Neposredno prije lockdowna objavljeno je da je 46 posto britanskih poduzeća pretrpjelo kibernetske napade u 2019., što je devet posto više u odnosu na 2018. Iako su se tvrtke tijekom sljedećih mjeseci s pandemijom COVID-19 morale brinuti više o tome, još uvijek ta problematika nije u svijesti mnogih izvršnih direktora. Jedan od glavnih načina na koji tvrtke mjere svoju spremnost u upravljanju sigurnosnim rizicima povezanim s cyberom jest uspoređivanje s Okvirom internetske sigurnosti koji je razvio NIST (Nacionalni institut za standarde i tehnologiju, Američko ministarstvo trgovine). S obzirom na to da prijetnje kibernetske sigurnosti eksponencijalno rastu, nikada nije bilo važnije sastaviti učinkovitu politiku upravljanja cyber rizicima - okvir NIST-a može pomoći tvrtkama da to učine.
Što je NIST?
Osnovan 1901. godine, Nacionalni institut za standarde i tehnologiju (NIST) američka je vladina agencija odgovorna za poticanje inovacija i konkurentnosti putem tehnologije i mjernih podataka. Mjerenja NIST-a podržavaju čitav niz tehnologija, "od nanorazmjernih uređaja toliko sitnih da se deseci tisuća mogu smjestiti na kraj jedne ljudske dlake, do nebodera otpornih na potres i globalnih komunikacijskih mreža."
NIST također pomaže saveznim agencijama da ispune zahtjeve FISMA-e - Saveznog zakona o upravljanju informacijskom sigurnošću, koji se odnosi na zaštitu državnih informacija i operativne imovine od prirodnih ili umjetnih prijetnji.
S industrijskim dionicima NIST je također stvorio Okvir za internetsku sigurnost (koji se ponekad naziva i Okvir za NIST) kako bi pomogao tvrtkama u upravljanju kibernetskom sigurnošću i smanjio njihov cyber rizik. Dionici su opisani kao vlasnici privatnih tvrtki i operatori kritične infrastrukture, dok njegova baza korisnika uključuje zajednice i organizacije širom svijeta.
Okvir za kibernetsku sigurnost
Stvoren i ratificiran od strane američkog Kongresa 2014. godine, Okvir kibernetske sigurnosti koristi preko 30 posto američkih organizacija, a predviđa se da će ove godine doseći 50 posto. Među tim organizacijama su JP Morgan Chase, Microsoft, Boeing i Intel. U međuvremenu, inozemne organizacije koje koriste okvir uključuju Banku Engleske, Nippon Telegraph and Telephone Corporation i Ontario Energy Board.
Cilj okvira je:
- integrirati industrijske standarde i najbolje prakse kako bi se organizacijama i poduzećima pomoglo u upravljanju rizicima kibernetičke sigurnosti;
- pružiti zajednički jezik koji omogućava osoblju da razviju zajedničko razumijevanje svojih rizika od cyber sigurnosti;
- dati smjernice kako smanjiti te rizike;
- dati savjet o tome kako odgovoriti i oporaviti se od napada na cyber sigurnost i učiti iz tih incidenata.
Iako dobrovoljan i nije namijenjen iscrpnom popisu, okvir pokriva pet kritičnih područja cyber sigurnosti:
- Identificirati: promatranje trenutne upotrebe podataka, a zatim procjena i utvrđivanje rizika;
- Zaštititi: elementi koji pomažu u zaštiti poduzeća;
- Otkriti: biti svjestan problema kako se događaju;
- Odgovor: osnove koje treba pokriti kako bi se adekvatno odgovorilo na problem;
- Oporavak: koraci potrebni za učinkovito oporavak izgubljenih podataka.
Uloga jezgre je istaknuti željene ishode kibernetske sigurnosti i pokazati kako upravljati rizicima na način koji nadopunjuje postojeće procese.
Okvir zatim korisnika usmjerava na razine implementacije - na pojedinoj je organizaciji vrlo bitno da odluči što je prikladno, unutar postojećih smjernica, naravno, kao što je GDPR u Europi.
NIST ocrtava razine na sljedeći način:
- Razina 1: Djelomična praksa kibernetičke sigurnosti primjerena je riziku kibernetske sigurnosti.
- Razina 2: Upućeni na rizik - tvrtka / organizacija svjesna je nekih rizika i planira kako na njih odgovoriti.
- Razina 3: Ponovljivo - tvrtka / organizacija ima jasno definirane i redovito ponovljive procese kibernetičke sigurnosti.
- Razina 4: Prilagodljiva - tvrtka / organizacija proaktivno potiče mjere kibernetičke sigurnosti.
Konačno, NIST-ov CFS rezultira okvirnim profilima koji se koriste za određivanje prioriteta poduzetih radnji. Web stranica NIST opisuje profil kao "jedinstveno usklađivanje organizacijskih zahtjeva i ciljeva organizacije, apetita prema riziku i resursa u odnosu na željene ishode jezgre Okvira. NIST savjetuje uspoređivanje "trenutnog" i "ciljnog" profila kako bi se identificirali načini poboljšanja cyber sigurnosti. Iako se naglašava dobrovoljni status okvira i da ne postoji „točan“ ili „pogrešan“ način da se to učini “, predlaže se uporaba potkategorija Jezgre za postizanje ovih profila. (N.G.K.)