Blog

Zašto Usklađenost nije isto što i Sigurnost

Neka organizacija može biti 100% usklađena ali istovremeno i 100% pod udarom kibernetičkog kriminala.


Mnoge tvrtke dokumentiraju svaku mjeru za kibernetičku sigurnost i provjeravaju sve odgovarajuće Compliance procedure. Čak i nakon toga, dolaze na naslovne stranice zbog gubitka podataka o kupcima. Usklađenost ne znači sigurnost.

Uzmimo za primjer poznatu kompaniju Target. Mnogi se sjećaju masovnog gubitka podataka ovog maloprodajnog giganta iz 2013. godine, nakon što je haker dobio pristup kroz njihov POS sustav. Ono što je manje poznato jer da je Target te godine dobio certifikaciju za PCI (Payment Card Industry) standard. Isto vjerovatno vrijedi i za hotelski lanac Marriott, dio Starwood grupe, koji je prije dva mjeseca otkrio i prijavio neovlašteni pristup do baze podatka koja sadrži podatke o gostima.

Da bismo razumjeli ovaj ‘gap’ između usklađenosti i sigurnosti, moramo slijediti regulativu kibernetičke sigurnosti od samih početaka a to je regulativa banaka. Financijska regulativa se pojavila da obeshrabri neželjeno ponašanje kao što je npr. trgovanje na temelju povlaštenih informacija. U našem svijetu, usklađenost znači dokumentiranje prekršaja radi istrage nakon što se ustanove činjenice. Ako se neprikladno ponašanje dogodi, banka može kazniti počinitelje i ispraviti stvari nakon toga. Ukratko, bankarska usklađenost je jedan oblik odvraćanja.

U kibernetičkom svijetu, ukradeni podaci ostaju ukradeni. Teško je ponovno ‘zakrpati’ klijenta jednom kada njegovi podaci padnu u ruke kriminalca. K tome, ti su kriminalci uglavnom na drugom kraju svijeta i zaštićeni vladama koje ih neće krivično goniti. Odvraćanja ovdje nisu tako učinkovita – potrebna nam je učinkovita prevencija.

S velikim iskustvom u kibernetičkoj sigurnosti i usklađenosti u tradicionalnom IT sektoru, tvrtka Tenable Networks® je posljednjih 15-tak godina pomogla organizacijama svih veličina da budu sigurne i usklađene sa standardima i da zaštite svoje podatke koji se sada sve više nalaze izvan tradicionalnih podatkovnih centara. Organizacije trebaju ponovno razmisliti o načinu na koji promatraju kibernetičku sigurnost. Tvrtke moraju odustati od pristupa najmanjeg napora, formalizma u poštivanju usklađenosti, u korist razmišljanja usmjerenog na jasne ciljeve koje se fokusira na zaštitu podataka klijenata, a ne na ispunjavanje obrazaca.

Još nismo stigli do tog cilja. Dok C-level i viši menadžment ne prihvate sigurnost kao paradigmu koja nadilazi jednostavnu usklađenost, potrebne su nam tri privremene mjere:

Propisana regulativa 

Prva mjera je puno detaljnija regulativa sa širim opsegom. Sadašnja regulativa često propada na dva načina. Prvi je u dubini njenih pravila – to jednostavno nije dovoljno propisano. To posebno vrijedi za sektor kibernetičke sigurnosti jer se tehnologija jako brzo razvija. Današnji kriminalci koriste maliciozne alate za digitalni napad koji bi zbunili većinu sigurnosnih profesionalaca od prije nekoliko godina. Ransomware ne krade podatke, već ih zaključava i naplaćuje povrat. Cryptojackeri ugrožavaju poslovna računala tako da ih koriste za rudarenje kripto valuta. Državno-sponzorirani napadači djeluju iz sjene koristeći tehnološke alate žrtava kako bi se infiltrirali u njihove mreže i vrebali mjesecima. Regulativa često ne spominje te nove tehnike napada i ne preporučuje zaštitne mjere.

Zatim tu je problem opsega. Propisi često ne pokrivaju poduzeća koja bi trebala. Odjel za financijske usluge u New Yorku propisivao je neke od najstrožih propisa o kibernetičkoj sigurnosti u Americi, ali sve do Equifax incidenta, nije pokrivao agencije za kreditne rejtinge. Agencija je 2018. godine uvela nova pravila kako bi to ispravila.

Možda najprecizniji propisi dolaze iz nedavnog izvješća FINRA o kibernetičkoj sigurnosti koje je objavljeno krajem prosinca. Novi propisi koji reguliraju bankarstvo idu tako daleko da zahtijevaju specifične tehnologije kao što su sigurnosni sustavi za bilježenje incidenata (SIEM), korisničke kontrole pristupa kao što su upravljanje identitetima i pristupom (IAM), zatim sustavi za otkrivanje internih prijetnji i sprečavanje gubitka podataka (DLP) te sustavi za enkripciju podataka, kako pohranjenih na serverima tako i podataka u prijenosu putem digitalnih konekcija. Novi propisi također zahtijevaju posebne artefakte za logiranje, godišnje recertificiranje, posebno arhiviranje i popisivanje phishing napada.

Redovno istraživanje

Drugi korak koji će pomoći da potaknemo organizacije na proaktivniju sigurnost je redovito i temeljito istraživanje svih događaja. Sigurnost mora biti imperativ a menadžment mora preuzeti odgovornost. Možemo to potaknuti prijedlogom da menadžment potpiše izjavu kojom se obvezuju redovito davati izvješća kojim se opisuju sigurnosni incidenti koje je tvrtka doživjela i posljedice koje su nastale.

Sve te informacije bi trebale biti javne. Ali, tvrtke će često rješavati tužbe zbog kršenja podataka vansudskim nagodbama kako bi se izbjeglo javno otkrivanje propusta u kibernetičkoj sigurnosti, jer bi to moglo potaknuti daljnje tužbe. Ako ih prisilimo da javno objavljuju sve te informacije,  učiniti ćemo ih odgovornijima. Ako menadžment nije uspio provesti potrebne promjene kroz organizaciju onda bi trebali biti odgovorni za nedjelovanje. To pomaže da sigurnost postane osobna odgovornost.

Ciklus poboljšanja 

Treći korak proizlazi direktno iz spomenutog godišnjeg izvješća. Redovne povratne informacije također stvaraju dragocjene temelje za regulatore, koji mogu te informacije prikupiti i iskoristiti ih za informiranje o razvoju regulatorne politike. Kako se pojavljuju nove prijetnje zajedno s tehnikama za njihovu mitigaciju, regulatori mogu stalno ažurirati pravila.

Korištenje tih podataka o kršenju sigurnosti na neki način zatvara krug u razvoju regulatorne strategije i strategije usklađenosti, stvaranjem ciklusa poboljšanja. Ona regulaciju pretvara u živi organizam koji odgovara na okolinu i smanjuje jaz između usklađenosti i stvarne sigurnosti. Zatvaranje tog jaza između usklađenosti i sigurnosti neće se dogoditi preko noći. Donositelji odluka u državama pokreću se sporo, a kulture poduzeća se još sporije mijenjaju. Unatoč tome, to je promjena koju moramo usvojiti ako želimo prestati gledati kako stotine milijuna korisničkih podataka završava u rukama organiziranog kriminala.

Tenable® ima napredna rješenja za nadzor mreže, analizu i upravljanje ranjivostima u Enterprise okruženju. Pošaljite upit za sve dodatne informacije!

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!