Gdy Twoja organizacja staje się przedmiotem negatywnych wiadomości, najważniejsze znaczenie ma skuteczna i strategiczna reakcja w celu zminimalizowania szkód i odbudowania zaufania interesariuszy.
Wyciąganie wniosków z takich doświadczeń i planowanie zapobiegania przyszłym incydentom to najważniejsze wnioski. W naszej branży awarie zabezpieczeń mogą być katastrofalne, gdy organizacje nie są w stanie funkcjonować, jak widać w ostatni incydent CrowdStrike. Pomimo wielu sukcesów, CrowdStrike w przeszłości spotkał się z wieloma epizodami krytyki, w tym podczas włamanie do Komitetu Krajowego Demokratów w 2016 r. śledztwo w sprawie przedwczesnego przypisania ataku Rosji. Niedawno wadliwa aktualizacja ich platformy Falcon doprowadziła do powszechnych awarii systemu, które dotknęły podmioty takie jak NHS, HSBC i kilka lotnisk w Wielkiej Brytanii, a 500 największych amerykańskich firm poniosło szacowane straty w wysokości 5,4 mld USD, z wyłączeniem Microsoftu.
Ludzie często wyciągają wniosek, iż każdy problem jest kwestią bezpieczeństwa, zakładając, iż musi być w to zamieszany „zły facet”. Ale co dokładnie rozumiemy pod pojęciem problemu bezpieczeństwa? Czy jest to problem bezpieczeństwa tylko wtedy, gdy jest w to zamieszany złośliwy aktor?
To nastawienie jest kontrproduktywne dla zespołów ds. bezpieczeństwa i nieprzydatne dla firm w zarządzaniu ryzykiem bezpieczeństwa informacji. Wpływa na sposób, w jaki podchodzą do bezpieczeństwa w swojej kulturze i w kontaktach z pracownikami.
Specjaliści od cyberbezpieczeństwa stają przed wieloma wyzwaniami
Specjaliści ds. cyberbezpieczeństwa stają przed licznymi wyzwaniami wykraczającymi poza codzienne zadania, w tym niedobory umiejętności, ograniczenia czasowe i niewystarczające budżety lub szkolenia. W Wielkiej Brytanii ta luka w umiejętnościach jest oczywista, ponieważ połowa firm polega tylko na jednej osobie w zakresie cyberbezpieczeństwa. Nawet większe organizacje rzadko mają zespoły liczące więcej niż pięć osóbSpecjaliści ds. cyberbezpieczeństwa mają problemy z uaktualnianiem swoich umiejętności i rekrutacją talentów z powodu niedoborów kadrowych, niedofinansowania i presji.
Spośród 53% firm sektora cybernetycznego z wakatami od 2021 r. 67% zgłosiło trudności z obsadzeniem stanowisk, co jest zgodne z wcześniejszymi ustaleniami badania Ipsos Cyber Security Skills in the UK Labour Market 2022. Głównymi wyzwaniami są brak kandydatów z wiedzą techniczną oraz oferowanie niskiego wynagrodzenia lub świadczeń w porównaniu z wymaganiami ról.
Cyberprofesjonaliści są przytłoczeni ilością pracy, częściowo z powodu rozwiązań reklamowanych jako kompleksowe poprawki, które jedynie zwiększają ich obowiązki kierownicze. Zespoły cybernetyczne nieustannie starają się robić więcej mniejszym kosztem. Połowa profesjonalistów cyberbezpieczeństwa podaje swoje codzienne obciążenie pracą jako główny czynnik stresujący, podczas gdy 30% traci sen z powodu zagrożenia cyberatakami.
Społeczność cyberbezpieczeństwa również stoi w obliczu ogromnej presji, aby utrzymać nieskazitelną reputację, co podkreśla wysokie wymagania i oczekiwania wobec nich. Większość zespołów jest tak zajęta bezpośrednimi zagrożeniami, iż brakuje im przepustowości, aby przewidzieć przyszłe wyzwania. Problem ten pogłębia nasze uzależnienie od kilku gigantów technologicznych: Microsoft dominuje w oprogramowaniu biurowym, a jednocześnie jest liderem w zakresie przechowywania danych w chmurze obok Amazon, pozostawiając organizacjom ograniczony wybór.
Nadmierne poleganie na głównych dostawcach, takich jak Microsoft lub Amazon, może prowadzić do kilku wyzwań dla organizacji, w tym uzależnienia od dostawcy, zmniejszonej siły negocjacyjnej i zwiększonego ryzyka bezpieczeństwa. Może również tłumić innowacyjność i ograniczać opcje dostosowywania ze względu na ujednolicony charakter tych platform. Zależność od jednego dostawcy zwiększa podatność na przerwy w świadczeniu usług i może z czasem skutkować wzrostem kosztów. Ponadto organizacje mogą mieć trudności z zapewnieniem prywatności danych i zgodności w różnych jurysdykcjach. Aby złagodzić te ryzyka, zaleca się, aby organizacje zdywersyfikowały swój stos technologiczny i przyjęły strategię obejmującą wielu dostawców w celu zwiększenia elastyczności i odporności.
Zespoły ds. bezpieczeństwa nie są tam tylko po to, aby zwalczać złośliwych aktorów; odgrywają one kluczową rolę w rozwiązywaniu incydentów bezpieczeństwa i łagodzeniu problemów wynikających z niewystarczającego przeszkolenia lub złej kultury organizacyjnej. Skupianie się wyłącznie na przypisywaniu winy podważa skuteczne praktyki bezpieczeństwa i tworzy toksyczne środowisko. jeżeli celem jest znalezienie kozłów ofiarnych, zniechęci to utalentowane osoby do pracy w tak karnym środowisku. Zamiast tego powinniśmy pielęgnować kulturę odpowiedzialności i współpracy, w której zespoły ds. bezpieczeństwa są upoważnione do ochrony i edukacji, a nie tylko reagowania i obrony. 50% specjalistów ds. cyberbezpieczeństwa stwierdziło, iż ich dwoma głównymi źródłami stresu są codzienne obciążenie pracą, podczas gdy 30% nie może spać w nocy z myślą o potencjalnym ataku cybernetycznym.
Co stanowi incydent cybernetyczny?
Oczywiście incydent CrowdStrike został początkowo sklasyfikowany jako problem niezwiązany z cyberbezpieczeństwem, ale należy go tak traktować, ponieważ spowodował, iż jeden lub więcej systemów informatycznych stało się niedostępnych. Często dyskusje na temat cyberbezpieczeństwa koncentrują się wąsko na naruszeniach danych i danych osobowych, podczas gdy inne rozważają tylko awarie systemów informatycznych. Potrzebujemy kompleksowej definicji, która obejmuje wszystkie te aspekty. Każda nieplanowana awaria systemu, która zakłóca legalny dostęp, kwalifikuje się jako incydent informacyjny. Dlatego jeżeli zdefiniujemy „incydent cybernetyczny” jako „incydent informacyjny”, dokładnie oddaje to naturę sytuacji CrowdStrike.
Wiara, iż incydent cyberbezpieczeństwa wymaga złośliwego aktora, pomija wpływ przypadkowych błędów wewnętrznych lub błędnych konfiguracji naszych zespołów IT lub partnerów łańcucha dostaw. Koncentrując się na terminie „cyber”, ryzykujemy zignorowanie szerszego zakresu zagrożeń i zmniejszenie naszej skuteczności w obsłudze incydentów. Musimy zdać sobie sprawę, iż cyberbezpieczeństwo obejmuje zarówno ataki zewnętrzne, jak i wewnętrzne nieszczęścia, i odpowiednio dostosować nasze strategie, aby zapewnić kompleksową ochronę.
Organizacje mogą dostrzegać nakładanie się zespołów ds. cyberbezpieczeństwa i zarządzania informacją, ponieważ ramy cyberbezpieczeństwa, takie jak te z NCSC i NIST, obejmują więcej niż tylko IT. Ramy te obejmują elementy takie jak ludzie, majątek, ciągłość działania i informacje, tradycyjnie postrzegane jako część zapewnienia informacji. Oznaczanie wszystkich tych elementów jako „cybernetycznych” stwarza wyzwania dla zespołów IT, którym może brakować umiejętności zarządzania obszarami takimi jak audyty zapewnienia łańcucha dostaw. Dla organizacji najważniejsze jest rozpoznanie tej różnicy i upewnienie się, iż zespoły ds. cyberbezpieczeństwa mają jasne zrozumienie swoich obowiązków, aby uniknąć wkraczania w role tradycyjnie obsługiwane przez zespoły ds. zarządzania informacją.
Jeśli istnieje niejasność co do tego, kto zarządza cyberbezpieczeństwem i bezpieczeństwem informacji, kierownictwo musi interweniować, aby wyjaśnić role i zapewnić kierunek. Zapobieganie naruszeniom bezpieczeństwa nie jest wyłączną odpowiedzialnością zespołów cybernetycznych; kierownictwo wyższego szczebla musi zapewnić, iż wszyscy pracownicy przestrzegają najlepszych praktyk bezpieczeństwa. Microsoft niedawno zwrócił uwagę na ten problem, czyniąc bezpieczeństwo najwyższym priorytetem dla wszystkich pracownika, po latach krytyki i niedawnej surowej nagany ze strony rządu USA, który uznał Microsoft za „zagrożenie dla bezpieczeństwa narodowego”.
Integracja dostawców
Chociaż najnowsza historia koncentruje się na CrowdStrike, CrowdStrike i Microsoft są ze sobą powiązane w dziedzinie cyberbezpieczeństwa poprzez swoje uzupełniające się rozwiązania bezpieczeństwa i partnerstwa. CrowdStrike zapewnia zaawansowaną ochronę punktów końcowych i wywiad dotyczący zagrożeń, podczas gdy Microsoft oferuje szereg narzędzi bezpieczeństwa, takich jak Microsoft Defender. Ich produkty często integrują się, aby stworzyć wielowarstwową strategię obrony dla organizacji.
Ostatnie naruszenia bezpieczeństwa Microsoftu obejmowały istotne problemy, takie jak ujawnienie poufnych danych i luk w ich systemach. W szczególności krytyczna wada w serwerze Microsoft Exchangewykorzystywane przez atakujących, doprowadziły do powszechnych naruszeń danych, które dotknęły wiele organizacji. Ponadto, luki w zabezpieczeniach usług w chmurze Microsoftu również były celem ataków, co wzbudziło obawy dotyczące ochrony danych i ogólnego bezpieczeństwa. Incydenty te podkreśliły potrzebę wzmocnienia środków bezpieczeństwa i skłoniły Microsoft do nadania priorytetu bezpieczeństwu w swoich produktach i usługach.
Organizacje takie jak Microsoft i CrowdStrike, które mają znaczący wpływ na globalne systemy bezpieczeństwa, muszą utrzymywać nienaganny standard bezpieczeństwa. Biorąc pod uwagę ich centralną rolę w ochronie niezliczonych systemów, ich procesy i procedury powinny być rygorystycznie zaprojektowane, aby zapobiegać naruszeniom i incydentom. Firmy te powinny być pociągane do odpowiedzialności za najwyższe standardy i doskonałość, odzwierciedlające krytyczną naturę ich obowiązków w zakresie bezpieczeństwa.
Ciągłość działania biznesu i chmura
Przez lata zapewniano nas, iż chmura oferuje lepsze bezpieczeństwo i odporność w porównaniu z rozwiązaniami wewnętrznymi, co prowadziło do oddania kontroli nad naszą własną odpornością. Kiedy dochodzi do incydentów takich jak niedawna awaria CrowdStrike, pojawia się krytyczne pytanie: czy uwzględniliśmy takie scenariusze w naszym planowaniu ciągłości działania i odporności? Czy też błędnie pokładaliśmy ślepą wiarę w nieomylność chmury, zakładając, iż zawsze będzie niezawodna?
Wszystkie organizacje powinny powrócić do swoich planów ciągłości działania i upewnić się, iż obejmują one planowanie odporności na incydenty takie jak ten. Początkowa obietnica chmury była kusząca: niższe koszty, większa zwinność i zwiększona innowacyjność. Jednak rzeczywistość maluje inny obraz. 43% liderów IT stwierdziło, iż przenoszenie aplikacji i danych do chmury było droższe niż oczekiwano, zgodnie z badaniem przeprowadzonym przez Citrix. Repatriacja do chmury, czyli nazwa nadana zmianie, którą obserwujemy w organizacjach, które przenoszą swoje usługi z powrotem do firmy, aby móc nimi samodzielnie zarządzać.
Nasze planowanie ciągłości działania musi być wystarczająco solidne, aby poradzić sobie z potencjalnymi awariami i uniknąć błędnego założenia, iż główni dostawcy usług w chmurze są nieomylni lub z natury lepsi. Poleganie na założeniu, iż bezpieczeństwo jest automatycznie wbudowane w nasze rozwiązania w chmurze, może być mylące, podobnie jak wcześniejsze doświadczenia ze sprzętem zabezpieczającym. Musimy krytycznie oceniać i przygotowywać się na luki w zabezpieczeniach, zamiast ślepo wierzyć w niezawodność chmury.
Nie obwiniaj zespołów cybernetycznych za szersze problemy
Nie obwiniajmy zawodu cyberbezpieczeństwa za niepowodzenia dużych firm technologicznych, gdzie wielu może nie mieć głębokiej wiedzy na temat cyberbezpieczeństwa. Pamiętajmy, iż duże firmy technologiczne stawiają zysk na pierwszym miejscu, a ich złożone systemy, składające się z ogromnych ilości kodu, są zawsze podatne na luki i błędy kodowania, które mogą powodować przerwy w działaniu. Jako specjaliści od cyberbezpieczeństwa jesteśmy odpowiedzialni za zapewnienie, iż nasza wewnętrzna odporność jest wystarczająco silna, aby poradzić sobie z takimi incydentami. Chociaż jest to trudne, biorąc pod uwagę nasze uzależnienie od tych dostawców, niezbędne jest utrzymanie rygorystycznych wewnętrznych zabezpieczeń.
Profesjonaliści ds. cyberbezpieczeństwa często nie są doceniani za swoje sukcesy i są zauważani dopiero wtedy, gdy pojawiają się problemy. Aby poprawić naszą widoczność i postrzeganie, musimy poprawić sposób, w jaki się prezentujemy i skuteczniej integrować z biznesem. Stereotyp zespołów ds. cyberbezpieczeństwa jako odizolowanych i defensywnych wynika częściowo z częstego obwiniania i krytyki, z jaką się mierzą, gdy dochodzi do incydentów. Wiele aspektów tego, co w tej chwili uważa się za „cybernetyczne”, znajduje się poza bezpośrednią kontrolą większości zespołów ds. cyberbezpieczeństwa, mimo to często są one niesprawiedliwie pociągane do odpowiedzialności i karane za problemy pozostające poza ich wpływem.
Skuteczne przywództwo jest najważniejsze w określaniu jasnych obowiązków w naszych zespołach i zapewnianiu, iż starsi liderzy rozumieją, co nasze zespoły ds. cyberbezpieczeństwa komunikują. Przywództwo nadaje ton, a praktyki cyberbezpieczeństwa są zgodne z tymi wytycznymi. Liderzy muszą być dobrze zorientowani w kluczowych zagrożeniach cyberbezpieczeństwa i aktywnie współpracować ze swoimi zespołami, aby wyjaśnić role w zarządzaniu ryzykiem i jego łagodzeniu. Istotne jest, aby przywództwo rozumiało zarówno niuanse cyberzagrożenia, jak i implikacje biznesowe, podczas gdy specjaliści ds. cyberbezpieczeństwa muszą skuteczniej komunikować się w zakresie ryzyka biznesowego. Często starsi liderzy mają trudności ze zrozumieniem szerszego wpływu i mogą nie zdawać sobie sprawy, iż niektóre kwestie wymagają decyzji wykraczających poza kontrolę zespołu ds. cyberbezpieczeństwa. Cyberbezpieczeństwo powinno być zintegrowane z każdym aspektem działalności, a nie postrzegane jako kwestia peryferyjna.
