2024. godine nacionalni centar za cyber sigurnosni centar (NCSC) proslavio je deceniju svoje osnovne certifikacije Cyber sigurnosnih osiguranja, Cyber entistencije (CE).
Dok je NCSC izglazao prednosti šeme, generalni direktor Richard Horne ipak je izričit u vezi sa “širijim jazom” između cyber odbrane Velike Britanije i prijetnje suočavanja. To dolazi usred povišene razine fizičke prijetnje od državnih aktera, uključujući preko sabotaže i špijunaže, kao i veću svijest državnih prijetnji istraživanju i inovacijama.
Ova promjena slike prijetnje bači veću pažnju na rad Nacionalnog zaštitnog organa za zaštitu (NPSA), nacionalnog tehničkog tijela Velike Britanije za fizičko i osoblje zaštitne sigurnosti.
Povišena prijetnja postavlja pitanje hoće li NPSA treba slijediti tužbu NCSC-a i razviti vlastitu osnovnu zaštitnu sigurnost kao ekvivalent CE. Međutim, da se bavi prijetnjom i izgradili istinsku otpornost, vjerujemo da je Velika Britanija potreban pristup koji nadilazi osnovne linije i informiše se rizikom.
Postoji li osnovna linija zaštitne sigurnosti?
CE certifikat predstavljen je 2014. godine. On prikazuje osnovni nivo sigurnosti koji je namijenjen univerzalno primjenjivom i rizikuju agnostički. NCSC tvrdi da je CE “pogodan za sve organizacije ili bilo koju veličinu u bilo kojem sektoru”. CE se procjenjuje bez reference na organizaciju ili njegov profil rizika jer su CE kontrole usmjerene na robne napade koji su sveprisutni za internetske organizacije.
Nakon 10 godina broj organizacija koje se certificira pod CE nastavlja se povećati iz godine u godinu. NCSC također planira da se sheme proširi kako bi se poboljšali rizici lanca opskrbe. Ova dostignuća, bez obzira na sugestije da je usvajanje CE-a niže od očekivanog, s jednim izvještajem navodeći da unos ostaje ispod 1% prihvatljivih organizacija.
Argument za osnovnu certifikaciju Cyber sigurnosti je dobar; Jačanje cyber sigurnosti pojedinih organizacija dovodi do otpornijeg ekosustava i javno je dobro. Kontrole uključene u CE su dovoljno univerzalne da nema potrebe za primjenom da se odnosi na određenu procjenu rizika organizacije.
Međutim, postoje razlozi za ispitivanje da li bi moglo biti efikasna CE-ekvivalentna osnovna sigurnost za zaštitu zaštite.
Prvo je teže identificirati jedinstvenu zajedničku razinu zaštitne sigurnosti “osnovne”. CE je fokusiran na pet osnovnih sigurnosnih kontrola koja se primjenjuju na bilo koju organizaciju. Nije jasno da se sličan osnovni skup kontrola može izgraditi kako bi se istovremeno bavila područja različita kao fizička sigurnost, prijetnja insajderom ili sigurnost istraživačke suradnje.
Drugo, CE kontrole bi se gotovo sigurno zasigurno dupliciralo u bilo kojoj zaštitnoj sigurnosti. Ovo bi moglo odvratiti organizacije koje već imaju CE od traženja nove certifikacije – u vrijeme kada relativno malo organizacija ima CE.
Treće, stvaranje zasebnih NCSC i NPSA osnovnih certifikata pojačalo bi silose između različitih aspekata sigurnosti. Trebali bismo kretati prema pristupu u kojem organizacije usvajaju proporcionalan pristup sigurnosti koja se bavi prijetnjama bez obzira na njihovo sredstvo za realizaciju.
Pokušaj ogledala CE u zaštitnom sigurnosnom prostoru, stoga rizikuje da opadaju između dvije stolice; Biti pretjerano naporan za većinu organizacija, dok je nedovoljan za borbu protiv istinskih prijetnji. Istovremeno, rizikuje jačanje nebožan fizičko-cyber podjele u pristupu mnogim organizacijama sigurnosti.
Izgradnja otpornosti protiv prijetnji
CE ostaje relevantan na tehničkom nivou, ali način na koji je uokviren sve više čini se kao što se drži iz ranije geopolitičke dobi.
Industrija cyber sigurnosti često prikazuje svoj rad kao prvenstveno tehničke i nepristupljene. Cyber pretnje mogu se predstaviti kao bezlična – neizbježna posljedica bivanja na mreži. NCSC se odnosi na CE kao “Osnovna kiberna higijena” i slične metafore iz javnog zdravlja ili ekologije redovno se raspoređuju na “de-sekuritizira” ove sigurnosne kontrole.
Suprotno tome, Velika Britanija postala je sve eksplicitna o pogoršanju okoliša prijetnje i nužnost usklađenog odgovora. Ta razmjena razmjene vjerojatno će ubrzati jer vlada Velike Britanije gradi javni slučaj neophodan za značajno povećanje odbrane potrošnje.
To bi se takođe uskladovao sa raširenim nacionalnim razgovorom Velike Britanije o otpornosti na otpornost na domene i sektore. Predstojeće račune za cyber i otpornost (CSRB) je primjer ovog trenda. Iako je CSRB prvenstveno ciljano na bolstering cyber odbrane za kritične usluge, dio je skupa paralelnih napora za fizičku sigurnost, ekonomsku stabilnost i spremnost u zajednici koji imaju za cilj holistički pristup prijetnjama.
Okvir za otpornost na vladi u Velikoj Britaniji opisuje sve opasnosti, koji pokriva sve od ekstremnih vremenskih prilika i pandemije za opskrbu poremećajima lanca i CNI kvarovi i naglašava pripremu i prevenciju u cijeloj društvu. Stvorena je i novo vijeće za nacionalnu sigurnost o otpornosti, predsjedavao je kancelarom Duchyja Lancastera i čine se državne sekretare za širok spektar sektora. Odvojena shema certificiranja “fizičke sigurnosti” poticala bi se u suprotnosti sa trendom ka holističkom pristupu otpornosti.
Jedinstvena sigurnosna certifikacija zasnovana na riziku
Umjesto razvijanja zasebnih potvrda, bolja opcija bi bila objedinjena sigurnosna sertifikacija za otpornost na rizične organizacije. Ovaj bi model nadopunio utvrđene osnovne osnove poput CE.
Za razliku od osnovnog pristupa CE-a, polazna točka za novu certifikaciju bila bi vjerodostojna procjena rizika organizacije. Ova bi se procjena bila integrirana, premošćivanje sigurnosnih domena poput cyber, fizičkog i osobnog osiguranja.
Iza toga, okvir bi bio modularan, odražavajući nepostojanje jedinstvene organizacije-agnostičke osnovne linije u zaštitnoj sigurnosti. Shema bi potvrdila da je organizacija poduzela proporcionalne mjere zaštite sigurnosti kao odgovor na vlastitu procjenu rizika.
Postizanje ovog standarda zahtijevao bi značajan napor i ne bi bio prikladan za većinu organizacija. Proces certifikacije nužno bi bio dubinija od procesa za CE. Ipak, iskorištavanjem jedinstvenog profiliranja rizika i međusektorskog suradnje između NCSC-a i NPSA-e, ovaj pristup bi omogućio organizacijama da pređu kontrolne popise za usklađenost kako bi se postigla originalna otpornost.
Ova certifikacija bi bila popraćena kampanja za podizanje svijesti koja je Frank o geopolitičkoj prijetnji suočenoj u organizaciji za rizike. Bilo bi važno jasno da to nije posao kao i obično “.
Ovaj pristup smanjio bi umor za certificiranje, dok je isporučio robustan, adaptivni odbrambeni držanje. Poravnava se sa predstojećim zakonodavstvom otpornosti, a sa širim nacionalnim pogledom otpornosti kao poželjnog postignuća u svemurnijeg geopolitičkog krajolika.
Neil Ashdown je šef istraživanja za Tyburn St Raphael, sigurnosno savjetovanje.
Tash Buckley je bivši istraživački analitičar u Rusi i sigurnosnog edukatora i predavača, koji istražuju cyber moć i raskrižje nauke, tehnološke inovacije i nacionalne sigurnosti.