Υπό το πρίσμα των σύγχρονων απειλών παρατηρούμε την ανάγκη για αλλαγή και εξέλιξη της στρατηγικής προστασίας των οργανισμών. Γι’ αυτό και αναγνωρίζεται η ψηφιακή ανθεκτικότητα ως πρόσθετο πλαίσιο άμυνας από την κυβερνοασφάλεια. Η ψηφιακή ανθεκτικότητα τονίζει την ανάγκη ενίσχυσης όχι μόνο των προληπτικών μέτρων προστασίας από απειλές αλλά και την ικανότητα των οργανισμών να διασφαλίζουν τη λειτουργία τους ακόμα και μετά από κάποια επίθεση. Την επιτακτικότητα αυτή έχουν αναγνωρίσει και οι νομοθέτες και ιδιαίτερα σε κρίσιμους κλάδους όπως ο χρηματοοικονομικός. Αυτό αποτυπώνεται σε κανονισμούς όπως ο Κανονισμός για την Ψηφιακή Ανθεκτικότητα – Digital Operational Resilience Act (DORA).
Παναγιώτα Λαγού
GRC Director
ADACOM,
www.adacom.com
Ο DORA ορίζει το ελάχιστο επίπεδο ψηφιακής ανθεκτικότητας που πρέπει να εφαρμόζουν χρηματοοικονομικές οντότητες για να διατηρούν τη λειτουργία τους μετά από μία κυβερνοεπίθεση. Οι κύριες περιοχές που αναγνωρίζονται ως κρίσιμες είναι η διαχείριση κινδύνων, διαχείριση τρίτων μερών, αναφορά παραβιάσεων, οργάνωση τεχνικών ελέγχων και ανταλλαγή γνώσεων και ενημερώσεων για κυβερνοεπιθέσεις και απειλές. Ο κανονισμός αυτός θα πρέπει να εφαρμοστεί σε πληθώρα οργανισμών διαφορετικού μεγέθους, ιδιωτικού και δημόσιου τομέα. Οι προκλήσεις εφαρμογής πολλές και πολυδιάστατες.
Ανθρώπινοι πόροι
Η υλοποίηση των μέτρων ψηφιακής ανθεκτικότητας σε όλες τις διεργασίες απαιτούν εξειδικευμένες γνώσεις σε πολλά επίπεδα διακυβέρνησης, σχεδιασμού, δοκιμών και τεχνικών υλοποιήσεων. Η επιλογή, διαμόρφωση και επιτυχημένη λειτουργία των αναγκαίων μέτρων απαιτεί εμπειρία και ειδικές δεξιότητες αλλά και προσεκτική αξιολόγηση του περιβάλλοντος ενός οργανισμού, του τρόπου λειτουργίας του, την κουλτούρα που διέπει τις δραστηριότητές του, πάντα σε συνάρτηση με το μέγεθός του και την κρισιμότητα των δραστηριοτήτων του. Εξειδικευμένα στελέχη κυβερνοασφάλειας και ψηφιακής ανθεκτικότητας σε οργανωτικό και τεχνολογικό επίπεδο πρέπει να συμβάλουν για την επίτευξη της απαιτούμενης συμμόρφωσης. Ο ρόλος ή/και ομάδα του Υπεύθυνου Ασφάλειας Πληροφοριών (Information Security Officer) είναι απαιτητό να υποστηρίζεται από τέτοια στελέχη.
Διακυβέρνηση
Η ανάπτυξη της στρατηγικής κυβερνοασφάλειας και ψηφιακής ανθεκτικότητας είναι προαπαιτούμενα για την επιθυμητή κανονιστική εναρμόνιση. Η αποδοτική εφαρμογή της στρατηγικής θα πρέπει να διασφαλίζεται από επιμέρους θεματικές πολιτικές, διαδικασίες και πλάνα. Το μοντέλο διακυβέρνησης θα πρέπει να καλύπτει την προστασία των λειτουργιών από κυβερνοεπιθέσεις με βάση τα αποτελέσματα της αξιολόγησης κινδύνων και ταυτόχρονα τον εντοπισμό και απόκριση σε μία απειλή, την επιχειρησιακή συνέχεια και ανάκαμψη από καταστροφή. Λαβαίνοντας υπόψιν την εξάρτηση που έχουν πλέον οι οργανισμοί από τρίτα μέρη και την επίπτωση που έχουν εξωτερικές ενέργειες και δραστηριότητες στην εσωτερική προστασία και ανθεκτικότητα, η διαχείριση ασφάλειας τρίτων μερών και ιδιαίτερα κρίσιμων παρόχων ΤΠΕ (Τεχνολογίες Πληροφορικής και Επικοινωνιών) αποτελεί αναπόσπαστο τμήμα της στρατηγικής και διακυβέρνησης κυβερνοασφάλειας και ψηφιακής ανθεκτικότητας.
Τεχνολογίες
Η συμβατότητα με τον DORA δυσχεραίνεται από τον σύγχρονο τρόπο διαχείρισης πληροφοριών και διεργασιών. Η πληροφορία πλέον είναι σε πολλά, διαφορετικά σημεία, σε φυσικά data centers, σε cloud περιβάλλοντα, σε ΙΤ & ΟΤ συστήματα αλλά και προσβάσιμη από πολλά σημεία, εντός δικτύου του οργανισμού και απομακρυσμένα από σταθερούς υπολογιστές αλλά και φορητές συσκευές. Η προστασία επιβάλλεται να είναι καθολική και πολυεπίπεδη, σε επίπεδο δικτύου, τελικού τερματικού και χρήστη. Ο σχεδιασμός και υιοθέτηση Στρατηγικής Μηδενικής Εμπιστοσύνης (Zero Trust Strategy) είναι επιτακτική. Τεχνολογικές λύσεις όπως firewalls, MDM (Mobile Device Management), DLP (Data Leakage Prevention), PAM (Privileged Access Management), λύσεις κρυπτογράφησης κατά τη μεταφορά και αποθήκευση, OT security, virtual patching είναι αναγκαίο να περιλαμβάνονται στο βασικό σχεδιασμό του τεχνολογικού περιβάλλοντος των οντοτήτων στο πεδίο εφαρμογής του DORA.
Δοκιμές & Παρακολούθηση
Τεχνικοί έλεγχοι, αξιολογήσεις ευάλωτων σημείων και τακτικές δοκιμές παρείσδυσης σε εσωτερικό και εξωτερικό περιβάλλον, με αυστηρή σύγχρονη μεθοδολογία που λαβαίνει υπόψιν το περιβάλλον απειλών (Threat Led Penetration Test) δεν είναι πλέον βέλτιστη πρακτική αλλά άμεση κανονιστική υποχρέωση, η έλλειψη της οποίας δύναται να οδηγήσει σε υψηλά πρόστιμα. Παράλληλα, ο συντονισμός και παρακολούθηση υποχρεώσεων που πρέπει να ενσωματωθούν σε διαφορετικές πτυχές σε μια χρηματοοικονομική οντότητα, από διαφορετικά τμήματα, αναλύοντας ποικίλες πηγές πληροφοριών και διοχετεύοντας την πληροφορία σε εσωτερικούς και εξωτερικούς φορείς δεν είναι εύκολο να διεξαχθεί χωρίς την υποστήριξη από αυτόματο εργαλείο/πλατφόρμα (eGRC) που παρέχει εύκολη και γρήγορη αποτύπωση μιας σύνθετης κατάστασης όπως και ανάδειξη αλληλοεξαρτήσεων και προβλημάτων.
Υπηρεσίες Εντοπισμού & Απόκρισης
Η ψηφιακή ανθεκτικότητα απαιτεί επίσης συνεχή παρακολούθηση δικτυακής κίνησης και ενεργειών χρηστών σε λογικό επίπεδο, με τη χρήση υπηρεσιών SOC Services (Security Operations Center), άμεσες, αυτόματες ενέργειες που ενισχύονται από υιοθέτηση τεχνητής νοημοσύνης (AI – Artificial Intelligence) και ανάλυση απειλών σε πραγματικό χρόνο (Real Time Threat Intelligence). Οι υπηρεσίες αυτές συνδυάζονται με εξειδικευμένες υπηρεσίες Ανταπόκρισης σε Παραβιάσεις (Incident Response Services και forensics).
Συνοψίζοντας την παραπάνω ανάλυση, η πορεία για την τήρηση των διατάξεων του DORA πρέπει να είναι προσεκτικά σχεδιασμένη, άρρηκτα συνδεδεμένη με την αξιολόγηση του περιβάλλοντος κινδύνων και με κριτήριο την επίτευξη υψηλού επιπέδου προφύλαξης πληροφοριών και λειτουργίας των χρηματοοικονομικών οντοτήτων.
