Otkrivanje i prevencija u upravljanju informacijskom sigurnošću

• Kibernetički napadi često su neotkriveni
• Novi ISO/IEC 27001:2022 - ključne promjene
• Tri nove kontrole za otkrivanje i prevenciju
• Tehnički sažetak
• Što ažuriranje znači za vašu certifikaciju?
• Najsuvremeniji sustav upravljanja informacijskom sigurnošću (ISMS) uz stručnost DQS-a

Kibernetički napadi često su neotkriveni

Značajna vrijednost informacija i podataka u poslovnom svijetu 21. stoljeća prisilila je poduzeća i organizacije da se bave informacijskom sigurnošću i da ulažu u zaštitu svojih digitalnih dobara. Zašto? U vremenu kibernetičkih prijetnji napadači razvijaju vrlo vješte i složene taktike - koje ozbiljno narušavaju sliku i ugled organizacija, ali i uzrokuju ekonomske gubitke vrijedne milijarde dolara godišnje diljem svijeta.

Stručnjaci se slažu da više ne postoji potpuna zaštita od kibernetičkih napada - ako ništa, zbog ljudskog faktora neizvjesnosti. Zbog toga je rano otkrivanje mogućih i stvarnih napada sve važnije kako bi se ograničile njihove posljedice unutar mrežnih sustava poduzeća te se smanjio broj kompromitiranih sustava. No još uvijek ostaje mnogo toga na čemu se treba raditi: rezultati dobiveni u sklopu IBM-ovog istraživanja o povredi podataka "Cost of a data breach 2022" pokazuju da je u 2022. godini u prosjeku bilo potrebno 277 dana kako bi se otkrio i suzbio napad.

Novi ISO 27001:2022

Kako bi pomogla poduzećima i organizacijama pri uvođenju suvremenih, standardiziranih sustava informacijske sigurnosti, 25. listopada 2022. organizacija ISO objavila je novi standard za informacijsku sigurnost ISO/IEC 27001:2022. Prilog A donosi kontrole/mjere koje mogu koristiti različita poduzeća kako bi utvrdila rizike informacijske sigurnosti.

Uz implementaciju mjera iz Priloga A, u trenutnoj se verziji nalaze i odgovarajuće smjernice za implementaciju norme ISO/IEC 27002:2022, čija je nova verzija ažurirana u veljači. U nju su dodani i općeniti mehanizmi prevencije strateških napada i bržeg otkrivanja.

Tri nove kontrole za otkrivanje i prevenciju

93 trenutne kontrole koje se nalaze u Prilogu A norme ISO/IEC 27001:2022 sada su raspodijeljene u četiri skupine 

• Organizacijske kontrole,
• Kontrole ljudi,
• Fizičke kontrole i
• Tehničke kontrole.

Tri od jedanaest novih kontrola za informacijsku sigurnost vezane su za prevenciju i pravovremeno otkrivanje kibernetičkih napada. Navedene kontrole su:

• 5.7 Obavještajni podaci o prijetnjama (organizacijske kontrole).
• 8.16 Nadzor aktivnosti (tehničke kontrole)
• 8.23 Web filtriranje (tehničke kontrole).

Reći ćemo nešto više o njima u nastavku.

Obavještajni podaci o prijetnjama

Organizacijska kontrola 5.7 bavi se sustavnim prikupljanjem i analizom informacija o prijetnjama. Ova mjera postoji kako bi osvijestila organizacije o potencijalnim prijetnjama te ih potakla na djelovanje kojim bi se ublažio rizik. Podatke o prijetnjama potrebno je strukturirano analizirati prema trima aspektima: strateškom, taktičkom i operativnom. 

Strateška analiza prijetnji daje nam uvid u svijet kibernetičkih prijetnji, u informacije o napadima i počiniteljima, na primjer, napadima na državne podatke, kibernetičkim kriminalcima, tzv. haktivizmu, i slično. Državne i međunarodne agencije (kao što su Njemački savezni ured za informacijsku sigurnost - BSI, Agencija Europske unije za kibersigurnost - ENISA, Ministarstvo domovinske sigurnosti SAD-a, ili Nacionalna ustanova za norme i tehniku - NIST), kao i neprofitne organizacije i forumi, daju provjerene podatke o prijetnjama unutar svih industrija i važnih infrastruktura. 

Taktičko prikupljanje i analiza podataka daju nam uvid u strategiju, sredstva i tehnologiju koju koristi napadač.

Operativna analiza prijetnji pokazuje nam detaljne informacije o nekom napadu, što uključuje i tehničke pokazatelje, npr. drastičan porast kibernetičkih napada putem različitih zlonamjernih ucjenjivačkih programa (ransomware) u 2022.

Analiza prijetnji pomaže pri:

• Postupnoj integraciji podataka o napadima u proces upravljanja rizicima,
• Tehničkoj prevenciji i otkrivanju, tj. ažuriranju pravila za vatrozid (firewall), sustava za detekciju neovlaštenih upada (IDS), i rješenja za sprječavanje zlonamjernih programa (malware),
• Prikupljanju informacija za određena testiranja i načine testiranja informacijske sigurnosti.

Kvaliteta podataka iz organizacijske kontrole 5.7 za utvrđivanje i analizu prijetnji izravno utječe na dvije tehničke kontrole, za nadzor aktivnosti (8.16) i web filtriranje (8.23), koji su također novi u normi ISO/IEC 27002.

Nadzor aktivnosti

Korektivna kontrola za informacijsku sigurnost 8.16 bavi se tehničkim nadzorom aktivnosti s ciljem uočavanja i ispravljanja nepravilnosti kako bi se otklonile prijetnje. Mreže, sustavi i aplikacije slijede određene obrasce ponašanja kao što su protok podataka, protokoli, poruke, itd. Bilo kakva promjena ili odstupanje od ovakvih očekivanih obrazaca smatra se nepravilnošću.

Kako bi se prepoznalo ovakvo neuobičajeno ponašanje, potrebno je pratiti određene aktivnosti prema zahtjevima poslovne i informacijske sigurnosti. Odstupanja je potrebno, između ostalog, usporediti s postojećim podacima o prijetnjama (vidi iznad, kontrola 5.7). Sustavu za praćenje važno je sljedeće:

• Mreža za dolazni i odlazni promet, sustav i promet aplikacija;
• Pristup sustavima, serverima, mrežnoj opremi, sustavima praćenja, važnim aplikacijama, itd.;
• Konfiguracijske datoteke sustava i mreže važne za održavanje ili funkcioniranje sustava;
• Sigurnosni alati (npr. antivirusni programi, sustavi za detekciju neovlaštenih upada (IDS), sustav za sprječavanje neovlaštenih aktivnosti (IPS), filtriranje internetskih stranica, vatrozidi, sprječavanje curenja podataka);
• Zapisnik događaja vezanih za aktivnosti sustava i mreže;
• Potvrda da je kôd sustava vjerodostojan i ovlašten;
• Korištenje resursa, npr. snaga procesora, kapacitet diska, korištenje memorije, propusnost podataka.

Osnovni zahtjevi za uredno praćenje aktivnosti jesu jasno postavljena IT/OT infrastruktura i ispravna IT/OT mreža. Svaka promjena ovakvog stanja smatra se potencijalnom prijetnom te time i nepravilnošću. Ovisno o složenosti infrastrukture, implementacija ove mjere predstavlja značajan izazov, unatoč rješenjima ponuđenima na tržištu. Važnost sustava za otkrivanje nepravilnosti prepoznata je gotovo istovremeno sa zahtjevima kontrole 8.16 norme ISO/IEC 27002:2022 za izvoditelje takozvanih ključnih infrastruktura. Sukladno tome, kada je riječ o pravnim zahtjevima na državnoj razini, izvoditelji su obvezni ispravno i pravovremeno primijeniti takozvane sustave za otkrivanje napada.

Web filtriranje

Internet je i blagoslov i prokletstvo. Zlonamjeran sadržaj i programi neprekidno pristižu putem sumnjivih internetskih stranica. Kontrola 8.23 Web filtriranje, koja se odnosi na sigurnost informacija, preventivno štiti sustave organizacija od zlonamjernih upada i onemogućava pristup neovlaštenim internetskim izvorima. U ovu svrhu organizacije bi trebale postaviti pravila za sigurno i ispravno korištenje internetskih izvora, kao i za obvezno ograničavanje pristupa neželjenim ili neprimjerenim internetskim stranicama i internetskim aplikacijama. Organizacije bi trebale blokirati sljedeće vrste internetskih stranica:

• Internetske stranice koje imaju opciju za učitavanje dokumenata - osim ako za to ne postoji pravovaljan, poslovan razlog,
• Internetske stranice za koje se zna ili na koje se sumnja da su zlonamjerne,
• Serveri za upravljanje i kontrole,
• Internetske stranice koje su prepoznate na temelju podataka o prijetnjama (vidi kontrolu 5.7),
• Internetske stranice s ilegalnim sadržajem.

Kontrola web filtriranja ima smisla samo uz obučeni kadar koji je svjestan važnosti sigurnog i ispravnog korištenja internetskih izvora.

Tehnički zaključak

Nove kontrole za otkrivanje i prevenciju koje su opisane u ovom tekstu igraju ključnu ulogu u zaštiti od organiziranog kibernetičkog kriminala, te se s razlogom nalaze u trenutnim verzijama normi ISO/IEC 27001 i ISO/IEC 27002. Organizacije mogu osigurati i ojačati zaštitu od zloćudnih softvera putem stalnog ažuriranja i analize dostupnih informacija o prijetnjama, opširnog i djelotvornog praćenja vlastitih informatičkih infrastruktura, te obrane svojih sustava od sumnjivih internetskih stranica. Tako ujedno i primjenjuju odgovarajuće mjere na vrijeme.

Poduzeća i organizacije trebaju implementirati ove tri kontrole na navedeni način, te ih stalno uključivati u svoj sustav upravljanja informacijskom sigurnošću (ISMS) kako bi zadovoljili uvjete budućih certifikacijskih audita. DQS ima više od 35 godina bogatog iskustva u nepristranim auditima i certifikacijama - i rado će vas poduprijeti i voditi prema usklađenosti vašeg sustava upravljanja informacijskom sigurnošću s normom ISO/IEC 27001:2022.

Što ažuriranje norme znači za vašu certifikaciju?

ISO/IEC 27001:2022 objavljen je 25. listopada, 2022. To rezultira sljedećim prijelaznim vremenskim okvirima i rokovima za korisnike norme:

Posljednji datum za audite za inicijalnu certifikaciju ili recertifikaciju prema "staroj" normi ISO 27001:2013 

• Nakon 30. travnja 2024. DQS će provoditi certifikacijske i recertifikacijske audite isključivo prema novom standardu ISO/IEC 27001:2022

Prijelaz svih postojećih certifikata sa "stare" ISO/IEC 27001:2013 na novu normu ISO/IEC 27001:2022 

• Prijelazni period od 3 godine započinje 1. listopada 2022.
• Certifikati izdani prema normi ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 valjani su najkasnije do 31. listopada 2025., ili na ovaj datum trebaju biti povučeni. 

Najsuvremeniji sustav upravljanja informacijskom sigurnošću uz stručnost DQS-a

Organizacije imaju još vremena do prijelaza na novu verziju norme ISO/IEC 27001. Trenutni certifikati koji se temelje na staroj normi prestat će vrijediti 31.10.2025. Ipak, savjetovali bismo vas da se upoznate s novim zahtjevima za sustave upravljanja informacijskom sigurnošću na vrijeme, te da pokrenete i implementirate odgovarajuće izmjene. 

Kao stručnjaci za audite i certifikacije s više od tri desetljeća iskustva, pružit ćemo vam podršku u implementaciji nove norme. Naši brojni iskusni auditori reći će vam koje su najvažnije izmjene i kako one utječu na vašu organizaciju - pouzdajte se u našu stručnost. Zajedno ćemo razmotriti vaš prostor za napredak i pomoći vam u dobivanju novog certifikata. Radujemo se našem razgovoru.