Nowości
Akcesoria czujnik, uchwyt montażowy, 42x36x30mm, V2A
Akcesoria czujnik, uchwyt montażowy, 42x36x30mm, V2A
25,79 zł (5,51 €) 20,97 zł (4,48 €)
szt
Czujnik akcesoriów, uchwyt montażowy, 56x36x42 mm, V2A
Czujnik akcesoriów, uchwyt montażowy, 56x36x42 mm, V2A
32,58 zł (6,96 €) 26,49 zł (5,66 €)
szt
Akcesoria czujnik, uchwyt montażowy, 43x36x30mm, V2A
Akcesoria czujnik, uchwyt montażowy, 43x36x30mm, V2A
26,49 zł (5,66 €) 21,54 zł (4,60 €)
szt
AY000169, akcesorium czujnika, uchwyt montażowy, 36x36x30mm,  V2A, IPF Electronic
AY000169, akcesorium czujnika, uchwyt montażowy, 36x36x30mm, V2A, IPF Electronic
24,76 zł (5,29 €) 20,13 zł (4,30 €)
szt.
Akcesoria czujnik, wspornik montażowy, 32x36x30mm, V2A
Akcesoria czujnik, wspornik montażowy, 32x36x30mm, V2A
26,96 zł (5,76 €) 21,92 zł (4,68 €)
szt
Czujnik akcesoriów, regulowany dwukierunkowy uchwyt zaciskowy, 20x72x20 mm, aluminium
Czujnik akcesoriów, regulowany dwukierunkowy uchwyt zaciskowy, 20x72x20 mm, aluminium
188,02 zł (40,17 €) 152,86 zł (32,66 €)
szt
Czujnik akcesoriów, dwukierunkowy uchwyt zaciskowy, 16x48x16 mm, aluminium
Czujnik akcesoriów, dwukierunkowy uchwyt zaciskowy, 16x48x16 mm, aluminium
79,34 zł (16,95 €) 64,50 zł (13,78 €)
szt
OBSESJA NA PUNKCIE SZYBSZEGO ZGŁASZANIA INCYENTÓW ZWIĄZANYCH Z BEZPIECZEŃSTWEM CYBERNETYCZNYM 0
OBSESJA NA PUNKCIE SZYBSZEGO ZGŁASZANIA INCYENTÓW ZWIĄZANYCH Z BEZPIECZEŃSTWEM CYBERNETYCZNYM

Obsesja na punkcie szybszego zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym

Wymogi dotyczące zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym do organów regulacyjnych lub rządowych nie są nowe, ale zawsze istniała duża niespójność w zakresie tego, jakie dokładnie są to wymogi. Ostatnio, wśród organów rządowych i regulacyjnych w Stanach Zjednoczonych obserwujemy rosnącą tendencję do skracania terminów zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym. Oto krótkie podsumowanie ostatnich działań.

Pod koniec ubiegłego roku Kongres Stanów Zjednoczonych przyjął ustawę National Defense Authorization Act (NDAA). Ostateczna wersja NDAA zawiera zasadę powiadamiania o incydentach związanych z bezpieczeństwem cybernetycznym, która dotyczy tylko podmiotów infrastruktury krytycznej. Pozostawia ona ostateczny próg wymagany do zgłoszenia do ustalenia przez Dyrektora Biura Kontroli Incydentów Bezpieczeństwa Cybernetycznego, ale stwierdza, że "w żadnym wypadku Dyrektor nie może wymagać od podmiotu objętego obowiązkiem zgłoszenia wcześniej niż 72 godziny po potwierdzeniu, że wystąpił incydent cybernetyczny objęty obowiązkiem zgłoszenia". Ta część przepisów została jednak poddana kilku zmianom. Wersja Izby zawierała szerzej zakrojony wymóg 72-godzinnego zgłoszenia, a także wymóg 24-godzinnego zgłoszenia płatności za ransomware. W połowie marca zarówno Izba, jak i Senat przyjęły osobną ustawę "Cyber Incident Reporting for Critical Infrastructure Act", włączoną do "Consolidated Appropriations Act", która wyraźnie określa wymóg 72-godzinnego zgłaszania dla podmiotów infrastruktury krytycznej.

Również pod koniec ubiegłego roku FDIC włączył się do akcji zgłaszania incydentów, wprowadzając wymóg 36 godzin. Ostateczne przepisy zostały wydane przez Federalną Korporację Ubezpieczeń Depozytów (FDIC), Radę Gubernatorów Systemu Rezerwy Federalnej (Board of Governors of the Federal Reserve System) oraz Urząd Kontroli Waluty (Office of the Comptroller of the Currency). Organizacje, których to dotyczy, muszą spełnić wymagania do 1 maja 2022 roku. National Law Review zauważa, że "ten termin jest krótszy niż jakikolwiek stanowy przepis dotyczący powiadamiania o naruszeniu danych i przewyższa nawet najwęższe ramy czasowe w amerykańskich księgach rachunkowych".

Wreszcie, aby dopełnić tę tendencję, Komisja Papierów Wartościowych i Giełd (SEC) wydała w marcu proponowaną zasadę, która wymaga 48-godzinnego powiadamiania dla pewnej grupy podmiotów objętych przepisami. Zasada ta dotyczyłaby w szczególności zarejestrowanych doradców inwestycyjnych (RIA), zarejestrowanych spółek inwestycyjnych (RIC) oraz spółek rozwoju biznesu (BDC). Lista ta nie obejmuje innych spółek giełdowych regulowanych przez SEC. Ponieważ jest to proponowana zasada, można ją komentować przez 60 dni od publikacji.

Chociaż w przepisach tych z pewnością znajdują się inne treści dotyczące bezpieczeństwa cybernetycznego, nacisk położony na terminowość, a nie na kompletność powiadomień, jest nadmiernie wyważony. Niezależnie od tego, czy jest to 72, 48 czy 36 godzin, żadna organizacja nie będzie w stanie uzyskać pełnego obrazu incydentu związanego z bezpieczeństwem cybernetycznym w takim czasie. Zbadanie incydentu wymaga czasu i nie jest to łatwy proces. Atakujący mógł być obecny w środowisku przez tygodnie lub miesiące, a rozwikłanie jego aktywności w tym okresie wymaga umiejętności, staranności i cierpliwości.

Skupienie się na terminowości raportów, bez jednoczesnego skupienia się na ich kompletności, napędza cykl informacyjny, który przedkłada nagłówki nad analizę. Doniesienia o najnowszym incydencie są o wiele bardziej interesujące niż ukończona analiza incydentu z ubiegłego roku, zwłaszcza jeśli ta analiza nie jest jeszcze dostępna.

Terminowe zgłaszanie incydentów ma jednak swoją wartość. Umożliwia organizacjom zewnętrznym - organom regulacyjnym lub rządowym - reagowanie na incydenty. Pozwala na agregację danych i potencjalnie na zrozumienie większych wzorców, co z kolei umożliwia szybsze reagowanie na incydenty o charakterze wielopłaszczyznowym, obejmujące różne organizacje i branże.

Równie cenna, jeśli nie bardziej cenna, jest kompletność raportowania. Dzięki poznaniu szczegółów incydentu, a najlepiej pełnej linii czasowej, zarówno organizacja, której dotyczy incydent, jak i inne podmioty mogą wdrożyć mechanizmy kontrolne i środki zaradcze, aby zapobiec kolejnym atakom wykorzystującym podobne narzędzia lub wzorce. Organizacje branżowe mogą wykorzystać te dane do zdobycia wiedzy. Wartość tego typu informacji możemy dziś dostrzec w corocznych raportach, takich jak raport Verizon Data Breach Investigations, oraz w narzędziach takich jak MITRE ATT&CK framework.

Jednak szczegółowe dane zbierane na temat incydentów są często niekompletne lub przekazywane dobrowolnie. Standardy dotyczące tego, co zawiera kompletny raport o incydencie oraz metodologia jego tworzenia są w dużej mierze utrzymywane przez prywatne organizacje nastawione na zysk. Podniesienie standardów w zakresie badania incydentów przynosi korzyści wszystkim, a są pewne oznaki, że branża i rządy będą zmierzać w tym kierunku.

Przeglądu Bezpieczeństwa Cybernetycznego w ramach CISA stanowi obietnicę przyjęcia nowego podejścia do badania incydentów o znaczeniu krajowym oraz zapewnienia nowego poziomu przejrzystości tego procesu. CSRO jest często porównywana do Krajowej Rady Bezpieczeństwa Transportu. W swojej historii NTSB wydała ponad 14 000 zaleceń dotyczących bezpieczeństwa, z czego aż 73% zostało przyjętych przez podmioty, do których zostały skierowane. Jeśli CSRO podąży tą samą drogą, być może doczekamy się wpływowych zaleceń dotyczących bezpieczeństwa cybernetycznego, które będą bezpośrednim wynikiem tego bardziej publicznego i przejrzystego procesu dochodzeniowego.

Na mniejszą skalę, SEC prezentuje podejście, które również dotyczy kompletności i przejrzystości. Chociaż proponowana zasada SEC może koncentrować się na szybkim raportowaniu, zawiera ona również interesujący wymóg dostarczania aktualizacji w ciągu 48 godzin, "jeśli jakakolwiek wcześniej zgłoszona informacja o znaczącym incydencie związanym z bezpieczeństwem cybernetycznym stanie się istotnie niedokładna lub jeśli doradca odkryje nowe istotne informacje związane z incydentem". Ponieważ SEC koncentruje się na informowaniu inwestorów o ryzyku, jest prawdopodobne, że tego typu informacje będą bardziej dostępne publicznie dzięki tej zasadzie, zakładając, że zostanie ona przyjęta w obecnym kształcie.

Ze względu na stale zmieniające się środowisko zagrożeń, coraz bardziej rygorystyczne wymagania dotyczące sprawozdawczości będą się prawdopodobnie mnożyć. Ważne jest, aby tendencja do terminowości raportowania była zrównoważona naciskiem na jakość i kompletność danych.

Autor: TIM ERLIN

Komentarze do wpisu (0)

Wersje językowe
Kategorie blog
Newsletter
Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.
do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl