13.10.19

Je li vrijeme za promjenu ISMS modela?

Može li tradicionalni model upravljanja sigurnošću informacijskog sustava uspješno odgovoriti na cyber prijetnje?

Postojeći model upravljanja sigurnošću informacijskog sustava inicijalno je zacrtan prije dvadesetak godina i temelji se na standardu BS7799, koji nešto kasnije preimenovanog u ISO 27001. Ovaj standard na cjelovit način definira sva ključna područja informacijske sigurnosti, uvodi procjenu rizika kao neophodan kriterij za donošenje odluka o provedbi sigurnosnih mjera i postavlja temelje upravljanja ovim sustavom. Standard je blizak nekim drugim okvirima (prije svega mislim na COBIT), a iz njih su proizašle i brojne dobre prakse te regulatorni okviri.

Zašto bi sada ovako dobro postavljen model upravljanja informacijskom sigurnošću postao odjednom manjkav? Može li se uopće nositi s cyber prijetnjama?

U vrijeme uspostave tradicionalnog modela upravljanja informacijskom sigurnošću, u informacijskim sustavima su dominirale prijetnje koje su proizlazile iz tehničkih i prirodnih nepogoda, ponajviše ugrožavajući dostupnost informacijskih servisa. Rizičnost ljudskog faktora sagledavao se kroz greške u radu, nepažnju i slučajne nezgode. Stoga su odjeli informacijske sigurnosti bili primarno fokusirani na strateška pitanja, te na proceduralne radnje vezane za prethodno nabrojene rizike.

Rizici malicioznog ljudskog djelovanja smatrali su se dobro kontroliranima. S obzirom na ograničen arsenal koji je u to vrijeme bio napadačima na raspolaganju, „firewall“ sustavi i antivirusni programi pružali su zadovoljavajuću zaštitu, a nadležnost za ove mjere su najčešće bile rutinski delegirane odjelima IT operative, dakle izvan nadležnosti odjela informacijske sigurnosti.

Pojavom cyber prijetnje (vremenski ih možemo smjestiti unutar zadnjih pet do šest godina ili čak nešto ranije), arsenal s kojim raspolažu maliciozni napadači postaje puno kompleksniji, scenariji napada sofisticirani, a realizacija izuzetno inventivna. Novi perimetar se preselio s oboda prema unutarnjem dijelu privatne mreže, na osobna računala, „browser-e“ i druge svakodnevno korištene programe, pa standardna zaštita pomoću „firewall-ova“ više nije dovoljna. Također, jedna od odlika cyber prijetnju je uspješno prikrivanje i izbjegavanje detekcije antivirusnim programima, a tržište nam za sada nije ponudio univerzalno zamjensko rješenje za ovaj problem.

Zaštita od cyber prijetnji mora se  temeljiti se na dobrom poznavanju stanja informacijske imovine koju štitimo i zatrpavanju svih poroznih točaka, na sposobnosti prepoznavanja svih elemenata specifičnih cyber napada, uspostavi učinkovitog nadzora sustava i detekcije indikatora naprednih prijetnji, te na uvježbanom odgovoru kada i ako se dođe do sigurnosnog proboja.

Ovo su zadaci koji značajno nadilaze nadležnosti kompetencije IT operative. Očigledno, loptica se vraća natrag na stranu odjela za informacijsku sigurnost.

Dakle, kad zazivam o promjenu modela upravljanja informacijskom sigurnošću, ja govorim o potrebi da CISO nadraste ulogu funkcije koja propisuje strateške smjernice i ispunjava zadatke predviđene „compliance“ križaljkom, te na potrebu njegovog prihvaćanja obaveze neposrednog suočavanja s cyber prijetnjama. CISO mora preuzeti sponzorstvo nad procesom za detekciju i ograničavanje cyber prijetnji, te nad procesima za preventivnu redukciju ranjivosti koje otvaraju vrata ovim napadima.

Treba reći da tradicionalni okviri informacijske sigurnosti predviđaju mjere nadzora i detekcije prijetnji, ali ne na način koji je dorastao cyber prijetnjama. Ja ne inzistiram na donošenju novih standarda i regulatornih okvira. Dapače, to može oduzeti dosta vremena i ponovo nas uvući u kolo ispunjavanja „compliance“ obaveza, koje, poznato nam je od ranije, ne znače nužno i veću sigurnost.  Smatram da se dobre smjernice mogu naći i u okviru postojećih inicijativa (npr. vidi MITRE ATT@CK), a izuzetno je važno da CISO krene razmišljati izvan okvira. I bude svjestan novog modela upravljanja informacijskom sigurnošću.

U protivnom, CISO bi se vrlo brzo mogao suočiti s posljedicom da sva odgovornost za proboj cyber napada padne na njegova leđa.