Zacznijmy od banału, by później mogło być tylko lepiej. Chyba już wszyscy zdajemy sobie sprawę, jak ważne jest bezpieczeństwo infrastruktury krytycznej.
W Polsce standardy w tym zakresie kreuje Rządowe Centrum Bezpieczeństwa poprzez Narodowy Program Ochrony Infrastruktury Technicznej. Na stronie Centrum od 2013 roku umieszczane są dokumenty opisujące program wraz z załącznikami stanowiącymi próbę standaryzacji działań. Ostatnia iteracja pochodzi sprzed dwóch lat – trochę stara, jeżeli weźmiemy pod uwagę wydarzenia z lutego bieżącego roku.
Generalnie do dokumentu „Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje”, będącego załącznikiem do programu, trudno się przyczepić i nie o tym jest ten artykuł. Dokument ma bardzo ogólny charakter i w zasadzie nie przynosi kryteriów oceny czy walidacji poziomów bezpieczeństwa w poszczególnych organizacjach. Dlaczego? Z bardzo prostych powodów – poziomu skomplikowania tematu i różnicy w konstrukcji infrastruktury u poszczególnych podmiotów.
Jak próbują sobie z tym poradzić inni?
Departament Bezpieczeństwa Krajowego – resort w rządzie Stanów Zjednoczonych (DHS) – w zeszły czwartek ogłosił cele polityki cyberbezpieczeństwa, aby pomóc organizacjom – szczególnie w sektorach infrastruktury krytycznej – w ustalaniu priorytetów inwestycji i radzeniu sobie z krytycznymi zagrożeniami.
Zalecenia zostały opracowane przez Agencję Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury DHS we współpracy z Narodowym Instytutem Standaryzacji i Technologii (NIST) w oparciu o informacje zwrotne od partnerów z sektora publicznego i prywatnego.
Są one wynikiem wysiłków Białego Domu na rzecz poprawy cyberbezpieczeństwa Stanów Zjednoczonych. DHS twierdzi, że cele są wyjątkowe, ponieważ pozwalają określić ryzyko nie tylko pojedynczych podmiotów, ale także łączne ryzyko dla całego kraju.
Stosowanie zestawu zaleceń międzysektorowych, które mają być przydatne dla organizacji w zabezpieczaniu jej systemów, jest dobrowolne. Zostały one zaprojektowane w celu uzupełnienia „Ram Cyberbezpieczeństwa” stworzonego przez NIST.
Zalecenia są określane jako wyznaczające podstawowe cele, mierzące wydajność cyberbezpieczeństwa, a koncentrują się na priorytetowym podzbiorze praktyk bezpieczeństwa IT i OT, które mogą pomóc organizacjom znacznie zmniejszyć prawdopodobieństwo ataków wynikających z technik przeciwnika. Ponadto mogą służyć jako punkt odniesienia dla pomiaru i poprawy dojrzałości organizacji.
Kategorie oceny przyjęte w dokumencie obejmują między innymi bezpieczeństwo kont, urządzeń oraz danych, zarządzanie i szkolenia, zarządzanie słabymi punktami, ochronę łańcucha dostaw, kontrolę nad stroną trzecią oraz reagowanie i odzyskiwanie.
Inne kryteria przyjęte do oceny to wykrywanie nieudanych prób logowania, problemy związane z hasłami, MFA, zarządzanie tożsamością i dostępem, procesy zatwierdzania sprzętu i oprogramowania, wyłączanie makr, inwentaryzacje zasobów, konfiguracje urządzeń, ograniczanie zagrożeń związanych z nieautoryzowanymi urządzeniami, a także rejestrowanie i ochronę poufnych danych.
Ponadto kategorie obejmują zagadnienia „przywództwa” w zakresie cyberbezpieczeństwa, szkoleń, łagodzenia znanych luk w zabezpieczeniach, wdrażania plików security.txt, reagowania na zagrożenia w Internecie, weryfikacji przez strony trzecie skuteczności kontroli, wymagań dotyczących bezpieczeństwa dostawców, zgłaszania incydentów w łańcuchu dostaw, planów reagowania na incydenty i kopii zapasowych systemów.
Organizacje otrzymały listę kontrolną, której można użyć do ustalenia priorytetów celów na podstawie kosztów, złożoności i wpływu. CISA utworzyła również stronę w serwisie GitHub, gdzie organizacje mogą przesyłać opinie.
Brzmi to oczywiście bardzo pięknie, wręcz nazbyt. SecurityWeek zwraca uwagę, że generalnie profesjonaliści z branży przyklaskują inicjatywie, chociaż niektórzy informują o pewnych problemach. Ron Fabela, CTO i współzałożyciel SynSaber, zauważył, że zalecenia wiążą się z pewnymi wyzwaniami specyficznymi dla systemów OT: „Odgórne wytyczne CISA lub innych agencji są często trudne do zastosowania i zmierzenia w dużych i zróżnicowanych sektorach infrastruktury krytycznej. Trudne do zmierzenia kryteria sukcesu pozostawia się tym, którzy wykonują pomiar. Istnieje również napięcie między celami opartymi na wydajności, które nie są zbyt nakazowe (a takie powinny być), a wskazówkami, które są technicznie niemożliwe do zastosowania”.