A felhőszolgáltatások fokozott használata, a Peremszámítástechnika (Edge Computing), és a szervezetek számára jelentősen kibővült távmunka-lehetőségek olyan szintre emelték a kiberkockázatokat, amelynek értelmezése nem egyszerű. A digitális átalakulási kezdeményezések felgyorsulásával a szervezeteknek mély és pontos ismeretekre van szüksége a kiberkockázataikról.
Az egész szervezetre kiterjedő kockázatértékelési profilt kell elkészíteni a védelemre szoruló kritikus eszközök, funkciók és üzleti folyamatok azonosítása érdekében. A kockázatértékelés során a biztonsági érettséget mind az öt szervezeti pillérre vonatkozóan is értékelni kell, hogy elkerülhető legyen a kognitív disszonancia a szervezet által elért érettségi szint tekintetében.
A külső professzionális biztonsági szolgáltató csapattal való együttműködés egyértelműbbé vált a biztonsági érettség mérhető előrehaladásának útja, többek között:
‒ informatikai stratégia tervezés, kiberkockázat- és adatkezelés;
‒ személyazonosítás és hozzáférés kezelés (IAM) és csalás-kockázatcsökkentés;
‒ hálózati biztonság, felhőbiztonság és kiberműveletek;
‒ kiberátalakítás, mobilitás, IT/OT, valamint fenyegetések észlelése és elhárítása;
‒ sebezhetőségkezelés és incidensek kezelése.
Mostani három részes cikkünk a digitális átalakulás során megjelenő kiberbiztonsági fenyegetések szervezeten belüli kezelésére irányuló holisztikus terv kialakításával foglalkozik.
1. rész
Kiber-kockázatcsökkentés a felgyorsuló digitális átalakulás korában
Digitális átalakulásról akkor beszélünk, amennyiben egy szervezet a manuális üzleti folyamatait digitális technológiákkal váltja fel. A digitális technológiára való áttérés lehetővé teszi a szervezet számára, hogy automatizálás révén hatékonyabbá váljon, és a változó piaci igényekre képes legyen gyorsan átállni.
A Digitális átalakulás, mint a modern szervezetek egy folyamata, a világ minden iparágában a betöltött szerepének fontossága miatt vált fogalommá. A digitális átalakulási kezdeményezések felgyorsulásával az információbiztonsági vezetőknek (CISO) mély és pontos ismeretekre van szükségük a szervezeteik kiberkockázatairól. A felhőszolgáltatások használatának gyors emelkedése, az edge computing terjedése és a jelentősen kibővült távmunka-lehetőségek mind olyan módon növelték a szervezetek kiberkockázatainak szintjét, ami nem mindig nyilvánvaló. Egy szervezet kiberkockázata részleteinek megértése, a prioritások meghatározása és a kockázatok hatékony csökkentése a legjobb alap a szervezet egészét érintő kiberbiztonsági fenyegetések kezelésére irányuló holisztikus terv kialakításához.
A holisztikus biztonsági stratégia kialakításakor a digitális bizalmat is erősíteni kell - azt a bizalmat, amelyet az ügyfelek (vállalkozások és fogyasztók egyaránt) éreznek, amikor egy szervezettel üzletet kötnek, hogy az adataikat megvédik a jogosulatlan hozzáféréstől. Az ügyfelek számára a digitális bizalom a legfontosabb, mivel az adatvédelmi incidensek általában jelentős mennyiségű érzékeny információ elvesztésével járnak. A Frost & Sullivan kutatása kimutatta, hogy az Egyesült Államokban és Európában a biztonsági incidensek számos negatív hatással járnak egy szervezet számára, beleértve a termelékenység, a személyazonosításra alkalmas információk (PII) és a szellemi tulajdon elvesztését, valamint a digitális bizalom csökkenését, amelyet az ügyfelek elvándorlása és a márkaérték erodálódása jelent.
Bár a biztonság és a megfelelés nem ugyanaz, a biztonsági tervezést előre beépítő digitális átalakítási kezdeményezések jobban felkészülnek az európai és az egyesült államokbeli adatvédelmi szabályoknak való megfelelésre. Az Európai Unióban az általános adatvédelmi rendelet (GDPR) minden olyan szervezetre vonatkozik, amely európai polgárok és lakosok adatait kezeli vagy feldolgozza, függetlenül attól, hogy hol van a szervezet székhelye. Ez azért fontos különbségtétel, mert a jogsértésekért kiszabható maximális büntetés 20 millió euró vagy a globális éves forgalom 4%-a, attól függően, hogy melyik a nagyobb. A GDPR más, Európán kívüli szabályozási kereteket is inspirált, például a kaliforniai fogyasztói adatvédelmi törvényt (CCPA). A CCPA nem csak azért jelentett változást a szervezetek számára, mert Kalifornia a világ ötödik legnagyobb gazdasága, hanem azért is, mert várhatóan más amerikai államok is követni fogják, és ezzel egy új szabályozási trend veszi kezdetét.
Végül, mivel a szervezett bűnözés mindig új és kreatív módszereket dolgoz ki a csalás elkövetésére, a CISO-knak a digitális átalakítási stratégia végrehajtása előtt meg kell érteniük az üzleti folyamatokat, az egymástól függő technológiákat és az adatbiztonsági következményeket. Egy csalás sikere a digitális átalakítási kezdeményezések biztonsági mulasztásain is múlhat, azokon, amelyek aláássák a digitális bizalmat, és negatívan befolyásolhatják a szervezet bevételeit. Ezért a holisztikus biztonsági tervezésnek a digitális átalakulás minden fázisában előtérbe kell kerülnie, nem pedig a megvalósítás után kell vele foglalkozni, és a projekthez hozzácsapni.
Kihívások a digitális átalakítási kezdeményezések felgyorsulásának kapcsán
A digitális átalakítási kezdeményezések az elmúlt évtizedben lassan gyarapodtak, de a vezető informatikusok (CIO-k) a 2020 márciusában bejelentett COVID-19 világjárványt követően kénytelenek voltak jelentősen felgyorsítani a megvalósításokat. Ezek a kezdeményezések minden szervezet számára elkerülhetetlenek voltak, de a legtöbb tervben 2-3 éves szakaszos bevezetéseket terveztek. Mivel azonban a szervezetek siettek a távmunka lehetővé tételével vagy kiterjesztésével, néhány többéves tervet összenyomtak és néhány hónap alatt hajtottak végre, azért, hogy lehetővé tegyék a folyamatos termelékenységet, mivel a súlyosbodó világjárvány idején az irodák zárva voltak.
Sajnos sok kezdeményezést anélkül hajtottak végre, hogy teljes mértékben elemezték volna a különböző rendszerek és üzleti folyamatok összekapcsolásának biztonsági következményeit ‒ amelyek azonban részletes tervezést igényelnének egy jól megtervezett zéró bizalmi környezet biztosításához. Ennek oka, hogy a szervezetek korábban a biztonságot az üzleti tér peremére összpontosító szemlélettel látták, ahol a rövid távú kihívások kezelésére további biztonsági termékeket vezettek be. Ennek eredménye, hogy a legtöbb szervezetnek ma olyan hitelesítési és engedélyezési folyamatai vannak, amelyek nem foglalják magukban a biztonság zéró bizalmi keretrendszer megközelítését.
Mindazonáltal az USA-ban Biden elnöknek a kiberbiztonságról szóló rendelete, amely a szövetségi kormányzat és annak vállalkozói számára a zéró bizalmi keretrendszert írja elő, olyan gondolkodásmódbeli változást jelent, amely az állami és helyi önkormányzatokat, valamint a magánvállalkozásokat is a zéró bizalmi környezet felé fogja terelni.
A zéró bizalmi környezet kialakítása előtt el kell készíteni egy, az egész szervezetre kiterjedő kockázatértékelési profilt, hogy azonosítani lehessen a védelmet igénylő kritikus eszközöket, funkciókat és üzleti folyamatokat. A kockázatértékelés során a biztonsági érettséget (a biztonsági felkészültség mérése) is értékelni kell mind az öt szervezeti pilléren, hogy elkerülhető legyen a kognitív disszonancia a szervezet által elért érettségi szint tekintetében.
A kiber-rugalmasság a szervezet azon képessége, amely biztosítja, hogy egy kiberincidens ne befolyásolja súlyosan az alapvető műveleteket, az érintett rendszerek gyorsan helyreállíthatók, és a kibervédelem gyorsan változtatható a változó fenyegetésekkel szembeni védelem érdekében.
A szervezet alapállapotának meghatározásához szükséges átfogó biztonsági érettségi és kockázatértékelési profil hiányában lehetetlen létrehozni egy zéró bizalmi biztonsági környezetet, ami fokozott kiberkockázatot és mérhetően alacsonyabb kiberbiztonságot eredményez. A zéró bizalmi környezetre vonatkozó egyedi tervezet és a biztonsági érettség javítására irányuló többéves stratégia kidolgozása nem kizárólag a nagy szervezetek számára jelent feladatot. Minden szervezetnek a teljes informatikai költségvetésének 12-14%-át kellene biztonságra fordítania, és ennek a költségvetésnek egy részét részletes biztonsági érettségi és kockázatértékelési profil kidolgozására kellene fordítania. A profil elkészülte után egy többéves biztonsági stratégia hozható létre, amely lehetővé teszi a CISO számára, hogy a biztonságot úgy vezesse, mint egy jól megtervezett vállalkozást, hogy magasabb szintű biztonsági érettséget érjen el.
A szervezetek technológiai fordulóponthoz érkeztek
Az Edge computing az IoT és más, a hálózat peremvonalán elhelyezkedő eszközök számításait a központosított adatközpontokból az edge-csomópontokban lévő tartalom gyorsítótárazása révén a hálózat szélére helyezi át. Ez elősegíti a központosított adatközpontokból elérhetőnél gyorsabb adatátvitelt, lehetővé téve, hogy a hálózat szélén lévő intelligens eszközök elvégezzék az adatszámítást és -kezelést, javítva a válaszidőt a szervezetek és az egyének számára.
A szélsőséges számítástechnika iránti versenyt a tárgyak internetének (IoT) exponenciális használata hajtotta több piaci ágazatban, például az intelligens városokban, az ipar 4.0-ban, az összekapcsolt autókban és az otthoni automatizálási rendszerekben, hogy csak néhányat említsünk. Napjainkban a vállalkozások 56%-a évente 25-74% közötti adatnövekedést tapasztal. Az IoT-technológiai kezdeményezéseket alkalmazó vagy elfogadó vállalatok esetében az adatnövekedés 50-100% között mozog.
A távmunka rohamos elterjedése világszerte, amely közvetlen válasz volt a COVID-19 járványra, részben a modern számítástechnikai végpontok, az okostelefonok, a táblagépek és a laptopok mindenütt jelenlévő használata miatt vált lehetővé a hálózatok szélén. A világjárvány arra is késztette a szervezeteket, hogy a digitális átalakítási kezdeményezéseket és a felhőbe vezető utakat tömörítsék, ami 20 évvel előbbre hozta a távmunka evolúcióját, és felgyorsította a peremszámítástechnika elterjedését.
Következésképpen 2023-ra a szervezetek 87%-a már bevezeti és használja, vagy folyamatban lesz náluk az edge architektúrák bevezetése.
A digitális átalakulás, az edge computing és a szervezet felhő felé vezető útja mind-mind modern üzleti szükséglet. A gyors változások azonban vonzzák a szervezett bűnözést, mert ahol az informatika összetett, különösen a biztonsági érettségi kontinuumon alacsonyabb szinten álló szervezetekben, ott a bűnözők számára is lehetőség nyílik arra, hogy megvethessék lábukat a rendszerekben. Ennek eredménye a kártékony támadások (különösen a zsarolóvírus és a DDoS), valamint az IP- és PII-lopások egyre gyakoribbá válása. A különböző taktikákat, technikákat és eljárásokat (TTP-ket) kihasználva a kiberbűnözők hosszú távú jelenlétet érnek el a hálózatokban, miközben a szervezetek a biztonsági riasztásokba belefáradhatnak, amit súlyosbíthat a biztonsági infrastruktúra többféle, holisztikus biztonsági áttekintést nem nyújtó felületen történő kezelése.
Partnerség a sikerért egy professzionális biztonsági szolgáltató céggel
Az informatikai komplexitás közepette a professzionális biztonsági szolgáltatásokat nyújtó (PSS) vállalatok holisztikus terveket és digitális átalakulási célokat dolgoznak ki, és segítenek a szervezeteknek megérteni biztonsági igényeiket mind a magán-, mind a közszférában. A PSS-csapatok napjaink legtapasztaltabb biztonsági szakembereit vonzzák, akik a vertikális piacokra és felhasználási esetekre, például az élek biztonságára és a felhőbiztonságra specializálódtak. A PSS-csapatok a folyamatos szakmai továbbképzés révén is bővítik tudásukat, hogy lépést tudjanak tartani a fejlődő technológiával és a kiberfenyegetésekkel.
A szervezetek nemcsak azért fordulnak a PSS-cégekhez, mert tapasztalataik révén képesek kibogozni a digitális átalakulási kezdeményezések holisztikus biztosításának gordiuszi csomóját, hanem azért is, mert tapasztalatuk lehetővé teszi számukra, hogy speciális útmutatást nyújtsanak a vertikális piacok számára. Az olyan vertikális piacokon, mint az egészségügy, a gyártás, a kiskereskedelem és a kormányzat, valamint a kritikus nemzeti infrastruktúrának (CNI) minősített iparágak, a PSS-vállalat a korábbi tanácsadói megbízásokon alapuló játékkönyveket felhasználva azonnal többéves speciális tudást tud nyújtani, amely a legtöbb szervezetnél hiányzik. Az adott iparágat célzó fenyegetések speciális ismerete lehetővé teszi a PSS-csapatok számára, hogy segítsenek a szervezeteknek megérteni a tényleges kiberkockázatot és annak a szabályozási megfelelésre gyakorolt hatásait.
Ezenkívül a harmadik fél PSS-csapatok könnyebben össze tudják hozni az ügyfél szervezetének érdekelt feleit, hogy együttműködjenek az üzleti igények és a kiberkockázat csökkentése terén, mivel nem részei az ügyfél szervezeti kultúrájának és konfliktusainak. Ez sok olyan szervezetnél lehet a siker kulcsa, ahol a több részlegből érkező érdekeltek még soha nem kerültek össze, zavaró tényezők nélkül, miközben egy PSS-csapat megkönnyíti a működési realitásokról szóló megbeszéléseket. Az ilyen típusú stratégiai ülés eredménye egy biztonságos digitális átalakítási terv kidolgozása, amely a biztonsági eszközöket integrálja a jobb átláthatóság érdekében, és javítja a kiberkockázatkezelést a szervezet egészén belül.
Sok szervezet, amely elszigetelten próbál átfogó biztonsági ütemtervet kidolgozni, hajlamos elveszni a több változót is magában foglaló komplexitásban.
Folytatjuk...