HU

EN

Bejelentkezés
Bejelentkezés

Kiber-ellenállóképesség: egy új kiberbiztonsági fogalom?

Új kiberbiztonsági fogalom: kiberreziliencia

Megérkezett még decemberben az amerikaiaktól egy új kiberbiztonsági ajánlásgyűjtemény; a következő Bideni elnöki ciklusra – nem kell felállni – amit az Aspen Cybersecurity Group adott ki.  Ennek a címe magyarul “Az ellenálló digitális infrastruktúra nemzeti kiberbiztonsági napirendje”. 

A kiberreziliencia (nehéz szó) fogalma, ami egyből feltűnhet mindenkinek. Ez igazából kiber-ellenállóképességet jelent. Az amerikaik egyre többet használják ezt a kifejezést a kiberbiztonság helyett; (legtöbb cégnél itthon még ennek a definícióját is csak most kezdték el oktatni).  

A lényege, hogy szerintük máshogy kell gondolkozni: manapság elkerülhetetlen, hogy adatvédelmi incidenst szenvedjen el egy cég, mindenképp lesz sikeres támadás. A feladat tehát az, hogy az ilyen esetben az üzlet mindenképp menjen tovább, a cég túlélje azt. A kiberreziliencia lényegében egyesíti az információbiztonság, az üzletmenet folytonosság és a szervezeti ellenálló képesség területét. 

Az ajánlás szerinti 5 fő terület 

A modern társadalommal szembesülő kiberbiztonsági kockázatok széles skálán mozognak, így priorizálni kell. Először a legfontosabb és megoldható problémákkal kell foglalkozni az ajánlás szerint.  

Ebből a célból ez a jelentés öt kiemelt területet ölel fel, amelyekre a kiberbiztonsági döntéshozóknak figyelmüket és erőforrásaikat összpontosítaniuk kelI: 

  1. Oktatás – munkaerő fejlesztés. 
  2. Az internet infrastruktúra védelme (kábelek, DNS, modern kriptográfia)
  3. Ellátási lánc biztonsága 
  4. A kiberbiztonság mérése
  5. Az operatív együttműködés elősegítése 

A következőkben ezeket a területeket fogjuk bemutatni. 

1. Oktatás – munkaerő fejlesztés 

  • Az ajánlás szerint az államnak finanszírozási támogatást kellene nyújtania olyan szervezeteknek, akik kiberbiztonsági területen támogatják az alulreprezentált közösségeket.  
  • Manapság sokszor halljuk, hogy szakemberhiány van – így van ez a cyber security-s pozícióknál (pl. etikus hacker) is. Erre a problémára az a javaslat, hogy meg kell változtatni a toborzási szokásainkat; szélesebb körből kell választani humán erőforrást, így tudjuk bővíteni a tehetséges munkavállalók körét. A gyakorlati pozíciók számát is növelni kellene a cégeknél, azért, hogy egyetemekről/főiskolákról be lehessen vonzani a fiatalokat. 
  • A kiberbiztonság egyre nagyobb szerepet kap a mindennapi életünkben. A jövőben ez még fontosabb lesz, ezért a felkészítést már gyermekeknél az iskolákban el kell kezdeni. A kiberellenálóság fontos pontja, hogy az elméleti oktatás helyett a versenyszférában dolgozó szakembereket kell megkérni, hogy vállaljanak részmunkaidőben; vagy önkéntes alapon gyakorlati oktatást az intézményekben. Szerencsére kis hazánkban a kibertudatosság növelésére gyermekeknél már több kezdeményezés is van. Erre példa: letölthető ingyenes tankönyv, sőt már gyermek regény/mese is elérhető. 
  • Biztosítani kell a szélessávú internethez való hozzáférést minden közösség számára – az államnak a rászorulók részére támogatást kell nyújtania. 

Szerintünk egy cég IT biztonságáért minden munkavállaló felelős; ezért minden új belépőnek kötelező kiberbiztonsági oktatáson részt vennie, és évente ezt kötelezően meg kell ismételni.  

Az ajánlás szerint a kibertudatosság kialakítását már az iskolákban el kell kezdeni 

2. Az internet infrastruktúra védelme 

  • Az ajánlás második fő területnek az internet infrastruktúra (DNS szolgáltatások, routing szolgáltatások) védelmét emeli ki. Ehhez szorgalmazza nemzeti stratégia létrehozását. 
  • A kritikus infrastruktúra elemei közé az amerikaiak javasolják felvenni a kereskedelmi űrszektort. Nálunk jelenleg nincs (még) kereskedelmi űrutazás, de hamarosan magyar telekommunikációs műholdakat állíthatunk földkörüli pályára; ami biztosan felkerül majd a védettebb infrastruktúrák közé. 
  • Javasolják még egy nemzeti kibervédelmi iroda létrehozását – ez itthon pipa
A publikus infrastruktúra védelme a kiemelt területek egyike

3. Az ellátási lánc biztonsága 

Az ellátási lánc a termék tervezésének, gyártásának, értékesítésének és felhasználásának a teljes folyamata. Ritkán fordul elő, hogy egy vállalkozás irányítja a teljes életciklust; és a legtöbb technológiai vállalat számos különböző beszállítóra támaszkodik az egész világon. 

Mivel ezek a technológiai ellátási láncok összetettebbé váltak, az egyének, szervezetek és nemzetek számára egyre nehezebb megérteni; és kezelni a kapcsolódó kockázatokat. 

Gondoljunk csak bele: minden cég használ számítástechnikai eszközöket, szoftvereket, tárhelyszolgáltatót, felhőszolgáltatást, email szolgáltatót, CRM szoftvert, Antivirus szoftvert, chat alkalmazást stb.  

Ezek mindegyike kockázatot jelent cégünkre. Erre példa a 2020. év végi nagy port kavart SolarWinds incidens. 

Egy álomszerű világban minden partnerünket auditálni kellene IT biztonsági szempontból; vagy evidenciákat kérni tőlük arra, hogy komolyan veszik-e a cyber security-t és betartják-e a GDPR rendeletet. Valójában erre a cégeknek kevés ideje, és még kevesebb pénze van. 

Mit ajánlanak hát Bidenék? 

  • A biztonság átláthatóságának elősegítése: a szervezeti kockázatkezelés számára hasznos a termékek és szolgáltatások tervezésének, megvalósításának; és kezelésének átláthatósága az idő múlásával. Néhány folyamatban lévő kezdeményezés szilárd alapot kínál az átláthatóság ösztönzéséhez a technológiai gyártók és szoftverfejlesztők között: 
    • Eszközök címkézése: például IoT eszközök tanúsítása, ha megfelelnek a NIST biztonsági előírásainak. 
    • Szoftver összetevők feltűntetése: a modern szoftver termékek kisebb, harmadik féltől származó összetevők/komponensek egyvelegéből áll; amelyeket a szoftverfejlesztők széles köre hoz létre. A legtöbb esetben a vásárlók számára rendkívül nehéz  tudni, hogy mik ezek az összetevők, és milyen sérülékenységeket tartalmazhatnak. Ennek a megoldására az NTIA dolgozik egy gyakorlat létrehozásán. 
  • Tesztközpont létrehozása a kritikus technológiák számára: az állam által megbízott független kutatási szervezet létrehozását javasolják. Feladatuk a kritikus technológiák biztonságának vizsgálata lenne a hálózatépítésben, az ipari vezérlőrendszerekben és a nyílt forráskódú szoftverekben.  
  • Ajánlott az ingyenes és nyílt forráskódú szoftverek pénzügyi támogatása. A digitális gazdaság a szabad és nyílt forráskódú szoftverek alapjaira épül. Sok vállalat használ ilyen eszközöket a kritikus üzleti funkciók végrehajtásához. Ennek és központi fontossága ellenére a nyílt forráskódot gyakran önkéntesek támogatják, akik külön költségvetés nélkül dolgoznak és küzdenek annak biztonságáért. Ez komoly kockázatokat jelent a digitális gazdaság számára; ezért javasolják, hogy az iparági résztvevők fektessenek be a nyílt forráskódú szoftverek biztonságába. 

4. Kiberbiztonsági mérés

Az IT biztonság problémamegoldások sorozatából áll. Viszont nem tudjuk megoldani a problémákat, ha nem tudjuk, hogy mi működik, és mi nem. Ezért elsősorban adatokra, majd ezekből mérésekre / jelentésekre van szükségünk. 

A metrikák segítenek felismerni a problémákat a kritikus eszközeinken. Például segítségükkel egy vállalat meg tudja határozni, hogy a következő 12 hónapban hány eszközükön lesz támogatás nélküli operációs rendszer. Ha ezt tudja akkor meg tudja határozni a következő évre az IT terület fejlesztésére szánt pénzügyi keretet. 

  • Az ajánlás szerint javítani kell az állami és helyi bűnüldöző szervek képességét a számítógépes bűnözéssel kapcsolatos események bejelentésére. 
  • Javasolt a szektorok közötti partnerség létrehozása a kiberbiztonsági kockázatok modellezésében. 
A mérések/metrikák meghatározása nem csupán Excel-mágia: fontos stratégiai döntésekben segítheti a szervezetet

5. Az operatív együttműködés erősítése 

Az ötödik legfontosabb terület az együttműködés erősítése a köz- és versenyszféra szereplői között az adatvédelmi incidensekre adott proaktív válasz érdekében. Mindkét szférában ugyanazon technológiák alkalmazása egy közös pont – emiatt a kiberbiztonsági incidensek kezelése gördülékenyebb lenne összefogással. Az állami szervek is a versenyszféra cégeitől szerzik be a technológiákat; így ha egy vállalat adatvédelmi botrányba keveredik az kihatással van az államokra is. Ha ebbe belegondolunk jövünk rá, hogy milyen fontos a két fél közötti együttműködés.

Javaslatként felmerül egy csereprogram létrehozása a vállalatok és az állami szervezetek között; a bevált gyakorlatok – best practice-ek – egymás közötti megosztása érdekében. 

Fontos a kooperáció a vállalatok és az állami szervek között

Mindenképp érdemes a cégeknek és államoknak megfontolniuk ezt az ajánlást, azért gondoltuk, hogy megosztjuk Veletek, tartalmaznak érdekes pontokat.

Ha adatvédelmi megfelelőség kialakításában vagy szolgáltatásod, terméked ellenőrzésében vállalkozásod segítségére lehetünk vedd fel velünk a kapcsolatot elérhetőségeink egyikén. 

Megosztás

Tartalomjegyzék

Legfrisebb cikkeink

Készen állsz?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco la

Kapcsolatfelvétel Cégeknek
CSatlakozz hackerként

Közép- és Kelet-Európa bug bounty platformja, hogy rendszered védve legyen a támadásoktól! 

Cégeknek

Hackereknek

Információ

Hírlevél

  • Iratkozz fel hírlevelünkre, hogy elsőként értesülhess aktuális programjainkról és híreinkről.
Hírlevél - footer
We are
Facebook-f Instagram Linkedin Youtube

© 2024 Hacktify International Kft.