Stara izreka koja kaže da je lanac jak onoliko koliko je jaka njegova najslabija karika, predstavlja jedan od kamena temeljaca u sajberbezbednosti. Napretkom tehnologije novih „karika“ je sve više, stare redovno treba proveravati, a poslovni i tehnički zahtevi koji se stavljaju pred „lanac bezbednosti“ sve su brojniji i kompleksniji.

Među IT stručnjacima često se čuje rečenica da postoje IT sistemi koji su pretrpeli sajbernapad i oni za koje se još uvek ne zna da su bili (ili su još uvek!) meta napada. Iako je reč o šali koja nije sasvim tačna, poruka je jasna – pitanje nije da li će se bezbednosna pretnja pojaviti, već kada. A kada se pojavi, na putu joj stoje samo dva bedema – maksimalni negativni uticaj koji može ostvariti na IT sistem (ili njegov deo) i verovatnoća da u toj nameri uspe. Jednostavnije rečeno, dobra IT bezbednost predstavlja „računicu“ da branjeni IT sistem napadaču ne bude isplativ, tj. da napor uložen u napad rezultira manje vrednom „nagradom“.

Ukoliko posmatramo sajbernapade kroz prizmu finansijske matematike, a ne kao zabavu i dokazivanje naprednih tehničkih veština, zadaci odbrane IT sistema postaju u isto vreme i laki i teški. Lakši deo jednačine čini to što postoji „bezbroj“ proverenih načina i metoda koji nas mogu voditi putem uspostavljanja adekvatnog digitalnog imuniteta, a teži, da put uspostavljanja i upravljanja sajberbezbednošću predstavlja kompleksan zadatak na kome u mnogo koraka možemo napraviti grešku i (nenamerno) stvoriti onu „slabu kariku“ s početka teksta.

Odozdo naviše?

Jedna od najčešćih grešaka koje u praksi olakšavaju aktivnosti napadačima jeste uspostavljanje sajberbezbednosti po principu „odozdo naviše“, odnosno stvaranje bezbednosti od implementacije određene tehnologije (npr. određenog sistema za detekciju zlonamernog koda, zaštitu mreže od spoljnih napada i slično), koji se „širi“ na ostale (tehničke) elemente IT okruženja – data centar, cloud servise, aplikacije, radne stanice, pa čak i davanjem prednosti zaposlenima sa specifičnim tehnološkim znanjima. Iako je ovakav način kreiranja zaštitnih slojeva bolji od neplanskog i reaktivnog pristupa („rešavaću problem kad se on desi“), održavanje i nadgradnja s vremenom postaju manje efikasni, manje fleksibilni i posledično – skuplji.

Teži, sporiji, ali dugoročno bolji put izgradnje sajberbezbednosti jeste onaj gde odgovori na dva najvažnija pitanja od kojih treba krenuti – šta želimo da zaštitimo i koliko temeljno – određuju pristup, metodologiju i sve naknadne konkretne korake (princip „odozgo naniže“). Iako deluje paradoksalno, drugi pristup je dugoročno jeftiniji. Ne treba nikada zaboraviti da je dovoljan samo jedan (ne)uspešan napad, pa da organizacija od lidera na tržištu postane zaboravljena firma.

U praksi su ipak najčešće situacije gde put podizanja nivoa sajberbezbednosti počinje „iz sredine“ – neke tehnologije i procesi zaštite su već prisutni, ali mnogo detalja još nedostaje, pre svega u delu saradnje sajberbezbednosti s poslovnim procesima i misijom organizacije. Logičan naredni korak u realnost je izbor odgovarajućeg okvira za upravljanje sajberbezbednošću i njegova implementacija.

Okviri za upravljanje sajberbezbednošću

Okviri za upravljanje sajberbezbednošću predstavljaju skupove dokumenata koji opisuju smernice i standarde za upravljanje rizikom od sajberbezbednosti. Reč „okvir“ se odnosi na najbolju praksu koju treba uspostaviti u svakom aspektu IT sistema, a ne samo tehničkom, na način da zajedno čine celinu. Dobra vest je da danas postoji više desetina robusnih, proverenih i u praksi prihvaćenih okvira, po čijim smernicama možete urediti sve aspekte bezbednosti. Ne tako dobra vest je da nije uvek jednostavno odabrati onaj koji će najbolje odgovarati potrebama vaše organizacije.

Prva u nizu odluka koji slede je izbor tipa okvira; ukoliko ste na samom početku, bez iskustva u implementaciji i upravljanju, prirodan korak su kontrolni okviri. Reč je o dokumentima koji u sebi sadrže najviše „tehničkog jezika“, i kao takvi, lakše i jednostavnije se usvajaju od zaposlenih u IT sektoru, što je jedan od najvažnijih dugoročnih faktora uspeha. Kontrolni okviri sadrže osnovnu listu bezbednosnih kontrola, smernice za procenu trenutnog stanja infrastrukture, aplikacija, mreža i druge tehnologije i imaju za cilj da uspostave osnovnu strategiju sajberbezbednosti organizacije. Prioritet je na pravilnoj implementaciji bezbednosnih tehnologija i kontrola, kao i ojačavanju osnovnih linija odbrane, ne ostavljajući prostora da se zaboravi neki važan element i na taj način otvori „bezbednosna rupa“.

Drugoj grupi pripadaju programski okviri, koji za cilj imaju unapređenje osnovnih bezbednosnih elemenata, pomažući organizacijama da izrade, uspostave, implementiraju i redovno unapređuju sveobuhvatan program sajberbezbednosti. Slično kontrolnim okvirima, programski okviri sadrže metodologiju (načine i uputstva) za procenu trenutnog i željenog bezbednosnog stanja organizacije, obezbeđujući kompletan set metrika kojima se ova dva stanja mogu uporediti. Međutim, programski okviri sadrže i osnovne postupke za pravilnu procenu rizika, prioritizaciju zadataka i smernice za unapređenje komunikacije između tima za sajberbezbednost i menadžera/izvršnih rukovodilaca. Ukoliko je prvi faktor uspeha stručan i posvećen IT tim, adekvatna komunikacija kroz sve nivoe je svakako na visokom drugom mestu.

Dobra IT bezbednost predstavlja „računicu“ da branjeni IT sistem napadaču ne bude isplativ, tj. da napor uložen u napad rezultira manje vrednom „nagradom“

U poslednjoj grupi nalaze se okviri za upravljanje rizikom. Reč je o dokumentima u čijem je fokusu identifikacija, merenje i prioritizacija bezbednosnih rizika, odnosno definisanje procesa za procenu i upravljanje rizikom (tehnologije). Ovaj pristup upravljanju sajberbezbednosti teorijski je najispravniji, ali u praksi teško primenjiv u sistemima gde određeni IT procesi već funkcionišu uspešno. Razlozi tome su višestruki, a najvažniji su apstraktan jezik / terminologija i velika „udaljenost“ od tehnologije i konkretnih, praktičnih primena.

Očekivanja, implementacija, cena

Iako u praksi verovatno nećete naići na situaciju da se prvo bira grupa (tip) okvira, pa tek onda neki konkretan okvir koji toj grupi pripada, korisno je znati osnovne prednosti svakog tipa zato što su očekivanja, vreme implementacije, kompleksnost i ukupna cena jedne ovakve „avanture“ različiti. I ovde je pravi trenutak da ukažemo na drugu najčešću grešku koja se u praksi sreće – izbor zvučnog imena, odnosno okvira za koji ste dobili preporuke ili pročitali da „rešava sve probleme“. Iako će u određenim situacijama preporuka biti od koristi, vratite se na ciljeve svoje organizacije koji ne moraju biti isti pa čak ni slični sa ciljevima i misijom organizacije gde je preporučeni okvir implementiran. I dobro promislite da li je to „odelo“ skrojeno baš prema vašim merama.

Jedan od najpopularnijih okvira za upravljanje sajberbezbednošću, globalno ali i na našim prostorima, predstavlja međunarodni standard za upravljanje informacionom sigurnošću ISO 27001. Kroz ISO 27k (kako se drugačije obeležava), definišu se zahtevi za uspostavljanje, implementaciju, održavanje i stalno unapređenje sistema upravljanja informacionom sigurnošću (ISMS). ISO 27k standard spada u programske okvire i primenjiv je na organizacije svih veličina i tipova. Postoji više praktičnih razloga zašto je ISO 27k prvi (i često najbolji) izbor za uređenje informacione bezbednosti, a među najznačajnijima su visoka usklađenost sa zakonskim zahtevima i propisima koji se odnose na zaštitu informacija, smanjenje potencijalnih troškova prilikom pojave bezbednosnog incidenta i široka rasprostranjenost, odnosno dostupnost znanju i iskustvu.

Verovatno najvažniji je mogućnost sertifikacije, odnosno nezavisne provere usklađenosti ISO 27k kontrola u praksi. Organizacije koje imaju validan sertifikat, u značajnoj su prednosti na tržištu jer su dokazale da sajberbezbednosti pristupaju sistematizovano, kao i da su sposobne da upravljaju bezbednosnim rizicima, što posledično donosi veće poverenje klijenata, partnera i nadležnih regulatora. Ipak, fer je upozoriti da je implementacija ISO 27k u praksi veoma zahtevna, pa ne predstavlja najbolji izbor za manje kompanije ili sisteme s niskim nivoom zrelosti informacione bezbednosti. Barem ne kao prvi izbor.

CSF i CSC SCS okviri

Naredni okvir naziva NIST CSF (National Institute of Standards and Technology Cybersecurity Framework), razvijen je kao direktna potreba da se uredi metodologija zaštite IT sistema u okviru kritične infrastrukture SAD. Takođe je reč o programskom okviru koji neophodne kontrole grupiše u šest funkcija visokog nivoa (Identifikuj, Zaštiti, Otkrij, Odgovori na napad, Oporavi sisteme i servise i Upravljaj svim prethodnim funkcijama), čiji cilj je da složeni svet bezbednosti razloži na jednostavne kategorije koje modeliraju životni ciklus svih bezbednosnih aktivnosti. Njegov glavni adut je jednostavnost terminologije, koja bez „suvoparnih“ tehničkih izraza, predstavlja jasno razumljive smernice koje treba sprovesti kako zaposlenima u IT sektorima, tako i visokom rukovodstvu.

Jedan od najpopularnijih okvira za upravljanje sajberbezbednošću je međunarodni standard ISO 27001, zvani još i ISO 27k. Organizacije koje imaju validan sertifikat u značajnoj su prednosti na tržištu jer su dokazale da sajberbezbednosti pristupaju sistematizovano, kao i da su sposobne da upravljaju bezbednosnim rizicima, što donosi veće poverenje klijenata, partnera i regulatora

CSF je dizajniran tako da bude fleksibilan i prilagodljiv različitim organizacijama, bez obzira na veličinu, industriju ili specifične potrebe i za razliku od ISO 27k okvira, ne postoji sertifikacija. Upravo ovaj „detalj“ koji se ne čini kao prednost, omogućio je univerzalnu prihvaćenost širom sveta jer se CSF može koristiti ili nezavisno ili u kombinaciji s drugim standardima kako bi se poboljšala sajberbezbednost u kritičnim tačkama koje drugi okviri možda ne pokrivaju dovoljno detaljno.

Malo je verovatno da se organizacija koja se nije odredila ni prema jednom okviru odluči za bilo koji drugi osim ISO 27k ili NIST CSF okvira, ali u retkim situacijama, odličnu alternativu predstavlja i Center for Internet Security Critical Security Controls (CIS SCS okvir). Reč je o standardizovanim smernicama i alatima koji pomažu organizacijama da uspostave konzistentne i efikasne strategije odgovora na bezbednosne pretnje i da usklade svoje već implementirane prakse s drugim standardima i regulativama. Za razliku od prethodna dva standarda, koji imaju više od 100 specifičnih kontrola, CIS sadrži samo 20, ali nisu detaljne u zahtevima, ostavljajući mogućnost fleksibilnije implementacije. U svakom smislu, CIS propisuje efikasne mere organizacijama koje ne podležu obaveznim bezbednosnim protokolima i proverama, ali ipak žele da poboljšaju sajberbezbednost svojih okruženja. Druga značajna razlika (i prednost) jeste to što okvir počinje osnovama, prelazi na temeljne kontrole, a završava organizacionim unapređenjima, odnosno pomaže da prateći princip „odozdo naviše“ na kontrolisan način dovede organizaciju do unapređenja sajberbezbednosti.

Mapiranje

Šta ako pogrešite u izboru okvira, shvativši negde na sredini implementacije da je drugi okvir bio bolji izbor? Ili se okolnosti prosto promene, s obzirom na brzinu promena kojima svedočimo u modernom poslovanju? Srećom, svi navedeni okviri, ali i većina drugih, kao obavezan deo sadrže i tzv. mapiranje kontrola na kontrole drugih okvira, praveći jasne relacije između istih ili sličnih oblasti i konkretnih zahteva. Iskustva iz prakse pokazuju da je ovakva tranzicija stresan korak, ali da nije komplikovan; poklapanje između različitih okvira je najčešće veće od 80 odsto. To konkretno znači da će dodatni napor biti maksimalnih 20 odsto kontrola (a često i manje), i to u slučajevima kada je realizacija projekta implementacije jednog od okvira već završena.

Ako je jedan ovakav projekat uspešno realizovan, velike su šanse da organizacija sa znatno manje napora samo „dopuni“ odgovore na kontrole koje su različite. Jer, svaki od okvira, osim što znatno unapređuje sajberbezbednost, ne manje efikasno unapređuje i poslovne procese koji su osnov bezbednosnih programa, na prvom mestu procese brzog i kontrolisanog prilagođavanja novim izazovima. Sličan obim posla očekuje se i prelaskom na novu verziju okvira, ali sav taj „napor“ vredniji je od napora koji vas čeka ukoliko dođe do bezbednosnog incidenta u nedovoljno uređenom sistemu.

Najvažniji korak u projektu implementacije bezbednosnog okvira predstavlja odluka da načinite prvi korak. Pravilno uspostavljen, svaki od navedenih standarda znatno će unaprediti ne samo bezbednosne kontrole, smanjujući i negativan uticaj i verovatnoću mogućih napada, nego i razumevanje poslovne vrednosti aktivnosti koje su timovi preduzeli. A prvi rezultati biće vidljivi nakon prvog uspešno otkrivenog, a neuspešno realizovanog napada; svedočenja su mnogih da je taj trenutak predstavljao prelomni momenat u daljem napretku ukupne zrelosti informacionih sistema uopšte. Ukoliko vam je ipak važna naša konkretna preporuka, evo je – probajte prvo NIST CSF. Ako vam se posle prvih nekoliko koraka čini da sve deluje komplikovano, probajte CIS, u protivnom, razmišljajte hrabro o ISO 27k implementaciji i sertifikaciji.

Autor: Kristijan Lazić

Možda će vas zanimati: