Kibernetinis saugumas neprasideda nuo technologijų, o nuo pasitikėjimo
Kibernetinis saugumas dažnai apibūdinamas kaip techninis iššūkis. Ugniasienės, prieigos kontrolės, stebėjimo sistemos ir incidentų reagavimo priemonės dažnai dominuoja diskusijose. Nors šios priemonės yra būtinos, jos nėra tikrasis kibernetinio saugumo pradžios taškas. Praktikoje jis prasideda daug anksčiau – tuo momentu, kai organizacija nusprendžia, su kuo ji vykdys verslą.
Šiuolaikinis verslas yra giliai susijęs. Įmonės remiasi išoriniais paslaugų teikėjais, tiekėjais, finansiniais tarpininkais ir partneriais per sienas. Kiekvienas ryšys sukuria operacinę vertę, bet taip pat įveda riziką. Kai verslo partnerio tapatybė yra neaiški, pasenusi arba sunkiai patikrinama, tampa neįmanoma patikimai įvertinti šios rizikos.
Kibernetinis saugumas grindžiamas pasitikėjimu. O pasitikėjimas prasideda nuo žinojimo, su kuo iš tikrųjų bendraujate.
Kodėl vien techninis saugumas nebėra pakankamas
Techninės saugumo kontrolės yra skirtos apsaugoti sistemas, tačiau jos daro prielaidą, kad prieiga suteikiama tinkamoms subjektams. Jei prieiga suteikiama netinkamai organizacijai arba organizacijai, kurios fonas yra prastai suprantamas, net stiprios techninės kontrolės gali nesugebėti užkirsti kelio žalai.
Daugelis rimtų kibernetinio saugumo incidentų kyla ne iš tiesioginių sistemų pažeidimų, o iš patikimų santykių piktnaudžiavimo. Kai grėsmės veikėjas veikia per tariamai teisėtą partnerį, tiekėją ar rangovą, techninės gynybos tampa daug mažiau veiksmingos.
Tai keičia pagrindinį klausimą iš „Kaip apsaugoti mūsų sistemas?“ į „Kam turėtume suteikti prieigą iš pradžių?“
Trečiųjų šalių rizika kaip pagrindinė kibernetinio saugumo problema
Didėjanti kibernetinio saugumo ir operacinės rizikos dalis kyla iš trečiųjų šalių. Tai gali būti tiekėjai, IT paslaugų teikėjai, mokėjimo procesoriai, logistikos partneriai ar išorės palaikymo funkcijos. Kiekviena trečioji šalis tampa organizacijos išplėstinės skaitmeninės perimetro dalimi.
Trečiųjų šalių rizika neapsiriboja programinės įrangos pažeidžiamumais ar nesaugia infrastruktūra. Ji taip pat apima:
- neaiškią teisinę padėtį
- nepermatomas nuosavybės struktūras
- nesuderintus arba pasenusius registracijos duomenis
- sunkumus priskiriant atsakomybę
Norėdamos veiksmingai valdyti šias rizikas, organizacijos remiasi struktūrizuotais patikrinimo procesais, įskaitant KYC ir verslo patikrinimą
Kai organizacija negali aiškiai identifikuoti savo kontrahentų, tiek saugumo, tiek atitikties rizika žymiai padidėja.
Reguliavimo kryptis: rizikos pagrindu ir tapatybės orientuota
Visose jurisdikcijose reguliavimo sistemos juda link rizikos pagrindu ir tapatybės orientuoto požiūrio į kibernetinį saugumą. Vietoj konkrečių techninių kontrolės priemonių nurodymo, reguliuotojai vis dažniau tikisi, kad organizacijos supras ir valdys rizikas visoje savo veiklos aplinkoje, įskaitant tiekėjus ir paslaugų teikėjus.
Europos Sąjungoje šis poslinkis aiškiai atsispindi NIS2 direktyvoje ir kibernetinio saugumo reikalavimuose
Dėl oficialios teisinės sistemos žr. NIS2 direktyvą
Nors sistemos skiriasi visame pasaulyje, pagrindinis lūkestis yra nuoseklus: organizacijos turi sugebėti įrodyti, kad žino, nuo ko priklauso, ir kaip tie santykiai veikia jų saugumo poziciją.
Verslo tapatybė kaip kibernetinio saugumo pagrindas
Kai kibernetinis saugumas vertinamas plačiau, verslo tapatybė tampa pagrindine sąvoka. Pasaulinis standartizuotas požiūris į verslo identifikavimą yra teikiamas Teisinio subjekto identifikatoriumi (LEI)
Verslo tapatybė apima daug daugiau nei įmonės pavadinimą ar registracijos numerį. Ji apima:
- teisinę egzistenciją ir statusą
- oficialią registracijos informaciją
- nuosavybės ir kontrolės struktūras
- santykius su kitais teisiniais subjektais
- duomenų tikslumą ir savalaikiškumą
Be aiškios ir standartizuotos verslo tapatybės, patikimas rizikos vertinimas tampa sudėtingas. Šis iššūkis dar labiau sustiprėja tarpvalstybinėje aplinkoje, kur duomenys gaunami iš kelių nacionalinių registrų, naudojant skirtingus formatus ir standartus.
Skaitmeninėje ir automatizuotoje aplinkoje verslo tapatybė turi būti nedviprasmiška, mašininiu būdu skaitoma ir tarptautiniu mastu nuosekli, kad palaikytų veiksmingą rizikos valdymą.
Mažų įmonių perspektyva: tapti patikimu partneriu
Diskusijos apie kibernetinį saugumą ir reguliavimą dažnai sutelktos į dideles organizacijas. Tačiau tie patys dinamikos veiksniai stipriai veikia mažas ir vidutines įmones, kurios nori dirbti su korporacijomis, finansinėmis institucijomis ar tarptautiniais klientais.
Mažoms įmonėms pagrindinė kliūtis dažnai nėra produkto kokybė ar techniniai gebėjimai, o pasitikėjimas. Didelės organizacijos turi įvertinti riziką kiekvienam naujam partneriui, tačiau jos negali to padaryti rankiniu būdu ir išsamiai kiekvienam potencialiam tiekėjui. Todėl jos remiasi standartais, signalais ir struktūrizuotais duomenimis, kad nuspręstų, kuriuos santykius verta toliau tirti.
Daugelis bendradarbiavimo galimybių sustoja ne todėl, kad pasiūlymas neturi vertės, o todėl, kad kontrahentas negali būti greitai ir aiškiai suprastas.
LEI kaip pasitikėjimo ir įtraukimo spartintuvas
Čia tampa svarbus Teisinio subjekto identifikatorius (LEI). LEI yra pasaulinis standartas, sukurtas unikaliam teisinių subjektų identifikavimui ir jų susiejimui su patikrintais referenciniais duomenimis iš autoritetingų šaltinių.
Mažoms įmonėms LEI nėra tik reguliavimo reikalavimas tam tikruose kontekstuose. Tai yra praktinis įrankis, leidžiantis joms prisistatyti taip, kaip didelės organizacijos valdo riziką.
LEI signalizuoja, kad:
- subjektas yra unikalus
- jo pagrindiniai referenciniai duomenys yra susieti su oficialiais registrais
- nuosavybės informacija pateikiama standartizuota forma
- duomenys gali būti naudojami automatizuotuose ir tarpvalstybiniuose procesuose
Didelės organizacijos požiūriu, tai sumažina pradinį neapibrėžtumą ir pagreitina sprendimą, ar potenciali partnerystė gali judėti į priekį. LEI negarantuoja bendradarbiavimo ir nepakeičia deramo patikrinimo, tačiau padeda verslui tapti suprantamu ir įvertinamu daug anksčiau procese.
Kibernetinis saugumas kaip bendra atsakomybė visoje tiekimo grandinėje
Kibernetinis saugumas nėra tik didelių pirkėjų ar centrinių platformų atsakomybė. Kiekvienas tiekimo grandinės dalyvis prisideda prie bendro rizikos profilio. Kai viena šalis negali aiškiai pateikti savo tapatybės ar atnaujinti savo duomenų, visa grandinė tampa labiau pažeidžiama.
Dėl šios priežasties mažos įmonės taip pat gauna naudos iš standartų, kurie leidžia jas lengviau patikrinti ir integruoti į savo partnerių rizikos valdymo sistemas — dažnai dar prieš tai, kai tokie lūkesčiai formaliai reikalaujami.
Nuolatinis tikslumas kaip pasitikėjimo sąlyga
Nei kibernetinis saugumas, nei verslo tapatybė nėra statiški. Įmonės keičiasi, nuosavybės struktūros vystosi, o duomenys tampa pasenę. Tik vieną kartą atlikti tapatybės patikrinimai greitai praranda savo vertę.
Veiksmingas rizikos valdymas priklauso nuo tapatybės informacijos, kuri išlieka tiksli ir aktuali laikui bėgant. Šis nuolatinis patikimumas palaiko ne tik atitiktį, bet ir ilgalaikį pasitikėjimą tarp verslo partnerių.
Išvada
Kibernetinis saugumas neprasideda serverio kambaryje ir nesibaigia programine įranga. Jis prasideda nuo supratimo, su kuo vykdote verslą ir kokiu pagrindu egzistuoja tas santykis.
Techninės kontrolės išlieka būtinos, tačiau be aiškios, standartizuotos ir atnaujintos verslo tapatybės jos yra neišsamios. Šiandienos tarpusavyje susijusioje ir reguliuojamoje ekonomikoje žinojimas apie savo kontrahentus yra viena iš svarbiausių turimų saugumo priemonių.
LEI suteikia bendrą, pasaulinį pagrindą, kuris padeda tiek didelėms, tiek mažoms organizacijoms kurti pasitikėjimą, gerinti skaidrumą ir efektyviau bendradarbiauti per sienas.