Zgrada elastične cyber prijeteće obavještajne zajednice

Veličina je bitna

To je dovelo do moje prve ključne lekcije – važnosti veličine.

Uzmi, na primjer, kada sam radio sa nacionalnom centralnom bankom za izgradnju CTI zajednice. Uprkos trudu i puno dobrih namjera, inicijativa je tužno osuđena na neuspjeh. Zašto? Zato što su najveće banke zemlje već imale svoju, manju, visoko pouzdanu mrežu. Jednostavno nisu želeli deliti inteligenciju izvan te grupe.

Ovdje je argument prilično jednostavan. Nijedna financijska institucija nije individualno otporna. Cyber ​​rizik pogađa sve i banke imaju odgovornost za zaštitu šireg finansijskog ekosustava.

Na drugoj krajnosti primijetio sam aktivnu globalnu centar za razmjenu i analizu informacija (ISAC) gdje su desetine članova sudjelovali u pozivima, ali vrlo malo vrijednosti je razmijenjena. Ovdje je pitanje bilo da je zajednica bila prevelika. Ljudi jednostavno nisu bili voljni dijeliti inteligenciju sa ličnostima bez lica koje nisu znali i samim tim.

Dakle, jasno da CTI zajednice moraju biti dovoljno velike da oni zapravo imaju utjecaj na cijeli ekosustav, ali i dovoljno male da se razvijaju za to pouzdane veze.

Inteligencija vs. Podaci

Moja druga lekcija ključa bila je oko stalne borbe zbog definicije “inteligencije”. Izraz koji dobro znamo, ali starije zajednice, izgrađene iz IT timova, borili su se da razumeju. Mnoge CTI zajednice bile su vrlo taktičke, fokusirane samo na pokazatelje kompromisa (IOCS) koji su dijelili putem platformi poput platforme za dijeljenje informacija o zlonamjernim softverima (MISP). Ali u stvarnosti, ovo nije bila inteligencija. To je bila razmjena podataka o prijetnji.

Razgovor je potreban za povišenje, pa sam se zalagao za šire rasprave o informacijama o prijetnji, strateškim inteligencijskim i najboljim praksama. Takođe, ta inteligencija je bila potrebna za prilagođavanje različitim publikama. Na primjer, automatizirani izlazi podataka za analitičare; Tehnički radovi za cyber stručnjake; Sažeci obavještajnih službi za cisos i strateške izvještaje i skeniranje horizonta za rukovodioce i članove odbora. Obaveštajni saveznici koji su bili relevantni za njih i njihovu jedinstvenu zajednicu.

U konačnici, obavještajne proizvode moraju imati jasan “pa šta?” To identificira ono što inteligencija znači i presudno ono što bi donosioci odluka trebali učiniti s tim. Malo je ukazivanja na prijetnju inteligenciji ako nema kontekst i ne obavještava donošenje odluka.

Navigacija pravnog izazova

Očito su zakonske zabrinutosti u zajednicama koje razmjenjuju obavještaja. Nažalost, oni su u prošlosti korišteni kao izgovor da ne dijele. GDPR, na primjer, u početku je uzrokovao nesigurnost, ali s vremenom organizacijama su shvatile da propisi o privatnosti podataka nisu trebali biti barijere, oni su smjernice za strukturirane razmjene.

Za ublažavanje zabrinutosti privatnosti, najuspješnije zajedničke zajednice obavještajnih podataka provodit će centralizirane ugovore i zadatke na osiguravanju zaštite od odgovornosti, zajedno sa dijeljenjem smjernica koje definiraju dopuštenu razmjenu podataka u okviru pravnih okvira i automatizirane obrade podataka o prijetnji.

Spavanje – uspješan okvir

Okvir CIISI-eu je svjedočanstvo o moći povjerenja razmjene obavještajnih podataka. Prije pet godina, Europska odbora za otpornost na cyber (ECRB) i Europska centralna banka (ECB) razgovarali su o stvaranju male, ali visoko efikasne zajednice fokusirane na strateške uvide, najbolju razmjenu prakse i operativnu inteligenciju. Iz ove inicijative uspostavljen je CIISI okvir i od tada su usvojili druge nacije.

Sastoji se od 26 entiteta – uključujući i Secaliance i prijetnja kao centralizirana inteligencionalna funkcija – uz Europol i Enisa, CIISI udara pravi balans između taktičke, operativne i strateške inteligencije. Okuplja zajednička istraživanja, koordinirane obavještajne funkcije, radionice i obuku, kako bi se osiguralo da donosioci odluka na svim nivoima imaju pristup relevantnim obavještajnim proizvodima.

Definiranje jačine okvira je da je ECB ne samo provodila samo, već je također objavio svoj izgled bijelog papira i obavještajnog dijela, omogućavajući drugim organizacijama i nacijama da nauče iz svog pristupa.

Nakon što je bio direktno uključen u stvaranje Ciizija, mogao sam primijeniti njegove principe za kopiranje sličnih okvira u različitim zemljama, a prilagođavajući se svakom za postavljanje specifičnih sektorskih, kulturnih i zrelosti. Međutim, dok svaka zajednica ima svoje jedinstvene potrebe, određeni temeljni principi su konstantni.

Prvo, inteligencija treba dijeliti što je moguće šire u okviru odgovarajućih klasifikacijskih nivoa kako bi se maksimizirao njegov utjecaj uz očuvanje povjerenja. Zajednice moraju biti dovoljno velike da bi vozele smislene ishode, ali dovoljno male za održavanje potrebnog nivoa povjerenja među članovima.

Važno je razviti obavještajne proizvode prilagođene različitom publiku, osiguravajući angažman na izvršnom nivou za osiguranje burnog otkupa i financiranjem.

Izgradnja povjerenja je kamen temeljac uspješne razmjene obavještajnih podataka. I zato je sastanku licem u lice barem dva puta godišnje zaista važno za jačanje odnosa među članovima zajednice.

Procjene obavještajnih podataka, informativni uvidi i podaci trebaju se aktivno razmijeniti, a automatizacija igranju ključne uloge u tome da ovaj proces učini efikasnijim. Sada 2025. godine dijeljenje taktičke obavještavanja u velikoj mjeri treba biti više automatizirano, što više vremena omogućava više vremena o operativnim i strateškim rezultatima. Uspostavljanje centralizovane platforme je ključno, pomicanje inteligencije koja se dijeli od fragmentiranih kanala kao što su e-pošta i WhatsApp. Ova platforma mora distribuirati ne samo pokazatelje kompromisa (iocs), već i gotove obavještajne proizvode i strateške izvještaje. Mora biti ljudska središnja i jednostavna za upotrebu za sve vrste korisnika, a ne samo tehničke ekipe. Mora kontrolirati širenje u zajednici, ali i organizacijskom i individualnom nivou kako bi se omogućilo članovima da kontroliraju pristup njihovoj inteligenciji.

Namjenska obavještajna služba je neophodna za diseminaciju, identificirati obrasce, dodavanje procjena i djelovati kao katalizator za angažman. Da bi ojačali posvećenost, članovi bi se trebali prijaviti na povelju, pravilnik ili formalni zadatak, koji su umanjili svoje obveze za doprinos inteligenciji. Uz to, pružanje predložaka i okvira politike mogu pomoći organizacijama da se kreću u internim pravnim izazovima, osiguravajući da regulatorne barijere ne ugušuju saradnju.

CIISI je pokazao da su pravilno provedeni, strukturirani okviri za razmjenu obavještajnih podataka mogu pokrenuti stvarni utjecaj. Njeni principi i dalje oblikuju zajednice širom svijeta, preraspodjeljujući kako se inteligencija razmjenjuje, prerađuje i djeluje nakon poboljšanja cyber otpornosti na nacionalnim i sektorskim nivoima.

2025. i šire, jer cyber pretnje i dalje evoluiraju, zajednice za razmjenu inteligencije moraju se nastaviti prilagođavati postati strateškiju, kolaborativniju i utjecajniju. Principi navedeni u ovom članku pružaju obris za izgradnju elastičnih, efektivnih CTI ekosustava koji doprinose nacionalnoj i sektorskoj i sektorskoj otpornosti za životinje.