Ison-Britannian kriittisen kansallisen infrastruktuurin (CNI) tarjoajat ovat varuillaan. Kansallinen kyberturvallisuuskeskus (NCSC) on viime kuukausina tehostanut retoriikkaansa varoittamalla lähestyvästä hyökkäyksestä, jolla voi olla vakavia yhteiskunnallisia seurauksia. Sen mukaan näihin järjestelmiin kohdistuvan uhan ja CNI-palveluntarjoajien kyvyn puolustaa niitä välillä on "syvään kasvava kuilu".
Hiljattain kansallisen kyberturvallisuusjohtaja Jonathan Ellison kehotti jälleen kerran LinkedInissä kehittämään "vahvaa kyberpuolustusta ja -sietokykyä" alalla. "Yhdistyneen kuningaskunnan kriittisen kansallisen infrastruktuurin (CNI) ylläpitäjien on paitsi otettava tämä huomioon, myös, kuten olemme aiemmin sanoneet, toimittava nyt", hän sanoi.
Mutta mitä tässä yhteydessä tarkalleen ottaen tarkoittaa "toimi nyt"? Ja miten toimia voidaan tehdä harkitusti ja yhdessä?
Pahin mahdollinen skenaario
Ellisonin viestin laukaisi ennennäkemätön kyberhyökkäys Puolan energiainfrastruktuuriin. Hyökkäyksen teki epäilty Venäjän armeijan tiedusteluyksikkö Sandworm. Koordinoidussa kampanjassa kohdistettiin hyökkäys noin 30 kohteeseen, mukaan lukien tuulipuistot, aurinkovoimalat ja sähkön ja lämmön yhteistuotantolaitokset. Vaikka hyökkäys estettiin ennen kuin se aiheutti merkittävän sähkökatkon, hakkerit onnistuivat pääsemään operatiivisiin teknologiajärjestelmiin, jotka olivat "kriittisiä sähköverkon toiminnalle ja pysäyttivät keskeiset laitteet korjauskelvottomaksi kohteessa". Dragos.
Tuhoavan pyyhkijähaittaohjelman käytön pitäisi saada kylmiä väreitä Ison-Britannian tietoturvaviranomaisiin, jotka työskentelevät tietoturvasektoreilla. Ukrainan uskollisina liittolaisina sekä Puola että Iso-Britannia ovat alttiina mahdollisille Venäjän hyökkäyksille – asia, joka ei ole jäänyt huomaamatta NCSC:ltä. Mahdollisuus vastaavanlaiseen kampanjaan, joka kohdistuisi lähempänä kotia oleviin laitoksiin, on juuri kasvanut.
Meidän kaikkien tulisi tietää, mitä on vaakalaudalla. CNI:hin kohdistuvat hyökkäykset uhkaavat paitsi taloudellisia menetyksiä, myös yleistä turvallisuutta ja kansallista turvallisuutta. Ja ne yleistyvät. NCSC kirjataan 50 prosentin kasvu "erittäin merkittävien tapausten" määrässä, jota se käsitteli viime vuonna, ja tämä oli kolmas peräkkäinen vuosi, jolloin luku on noussut. Geopoliittiset jännitteet, nopea teknologinen muutos ja kehittynyt kyberrikollisuustalous lisäävät edelleen vakavien tapausten riskiä.
Minne tästä mennä?
Hyvä uutinen on, että tietoturvajohtajille on jo olemassa erilaisia resursseja, jotka auttavat heitä laatimaan vastauksen. Ellison mainitsi NCSC:n Kyberturvallisuusarviointikehys (CAF) ja uudempi CNI-opas vakavien uhkien torjumiseksi. Se on myös tuottanut dokumentaatiota turvallisen yhteyden periaatteet jatko- ja suosituksia turvallisen OT-arkkitehtuurin kehittämiseksiKysymys on siitä, miten kaikki tämä ohjeistus omaksutaan kokonaisvaltaisesti ja toisiaan täydentävästi.
Kyse ei ole olemassa olevien suunnitelmien purkamisesta. Kyse on keskittymisestä vakavimpiin uhkiin ja suunnittelusta sillä perusteella, että kompromissi tapahtuu, toipuminen voi viedä aikaa ja vastustajat saattavat pyrkiä tuhoamaan pikemminkin kuin vain häiritsemään. Vaikka CAF-malli painottaa enemmän ennaltaehkäiseviä toimia, CNI-ohjeistuksen arvo piilee järjestelmien suunnittelussa sietokyvyn takaamiseksi – sen varmistamiseksi, että ne jatkavat toimintaansa ja tukevat toipumista pitkien häiriöjaksojen aikana.
Odotuksena on suunnitella järjestelmiä, jotka voidaan nopeasti segmentoida, eristää tai käyttää heikossa toimintatilassa hyökkäyksen aikana.
Teorian muuttaminen käytännöksi
Cytidelin perustajajäsenen ja toimitusjohtajan Matt Conlonin haasteena on, miten tietoturvajohtajien käytettävissä olevat erilaiset viitekehykset saadaan operationalisoitua, jotta voidaan siirtyä pois reaktiivisesta "kontrolli-toteutus"-lähestymistavasta.
”Liian usein tietoturvatiimit joutuvat ’myyrä myyrää’ -sykliin: reagoivat hälytyksiin, korjaavat haavoittuvuuksia ja toteuttavat ad hoc -teknisiä suojatoimia erillään muista”, hän kertoo IO:lle (entinen ISMS.online). ”Vaikka tämä lähestymistapa on välttämätön, se ei yhdistä hallintoa, operatiivista riskiä ja teknisiä suojatoimia yhtenäiseksi hallintajärjestelmäksi.”
Hänen mukaansa tietoturvan kypsyttämiseksi tietoturvajohtajien tulisi integroida uhkatieto suoraan riski- ja hallintoprosesseihin. Tämä tarkoittaa uhkakuvan seurantaa, hyödynnettävien haavoittuvuuksien tunnistamista, tiedon syöttämistä tietoturvapäätöksentekoon ja niiden uhkien priorisointia, joilla on todennäköisimmin "merkittävä vaikutus", hän lisää.
”Tämä lähestymistapa varmistaa, että tietoturvatiimit keskittyvät siihen, millä on todella merkitystä, sen sijaan, että yrittäisivät korjata kaiken kerralla ja toivoisivat, että he puuttuvat kriittisimpiin riskeihin ajoissa. Ratkaisevan tärkeää on, että tämä on omaksuttava kulttuurisesti kaikissa liiketoimintayksiköissä, ei vain tietoturvan sisällä”, Conlon väittää.
”Hallinto-, operatiivinen toiminta, riskienhallinta ja tarkastustoimintojen on kaikkien sovittava yhteen dynaamisen riskien priorisoinnin kanssa. Se voi tuntua epämukavalta, sillä riskien jatkuva uudelleenpriorisointi ei aina sovi siististi perinteisiin vuosittaisiin tarkastelujaksoihin tai staattisiin käytäntöihin. Mutta nykyympäristössä, erityisesti CNI:ssä, pelkät vuosittaiset riskinarvioinnit eivät ole vain riittäviä; niitä pidetään yhä useammin huolimattomina.”
Seuraavat askeleet ISO 27001 -standardin kanssa
Conlonin mukaan tällainen lähestymistapa luo ”elävän johtamisjärjestelmän”, joka yhdistää strategian, hallinnon, tekniset valvonnat ja parantamisen. Mutta tietoturvajohtajat voivat ja heidän tulisi mennä pidemmälle – puuttua toimitusketjun riskienhallintaan, verkoston vahvistamiseen, sietokykyyn ja palautumiseen sekä muihin alueisiin. Tässä ISO 27001 voi tuoda lisäarvoa.
”Standardeilla, kuten ISO/IEC 27001:llä, on tärkeä rooli”, Conlon sanoo. ”Ne tarjoavat rakenteen, hallintoa ja varmuuden siitä, että tietoturvakontrollit ja -prosessit dokumentoidaan virallisesti ja niitä sovelletaan johdonmukaisesti.”
Nämä parhaat käytännöt auttavat viime kädessä tietoturvajohtajia kehittämään strategiaansa ennakoivalla, jäsennellyllä ja hallitukselle näkyvällä riskienhallintamenetelmällä. Ja nyt, kun kyberturvallisuus- ja resilienssilakiesitys on menossa läpi parlamentissa, ne tarjoavat korvaamattoman tilaisuuden tulevaisuudenkestävien toimintojen varmistamiseen maailmassa, jossa kyberresilienssistä ei neuvotella.
Laajenna tietosi
Blogi - Mitä kyberturvallisuus- ja sietokykylaki tarkoittaa kriittiselle infrastruktuurille
Blogi - OT-alalla näkyvyys on tehokkaan tietoturvan perusta
Blogi - Käyttöaiheinen riski voi olla 330 miljardin dollarin ongelma: Miten ratkaisemme sen?
