogte was, maar nie die nodige ondersteuning (finansieel, beleidsgewys, oorsiggewys, en so meer) gegee het nie, is hulle (miskien meer) skuldig en moet die blaam dra.

Indien die raad van direkteure wel hulle korporatiewe bestuurskunde-verantwoordelikheid en -oorsig oor kuberrisiko’s behoorlik uitgevoer het, soos uitgespel deur die relevante normpraktyke, maar daar op bestuurs- en inwerkingstellingsvlak nalatigheid was deur nie die raad se voorskrifte en beleid korrek uit te voer en toe te pas nie, moet die relevante lyntoepassers uiteraard die blaam en gevolge dra.

Dit is essensieel dat die raad van direkteure van enige instansie wat enige vorm van teenwoordigheid in die kuberruimte het, byvoorbeeld deur ʼn webwerf, besef dat die bestuur van kuberrisiko’s ʼn korporatiewe bestuurskunde-verantwoordbaarheid is. Die raad moet dus verseker dat hulle die risiko’s verstaan en seker maak dat die nodige dimensies van kubersekerheid in die instansie aangespreek word – indien hulle dit nie doen nie, kan dit nag word vir hulle!

Opsomming

  • Kubersekerheid is ʼn multidimensionele dissipline en elke dimensie moet in ag geneem word om die instansie te beveilig.
  • Tegniese kuberoplossings en produkte alleen kan nooit ʼn instansie kuberbeveilig nie.
  • Die verantwoordbaarheid en verantwoordelikheid vir kubersekerheid lê by die raad van direkteure.
  • Normpraktyke, byvoorbeeld King 3 en 4, spel duidelik uit wat hierdie verantwoordelikhede van die raad van direkteure behels.
  • Die eindverantwoordelikheid vir kubersekerheid berus by die topstruktuur – heel bo!

Hierdie plasing is deur ʼn onafhanklike persoon of onderneming saamgestel. Die menings en standpunte wat in hierdie skrywe uitgespreek word, is nie noodwendig die beleid of standpunt van Maroela Media se redakteurs, direksie of aandeelhouers nie. –Red

Deel van: Meningsvormers

ondersteun maroela media só

Sonder Maroela Media sou jy nie geweet het nie. Help om jou gebalanseerde en betroubare nuusbron se toekoms te verseker. Maak nou ʼn vrywillige bydrae. Onthou – ons nuus bly gratis.

Maak 'n bydrae

4 Kommentare

Dave ·

Die klomp kar maar redeneer soos hulle wil as jy onbekwaamde bestuurders en specilaiste aanstel net vir die kleur en geur gan dit jy byt. Hier is n duidelikke voorbeeld soos in die artiekel is dit n multi dimensiele omgewings en die bestuur kyk nie holisties na dit nie, iesh kwalifikasie speel mos nie n rol nie moet net lyk of hy wil en regte politieke afiliasie he.

Maria van Dieweeck ·

Ons Afrikaners is slim genoeg om die voortou hier te kan neem! Ons moet Afrikaanse kinders blootstel aan kubersekuriteit, die bou van robotte, ‘apps’ ens. deur kompetisies, en goeie instellings daarvoor. As ek n groot maatskappy besit het sou ek graag so iets vir ons jeug bied.

Pieter ·

Maria jy is reg, ons jeug moet in groot getalle hierin begin belangstel, dit is die toekoms. Dit is terloops ook die toekoms van konflik, beveiliging, ekonomie, als. As ons daarin sterk word sal ons n baie sterk land word.

christine ·

My seun werk in Australia vir n maatskappy in New Zealand kubersekerheid is baie leer. Maar as jy dit het dan gaan dit baie goed met jou toekoms al geneuk hy begin as gevolg van tyds verskil tussen twee lande 3uur soggens.

O wee, die gesang is uit! Kommentaar word ná 48 uur op ʼn artikel op Maroela Media gesluit. Kom kuier gerus verder op ʼn meer onlangse artikel.