Firmom nie jest łatwo zrozumieć, jak zachować zgodność regulacje dotyczące globalnego bezpieczeństwa i odporności; nie ma jednego miejsca, w którym gromadzą się wszystkie regulacje, a interpretacja polityk często leży w gestii regionalnych zespołów ds. zgodności i liderów ds. bezpieczeństwa, co prowadzi do braku spójnego myślenia i skrajnie odizolowanego podejścia.
Jednakże, chociaż zawsze będą występować niuanse wynikające z jurysdykcji geograficznej, w której działa firma, pojawia się kilka globalnych tematów regulacyjnych:
- Odporność operacyjna i bezpieczeństwo są w tej chwili równie ważne jak odporność finansowa
- Kluczowe znaczenie ma przejrzystość i terminowe raportowanie
- Skoncentruj się na podstawowych kontrolach cybernetycznych
- Postępuj adekwatnie dla swoich klientów, a reszta przyjdzie sama.
Odporność operacyjna i bezpieczeństwo są w tej chwili równie ważne jak odporność finansowa
Szereg przepisów koncentruje się na konieczności zidentyfikowania najważniejszych usług, jakie firma oferuje swoim klientom i rynkom, oraz zapewnienia ich przede wszystkim bezpieczeństwa. Przykłady obejmują Budowanie odporności operacyjnej przepisów obowiązujących w Wielkiej Brytanii i Wielkiej Brytanii Ustawa o cyfrowej odporności operacyjnej (DORA) w UE.
Regulacje te wprowadzono, ponieważ panowało przekonanie, iż firmy często skupiają się na odporności finansowej, ale awarie spowodowane wykorzystaniem luk w zabezpieczeniach lub awarią operacyjną zdarzały się zbyt regularnie i zakłócały życie klientów. W ostatnich latach było wiele przykładów poważnych przestojów spowodowanych problemami cybernetycznymi, operacyjnymi i łańcuchem dostaw, m.in Uderzenie tłumu, Chcę płakać oraz liczne awarie mające wpływ na branżę lotniczą.
Firmy muszą określić swoje najważniejsze usługi i chronić infrastrukturę niezbędną do ich świadczenia. Zwykle osiąga się to poprzez sprawdzenie, jakie szkody wyrządziłaby przerwa w świadczeniu usług, a następnie odpowiednie podzielenie usług na poziomy. Najwięcej inwestycji i ochrony należy zapewnić najważniejszym usługom.
Kluczowe znaczenie ma przejrzystość i terminowe raportowanie
Kiedy coś pójdzie nie tak, organom regulacyjnym zależy na zrozumieniu szczegółów. Szereg przepisów na całym świecie koncentruje się na konieczności terminowego zgłaszania problemów związanych z bezpieczeństwem, cyberprzestrzenią i odpornością. Przykłady obejmują Ustawa o zgłaszaniu incydentów cybernetycznych w zakresie infrastruktury krytycznej (CIRCIA) w USA wymogi dotyczące raportowania zgodnie z DORA w UE i powiadamianie o naruszeniach w przypadku incydentów związanych z prywatnością na całym świecie, np. w ramach RODO.
Firmy powinny upewnić się, iż mogą terminowo zgłaszać incydenty cybernetyczne i operacyjne, wiedząc, kto sporządzi i zatwierdzi powiadomienie oraz kto będzie współpracował z każdym organem regulacyjnym. Organy regulacyjne muszą być następnie informowane o postępie incydentu, w tym o działaniach organizacji, aby rozwiązać incydent.
W każdej jurysdykcji mogą obowiązywać inne ramy czasowe dotyczące raportowania, dlatego ważne jest prowadzenie rejestru przepisów i wymagań dotyczących raportowania (aktualizowanego co najmniej raz w miesiącu). Istnieją narzędzia, które mogą to zautomatyzować, co może zmniejszyć wysiłek wymagany przez duże globalne organizacje, aby być na bieżąco z wymogami raportowania regulacyjnymi.
Skoncentruj się na podstawowych kontrolach cybernetycznych
Niektóre jurysdykcje zdecydowanie popierają skupienie się na podstawowych kontrolach cybernetycznych. Na przykład w USA każda firma, która chce oferować usługi w chmurze rządowi federalnemu, musi posiadać certyfikat zgodnie z art FedRAMP zapewniający wprowadzenie podstawowych mechanizmów kontroli cybernetycznej.
Uznane standardy, takie jak ISO27001 I NIST CSF stały się przedmiotem zainteresowania firm, które chcą wykazać, iż stale doskonalą swoje kontrole cybernetyczne. Są również przydatne do sporządzania sprawozdań dla zarządu, gdy członkowie zarządu muszą zrozumieć względną dojrzałość cybernetyczną swojej firmy.
Firmy powinny co najmniej raz w roku dokonywać przeglądu dojrzałości swoich mechanizmów kontroli cybernetycznej w oparciu o uznane standardy. Jest to równie ważne w przypadku kontroli nietechnicznych; na przykład upewnianie się, iż zespoły są przeszkolone w zakresie wykrywania ataków typu phishing, iż regularnie przeprowadzane są ćwiczenia i symulacje reagowania na incydenty oraz iż zachowania przywódców w zakresie cyberbezpieczeństwa i odporności są w pełni dostosowane do ochrony firmy i jej klientów.
Postępuj adekwatnie wobec swoich klientów, a reszta przyjdzie sama
Z większości nowych przepisów wynika, iż skupienie się na ochronie klientów doprowadzi do ogólnej poprawy bezpieczeństwa. Niektóre jurysdykcje poszły dalej i wydały regulacje mające na celu ochronę tych skutków (takie jak cło konsumenckie w brytyjskiej branży usług finansowych).
Często, gdy dzieje się najgorsze, kluczową (choć często zapominaną) częścią reakcji jest sposób, w jaki firma pomaga swoim klientom poradzić sobie z zakłóceniami. Następstwa cyberataku mogą trwać miesiącami, a choćby latami, po czym następuje niemal nieuniknione dochodzenie (niektóre z nich wynikają z wymagań regulacyjnych).
Chociaż stare powiedzenie „zawsze łącz bank z bankiem, który właśnie został okradziony” może być nieco wymyślone, jest w nim element „antykruchości” polegający na tym, iż działalność firmy zyskuje na sile pod wpływem od czasu do czasu stresu. Firmy są często oceniane na podstawie siły ich reakcji na klientów i rynki; ci, którym się to uda, często wychodzą silniejsi i odporniejsi.
Rządy zawsze chętnie podkreślają znaczenie zmniejszania obciążeń regulacyjnych i nikt nie może argumentować, iż regulacje nie powinny spowalniać innowacji. Istnieje jednak ogólne przekonanie, iż społeczeństwo, konsumenci i rynki były niedostatecznie chronione przed skutkami cybernetycznymi i operacyjnymi, a organy regulacyjne zajmują się w tej chwili tymi obawami. Oznacza to, iż jest mało prawdopodobne, iż w najbliższym czasie odwrócimy uwagę od cyberbezpieczeństwa, odporności operacyjnej i regulacji łańcucha dostaw.
Adam Stringer jest dyrektorem ds. cyberbezpieczeństwa, prywatności i odporności operacyjnej w usługach finansowych w firmie Konsulting PA
