Kibernetinis saugumas: kaip valstybė galėtų padėti užtikrinti Trečiųjų šalių valdymą
Kibernetinis saugumas: kaip valstybė galėtų padėti užtikrinti Trečiųjų šalių valdymą
Projekto tikslas - Projektas sudarytas iš sekančių etapų teisinio reguliavimo ir teorijos analizės, interviu su suinteresuotomis šalimis, esamos situacijos analizės Lietuvoje, užsienio gerųjų praktikų apžvalgos
Aktualumas
2022 metais Europos Sąjungos kibernetinio saugumo agentūra (angl. ENISA) nustatė, kad tiekimo grandinės grėsmė ir IRT paslaugų tiekėjų pažeidžiamumas bus TOP 10 problemų visame pasaulyje.
Trečiųjų šalių valdymas kibernetinio saugumo kontekste yra viena iš mažiausiai Lietuvoje valdomų rizikų - daugiau nei pusė interviu metu apklaustųjų neturi trečiųjų šalių valdymo proceso.
Užsienio šalys imasi stiprinti visos ekosistemos kibernetinį saugumą, kadangi organizacijos yra tarpusavyje susijusios ir priklausomos nuo tiekėjų. Tuo pačiu siekiama didinti atsparumą kibernetinėms atakoms ir užtikrinti veiklos tęstinumą, stiprinant organizacijų pasiruošimą ir didinant bendradarbiavimą.
Šalys kaip Didžioji Britanija, Belgija, Danija, Izraelis dalinasi kibernetinio saugumo gerąją praktika-didinant kibernetinio saugumo sąmoningumą tiekimo grandinių kontekste. Taikomas kompleksinis požiūris apimantis: sertifikatus, mokymus, minimalius kibernetinio saugumo standartus, įrankius, platformas, savęs vertinimo klausimynus, vadovus su rekomendacijomis.
Trečiosioms šalims valdyti naudojamos ir taikomos skirtingos metodikos, tokios kaip NIST, ISO27002, CIS18, Zero Trust, taip pat nacionaliniai modeliai (pvz., Ispanijos IMC, C4V). Kibernetinio saugumo valdymo modelių įgyvendinimas dažnai yra neprivalomas ir priklauso nuo pačios organizacijos kibernetinio saugumo brandos.
Dauguma trečiąsias šalis valdančių organizacijų remiasi šiais ciklo etapais:
Probleminės sritys Lietuvoje:
Organizacijoms trūksta aiškiai apibrėžtų organizacinių ir techninių reikalavimų gairių, kurios būtinos tiekėjų valdymo procesų tikslinimui ir efektyviam užtikrinimui
Trečioji šalis nėra numatyta kaip rizika. Nekontroliuojama tiekimo grandinės rizika
Trečiosios šalys neprivalo informuoti ir pateikti informacijos apie kibernetinius incidentus
Užsienio gerosios praktikos pavyzdžiai kurie galėtų būti taikomi Lietuvoje atsakant i problemines sritis:
Austrija
“Cyber Trust” ir KSV1870 tiekimo grandinės įrankis (klausimynas prieinamas Office 365) - bendradarbiaujant su Austrijos taikomųjų mokslų universitetu, buvo sukurtas metodas ir nemokamas įrankis tiekimo grandinės partnerių kategorizavime ir klasifikavimui kibernetinio saugumo srityje, suteikia daug informacijos apie tiekėjus.
“Cyber Trust” sertifikavimo 3 lygiai: Sukurtas ženklinimas suteiktu organizacijoms galimybę išorėje demonstruoti esminių pagrindinių saugumo reikalavimų kibernetiniam saugumui laikymąsi “Label”, “Label Silver”, “Label Gold”.
Danija
Kibernetinio saugumo santykiai su tiekėjais vadovas - pateikti 6 proceso etapai (planavimas, saugumo reikalavimai, tiekėjo pasirinkimas, sutartis, tiekėjo valdymas, sutarties nutraukimas) organizacijoms, planuojančioms perduoti savo IT operacijas, valdant klientų ir tiekėjų santykį kibernetinio ir informacijos saugumo kontekste.
Didžioji Britanija
Tiekimo grandinės žemėlapio sudarymo kursas – siekiama geriau suprasti ir sumažinti riziką, susijusią su tiekėjų naudojimu produktams, sistemoms ir paslaugoms gauti.
Tiekimo grandinės kibernetinio saugumo įvertinimas – supažindinama su grėsmės supratimu praėjus 5 etapus: nusistatyti tiekėjus, sukurti tiekimo grandinės kibernetinio saugumo vertinimo metodą, taikyti metodą naujiems tiekėjų santykiams, integruoti metodą į esamas tiekėjų sutartis, nuolat tobulinti.
Tiekimo grandinės saugumo principai – gairės, kuriose pateikiama 12 principų.
“Cyber Essentials” ir “Cyber Essentials Plus” sertifikatai – JK Vyriausybės Nacionalinis kibernetinio saugumo centras (NKSC), siekdamas stiprinti kibernetinio saugumo praktikas ir mažinti su tuo susijusią riziką tiekimo grandinėje, pristatė „Cyber Essentials“ programą. Ši schema nustato rekomenduojamų kontrolės priemonių rinkinį ir siūlo du sertifikavimo lygius: „Cyber Essentials“ ir aukštesnį „Cyber Essentials Plus“.
Kontraktorių gerosios praktikos gidas – šiose gairėse pateikiama informacija apie gerąją praktiką saugiai įtraukiant ir prižiūrint rangovus, skirtas bet kuriai organizacijai. Šis gidas įvardija šias sritis: rangovo atvejo analizė, visą įdarbinimo procesą, nuolatinis rangovų saugumo valdymą, sutarčių sudarymo patikrinimo procesas bei patarimai rangovams, ką daryti ir ko ne