Valmistaudu uuteen Ison-Britannian tietokeskusten turvamääräykseen
Sisällysluettelo:
Ison-Britannian talous on yhä digitaalisempaa. Mukaan hallitus, tietojen osuus bruttokansantuotteesta vuonna 7 oli lähes 2022 %, ja kolme neljäsosaa kaikesta palveluviennistä maasta perustui tietoihin. Tämä on loistava kasvumahdollisuus, mutta samalla altistaa organisaatiot ja niihin luottavat asiakkaat uusille riskeille. Siksi hallitus on julkaissut uusia ehdotuksia säännellä kolmansien osapuolien tietokeskuksia, jotka hallitsevat suurta osaa digitaalitaloudesta.
Nykyisessä muodossaan säännöt ottaisivat käyttöön uuden lakisääteisen kehyksen ja sääntelytoiminnon, joka velvoittaisi tietokeskusten omistajille vähimmäisperusturvavaatimukset. Asiantuntijat uskovat, että parhaiden käytäntöjen turvakehykset, kuten ISO 27001, voivat olla hyödyllinen tapa tällaisille organisaatioille varmistaa vaatimustenmukaisuus.
Miksi tarvitsemme lisää suojattuja tietokeskuksia?
Tietokeskukset ovat digitaalitalouden ytimessä, mikä mahdollistaa kaikenkokoisille ja kaikilla sektoreilla toimiville organisaatioille saumattomien verkkopalvelujen tarjoamisen ja tehokkaamman toiminnan. Hallitus arvioi, että 28 % kaikista Yhdistyneen kuningaskunnan yrityksistä käyttää datakeskuksissa olevia palveluita, mikä on 62 % suurista yrityksistä. Silti sekä äärimmäiset sääilmiöt että kyberuhat, kuten tietomurrot ja kiristysohjelmat, ovat kasvava haaste. Eduskunnan valiokunta äskettäin varoitettu että Yhdistyneellä kuningaskunnalla on "suuri riski" kokea "katastrofaalinen" kiristysohjelmahyökkäys.
Olipa tapahtuman syy mikä tahansa, vakavat käyttökatkot voivat heikentää taloudellisia ja maineeseen liittyviä merkittäviä palvelinkeskusten omistajia sekä näihin palveluihin luottavia yrityksiä ja loppuasiakkaita. Uptime Instituten mukaan Luvut Vuodelle 2022 80 % konesalipäälliköistä ja -operaattoreista on kokenut jonkinlaisen käyttökatkon kolmen edellisen vuoden aikana. Yli 60 % vioista vuonna 2022 johti vähintään 100,000 39 dollarin kokonaistappioihin, kun se vuonna 2019 oli 1 %. Yli miljoonan dollarin osuus kasvoi 11 %:sta 15 %:iin samana ajanjaksona.
Vaikka pilvipalveluntarjoajan (CSP) ja hallitun palveluntarjoajan (MSP) toimintoja säätelevät jo Yhdistyneen kuningaskunnan verkko- ja tietojärjestelmäsäännökset (NIS) 2018, sama ei päde muihin kolmannen osapuolen tietokeskuksiin. Tämä tekee Yhdistyneestä kuningaskunnasta poikkeavan suurimpien talouksien joukossa. Ja siksi hallitus on julkaissut uuden julkisen kuulemisasiakirjan: Yhdistyneen kuningaskunnan tietoinfrastruktuurin turvallisuuden ja kestävyyden suojaaminen ja parantaminen.
Mitä ehdotukset sisältävät?
Ehdotetut säännöt kattaisivat erityisesti yhteissijoitus- ja yhteisisännöintipalveluiden tarjoajat. Kiinteistöjen omistajien olisi rekisteröidyttävä nimetylle sääntelijälle ja annettava "oleelliset tiedot" toiminnastaan Yhdistyneessä kuningaskunnassa. Tällä sääntelijällä olisi valtuudet hallita ja valvoa uutta kehystä ja ottaa kasvu ja innovaatio huomioon päätöksiä tehdessään.
Tietokeskusten omistajien on myös noudatettava useita turvallisuus- ja joustavuustoimenpiteitä, jotka liittyvät:
⦁ Riskienhallinta
⦁ Tilojen, verkkojen ja järjestelmien fyysinen ja kyberturvallisuus
⦁ Tapahtumien hallinta – merkittävistä tapauksista ilmoitetaan sääntelijälle ja mahdollisesti tiedotetaan asiakkaille/aiheisille osapuolille
⦁ Joustavuus ja palvelun jatkuvuus
⦁ Valvonta, havaitseminen, auditointi ja testaus
⦁ Hallinto ja henkilöstö
⦁ Toimitusketjun hallinta
”Data on yhä tärkeämpi talouskasvumme veturi, ja sillä on keskeinen rooli julkisissa palveluissamme. Joten sen varmistaminen, että sitä tallentavilla yrityksillä on käytössään oikeat suojat kyberhyökkäysten ja äärimmäisten sääolojen kaltaisten uhkien riskien rajoittamiseksi, auttaa meitä saamaan hyödyt ja antaa yrityksille mielenrauhaa", väitti data- ja digitaalisen infrastruktuurin ministeri John Whittingdale. lausunto.
"Hallitus suhtautuu vakavasti tietojen turvaamiseen, minkä vuoksi kehotamme näitä yrityksiä jakamaan aktiivisesti näkemyksiään ja asiantuntemuksiaan ja varmistamaan samalla, että meillä on oikeat säädökset. Asettamalla tietoturvan etusijalle tietojenkäsittelyssämme, emme vain vastaa uusiin haasteisiin, vaan teemme myös Yhdistyneestä kuningaskunnasta maailmanlaajuisen johtajan turvallisen ja vastuullisen teknologian edistäjänä."
Standardit ja viitekehykset voivat auttaa
KnowBe4:n turvallisuustietoisuuden puolestapuhujan James McQuigganin mukaan, kuten kaikissa uusissa sääntelyehdotuksissa, on kuitenkin mahdollisia haasteita.
"Ensinnäkin yksi koko sopii kaikille -lähestymistapa saattaa sopia vain joillekin konesalioperaattoreille, erityisesti pienille, jotka saattavat kamppailla vaatimustenmukaisuuden kustannusten ja monimutkaisuuden kanssa", hän kertoo ISMS.online-sivustolle.
”Toiseksi on olemassa ylisääntelyn riski, joka voi tukahduttaa innovaatiot tai johtaa vaatimustenmukaisuuteen keskittyvän ajattelutavan sijaan turvallisuuteen. Lopuksi haasteena on pysyä mukana nopeasti kehittyvien kyberuhkien kanssa, joissa säännökset voivat vanhentua nopeasti.
Palvelinkeskusten operaattoreiden on otettava käyttöön uusimmat tietoturva- ja joustavuusteknologiat varmistaen samalla yhteensopivuus ja minimaalinen seisokkiaika minimoiden samalla tekniset velat, McQuiggan lisää.
”Yhä kasvavan määräysluettelon ja alan standardien noudattaminen voi viedä aikaa ja vaivaa varsinkin pienemmiltä operaattoreilta. Tasapainottaminen toiminnan tehokkuuden kanssa on merkittävä haaste”, hän perustelee.
Parhaiden käytäntöjen standardit voivat kuitenkin auttaa. Ratkaisevaa on, että hallituksen kuulemisasiakirjassa korostetaan, että "standardeja, arviointikehyksiä ja muita työkaluja voidaan käyttää parantamaan ja varmistamaan turvallisuuden ja kestävyyden lieventäminen". Tämä avaa oven kansainvälisten standardien, kuten esim ISO 27001, joka tarjoaa puitteet tietoturvan hallintajärjestelmän (ISMS) perustamiselle, toteuttamiselle ja hallinnalle.
”Korjauskehys korostaa jatkuvaa parantamista, joka sopii hyvin kyberturvallisuusuhkien ja teknologisen kehityksen dynaamiseen luonteeseen. Se voi auttaa palvelinkeskusten omistajia hallitsemaan järjestelmällisesti arkaluonteisia yritystietoja ja varmistamaan tietoturvan”, McQuiggan sanoo.
"Lisäksi organisaatiot, joilla on ISO 2700x -sertifikaatit, voivat osoittaa toimittajille, asiakkaille ja sääntelyviranomaisille, että palvelinkeskus suhtautuu vakavasti tietoturvariskien tehokkaaseen hallintaan."
Uuden lain kuuleminen jatkuu helmikuun 22. päivään asti, ja eri sidosryhmiä, kuten konesalin ylläpitäjiä, pilvipalvelujen tarjoajia ja alan asiantuntijoita, kutsutaan antamaan palautetta ehdotuksista. Hallitus uskoo, että tämä, uusi tietosuoja- ja digitaalitietolaki ja Product Security and Telecommunications Infrastructure (PSTI) Act 2022 -laki auttavat yhdessä lisäämään Ison-Britannian digitaalitalouden kybersietokykyä uhkien lisääntyessä ja yritysten hyökkäyspinnan lisääntyessä. Aika kertoo.
