Cyberbezpieczeństwo to gra zespołowa
W tym tekście będziemy zajmować się rozważaniami nad wdrożeniem rozwiązań w zakresie bezpieczeństwa informacji – w tym także cyberbezpieczeństwa. I ważne jest, by te dwa obszary się widziały, bo przecież zabezpieczenie pomieszczeń na niewiele się zda, jeśli nie będziemy chronić sieci – i odwrotnie. Jeśli przejdziemy z abstrakcyjnego rozważania zagadnień z obszaru cyber do budowy rozwiązań kontekście konkretnej organizacji, to może okazać się, że mamy przed sobą potężny projekt. Projekt, którego nie da się zamknąć bez interdyscyplinarnej współpracy. Zarząd musi działać z IT, IT z bezpiecznikiem, bezpiecznik z IODą. A na koniec przydałby się prawnik – tak do oceny kontekstu, jak i zabezpieczenia outsourcingu, zgłoszeń do organów nadzoru, czy do zabezpieczenia ryzyk kontraktowych.
Gdzie szukać przyczyn coraz to większego znaczenia cyberbezpiecezństwa?
Przyczyn upatruję, między innymi:
1. w zmieniającej się rzeczywistości:
-
- ⅓ firm w Polsce odnotowała wzrost intensywności cyberataków na ich systemy w 2022 (Barometr cyberbezpieczeństwa KPMG),
- skala ataków widoczna jest w liczbie plików z danymi użytkowników dostępnych w darknecie (w 2023 było ich 30% więcej niż w roku poprzednim),
- atakami zainteresowani są state (państwowi) aktorzy, którzy oferują coraz to wyższe sumy za dostęp do podatności; duże zainteresowanie jest, np. Signalem, który wykorzystywany jest również do komunikacji na froncie (więcej o tym mówił Mateusz Chrobok w ostatnich didaskaliach),
- według Securelist – rozwój generatywnej #AI przyczyni się, między innymi do: zwiększenia liczby i poziomu skomplikowania podatności, rozwoju lepszej jakości oszukańczych treści (od grafik aż po całe strony internetowe);
z drugiej jednak strony przywołane źródło nie przewiduje, by #AI miała odegrać przełomowę rolę w krajobrazie zagrożeń w 2024 – uzasadnia się to tym, że technologia nie jest jeszcze wystarczająco łatwa w użyciu oraz tym, że jest to również narzędzie w rękach bezpieczników – to między innymi rola #redteam albo nawet #purpleteam – ten drugi działa także proaktywnie. Możliwości obrony będzie więc tyle, co i zagrożeń.
2. w krajobrazie prawnym, a dokładniej w RODO (Np. motyw 81 RODO), czy regulacjach obejmujących wątki bezpieczeństwa w sektorze finansowym (DORA) oraz w sektorach krytycznych (NIS 2).
Stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora
Ten motyw podpowiada nam, że certyfikacja służyć może rozliczalności. Przedsiębiorcy rozliczać będą musieli się także w świetle innych organizacji. To pozwala zrozumieć dlaczego, np. organizacyjne i techniczne środki bezpieczeństwa występują obok certyfikatu ISO 27001. Innymi słowy, organizacja może pokazać, że wdrożyła określone środki, prowadzi ich wykaz, a poza tym audyt zewnętrzny to zweryfikował.
3. w krajobrazie sektora publicznego i związanym z nim wymaganiami, a dokładniej w KRI (to krajowe ramy interoperacyjności – dotyczące szczególnie standardów dla usług publicznych; wydane formie rozporządzenia); w 2022 oraz 2023 r. pracowano nad nowymi KRI – podsumowanie tych prac można znaleźć tutaj);
*O korelacji między wytycznymi dla sektora publicznego, a normami europejskimi (ISO) więcej możecie dowiedzieć się na studiach podyplomowych o zarządzaniu cyberbezpieczeństwem realizowanych przez śląskie cyberscience.
4. w krajobrazie administrowania bezpieczeństwem, a dokładniej w konkretnym zadaniu polegającym na zabezpieczeniu systemów IT oraz połączeń zewnętrznych z innymi środowiskami, co niekiedy świadomie, a niekiedy domyślnie sprowadza do stosowania ISO 27001, norm NIST, standardów ENISy (ENISA w swoich rekomendacjach (aneks B) w zasadzie zestawia pokrywające się ze sobą standardy ISO 27001 oraz NIST – CSF [cybersecurity framework]), niekiedy i w bardziej zaawansowanych strukturach – ITIL ( (Information Technology Infrastructure Library, czyli zbioru publikacji zawierających praktyki zarządzania usługami IT).
Poniżej dowód na przenikanie się standardów ISO z CSF:
Na koniec… ZeroTrust!
Według prognoz dotyczących cybersercu – do 2026 roku 10% dużych organizacji będzie miało rozwinięte programy zerotrust. Do tego Gartner sugeruje stopniowy rozwój świadomości nastawionej na tego typu rozwiązania.
ZeroTrust oznacza, że nie ma użytkowników lepszych i gorszych – każdy może stanowić zagrożenie. To podejście, wedle którego należy [1] weryfikować tożsamość proszącego o dostęp, [2] dokumentować i ograniczać dostępy oraz [3] zakładać, że zawsze może dojść do naruszenia bezpieczeństwa – niezależnie od poziomu zabezpieczeń.
Niedawno natknąłem się na wpis, z którego wynikało, że to najlepsze podejście do budowania cybersecu w organizacji.
Prawnicy napiszą dokumenty kilka tygodni przed deadlinem
Co więcej ten sam wpis sugerował, że IT i bezpiecznicy powinny zacząć pracę od razu, bo prawnicy i konsultanci napiszą swoje dokumenty szybciej.
To dość wdzięczne zdanie – nadające się do prostego komentarza. Z pierwszą częścią należy się zgodzić. Z drugą zaś częścią już zgadzać się nie powinniśmy. Jeśli jakiekolwiek dokumenty mają organizacji służyć, zasady z nich wynikające mają być możliwe do wdrożenia, to należy wrócić do tytułu tego artykułu: Cyberbezpieczeństwo to praca zespołowa, a zatem jest to projekt dla zespołu od początku.
IT oraz zarządzający biznesem powinny rozumieć, jakie jest ryzyko odstępstw, że poza standardem – mamy zgodność z regulacjami oraz ryzyko ponoszenia związanych z tą niezgodnością kar administracyjnych, tak jak w RODO, czy w NISie 2. Ta druga regulacja to dyrektywa unijna, która dla podmiotów kluczowych oraz ważnych przewiduje określone widełki kar. Łatwo się domyślić, że ten regulacyjny framework zostanie uwzględniony w przepisach krajowych. I to w dwóch podstawowych aspektach: [1] co do katalogu podmiotów objętych regulacjami, jak i [2] przepisami karnymi.
Ażeby było tego mało argumenty o ryzyko prawnym są jedynie wspierające dla ryzyk związanych z rzeczywistymi skutkami incydentów. Sankcje mają jedynie motywować, by zapobiegać katastrofie.
Skutki ataków na infrastrukturę krytyczną – mogą być dotkliwe dla bezpieczeństwa narodowego, a zatem i dla nas wszystkich. Skutki ataków na biznes mogą być dotkliwe dla klientów oraz samego biznesu, których traci klientów obecnych oraz przyszłych. To cały wątek ryzyka reputacyjnego, gdzie kara może być już tylko gwoździem do trumny.
Nieco inaczej może być w sektorach, gdzie klient nie może wybrać usług konkurencyjnych – wówczas znaczenie kary administracyjnej może być istotniejsze niż utrata reputacji.