Дата: 13 декабря 2022

Преподаватели

• Ричард Лейн, начальник службы безопасности Всемирной организации интеллектуальной собственности (ВОИС).
• Проф. Таль Зарский, декан и профессор права на юридическом факультете Хайфского университета.

Модератор:

• Проф. Мануэль Десантес, профессор права Университета Аликанте.

Цели сессии:

До, во время и после кризиса COVID неуклонно развивалось сложное взаимодействие между вопросами интеллектуальной собственности (ИС) и кибербезопасности: какие стратегии и бизнес-модели кибербезопасности защищены в рамках ИС? Какая кибербезопасность для IP? Как мы должны защищать активы ИС от нарушений кибербезопасности? Какова связь между кибербезопасностью и ВОИС и почему это может иметь значение для ВОИС? Почему кибербезопасность необходима для инновационного бизнеса в области ИС? Как ИС связана с конфиденциальностью и другими смежными областями при рассмотрении вопросов кибербезопасности? Разрабатываются новые модели, которые срочно нуждаются в уточнении их взаимодействия с классической ИС. Докладчики из Европы, Израиля и ВОИС (Австралия/Великобритания и Швейцария) представили глобальную картину будущего ИС и кибербезопасности, включая переосмысление ИС в этой области в пользу как честного бизнеса, так и потребителей/общества.

Проф. Лоран Мандерье считает, что кибербезопасность, являющаяся ключевой темой для международного сообщества, должна быть дополнительно увязана с развитием интеллектуальной собственности. Я указал на следующие темы обсуждения, в том числе на вопросы, связанные с кибербезопасностью и тем, как защитить интеллектуальную собственность от взломов; почему кибербезопасность может иметь значение для Всемирной организации интеллектуальной собственности? И как это связано с вопросами интеллектуальной собственности и защиты данных в целом?

Проф. Хавьер Фернандес Ласкети отметил, что кибербезопасность является или должна быть частью нашей жизни, чтобы защитить активы ИС и коммерческую тайну. Я открыл дискуссию для модератора и участников дискуссии.

Проф. Мануэль Десантес заложил основу, поставив вопрос о надлежащем балансе в отношениях между кибербезопасностью и интеллектуальной собственностью.

Вопрос 1: Какова связь между кибербезопасностью и ВОИС? Почему это важно для ВОИС?

Согласно информации Мистер Ричард Лейн, эта взаимосвязь является фундаментальной для того, как работает организация. ВОИС является хранителем данных клиентов, будь то, например, патенты, промышленные образцы или любая другая информация, касающаяся заявок на ИС. Основное внимание уделяется защите информации. Воздействие инцидента может быть катастрофическим, в зависимости от инцидента. ВОИС определила риск кибербезопасности как главный риск для Организации. Если мы не будем надлежащим образом защищать доверенную нам информацию, инцидент в области кибербезопасности может иметь катастрофические последствия для ВОИС, а также для изобретателей, компаний и других заинтересованных сторон, которые доверяют этой организации.

Проф. Таль Зарский добавил, что необходима глобальная инициатива. Будучи международной организацией, ВОИС может делиться знаниями и опытом. ВОИС располагает огромным объемом информации (общедоступной, частной и личной). Что касается международных организаций, таких как ICANN, следует обсудить, какой объем информации должен храниться в секрете или открываться для общественности, или, возможно, только в ее существенном объеме, поскольку избыток информации может, например, работать как стимул. для других кибератак. Каждый баланс каждого учреждения уникален и приводит к интересным вопросам о политике ВОИС.

Мистер Ричард Лейн ответил, что ВОИС регулируется международными договорами в области ИС, такими как Протокол к Мадридскому соглашению о международной регистрации знаков и Договор о патентной кооперации (PCT), в которых устанавливается уровень охраны, какие данные хранятся и как долго. В этом контексте ВОИС не может самостоятельно решать эти аспекты; напротив, ВОИС должна следовать договорам.

Вопрос 2: Что можно сказать об инновационном бизнесе в области ИС? Стала ли кибербезопасность проблемой и для них?

Чтобы ответить на этот вопрос, Проф. Таль Зарский утверждал, что необходимо спросить себя, какова необходимая среда для существования успешного инновационного общества? Конфиденциальность данных и безопасность данных имеют важное значение. Если операторы подвергаются нарушениям конфиденциальности или безопасности, это явно повлияет на инновации. Например, атаки могут привлечь внимание к различным операторам и вызвать насмешки, что может помешать инновациям. Взломы с нулевой стоимостью могут уменьшить инициативы по внедрению инноваций. При этом должна существовать корреляция между инновациями и кибербезопасностью. Субъекты, заинтересованные в инновациях, также должны быть заинтересованы в кибербезопасности для создания безопасной среды.

Мистер Ричард Лейн ответил, заявив, что безопасность является средством для инноваций и бизнеса. Менталитет подразделений безопасности в отношении кибербезопасности с годами изменился, и они стали доверенными советниками для новаторов, которые помогают защитить бизнес от рисков воздействия и других угроз для инноваций. Кибербезопасность следует рассматривать не как средство блокировки, а как средство защиты.

Вопрос 3. Значение кибербезопасности возросло. Как защитить активы ИС от нарушений кибербезопасности?

Мистер Ричард Лейн заявил, что нет серебряной пули, чтобы держать все в безопасности. Основной ответ таков: это зависит от среды, действующего законодательства, отрасли, в которой работает компания, ландшафта угроз… Например, основная угроза фармацевтических исследований — это промышленный шпионаж. Не существует универсального решения.

Ключевым моментом являются конечные пользователи, поскольку команда (из отдельных лиц) является первой линией защиты. Можно сказать, что безопасность так же сильна, как и самое слабое звено, а пользователи являются самым слабым звеном, однако, если они действительно являются самым слабым звеном, мы, как специалисты по кибербезопасности, подводим их, не предоставляя таким пользователям соответствующие инструменты для идентификации, понимания и управлять кибер-рисками. Компания может настроить брандмауэры, политики реагирования на инциденты, другие политики на сотни страниц; Однако, если конечные пользователи не знают, как вести себя безопасным образом, брандмауэры безопасности, управление реагированием на инциденты или другие политики станут бесполезными.

При построении структуры безопасности можно также учитывать, что установление слишком большой безопасности может быть убийцей. Среди угроз одной из крупнейших является программа-вымогатель. В случае ВОИС, если активы удерживаются с целью получения выкупа, а затем публикуются, репутационный ущерб ВОИС будет существенным, и все изобретатели или заинтересованные стороны также понесут ущерб, например, в результате более раннего раскрытия защищенной информации.

Проф. Таль Зарский задавался вопросом о роль регулирования. Регламент (ЕС) 2016/679 о защите персональных данных (Общий регламент по защите данных) по-разному способствует обеспечению кибербезопасности в ЕС. Один из них заключается в установлении стандартов кибербезопасности, поскольку внедрение самых современных стандартов безопасности является обязательным. Если компания не реализует надлежащие стандарты безопасности и имеет место утечка данных, компания может быть оштрафована. Второй аспект — это концепция уведомлений о нарушениях, которая применима не только к закону о конфиденциальности. В какой степени это полезно для стимулирования защиты ИС? Перспектива сообщения о нарушениях может запугать создателя или новатора, который будет заинтересован в принятии мер кибербезопасности.

Что касается реакции на программы-вымогатели, существует значительный риск. Любая компания может быть заблокирована из своих собственных систем. Я бы посоветовал не оставлять все это в руках юристов, экспертов по безопасности или руководства в одиночку. Людей, занимающихся вопросами интеллектуальной собственности, необходимо привлечь к ответственности за такую ​​реакцию на атаку. Как ответить? Получение информации от людей, занимающихся вопросами интеллектуальной собственности, в режиме реального времени. Их мнения важны для оценки реальной стоимости активов.

Мистер Ричард Лейн согласились, подтвердив, что привлечение всех заинтересованных сторон имеет важное значение. Он бы посоветовал также взаимодействовать с внешними компаниями. Не просто платить. Более 65% людей, которые платят за последние двенадцать месяцев, подвергаются очередной атаке. Их можно рассматривать как дойную корову.

Вопрос 4. Подойдем теперь к делу с обратной стороны. Как ИС может защитить инновационные предприятия и кибербезопасность?

Проф. Таль Зарский поддержанный что кибербезопасность как область имеет очень специфические черты, быстро меняется, и люди обладают определенными навыками. По этим причинам классические инструменты продвижения ИС, такие как патенты, товарные знаки или авторское право, могут оказаться не лучшими. Другие инструменты, такие как коммерческая тайна, могут играть более важную роль, поскольку они могут защищать аспекты, имеющие ключевое значение для инновационных предприятий и кибербезопасности. 

Для Мистер Ричард Лейн, некоторым инструментам, связанным с авторскими правами, патентами или промышленными образцами (например, Гаагская регистрация промышленных образцов), недостает гибкости. Было бы интересно обсудить это в другой раз.

Вопрос 5: Давайте теперь обратимся к слону в комнате: конфиденциальность. Как IP связана с конфиденциальностью в сфере кибербезопасности? Любые потенциальные конфликты между кибербезопасностью и конфиденциальностью?

Мистер Ричард Лейн ответил, что, как сотрудник ВОИС по защите данных, он не считает, что конфиденциальность и кибербезопасность противоречат друг другу. Элементы управления безопасностью предназначены для защиты информации. Законы об ИС более противоречивы, поскольку необходимо учитывать такие понятия, как публикация и хранение данных. Требования публикации могут противоречить праву на забвение. С другой стороны, с правом на переносимость можно легко справиться. В любом случае, это может облегчить обращение в другие инстанции. Как сбалансировать это с Общим регламентом по защите данных — хороший вопрос, который может заслуживать дальнейшего обсуждения.

Проф. Таль Зарский добавил, что право на забвение в Общем регламенте по защите данных содержит исключения и отступления. Возможно, что такие отступления применимы даже в этом контексте.

При этом существуют и другие противоречия, поскольку целостность баз данных может потребовать внесения изменений, а ВОИС находится в интересном положении. ВОИС находится в серой зоне в отношении Общего регламента по защите данных, такого как Красный Крест. Это организации, которые должны продвигать справедливость и права человека. Они должны найти правильный баланс и сделать ставку на целостность данных, даже ценой компрометации защиты данных отдельных лиц.

Есть недавний пример Управления по защите данных Ирландии по делу Instagram, позволяющего собирать личные данные детей. Эта коллекция привела к нарушению безопасности данных, потому что Meta не выполнила свою обязанность по обеспечению конфиденциальности. Этот пример демонстрирует, как во многих случаях конфиденциальность и безопасность данных совпадают.

Также возможны конфликты из-за права доступа к базе данных. Это основное право в рамках защиты данных, которое также является потенциальным нарушением кибербезопасности. Например, чем сложнее доступ, тем безопаснее, однако это также может поставить под угрозу конфиденциальность.

Вопрос 6: Вопрос из зала: По делу Colonial Pipeline. Они подверглись кибератаке и заплатили выкуп из-за времени и срочности. Что бы вы посоветовали?

Мистер Ричард Лейн заявил, что существуют различные проблемы с выплатой выкупа, например, тот факт, что злоумышленники могут сохранить копию контента. Это зависит от конкретного контекста и специальный следует провести анализ относительно того, платить или нет. В ООН принято не платить выкуп. 

Проф. Таль Зарский напомнил, что было интересно понять, что в упомянутом случае Colonial Pipeline платила, но, поскольку она сотрудничала с Федеральным бюро расследований (ФБР), ФБР смогло отследить деньги и вернуть часть суммы. Здесь ключевым было работать вместе с государственным органом. В любом случае наиболее важным аспектом борьбы с выкупом является укрепление глобального сотрудничества.

Вопрос 7: Вопрос из зала: Сейчас все больше стартапов полагаются на коммерческую тайну. Очевидно, что однажды украденные, они больше не являются секретом. Какие альтернативы или рекомендации вы могли бы дать стартапам для борьбы с этим риском кибербезопасности?

Мистер Ричард Лейн считается, что многие компании, особенно стартапы, сталкиваются с некоторыми трудностями при внедрении надежных систем кибербезопасности. Некоторые из наиболее важных аспектов заключаются в том, чтобы гарантировать, что данные зашифрованы, а ключи сохранены в безопасности. Он рекомендовал бы, особенно стартапам, оценить, стоит ли использовать облачных провайдеров, поскольку они обычно вкладывают огромные суммы денег в кибербезопасность и могут находиться на более продвинутой стадии, чем стартапы. 

Проф. Таль Зарский добавил, что если посмотреть на конфиденциальность и защиту данных, некоторые идеи могут быть извлечены из минимизации данных, что означает только обмен или хранение строго необходимых данных. Кроме того, у облачных провайдеров больше стимулов для создания киберзащищенных систем. Однако недавно было обнаружено, что большинство проблем кибербезопасности в облачной среде возникает из-за ошибок в сложной конфигурации на этапе интеграции. Поэтому очень важно обратить внимание в последней части на то, чтобы система работала и работала.

Мистер Ричард Лейн утверждал, что обучение технических экспертов является ключевым фактором для создания безопасной среды, поскольку большинство известных нарушений в облаке связано с человеческими ошибками, такими как неправильная конфигурация. Кроме того, если у некоторых стартапов нет ресурсов для найма надежной группы экспертов по технологиям, облачные провайдеры также имеют некоторые ресурсы в распоряжении своих клиентов.

Вопрос 8: Вопрос из зала: Каково ваше мнение о предложении Комиссии по ценным бумагам и биржам США о новых правилах управления кибербезопасностью и раскрытия информации об инцидентах? Считаете ли вы это тенденцией среди регулирующих органов во всем мире?

Проф. Таль Зарский ответили, что мы видим тенденцию уведомления о нарушениях. Является ли уведомление о нарушении хорошей политикой? Это зависит от цели создания уведомлений о нарушениях. Он считает, что целью уведомления о нарушении SEC США является заблаговременного инструмент для стимулирования организаций к принятию дополнительных мер безопасности данных, поскольку они опасаются последствий взлома. Однако иногда нарушение может быть результатом действия национального государства, и, следовательно, наказание лица, подвергшегося нарушению, является слишком чрезмерным, что может потребовать установления некоторых исключений из этого обязательства. 

Мистер Ричард Лейн поделился, что это определенно тренд. Одним из ключевых рисков для организаций является риск цепочки поставок или риск стороннего поставщика. В недавнем прошлом ВОИС получала уведомления о нарушениях, и они представляют собой очень полезный инструмент для получателей уведомлений, позволяющий начать оценку произошедшего во избежание побочных эффектов и сопутствующих убытков. В любом случае, уведомления о нарушениях являются положительным аспектом, и организации должны принять это, по крайней мере, в соответствии с передовой практикой.

Проф. Мануэль Десантес (модератор) попросил участников дискуссии сделать быстрое заключение по этой теме.

Мистер Ричард Лейн заявил, что кибербезопасность является средством реализации, а не блокировщиком, которым она была раньше. Чтобы создать безопасную среду, важно сотрудничать с группами безопасности и технических специалистов. Кроме того, не бойтесь просить о помощи.

Проф. Таль Зарский пришел к выводу, что в ближайшем будущем мы увидим, как ИС может способствовать кибербезопасности, и отметим, что в ближайшие годы в департаментах ИС будет больше кибербезопасности и больше инноваций в этой области.

Проф. Лоран Мандерье подвел итоги, подвел итоги и поздравил участников.

Отчет, написанный для Global Digital Encounters by Рубен КАНО ПЕРЕС и Франсиско Хавьер ЛОПЕС ГУСМАН