Kiber-ellenállóképesség: egy új kiberbiztonsági fogalom?

Megérkezett még decemberben az amerikaiaktól egy új kiberbiztonsági ajánlásgyűjtemény; a következő Bideni elnöki ciklusra – nem kell felállni – amit az Aspen Cybersecurity Group adott ki.  Ennek a címe magyarul “Az ellenálló digitális infrastruktúra nemzeti kiberbiztonsági napirendje”. 

A kiberreziliencia (nehéz szó) fogalma, ami egyből feltűnhet mindenkinek. Ez igazából kiber-ellenállóképességet jelent. Az amerikaik egyre többet használják ezt a kifejezést a kiberbiztonság helyett; (legtöbb cégnél itthon még ennek a definícióját is csak most kezdték el oktatni).  

A lényege, hogy szerintük máshogy kell gondolkozni: manapság elkerülhetetlen, hogy adatvédelmi incidenst szenvedjen el egy cég, mindenképp lesz sikeres támadás. A feladat tehát az, hogy az ilyen esetben az üzlet mindenképp menjen tovább, a cég túlélje azt. A kiberreziliencia lényegében egyesíti az információbiztonság, az üzletmenet folytonosság és a szervezeti ellenálló képesség területét. 

Az ajánlás szerinti 5 fő terület 

A modern társadalommal szembesülő kiberbiztonsági kockázatok széles skálán mozognak, így priorizálni kell. Először a legfontosabb és megoldható problémákkal kell foglalkozni az ajánlás szerint.  

Ebből a célból ez a jelentés öt kiemelt területet ölel fel, amelyekre a kiberbiztonsági döntéshozóknak figyelmüket és erőforrásaikat összpontosítaniuk kelI: 

1. Oktatás – munkaerő fejlesztés. 
2. Az internet infrastruktúra védelme (kábelek, DNS, modern kriptográfia)
3. Ellátási lánc biztonsága 
4. A kiberbiztonság mérése
5. Az operatív együttműködés elősegítése 

A következőkben ezeket a területeket fogjuk bemutatni. 

1. Oktatás – munkaerő fejlesztés 

• Az ajánlás szerint az államnak finanszírozási támogatást kellene nyújtania olyan szervezeteknek, akik kiberbiztonsági területen támogatják az alulreprezentált közösségeket.  

• Manapság sokszor halljuk, hogy szakemberhiány van – így van ez a cyber security-s pozícióknál (pl. etikus hacker) is. Erre a problémára az a javaslat, hogy meg kell változtatni a toborzási szokásainkat; szélesebb körből kell választani humán erőforrást, így tudjuk bővíteni a tehetséges munkavállalók körét. A gyakorlati pozíciók számát is növelni kellene a cégeknél, azért, hogy egyetemekről/főiskolákról be lehessen vonzani a fiatalokat. 

• A kiberbiztonság egyre nagyobb szerepet kap a mindennapi életünkben. A jövőben ez még fontosabb lesz, ezért a felkészítést már gyermekeknél az iskolákban el kell kezdeni. A kiberellenálóság fontos pontja, hogy az elméleti oktatás helyett a versenyszférában dolgozó szakembereket kell megkérni, hogy vállaljanak részmunkaidőben; vagy önkéntes alapon gyakorlati oktatást az intézményekben. Szerencsére kis hazánkban a kibertudatosság növelésére gyermekeknél már több kezdeményezés is van. Erre példa: letölthető ingyenes tankönyv, sőt már gyermek regény/mese is elérhető. 

• Biztosítani kell a szélessávú internethez való hozzáférést minden közösség számára – az államnak a rászorulók részére támogatást kell nyújtania. 

Szerintünk egy cég IT biztonságáért minden munkavállaló felelős; ezért minden új belépőnek kötelező kiberbiztonsági oktatáson részt vennie, és évente ezt kötelezően meg kell ismételni.  

2. Az internet infrastruktúra védelme 

• Az ajánlás második fő területnek az internet infrastruktúra (DNS szolgáltatások, routing szolgáltatások) védelmét emeli ki. Ehhez szorgalmazza nemzeti stratégia létrehozását. 
• A kritikus infrastruktúra elemei közé az amerikaiak javasolják felvenni a kereskedelmi űrszektort. Nálunk jelenleg nincs (még) kereskedelmi űrutazás, de hamarosan magyar telekommunikációs műholdakat állíthatunk földkörüli pályára; ami biztosan felkerül majd a védettebb infrastruktúrák közé. 
• Javasolják még egy nemzeti kibervédelmi iroda létrehozását – ez itthon pipa. 

3. Az ellátási lánc biztonsága 

Az ellátási lánc a termék tervezésének, gyártásának, értékesítésének és felhasználásának a teljes folyamata. Ritkán fordul elő, hogy egy vállalkozás irányítja a teljes életciklust; és a legtöbb technológiai vállalat számos különböző beszállítóra támaszkodik az egész világon. 

Mivel ezek a technológiai ellátási láncok összetettebbé váltak, az egyének, szervezetek és nemzetek számára egyre nehezebb megérteni; és kezelni a kapcsolódó kockázatokat. 

Gondoljunk csak bele: minden cég használ számítástechnikai eszközöket, szoftvereket, tárhelyszolgáltatót, felhőszolgáltatást, email szolgáltatót, CRM szoftvert, Antivirus szoftvert, chat alkalmazást stb.  

Ezek mindegyike kockázatot jelent cégünkre. Erre példa a 2020. év végi nagy port kavart SolarWinds incidens. 

Egy álomszerű világban minden partnerünket auditálni kellene IT biztonsági szempontból; vagy evidenciákat kérni tőlük arra, hogy komolyan veszik-e a cyber security-t és betartják-e a GDPR rendeletet. Valójában erre a cégeknek kevés ideje, és még kevesebb pénze van. 

Mit ajánlanak hát Bidenék? 

• A biztonság átláthatóságának elősegítése: a szervezeti kockázatkezelés számára hasznos a termékek és szolgáltatások tervezésének, megvalósításának; és kezelésének átláthatósága az idő múlásával. Néhány folyamatban lévő kezdeményezés szilárd alapot kínál az átláthatóság ösztönzéséhez a technológiai gyártók és szoftverfejlesztők között: 
  • Eszközök címkézése: például IoT eszközök tanúsítása, ha megfelelnek a NIST biztonsági előírásainak. 
  • Szoftver összetevők feltűntetése: a modern szoftver termékek kisebb, harmadik féltől származó összetevők/komponensek egyvelegéből áll; amelyeket a szoftverfejlesztők széles köre hoz létre. A legtöbb esetben a vásárlók számára rendkívül nehéz  tudni, hogy mik ezek az összetevők, és milyen sérülékenységeket tartalmazhatnak. Ennek a megoldására az NTIA dolgozik egy gyakorlat létrehozásán. 

• Tesztközpont létrehozása a kritikus technológiák számára: az állam által megbízott független kutatási szervezet létrehozását javasolják. Feladatuk a kritikus technológiák biztonságának vizsgálata lenne a hálózatépítésben, az ipari vezérlőrendszerekben és a nyílt forráskódú szoftverekben.  

• Ajánlott az ingyenes és nyílt forráskódú szoftverek pénzügyi támogatása. A digitális gazdaság a szabad és nyílt forráskódú szoftverek alapjaira épül. Sok vállalat használ ilyen eszközöket a kritikus üzleti funkciók végrehajtásához. Ennek és központi fontossága ellenére a nyílt forráskódot gyakran önkéntesek támogatják, akik külön költségvetés nélkül dolgoznak és küzdenek annak biztonságáért. Ez komoly kockázatokat jelent a digitális gazdaság számára; ezért javasolják, hogy az iparági résztvevők fektessenek be a nyílt forráskódú szoftverek biztonságába. 

4. Kiberbiztonsági mérés

Az IT biztonság problémamegoldások sorozatából áll. Viszont nem tudjuk megoldani a problémákat, ha nem tudjuk, hogy mi működik, és mi nem. Ezért elsősorban adatokra, majd ezekből mérésekre / jelentésekre van szükségünk. 

A metrikák segítenek felismerni a problémákat a kritikus eszközeinken. Például segítségükkel egy vállalat meg tudja határozni, hogy a következő 12 hónapban hány eszközükön lesz támogatás nélküli operációs rendszer. Ha ezt tudja akkor meg tudja határozni a következő évre az IT terület fejlesztésére szánt pénzügyi keretet. 

• Az ajánlás szerint javítani kell az állami és helyi bűnüldöző szervek képességét a számítógépes bűnözéssel kapcsolatos események bejelentésére. 

• Javasolt a szektorok közötti partnerség létrehozása a kiberbiztonsági kockázatok modellezésében. 

5. Az operatív együttműködés erősítése 

Az ötödik legfontosabb terület az együttműködés erősítése a köz- és versenyszféra szereplői között az adatvédelmi incidensekre adott proaktív válasz érdekében. Mindkét szférában ugyanazon technológiák alkalmazása egy közös pont – emiatt a kiberbiztonsági incidensek kezelése gördülékenyebb lenne összefogással. Az állami szervek is a versenyszféra cégeitől szerzik be a technológiákat; így ha egy vállalat adatvédelmi botrányba keveredik az kihatással van az államokra is. Ha ebbe belegondolunk jövünk rá, hogy milyen fontos a két fél közötti együttműködés.

Javaslatként felmerül egy csereprogram létrehozása a vállalatok és az állami szervezetek között; a bevált gyakorlatok – best practice-ek – egymás közötti megosztása érdekében. 

Mindenképp érdemes a cégeknek és államoknak megfontolniuk ezt az ajánlást, azért gondoltuk, hogy megosztjuk Veletek, tartalmaznak érdekes pontokat.

Ha adatvédelmi megfelelőség kialakításában vagy szolgáltatásod, terméked ellenőrzésében vállalkozásod segítségére lehetünk vedd fel velünk a kapcsolatot elérhetőségeink egyikén.