TFL Vsebine / TFLGlasnik

1. UVOD

Raba pojma kibernetska varnost se zaplete že na začetku, saj termin niti v strokovni literaturi ni določen soglasno (Rout, 2015). Celo vodilne organizacije in svetovalne družbe uporabljajo popolnoma nasprotne opredelitve pojma. Tudi ENISA (2016) je v namenski študiji ugotovila velike razlike pri rabi tega pojma.

Tako na primer Gartner (Walls, 2014) v prispevku o definiciji kibernetsko varnost opredeljuje kot nadmnožico praks, ki so uveljavljene v varnosti informacijske tehnologije, informacijski varnosti, varnosti interneta stvari in proaktivni varnosti. Kibernetska varnost združuje tehnike vseh teh področij za zmanjševanje ranljivosti, vzdrževanje celovitosti sistema, omogočanje dostopa le pooblaščenim uporabnikom ter za obrambo in zaščito virov.

Ne glede na to že Gartner (Walls, 2014) opozarja, da kibernetska varnost ni le sinonim za informacijsko varnost, varnost interneta stvari ali varnost informacijske tehnologije. Prav tako ne predstavlja uporabe informacijske varnosti z namenom obrambe pred kriminalom.

CISA (2019) uporablja obratno opredelitev. Kibernetska varnost je umetnost zaščite omrežij, naprav in podatkov pred nepooblaščenim dostopom in kriminalno uporabo ter praksa zagotavljanja zaupnosti, celovitosti in razpoložljivosti informacij.

Podobno NIST (National Institute of Standards and Technology) opredeli kibernetsko varnost kot preprečevanje škode, zaščito in obnovo računalnikov, elektronskih komunikacijskih sistemov, komunikacij po žici in elektronskih komunikacij, vključno z informacijami, ki jih vsebujejo, da bi zagotovili razpoložljivost, celovitost, avtentikacijo in zaupnost ter preprečili zanikanje dejanj. Varovanje in zaščita naprav in sistemov naj bi bilo sestavni del kibernetske varnosti. Hkrati opredeli informacijsko varnost kot zaščito informacij in informacijskih sistemov pred nepooblaščenim dostopom, uporabo, razkritjem, motnjami, spremembo ali uničenjem z namenom, da bi zagotovili zaupnost, celovitost in razpoložljivost.

Obratna opredelitev torej predstavlja kibernetsko varnost kot podmnožico informacijske varnosti, ki ne vključuje zagotavljanja varnosti informacij, ki niso v elektronski obliki.

Glede na to, da se kibernetska varnost v splošni javnosti praviloma uporablja v povezavi s hekerskimi vdori, okužbami s škodljivo kodo in se torej osredotoča na varnost omrežij in aplikacij, v pričujočem prispevku razumemo kibernetsko varnost kot področje upravljanja in zagotavljanja informacijske varnosti, ki se osredotoča na varovanje informacij v elektronski obliki v najširšem smislu. Torej predstavlja podmnožico informacijske varnosti, saj njena primarna naloga ni zaščita oziroma varovanje informacij, ki niso v elektronski obliki. Zato se osredotoča na zaščito pred nepooblaščenim dostopom, razkritjem in spremembo informacij na daljavo ter na zagotavljanje razpoložljivosti dostopa do informacij na daljavo.

Glede na nedorečenost pojma bi bilo smiselno pri pregledih, ki se nanašajo na kibernetsko varnost, že uvodoma jasno opredeliti pojem. Tako prejemnik poročila lahko jasno določi predmet in obseg pregleda.

2. KONTROLE KIBERNETSKE VARNOSTI

Uvedba kontrol se praviloma izvaja v sistemu upravljanja in vodenja. Tudi v Sloveniji se je pri upravljanju in vodenju informacijskih sistemov kot krovni okvir uveljavil COBIT.

Čeprav so upravljavske in vodstvene prakse v COBIT-u 2019 izrazito prepletene, jih je mogoče nekaj izpostaviti kot ključne za zagotavljanje kibernetske varnosti (ISACA, 2018):

1. EDM03 – Zagotovljena optimizacija tveganj,
2. APO12 – Vodeno tveganje,
3. APO13 – Vodena varnost,
4. BAI04 – Vodena razpoložljivost in zmogljivost,
5. DSS02 – Vodene zahteve za storitve in incidenti,
6. DSS04 – Vodena neprekinjenost in
7. DSS05 – Vodene varnostne storitve.

Vsaka od upravljavskih in vodstvenih praks je sestavljena iz naslednjih osnovnih sestavin:

1. procesov,
2. organizacijskih struktur,
3. načel, politik in ogrodij,
4. informacij,
5. kulture, etike in vedenja,
6. ljudi, spretnosti in znanj,
7. storitev, infrastrukture in aplikacij.

Ob celovitem pregledu kibernetske varnosti je treba pri vsaki upravljavski oziroma vodstveni praksi upoštevati tudi njene sestavine. S tem dobimo matriko področij pregleda, ki z večanjem števila izbranih upravljavskih in vodstvenih praks eksponentno narašča. Pri izbranih sedmih praksah tako že zajema 49 osnovnih sestavin upravljanja in vodenja informacijskih sistemov, ki kot celota tvorijo okvir upravljanja in vodenja kibernetske varnosti.

COBIT 2019 je bil zgodovinsko zasnovan kot okvir za dajanje zagotovil, zato je usmerjen v upravljanje in vodenje skladnosti. Ni pa edini okvir upravljanja in vodenja informacijskih sistemov, ki ga lahko uporabimo kot osnovo. Drugi možni okvir je na primer ITIL 4, ki upravljanje in vodenje informacijskega sistema osredotoča na storitve.

Čeprav so osnovna vodila ITIL-a 4 nekoliko drugačna, kot jih opredeljuje COBIT 2019, in sicer:

• ITIL-vrednostna veriga storitev,
• ITIL-prakse,
• ITIL-načela vodenja,
• upravljanje in
• stalno izboljševanje,

je tudi po ITIL-u 4 vsako od vodil sestavljeno iz naslednjih osnovnih sestavin:

• organizacije in ljudje,
• informacije in tehnologija,
• partnerji in dobavitelji,
• tokovi vrednosti in procesi.

Skladno s tem se tudi po ITIL-u 4 hitro povečuje matrika področij pregleda z večanjem števila izbranih vodstvenih praks ob upoštevanju vseh sestavin.

Vodstvene prakse, ki jih je mogoče kot ključne izpostaviti za zagotavljanje kibernetske varnosti po ITIL-u 4, so:

• vodenje informacijske varnosti,
• vodenje tveganj,
• vodenje razpoložljivosti,
• vodenje zmogljivosti in učinkovitosti,
• vodenje incidentov,
• spremljanje in vodenje dogodkov,
• vodenje neprekinjenosti storitev.

2.1. Kibernetska varnost po COBIT-u 2019

Uporaba okvirov upravljanja in vodenja informacijskih sistemov kot edine podlage za zagotavljanje kibernetske varnosti je lahko zavajajoča. Oglejmo si to na primeru vodstvene prakse DSS05 – Vodenje varnostne storitve po COBIT-u 2019 (ISACA, 2018).

Namen vodstvene prakse je zmanjšanje vpliva operativnih ranljivosti zaradi informacijske varnosti in incidentov na poslovanje.

Vodstvena praksa je sestavljena iz več podrobnih vodstvenih praks:

• zaščita pred škodljivo kodo,
• vodenje varnosti povezav in omrežja,
• vodenje varnosti končnih točk,
• vodenje identitete uporabnikov in logičnih dostopov,
• vodenje fizičnega dostopa do virov informacij in tehnologij,
• vodenje občutljivih dokumentov in izhodnih naprav,
• vodenje ranljivosti in spremljanje infrastrukture v zvezi z dogodki, povezanimi z varnostjo.

Vsaka od podrobnih vodstvenih praks je povezana z večjim številom aktivnosti. Pri tem je za mnoge aktivnosti določena tudi raven zrelosti upravljavske prakse, kadar se posamezna aktivnost ustrezno in zanesljivo izvaja. Oglejmo si to na primeru zaščite pred škodljivo kodo. Ta predvideva naslednje aktivnosti:

• namestitev in aktivacija orodij za zaščito pred škodljivo kodo na vseh zmogljivostih za obdelavo podatkov, s posodobljenimi definicijskimi datotekami, skladno z zahtevami (samodejno ali delno samodejno) – ob izvajanju te aktivnosti je zrelost podrobne upravljavske prakse na drugi ravni;
• filtriranje vhodnega prometa, npr. elektronske pošte in prenosov, z namenom zaščite pred škodljivimi informacijami (npr. prisluškovalna programska oprema, elektronska sporočila za ribarjenje);
• centralno razširjanje zaščitne programske opreme (tako verzij kot popravkov) s centralnimi nastavitvami in upravljanjem sprememb – ob hkratnem izvajanju prejšnje in te aktivnosti je zrelost podrobne upravljavske prakse na tretji ravni;
• redno preverjanje in vrednotenje informacij o novih potencialnih grožnjah (npr. s pregledom obvestil o izdelkih in storitvah dobaviteljev) – ob izvajanju te aktivnosti je zrelost podrobne upravljavske prakse na četrti ravni;
• aktivnosti za doseganje zrelosti podrobne upravljavske prakse na peti ravni niso določene.

Izbrani pristop nekoliko zaplete razumevanje ciljne ravni zrelosti posameznega vodstvenega procesa. Prvič, ker ni jasno določeno, kako se določi zrelost posameznega procesa glede na izvajanje podrobnih vodstvenih praks. Če je na primer neka vodstvena praksa sestavljena iz dveh podrobnih vodstvenih praks, pri tem pa eno ocenimo z zrelostjo druge stopnje in drugo z zrelostjo četrte stopnje, je ključno vprašanje, kakšna je zrelost vodstvene prakse, katere del sta podrobni vodstveni praksi. Če preprosto izberemo povprečno vrednost, ki bi bila v tem primeru tretja stopnja, lahko dobimo popolnoma napačno zbirno informacijo o stanju varnostnih kontrol. Podobno lahko ravnamo, ali posebej previdno in vedno izberemo najnižjo doseženo stopnjo, ali pa optimistično kar najvišjo doseženo stopnjo.

Celoten postopek presoje, ali so uvedene zadostne kontrole na področju varnosti informacijskega sistema, dodatno zapleta nepovezanost zrelosti s tveganji. Čeprav COBIT 2019 daje usmeritve glede pomembnosti zrelosti za posamezne strategije na področju informacijskih sistemov, ne podaja jasne metodologije za povezavo med analizo tveganja in ciljno stopnjo zrelosti posamezne vodstvene prakse. Zato je treba za določanje ciljne zrelosti podrobno poznati analizo tveganja in aktivnosti vodstvenih praks ter jih povezati tako, da z izvajanjem predvidenih aktivnosti vodstvenih praks zmanjšamo tveganja na sprejemljivo raven.

Povedano drugače, revizije ne bi smeli načrtovati tako, da preprosto določimo zrelost vodstvenih praks in to ciljno zrelost uporabimo kot sodilo, če teh zrelosti nismo določili v neposredni povezavi z analizo tveganja.

Poenostavitve, kot je npr. izbira ciljnih ravni zrelosti na podlagi povprečne zrelosti trenutnih vodstvenih praks, bi lahko dale zavajajoče rezultate, saj morda ne bi zahtevale izvajanja aktivnosti, ki so glede na izvedeno analizo tveganja ključne za obvladovanje tveganj.

Ne glede na to, da COBIT 2019 temelji na drugih dobrih praksah in standardih, kot je na primer ISO/IEC 27002:2013/Cor.2:2015(E), nima bližnjic, na podlagi katerih bi bilo mogoče opredeliti zahtevane aktivnosti, ki se morajo izvajati, da bi lahko izdali mnenje, da so tveganja obvladovana.

2.2. Kibernetska varnost po ITIL-u 4

Oglejmo si še primer vodstvene prakse po ITIL-u 4 na podlagi vodstvene prakse Vodenje informacijske varnosti.

S svojim usmerjanjem k vrednosti je ITIL 4 glede določanja ključnih aktivnosti bolj skop kot COBIT 2019. ITIL daje napotek, da je zahtevana varnost uveljavljena s politikami, procesi, vedenjem, vodenjem tveganj in kontrol, ki morajo ujeti uravnoteženost med (Agutter, 2019):

• preprečevanjem,
• zaznavanjem in
• popravljanjem/ukrepanjem.

Hkrati opozarja, da je treba doseči ravnotežje med zaščito organizacije pred škodo in njeno sposobnostjo inoviranja. Preveč omejujoče varnostne kontrole lahko naredijo več škode kot koristi, ali pa jih uporabniki zaobidejo, da lahko učinkoviteje opravljajo svoje delo.

»Informacijske varnostne kontrole naj bi upoštevale vse vidike organizacije in jih uskladile z nagnjenostjo k prevzemanju tveganja.« (Agutter, 2019)

ITIl 4 našteva procese in postopke, ki so ključni za podporo vodenju informacijske varnosti:

• proces vodenja tveganj,
• proces pregleda in revidiranja kontrol,
• vodenje dogodkov,
• postopki za vdorno testiranje, iskanje ranljivosti ipd.

Vsi ti procesi in postopki so navedeni splošno, podrobnejšo izvedbo pa prepuščajo uporabniku okvira ITIl 4.

V ITIL-u 4 je izpostavljeno, da je vodenje informacijske varnosti del vseh aktivnosti verige vrednosti. Tako so vse aktivnosti razpršene po celotni verigi vrednosti.

2.3. Kibernetska varnost po okvirih upravljanja in vodenja

Okvirov upravljanja in vodenja informacijskih sistemov ni mogoče neposredno uporabiti kot kontrolni seznam oziroma ne prestavljajo neposredno uporabljivega sodila. Pred uporabo jih je treba prilagoditi ciljni organizaciji, praviloma z oceno tveganja. To hkrati pomeni, da jih ni mogoče kar posplošiti in uporabljati enakih zahtev za različne organizacije, tudi če te izhajajo npr. iz iste industrije in so podobno velike. Prilagoditi jih je treba vsaki organizaciji posebej.

Okviri upravljanja in vodenja ne podajajo popolnih naborov kontrol in aktivnosti za doseganje upravljavskih in vodstvenih ciljev. Temu so namenjeni podrobnejši standardi, ki jih je smiselno uporabiti kot dopolnilo splošnim sodilom, kot so okviri upravljanja in vodenja informacijskih sistemov.

3. STANDARDI IN DOBRE PRAKSE NA PODROčJU KIBERNETSKE VARNOSTI

Kadar ne zadoščajo okviri upravljanja in vodenja, posežemo po podrobnejših, izvedbenih dobrih praksah in standardih.

Med bolj uveljavljenimi standardi na področju kibernetske varnosti je SIST EN ISO/IEC 27001:2017, Informacijska tehnologija – Varnostne tehnike – Sistemi upravljanja informacijske varnosti – Zahteve (ISO/IEC 27001:2013, vključno s popravkoma Cor 1:2014 in Cor 2:2015), ki se praviloma uporablja skupaj s standardom SIST EN ISO/IEC 27002:2017, Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja pri kontrolah informacijske varnosti (ISO/IEC 27002:2013, vključno s popravkoma Cor 1:2014 in Cor 2:2015). Ob tem je treba poudariti, da obstaja tudi standard, ki podaja smernice za kibernetsko varnost, ISO/IEC 27032:2012, vendar še ni bil uvrščen med nacionalne standarde skladno z 22. členom Zakona o standardizaciji (ZSta-1, Uradni list RS, št. 59/99). Morda se tudi zato širše ne uporablja, čeprav je bil objavljen že leta 2012.

Dodatno se za področje neprekinjenosti poslovanja uporabljata SIST EN ISO 22301:2020, Varnost in vzdržljivost – Sistem vodenja neprekinjenosti poslovanja – Zahteve (ISO 22301:2019) ter SIST EN ISO 22313:2020, Varnost in vzdržljivost – Sistem vodenja neprekinjenosti poslovanja – Navodilo za uporabo standarda ISO 22301 (IsO 22313:2020). Standarda sta zasnovana širše kot le za zagotavljanje neprekinjenega delovanja informacijskega sistema, kar dodatno zaplete njuno uporabo pri pregledih kibernetske varnosti, saj ju je treba prilagoditi, torej omejiti le na področje informacijskih sistemov.

3.1. Kibernetska varnost po standardu SIST EN ISO/IEC 27001:2017

Čeprav tudi standard SIST EN ISO/IEC 27001:2017 (v nadaljevanju ISO 27001) kot pripomoček uporablja analizo tveganja, je namen standarda nekoliko drugačen kot namen upravljavskih in vodstvenih okvirov. Ti se primarno prilagajajo organizaciji, ki jih uporablja, medtem ko je namen standarda čim bolj poenotiti merila, ki jim mora zadostiti organizacija, ki je predmet certificiranja, da bosta obseg in vsebina posameznega certificiranja čim bolj poenotena, organizacije, ki so jim bili podeljeni certifikati, pa med seboj čim bolj primerljive. Namen analize tveganja je ustrezna uvedba in utrditev varnostnih kontrol, ki jih standard določa, in ne njihova izbira.

V primerjavi z okviri upravljanja in vodenja je standard bistveno bolj rigiden. ISO 27001 vključuje t. i. Dodatek A s seznamom obveznih kontrol, ki morajo biti uvedene za varovanje informacijskega sistema, da je organizacija skladna s standardom. To v praksi pomeni, da je izključitev posamezne kontrole v postopku certifikacije nezaželena ter zahteva podrobno in utemeljeno razlago.

Glede na to je potrebna posebna previdnost pri uporabi standarda ISO 27001 in podobnih standardov kot sodil pri pregledih. Uporaba posameznih kontrol, ki jih zahteva Dodatek A, morda ni nujna z vidika nagnjenosti organizacije k prevzemanju tveganj, standard pa odstopanj praktično ne dopušča. Zato lahko s standardom ISO 27001 kot sodilom usmerjamo organizacijo v uvajanje notranjih kontrol, ki jih morda glede na analizo tveganja sploh ne potrebuje ali pa ne presegajo stopnje tveganja, ki bi zahtevala ukrepanje. Posledično lahko s priporočili po uvedbi morebitnih manjkajočih kontrol organizacijo usmerjamo v doseganje skladnosti s standardom in jo s tem pripravljamo na certifikacijo po standardu ISO 27001, čeprav je morda niti strateško ne načrtuje niti ne potrebuje.

Dalje je treba upoštevati, da ISO 27001 neposredno ne daje podrobnih napotkov o tem, kako morajo biti implementirane posamezne kontrole.

Oglejmo si na primeru gesel. Uporabo gesel določa kontrola 9.3.1 v Dodatku A, Uporaba tajnih informacij za preverjanje verodostojnosti. Kontrola mora od uporabnikov zahtevati, da sledijo praksam organizacije pri uporabi tajnih informacij za preverjanje verodostojnosti. Vendar ISO 27001 neposredno ne določi, kakšne oziroma katere prakse so zadostne. Tukaj se povezuje z analizo tveganja, na podlagi katere upravljavec informacijskega sistema ob upoštevanju nagnjenosti organizacije k prevzemanju tveganja določi ustrezne kontrole. Pri tem mu je lahko v pomoč standard sIsT eN IsO/IeC 27002:2017 (v nadaljevanju IsO 27002), ki podrobneje določa dobro prakso pri načrtovanju in uvajanju kontrol po ISO 27001.

Pri ravnanju z gesli tako ISO 27002 med drugim podrobneje določa, da bi vsem uporabnikom svetovali, da:

• zamenjajo skrivne avtentikacijske informacije, kadar koli se pojavi sum zlorabe;
• naj gesla ne vsebujejo zaporednih enakih, v celoti numeričnih ali v celoti črkovnih znakov.

Čeprav v praksi velikokrat zasledimo zahteve (tudi revizorjev) po izrecno določeni zapletenosti gesla, tega ne IsO 27001 ne IsO 27002 ne določata tako natančno, kot to prevečkrat srečamo v priporočilih.

Splošno prepričanje je sicer, da zahteva po dolžini gesla in nenehnem, rednem menjavanju izhaja iz prej omenjenih standardov ISO, vendar to ni res. Ne izhaja niti iz prej obravnavanih okvirov upravljanja in vodenja informacijskih sistemov. Te zahteve so nekoč obstajale v standardu NIST Special Publication 800-63B, Smernice za digitalne identitete, ki pa je bil temeljito prenovljen že junija 2017.

Novejši standard v točki 5.1.1.1 na primer določa, da naj bi bila zapomnjena skrivnost dolga vsaj osem znakov, če to informacijo določi uporabnik sam. Če jo določi informacijski sistem, zadošča skrivnost dolžine šest znakov.

Standard navodila za upravljanje gesel oziroma z zapomnjenimi skrivnostmi razdela zelo podrobno in podaja podrobna navodila za ravnanje v različnih primerih. Ponovno opomnimo, da praviloma ni mogoče pripraviti in uporabljati kar splošnega kontrolnega seznama notranjih kontrol na področju kibernetske varnosti, temveč je treba zahteve prilagoditi vsaki organizaciji posebej.

3.2. Kibernetska varnost po dobri praksi osme različice CIS-ovih kontrol

Poleg okvirov upravljanja in vodenja, ki ne dajejo navodil za podrobne tehnične kontrole in standardov, ki bi lahko bili preveč togi za uporabo kot sodilo, obstajajo tudi tehnične dobre prakse, npr. seznam najpomembnejših desetih ranljivosti spletnih aplikacij združenja OWASP. Podobna dobra praksa obstaja tudi za celotne informacijske sisteme v obliki dobre prakse CIS-ove kontrole, trenutno že v različici 8, ki je izšla maja letos (CIS Controls: Version 8).

Različica 8 podaja osem ključnih skupin kontrol, značilnih za kibernetsko varnost. Prednost uporabe dobre prakse je, da ne zahteva doslednega izpolnjevanja vseh kontrol, ampak je odločitev prepuščena uporabniku, ki kontrole lahko izbere na podlagi analize tveganja.

Ne glede na to je seveda mogoče nekatere kontrole v izbranih okoljih opredeliti kot bolj ali manj pomembne. Primer bi bil nabor kontrol, ki so pomembnejše na področju bančništva, telekomunikacij ipd., vendar bi bilo treba ne glede na nabor še vedno opraviti analizo tveganja in tak seznam kontrol prilagoditi organizaciji, ki je predmet pregleda.

Podobna bližnjica obstaja tudi v dobri praksi CIS-ovih kontrol in temelji na prioritetah vpeljave posameznih skupin kontrol. CIS-ove kontrole tako ločijo:

• implementacijsko skupino 1 (IG1), namenjeno malim do srednjim podjetjem z omejenimi IT-viri in izkušnjami
• na področju kibernetske varnosti;
• implementacijsko skupino 2 (IG2) za organizacije, ki imajo namenske človeške vire za vodenje in zaščito IT- infrastrukture;
• implementacijsko skupino 3 (IG3), ki ima namenske, specializirane človeške vire za posamezne vidike
• kibernetske varnosti (npr. upravljanje tveganj, vdorno testiranje, aplikacijsko varnost).

Za dosledno primerjavo se vrnimo k upravljanju gesel, ki jih CIS Controls, različica 8, obravnava pri kontrolah številka 5 – Upravljanje računov.

Ker je področje upravljanja gesel preobsežno, da bi ga obravnavali v seznamu kontrol, je politika upravljanja gesel v ločenem dokumentu, CIS-ovih smernicah politike gesel (CIS Password Policy Guide). Ločena obravnava politike gesel bi presegla namen tega prispevka, zato le poudarimo, da ima CIS strožja priporočila glede dolžine gesel kot NIST 800-63B in priporoča za račune, ki so varovani izključno z gesli, minimalno dolžino gesla 14 znakov, s pripisom, da je treba uporabnike ozaveščati, naj namesto naključnih gesel izbirajo besedne zveze.

Podobno kot NIST 800-63B za rok veljavnosti gesel ne priporoča več vnaprej določenih časovnih intervalov, ampak spremembe gesel samo v nekaterih okoliščinah. V različnih strokovnih priporočilih lahko zasledimo različne zahteve, zato je ključno, da jih dovolj podrobno uskladimo z naročnikom pri izbiri sodil. Prav tako je nujno, da pravil ne določamo po lastni presoji, ampak da sledimo priporočilom stroke, ki upoštevajo obsežne in temeljite raziskave ter statistiko uporabe in incidentov.

V podrobnih zahtevah kontrole 5 v najnovejši različici CIS-ovih kontrol kot posebno zahtevo zasledimo kontrolo, ki določa vzpostavitev in vzdrževanje evidence storitvenih računov. Ti so bili v preteklosti prevečkrat prezrti, saj se skrivajo v nastavitvah aplikacij in uporabljajo za skupinsko dostopanje do podatkov ter praviloma predstavljajo pomembno varnostno tveganje.

Opisana tehnična dobra praksa je bistveno boljša podlaga za dejansko zasnovo kibernetskih kontrol, saj daje operativna navodila, ki v krovne okvire upravljanja in vodenja ter standarde praviloma niso vključena. Razen tega, da se ti praviloma bolj osredotočajo na procese kot postopke in zato niso pravo mesto za navajanje izvedbenih podrobnosti, se postopki tudi pogosteje spreminjajo. Zato bi z njihovim navajanjem procesne smernice in standardi prehitro zastareli.

4. SKLEP

Uporaba splošnih okvirov upravljanja in vodenja informacijskih sistemov ne zmanjšuje bistveno obsega kontrol, ki so predmet pregleda, saj se zaradi dvodimenzionalnosti sistemov upravljanja število zahtevanih kontrol oziroma posameznih zahtev pregleda hitro povečuje z vključevanjem dodatnih upravljavskih praks.

Prehod na standarde SIST/ISO kot vir sodil za pregled kibernetske varnosti praviloma daje več navodil o uvedbi notranjih kontrol kot splošen okvir upravljanja in vodenja. Kljub temu uporaba standardov kot sodila zahteva posebno pozornost, saj standardi zaradi certifikacijskih postopkov strogo omejujejo izključitve kontrol – to pa lahko cilj pregleda bistveno oddalji od ciljev organizacije in zahtevanih notranjih kontrol, kot če bi jih opredelili na podlagi analize tveganja.

Standardi tudi niso dovolj podrobni, da bi se z njihovo uporabo lahko izognili izbiri in poznavanju podrobnejših navodil in smernic, na primer pri presoji, ali je neka tehnično zahtevana struktura gesel dovolj zapletena, da zagotavlja sprejemljivo raven kibernetske varnosti (oziroma zmanjšuje tveganja na sprejemljivo raven) ali ne.

Prav tako standardi in dobre prakse ne navajajo vseh možnih scenarijev uporabe notranjih kontrol. Naslovijo le ključne kontrole in tiste, ki se praviloma pojavljajo v večini organizacij in večini informacijskih sistemov. Primer, povezan z gesli, je uporaba gesel za povezovanje med aplikacijami. Taka gesla so praviloma shranjena v nastavitvenih datotekah, se redko spreminjajo, njihova sprememba pa je povezana s specifičnimi tveganji in predstavlja poseben primer uporabe gesel.

Pregled kibernetske varnosti zato zahteva vključitev ustrezno usposobljenih strokovnjakov, ki lahko prepoznajo vire ranljivosti in sredstva, s katerimi so tveganja povezana, ter v kontekstu organizacije tudi upravičijo zahtevo po posameznem sodilu. Vnaprej pripravljeni splošni kontrolni seznami tem zahtevam ne morejo zadostiti.

Navsezadnje tudi Mednarodni standard revidiranja 315 (prenovljen 2019), Prepoznavanje in ocenjevanje tveganj pomembno napačne navedbe, v A174 izrecno navaja, da se obseg in vrsta ustreznih tveganj, ki izhajajo iz uporabe IT-ja, spreminjata glede na vrsto in značilnosti prepoznanih programov IT-ja in drugih vidikov njegovega okolja. Torej je treba načrt revizije, zahteve glede kontrol in njihovo preizkušanje prilagoditi vsaki organizaciji, ki je predmet pregleda (IAASB, 2013).

Pregled področja kibernetske varnosti zahteva podrobno poznavanje področja informacijskih sistemov, vključno s tehnologijami in množico dobrih praks, od katerih smo jih le nekaj primeroma navedli v prispevku.

Poleg ustreznega razumevanja zahtev po kibernetskih kontrolah za posamezno organizacijo je ključno tudi poročanje. Poslovodstva v preveč primerih dobijo vtis, da se revizorjevo poročilo nanaša na splošno stanje kibernetskih kontrol v celotni organizaciji, čeprav je bil poudarek pregleda na specifičnem področju delovanja organizacije (npr. na računovodskem poročanju). Zato se tudi mnenje nanaša le na tiste kontrole, ki podpirajo ugotovitve revizorja, ne pa na informacijski sistem kot celoto. Zadnje, prav tako pomembno področje, na katerem se pri poročanju lahko še izboljšamo, je utemeljitev priporočil. Če priporočila temeljijo na dokumentirani dobri praksi in standardih ter so povezana s tveganji, ki so za organizacijo realna, jih je upravi bistveno lažje razumeti in sprejeti, kot če poročilo daje vtis, da so priporočila rezultat proste presoje revizorja.

5. LITERATURA IN VIRI

1. Rout, D. (2015). Developing a Common Understanding of Cybersecurity. ISACA J., vol. 6, 2015.

2. ENISA. (2016). Definition of Cybersecurity: Gaps and overlaps in standardisation. 2016.

3. Walls, A., Perkins, E. (2014). Definition: Cybersecurity. Dostopno na spletnem naslovu.

4. Cybersecurity & Infrastructure Security Agency. (2019). Security Tip (ST04-001): What is Cybersecurity?. Dostopno na spletnem naslovu.

5. National Institute of Standards and Technology. Cybersecurity. Computer Security Resource Center. Dostopno na spletnem naslovu.

6. National Institute of Standards and Technology. Information security. Computer Security Resource Center. Dostopno na spletnem naslovu.

7. ISACA. (2018). COBIT 2019 Framework: Governance and Management Objectives.

8. Agutter, C. (2019). ITIL® Foundation Essentials – ITIL 4 Edition. London: IT Governance Publishing, 2019.

9. National Institute of Standards and Technology. (2017). NIST Special Publication 800-63B: Digital Identity Guidelines.

10. Center for Internet Security. (2021). CIS Controls: Version 8.

11. Center for Internet Security. (2020). CIS Password Policy Guide.

12. IAASB. (2013). MSR 315: Prepoznavanje in ocenjevanje tveganj pomembno napačne navedbe s pomočjo poznavanja organizacije in njenega okolja.

Opombe

* Boštjan Kežmah, doktor znanosti, aktivni PRIS, CISA, UM FERI, Koroška cesta 46, 2000 Maribor, bostjan.kezmah@um.si. Ta raziskava je nastala ob podpori raziskovalnega programa št. P2-0057, ki ga je sofinancirala Javna agencija za raziskovalno dejavnost Republike Slovenije iz državnega proračuna, in projekta Cyber Security Network of Competence Centres for Europe (CyberSec4Europe), ki ga je financirala Evropska unija iz okvirnega programa EU-ja za raziskave in inovacije – Obzorje H2020.