"Compliance" vs pripravenosť firiem a organizácií v oblasti kybernetickej bezpečnosti
Od decembra 2022 je platná Európska smernica NIS2, ktorá vyžaduje od členských krajín EU implementáciu do 17.10.2024. NIS2 rozširuje a posilňuje pôvodnú verziu NIS, platnú od roku 2016. Okrem Európskej legislatívy je v jednotlivých členských krajinách platná aj národná legislatíva týkajúca sa kybernetickej bezpečnosti, napr. GDPR, ktorá sa zaoberá ochranou osobných údajov a teda do istej miery zahŕňa alebo sa dotýka kybernetickej bezpečnosti. Nehovoriac o štandardoch rodiny ISO 27000, NIST CSF a ďalších špecifických štandardov pre vybrané sektory.
Mať zabezpečenú „compliance“ s relevantnou legislatívou a štandardami je dlhotrvajúcou, komplexnou a časovo náročnou záležitosťou a zlyhávajú v nej nielen súkromné firmy, ale aj štátne organizácie. Aj výsledky auditov kybernetickej bezpečnosti podľa zákona č.69/2018 Z.z. o kybernetickej bezpečnosti ukazujú, že povinné organizácie majú nízku mieru súladu s požiadavkami tohto zákona.
Je možné polemizovať o primeranosti jednotlivých bezpečnostných opatrení aj o zaradení viacerých organizácií do Zoznamu prevádzkovateľov základných služieb. Nič to však nemení na tom, že organizácie nemajú zabezpečený ani súlad s už existujúcou legislatívou. Rečníckou otázkou ostáva, aký zmysel má zvyšovať počet prevádzkovateľov základných služieb a pritvrdzovať bezpečnostné opatrenia, ak ani tie, ktoré sú momentálne platné, nie sú častokrát ani formálne implementované, nieto ešte systematicky dodržiavané u už existujúcich prevádzkovateľov základných služieb.
Súčasne je vhodné pozrieť sa na ďalší aspekt. Skutočná úroveň zabezpečenia organizácií (alebo ak chceme pripravenosť organizácie chrániť svoje dáta aj voči kybernetickému útoku) môže byť v mnohých prípadoch až o polovicu nižšia ako je oficiálne deklarovaná. Často sa výsledky auditov súladu kybernetickej bezpečnosti organizácie so zákonom o kybernetickej bezpečnosti alebo inými bezpečnostnými rámcami líšia od skutočnej situácie a úroveň deklarovaného súladu je v mnohých prípadoch veľmi nízka. Pripravenosť organizácií na kybernetický útok je potom ešte nižšia.
Dôvody tohto stavu je jednoduché vybrať zo štandardnej množiny: nedostatok financií, nedostatok kvalitného personálu, nízka priorita kladená kybernetickej bezpečnosti v organizácií, nízke povedomie o reálnych hrozbách či zámena súladu s legislatívou za bezpečnosť. Každý uvedený dôvod síce predstavuje významnú prekážku pri dosahovaní primeranej úrovne bezpečnosti v organizáciách, avšak, nezmenšuje to nutnosť budovať adekvátnu úroveň zabezpečenia.
Nie každá organizácia musí byť zabezpečená ako príslovečný Fort Knox. Každá organizácia však musí byť primerane chránená voči hrozbám. Tento fakt musí byť najmä záujmom organizácie ako takej. Externe vyvíjaný tlak prostredníctvom legislatívnych požiadaviek na súlad s legislatívou síce čiastočne pomáha, no sám so sebe nie je a nikdy nebude postačujúci. Na druhej strane je tento tlak užitočný najmä do vnútra organizácií na vyčlenenie aspoň nejakého rozpočtu na potrebné opatrenia a technológie. Tlak sa však míňa účinkom v prípade, že firmy sú v existenčných problémoch, alebo ziskovosť firiem nie je adekvátna vzhľadom na externé vplyvy. V takýchto prípadoch sa reálna bezpečnosť firmy dostáva na posledné miesto. Je pochopiteľné, že firmy uprednostnia svoje prežitie aj s vedomím rizika, že vzhľadom na nesúlad so zákonom dostanú pokutu.
Jednou z možností riešenia tohto problému je podpora vybraných firiem prostredníctvom štátnej pomoci, alebo prostredníctvom financií z vhodne definovaného zdroja európskeho financovania. Nie je to síce stopercentné a ani dlhodobo udržateľné riešenie, ale mohlo by to pomôcť firmám a organizáciám, ktoré sú strategicky dôležité pre národnú ekonomiku, fungovanie, alebo bezpečnosť. Toto financovanie by mohlo pomôcť aspoň čiastočne umoriť investičný dlh v oblasti IT a kybernetickej bezpečnosti. Zároveň však platí, že ak je kybernetická bezpečnosť organizácií a firiem prioritou štátu, musí aktívne riešiť aj ďalších "štandardných podorzrivých".
Nedostatok kvalifikovaného personálu v oblasti kybernetickej bezpečnosti je cítiť v súkromnom aj verejnom sektore. Rýchle riešenie tohto problému neexistuje, avšak systematická spolupráca medzi nimi v podobe prípravy a realizácie študijných odborov, praktického vzdelávania v oboch sektoroch a adekvátneho postgraduálneho a profesionálneho vzdelávania vo firmách by mohla byť cestou vpred. Samozrejmosťou je adekvátne platové ohodnotenie. Vzhľadom na predpokladanú dĺžku prípravy, kým toto riešenie začne vracať investované náklady a čas, je toto riešenie realizovateľné iba v prípade, že sa výchova a vzdelávanie kvalifikovaného personálu (nielen v oblasti kybernetickej bezpečnosti) stane prioritou na úrovni štátu, alebo ešte lepšie Európskej únie. Dočasným riešením by mohlo byť vytvorenie postgraduálneho vzdelávacieho programu (napríklad pri jednej z univerzít, alebo NBÚ), ktoré by bezplatne vzdelávalo profesionálov zo súkromného aj štátneho sektora. Alternatívou je skokové zvýšenie platového ohodnotenia profesionálov, čo by možno presvedčilo niekoľko špecialistov zo zahraničia, aby sa vrátili. Avšak aj tento počet by nemusel byť dostatočný na pokrytie existujúcich potrieb.
Nízka priorita kladená kybernetickej bezpečnosti je podobný fenomén ako nízko kladená priorita klimatickej zmene. Vedenie v organizáciách má falošný pocit bezpečia, ktorý vychádza z rôznych faktorov, či už interných alebo externých. Oddelenia IT a kybernetickej bezpečnosti často ubezpečujú, že všetko je v poriadku, robia dobrú robotu pretože investovali do technológie X viac ako Y peňazí. A veď toto im predsa potvrdil najlacnejší penetračný test a aj audit kybernetickej bezpečnosti. Z externého prostredia , zo strany médií a bezpečnostných expertov zas počúvame falošné uisťovanie, že útoky sa týkajú len slabo zabezpečených organizácií a to sú predsa také, ktorým to povie aj najlačnejší penetračný test alebo audit kybernetickej bezpečnosti.
Smutný paradox je, že niekedy sú napadnuté organizácie, je to aj verejne známe, ktoré venujú kybernetickej bezpečnosti viac ako primerané úsilie a boli napadnuté len preto, že sa stali cieľom pokročilého útočníka. Tieto organizácie pravdepodobne majú jasne stanovenú komunikačnú stratégiu a dávajú vážnosť vzťahom s klientmi a incident nezatajujú. Avšak viac ako 80 percent organizácií sa rozhodne „ututlať“ že sa stali cieľom útoku. Z historických skúseností je rozpoznaný fakt, že čím je organizácia na tom horšie, tým je väčšia pravdepodobnosť, že sa pokúsi incident „ututlať“. Tento prístup potom vytvára pocit falošnej bezpečnosti v organizáciách. Jedným z možných riešení je napríklad zaviesť povinné zverejňovanie typov bezpečnostných incidentov národným regulátorom v každej krajine EU. Mnohí členovia vedenia firiem by boli prekvapení počtom a typom incidentov a možno by sa medzi obeťami našli aj sami.
Ďalším veľkým rizikom je zamieňanie legislatívneho súladu za skutočnú bezpečnosť. Niektoré organizácie si myslia, že minimálna implementácia požadovaných opatrení zabezpečí nielen súlad so zákonom či frameworkom, ale zároveň aj adekvátnu bezpečnosť. Tento názor je častokrát potvrdený aj kybernetickým auditom, ktorý hoci môže byť vykonaný komplexne, systematicky a odborne, nemá inú možnosť ako konštatovať súlad. Súlad bol konštatovaný a pre túto debatu predpokladajme, že v organizácii bol tým dosiahnutý aj reálny súlad s legislatívou. V mnohých prípadoch to však len minimálnym spôsobom hovorí o úrovni kybernetickej bezpečnosti v organizácií.
Reálnym a smutným príkladom je prítomnosť nesprávne nakonfigurovaného EDR riešenia v infraštruktúre organizácie. Súlad s požiadavkami frameworku bol dosiahnutý, pretože EDR sa nachádzalo v infraštruktúre. Organizácia prešla auditom bez akéhokoľvek významného zistenia, avšak cca 2 mesiace po audite bola celá infraštruktúra zašifrovaná ransomwarom Alphv. Pri analýze sa okrem asi 40 rôznych kritických nedostatkov zistilo aj to, že EDR bolo nakonfigurované na podstatnú časť zariadení tak, že celú aktivitu ani nemohlo detegovať. Súlad bol dosiahnutý, ale bezpečnosť adekvátna nebola.
Pri zabezpečovaní organizácie platí: Bezpečnosť nie je produkt, bezpečnosť nie je projekt. Bezpečnosť je proces. Teraz máme za to, že je potrebné doplniť: Bezpečnosť nie je súlad s X (ľubovoľný framework alebo rámec).
* Článok externého autora
* Komentár reflektuje názory autora, ktoré sa nemusia zhodovať so stanoviskami a postojmi GLOBSECu.
CTO at IstroSec