Mielőtt azonban választ kapnánk arra a kérdésre, hogy lehetséges-e csökkenteni a biztonsági részleg költségvetését, először fel kell tenni egy alapvető kérdést. Mi a célja tulajdonképpen a biztonsági részlegnek? A biztonsági osztály rendeltetése, hogy a vállalat megfeleljen a megfelelési és szabályozási követelményeknek. Vagy inkább az lenne a célja, hogy biztosítsa a vállalat lehető legnagyobb biztonságát, és megfelelően tudjon cselekedni, ha kiberbiztonsági incidens történik. Ha a biztonsági részleg célja az első lehetőségnek felel meg, akkor igen, valószínűleg lehetséges a költségvetés csökkentése. Ha azonban a biztonsági részleg célja inkább a második lehetőségnek felel meg, akkor nem biztos, hogy olyan könnyű csökkenteni is a költségvetést.
A közelgő NIS2 irányelv még bonyolultabbá teszi a helyzetet. A NIS2-irányelv végrehajtását követően a kormánynak lehetősége lesz arra, hogy a (felső) vezetőséget személyesen vonja felelősségre a kiberbiztonsággal kapcsolatos incidensekért. De már most halljuk, hogy a (felső) vezetés úgy gondolja, hogy ez hasonló lesz ahhoz, ahogyan a GDPR-t Európában végrehajtották. Több bírósági ítéletre volt szükség ahhoz, hogy megértsék, hogyan kell igazából a GDPR-t a valóságban végre is hajtani. De van egy hatalmas különbség. A GDPR esetében csak a vállalat kaphatott büntetést, ha egy adatszivárgás során nem tartotta be a GDPR követelményeit. A közelgő NIS2 irányelv egészen más. Nemcsak a (felső) vezetés személyesen felelős, hanem a NIS2 irányelv hatálya is sokkal nagyobb. De vissza a témához. Lehetséges-e csökkenteni a biztonsági költségvetést? Erre a kérdésre nem könnyű válaszolni, mivel sok elemet kell(ene) figyelembe venni.
Elsősorban ez a kérdés a kockázatkezelésre vezethető vissza. A biztonsági osztály valóban ismeri és megérti az egyes biztonsági fenyegetéseket és kockázatokat, melyekkel foglalkozniuk kell? És azokat a veszélyeket és veszélyforrásokat, melyekkel nem kell foglalkozniuk, megfelelően naplózzák-e a kockázati nyilvántartásban? És naprakészen tartják-e ezt a kockázati nyilvántartást? Tegyük fel, hogy a kihívásokat és ellenséges szándékokat megfelelően azonosították. Bizonyos fenyegető tényezőket és bizonytalanságokat minden vállalkozás elfogad. Ezért ezeket kivehetjük az egyenletből. A fennmaradó rizikófaktorok esetében védekező biztonsági ellenőrzéseket kellett volna végrehajtani. Mikor vizsgálták ezt utoljára? Minden egyes biztonsági kockázatot és fenyegetést védekező biztonsági ellenőrzéssel védenek?
Remélhetőleg a hálózati csapat naprakészen tartotta a hálózati architektúra diagramját. Ebben az esetben viszonylag egyszerűnek kell lennie annak azonosításának, hogy az egyes védekező biztonsági ellenőrzések hol helyezkednek el. Mivel a legtöbb IT/OT/IoT-környezet dinamikus, fel kell tenni a kérdést, hogy ezek a védekező biztonsági ellenőrzések még mindig a megfelelő helyen vannak-e elhelyezve, és hogy még mindig azt az értéket nyújtják-e, amit nyújtaniuk kellene. Mikor vizsgálták meg ezt utoljára? Miután ellenőrizték ezt a két fő összetevőt (biztonsági kockázatok és fenyegetések és hálózati architektúra), feltehetik maguknak a kérdést, hogy ha egy védekező biztonsági kontrollt eltávolítanak, az mennyire befolyásolja az általános biztonsági helyzetet? Közvetlenül és közvetve.
Ha ez az elemzés elkészült, csak akkor vannak olyan adataink, melyek alapján valóban kitalálhatjuk, hogy hol lehet csökkenteni a költségvetést. Ne feledjük, hogy abban a pillanatban, amikor úgy döntenek, hogy eltávolítanak egy védekező biztonsági ellenőrzést, frissítenie kell a biztonsági fenyegetések és kockázatok nyilvántartását. A vállalat méretétől és az IT/OT/IoT-környezet összetettségétől függően előfordulhat, hogy a védelmi biztonsági ellenőrzések nem a biztonsági költségvetés legjelentősebb részét képezik. Legtöbbször a költségvetés legnagyobb részét a munkaügyi rész teszi ki. És ezek a költségek csak növekedni szoktak. Logikus kérdés tehát, hogy lehet-e csökkenteni ezt a költségvetést vagy sem.
El kell árulnunk, hogy a biztonsági részleg kiszervezése egy MSSP-hez nem fogja nagyban csökkenteni a teljes biztonsági költségvetést. Valójában csak még inkább növelni fogja azt. Ami még rosszabb, az általános biztonsági helyzetet is csökkenteni fogja, mivel több biztonsági kockázatot és fenyegetést fogadunk így el a kockázati nyilvántartásban. A biztonsági osztályon belül sok feladat monoton és gyakran ismétlődő. Az ismétlődés pedig automatizálásért kiált. Jelenleg azonban nem létezik egyetlen olyan megoldás sem, mely a biztonsági részleg minden feladatát automatizálni tudná. Ezért a biztonsági osztályon belül lesz némi testre szabott automatizálás.
Az automatizálás bevezetése a biztonsági részlegen belül pedig komoly előnyökkel jár. Több kulcsfontosságú teljesítménymutató is pozitívan fog profitálni, ha az automatizálás megfelelő módon kerül bevezetésre. Ehhez azonban a biztonsági osztályon belül minden folyamat szabványosítására van szükség. Az osztályon belül minden lehetséges folyamat szabványosított? Amint szabványosítjuk és automatizáljuk a biztonsági osztályon belüli folyamatokat, az észlelés-központú megközelítésről áttérhetünk a válasz-központú megközelítésre. Miután kiszámoltuk, hogy mennyit tudnak megtakarítani a biztonsági részleg költségvetésén, még egy utolsó számítást kell elvégeznünk. Milyen költségekkel jár egyetlen biztonsági incidens? És átlagosan hány biztonsági incidens van évente? Legyünk tisztában azzal, hogy a költségvetés csökkentése esetén a biztonsági helyzet súlyosan romolhat, ami a biztonsági incidensek számának növekedését eredményezheti. Ennek ellenére úgy gondoljuk, hogy csökkenthetjük a biztonsági osztály költségvetését?
Az EU új NIS2-irányelvének elfogadása
Térjünk vissza viszont a cikk elején már terítékre került NIS2 irányelvhez. 2022. október 28-án, csütörtökön az EU Parlament Ipari, Kutatási és Energiaügyi Bizottsága (ITRE) 70 igen szavazattal, 3 nem ellenében és 1 tartózkodás mellett elfogadta a NIS-2 irányelvet. A NIS2-irányelv az Európai Unió új kiberbiztonsági jogszabálya, amely a jelenlegi uniós hálózati és információs társadalmi irányelv (NIS-irányelv – EU 2016/1148) helyébe lép és megerősíti azt.
A NIS2 a NIS1 által lefedett ágazatok és szervezetek szélesebb körére vonatkozik, mint a NIS1 által lefedett ágazatok, beleértve az ágazatok meghatározott listáján működő alapvető és fontos szervezeteket. Az új irányelv közvetlen kötelezettségeket ró a vezető testületekre a szervezetük jogszabályoknak való megfelelésének végrehajtása és felügyelete tekintetében, valamint számos egyéb kiberkockázat-kezelési intézkedést ír elő (pl. ellátási lánc és harmadik fél beszállítói átvilágítás). A NIS2 az incidenstől vagy fenyegetéstől függően különböző szintű bejelentéseket ír elő, többek között az incidensről való tudomásszerzéstől számított 24 órán belüli első jelentést (a NIS1-ben szereplő 72 órához képest), majd ezt követően „közbenső”, majd „végleges” jelentést.
A legfontosabb, ami miatt ez egy olyan változást jelent, amelynek minden vezetőséget fel kell ébresztenie, az a GDPR-ral való hasonlósága, hogy a felsővezetőket felelősségre vonja a kiberbiztonságért, és a szabályok be nem tartása esetén akár 10 millió eurós bírsággal vagy a teljes globális forgalom 2%-ával is büntethető. Ezért várható, hogy a kis- és középvállalkozásoknak gyorsan szükségük lesz egy CISO pozíció betöltésére, hogy megfeleljenek az új biztonsági követelményeknek. Ez tovább növeli a feszültséget a munkaerőpiacon, amely már most is törésponton lévőnek tűnik, de jó hír a menedzselt szolgáltatók és a tanácsadási szolgáltatások számára, melyek szolgáltatásként tudnak támogatást nyújtani.
A hálózat és információbiztonságról szóló irányelv
Az első, 2016-ban elfogadott uniós szintű kiberbiztonsági jogszabály a NIS-irányelv volt. Az irányelv az alapvető szolgáltatásokat nyújtó szolgáltatók (OES) és a digitális szolgáltatók (DSP) kockázatkezelési és jelentéstételi kötelezettségeire összpontosított, hogy az EU-ban egységes, magas szintű kiberbiztonságot érjenek el. Hatálya főként a következő kulcsfontosságú ágazatokra fókuszált, aminek eredményeképpen ma jelentősen javult az európai kritikus infrastruktúrák biztonsági szintje:
Banki és pénzügyi piaci infrastruktúra
Kritikus digitális infrastruktúra
Energiaágazat (villamosenergia-ellátás/elosztás/szállítás, kőolajszállító csővezetékek, termelési, finomító és feldolgozó létesítmények, tárolás és szállítás).
Egészségügy
Közlekedés
Vízellátás és -elosztás
NIS2: a legfontosabb, a hatálybővítés
A NIS2 sokkal több szervezetet érint, mint amennyit a NIS-irányelv jelenleg előírt. Megszünteti az OES és a DSP közötti különbséget, és a hatálya alá tartozó szervezetek körét kiterjeszti a „lényeges” (a NIS2 I. mellékletében felsorolt) és a „fontos” (a NIS2 II. mellékletében meghatározott) szervezetekre, így a NIS-irányelv hatálya alá tartozó 19 ágazatról összesen 35 ágazatra emelkedik.
Például a NIS-irányelvben már szereplő szervezeteken kívül a következő területeken működő szervezetek is a hatálya alá tartoznak majd:
Digitális infrastruktúra- és szolgáltatók, beleértve a nyilvános elektronikus hírközlő hálózatokat vagy szolgáltatásokat, közösségi hálózati platformokat és adatközponti szolgáltatásokat nyújtó szolgáltatókat.
A kritikus infrastruktúrához hozzáféréssel rendelkező alvállalkozók és szolgáltatók, akiket az irányelv első változata figyelmen kívül hagyott, szintén a NIS2 hatálya alá tartoznak.
A gyógyszeripar mint az egészségügy része
Szennyvíz és hulladékgazdálkodás
Bizonyos kritikus termékek (például orvostechnikai eszközök, járművek, számítógépek és elektronikus eszközök) gyártása.
Vegyi anyagok gyártása és forgalmazása
Élelmiszer-előállítás, -feldolgozás és -forgalmazás
Űrkutatás
Postai és futárszolgálatok
Közigazgatási szervek
A NIS2 nemcsak az ágazatok szélesebb körére terjed ki, hanem több információt is nyújt arról, hogy az adott iparágak mely szervezeteinek kell megfelelniük. Jelenleg a NIS-irányelv értelmében a tagállamok felelőssége, hogy összeállítsák az általuk OES-nek és DSP-nek tekintett szervezetek listáját, de az új NIS2-irányelv pontosítja a hatályát, mivel:
egyértelműen meghatározza azt a méretet, melytől kezdve az új szöveg által lefedett ágazatokban működő közepes és nagy méretű szervezeteknek meg kell felelniük a NIS2-ben foglalt követelményeknek; és bizonyos körülmények között (többek között) a méretüktől függetlenül „fontosnak” és „alapvető fontosságúnak2 minősülő szervezetekre vonatkozik:
a nyilvános elektronikus hírközlő hálózatokat vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó társaságok
a felső szintű domainnevek nyilvántartói és a domainnévrendszer-szolgáltatók
olyan szolgáltatásokat nyújtó szervezetek, amelyek esetében a szolgáltatások esetleges megszakadása hatással lehet a közbiztonságra, a közbiztonságra vagy a közegészségügyre
olyan szolgáltatásokat nyújtó szervezetek, amelyek esetében a szolgáltatás esetleges megszakadása rendszerszintű kockázatokat idézhet elő, különösen
olyan ágazatokban, ahol a megszakadásnak határokon átnyúló hatása lehet.
Információbiztonsági irányítási rendszer (ISMS)
A NIS1 és a NIS2 egyaránt megköveteli a felső vezetéstől, hogy hatékony információbiztonsági irányítási rendszert (ISMS) vezessen be az érintett szervezetekre gyakorolt hatások megelőzése érdekében. Ennek megvalósítására számos különböző megközelítés létezik, néhány népszerű biztonsági keretrendszer, például az ISO27001, a NIST, a SOC2. Ez nem jelenti azt, hogy a vállalatoknak rendelkezniük kell az ilyen szabványok szerinti tanúsítvánnyal, de legalább azokat a kulcsfontosságú elemeket kell végrehajtaniuk, melyek ezekben a keretrendszerekben közösek, hogy bizonyítsák a folyamatos erőfeszítést és a biztonsági helyzet javítását. Ez többek között a következőket foglalja magában:
Kockázatkezelés végrehajtása azonosítási, értékelési és megelőzési intézkedésekkel.
Az eszközök, függőségük és biztonsági követelményeik dokumentálása.
Az érdekelt felek és biztonsági követelményeik dokumentálása
A beszállítók, a hozzájuk kapcsolódó kockázatok és biztonsági kötelezettségvállalások dokumentálása
A személyzet vállalati irányelvek és eljárások iránti elkötelezettségének dokumentálása, formális érvényesítése és terjesztése.
Események dokumentálása, kommunikációja, kezelése és üzletmenet-folytonossági kezelése
A műszaki és szervezeti biztonsági intézkedések végrehajtása
Független biztonsági ellenőrzések lefolytatása
A kiberbiztonsági célkitűzések nyomon követése a biztonsági helyzet folyamatos javulásának mérése érdekében
Hatékony feladat- és prioritáskezelés a végrehajtás során
Egy ilyen irányítási rendszer kétféleképpen valósítható meg
Belsőleg rendelkezik a cég a hozzáértő munkatársakkal, vagy képes felvenni őket, ami annak a jele, hogy a fent említett elemek egy részét valószínűleg már lefedték. Ebben az esetben meg kell beszélni a csapattal, hogy melyik biztonsági keretrendszer illeszkedik legjobban a vállalathoz, és el kell végezni egy hiányelemzést az új NIS2 hatályához képest, így hagyhatják, hogy erre összpontosítsanak.
Béreljenek fel egy tanácsadó céget, mely segítséget nyújt a NIS2 bevezetésben. Ennek a megközelítésnek az az előnye a felső vezetés számára, hogy profitálhatnak a mindennap ezzel foglalkozó szakemberek szakértelméből és objektivitásából. A kis- és középvállalkozások számára általában ez a legköltséghatékonyabb megközelítés, mivel ezt az erőforrást a pénzügyi rugalmasságához igazíthatja (pl. CISO szolgáltatásként).
Mindkét megközelítésben a következők a közösek:
A lehető leggyorsabban el kell kezdeni a bevezetést, mert ez időt vesz igénybe (1-1,5 év a jelenlegi érettségtől függően).
Meg kell mutatnia a vezetőség elkötelezettségét az erőfeszítés iránt (ha úgy tesznek, mintha ez egy mellékprojekt lenne, az 100%-os garancia a kudarcra).
Időt és költségvetést kell elkülöníteni a következő év(ek)ben a bevezetésre.
Hatékony módszerre van szükség a haladás központi dokumentálására, kezelésére és nyomon követésére. Ha nincs egy központi eszköz, mellyel mindezt kezelni tudják, az legalább 25%-kal több időt vesz igénybe a megvalósításához.
(Kiemelt kép: Unsplash+)
