Akkor most átestünk a ló másik oldalára?

Egy nemzetközi konferencián érdekes vita alakult ki a biztonsági előírások által támasztott megfelelőségi követelmények kapcsán. Lehet, hogy az auditokra jobban figyelünk, mint a valós veszélyekre?
 

A 2013-as RSA konferencián a résztvevő biztonsági szakértők azon is elgondolkodtak, hogy napjainkban a sokat emlegetett megfelelőség valamint a különféle fenyegetettségek elleni védekezés milyen hatást gyakorol egymásra. Többen arra a következtetésre jutottak, hogy manapság a compliance valamint az auditok nagyobb szerepet kapnak, mint a valós veszélyek ellen meghozott, valóban hatékony biztonsági intézkedések. Ugyanakkor már itt meg kell jegyezni, hogy mindegyik biztonsági szakember hangsúlyozta, hogy a jogszabályokra, biztonsági előírásokra, szabványokra igen is szükség van, és a megfelelőséget sem lehet félvállról venni. Csak éppen az sem jó, ha átesünk a ló másik oldalára. Pedig egyre többször ez történik.

Az elmúlt években a vállalatok és a kormányzati intézmények mind több biztonsági előírással szembesültek. Gyakran lehet hallani a SOX (Sarbanes-Oxley), a HIPAA, a PCI DSS, a FISMA, az ISO 27001 és még számos más jogszabályi, illetve iparági követelményről.

"Az audit iparág egy szörnyeteggé vált. Ha csak arra koncentrálunk, hogy megfeleljünk az auditokon, akkor nem összpontosítunk a valós fenyegetettségekre. El kell mozdulnunk a megfelelőség vezérelt biztonságtól a fenyegetettségközpontú védelem felé" - vélekedett Anup Ghosh, az Invincea alapítója. A szakember szerint a legtöbb követelménynek való megfelelőség abból áll, hogy egy-egy előírást ki tudunk-e pipálni, és követjük-e a különböző folyamatokat. Ezzel pedig a szabványok több esetben arra ösztönzik a cégeket, hogy csak a legszükségesebb biztonsági kontrollokat állítsák fel. Ennek ellenére sok vállalatnál ez a tevékenység a biztonságra fordítható kiadások nagy részét felemészti.

A konferencián a szakértők példaként említették az amerikai kormányzati szerverek azon erőfeszítéseit, amelyeket az elmúlt években a FISMA (Federal Information Security Management Act) kapcsán tettek. A szakemberek egyetértettek abban, hogy a FISMA céljai igenis támogathatók, azonban véleményük szerint a compliance folyamatok megvalósítása valamint a nem kevés papírmunka, adminisztráció sok erőforrást vett el a valós védekezéstől.

A biztonság nem lehet statikus

A szakemberek abban is egyetértettek, hogy a biztonsági előírások az esetek többségében viszonylag statikusak. A segítségükkel ugyan mérhetők a biztonsági erőfeszítések eredményei, de ezek az eredmények végül hibás következtetések levonásához vezethetnek. Már csak azért is, mert az auditok egy "időpillanatra" koncentrálódnak, miközben a biztonságnak folyamatosnak kell lennie.

Stephen Trilling, a Symantec műszaki igazgatója szerint az információbiztonság esetében egyre nagyobb szerep jut a megfelelő helyzetfelismerésnek. Minden potenciális fenyegetettséget meg kell érteni, és biztosnak kell lenni abban, hogy ezekre megfelelő válasz születik. Trilling is úgy látja, hogy gyakran a vállalatok csak a minimális erőfeszítést teszik meg annak érdekében, hogy egy-egy előírásnak való megfelelőségüket kipipálhassák. Ez azonban nem elegendő napjaink kibertámadásaival szemben. Különösen azért nem, mert azok egyre kifinomultabbá és célzottabbá válnak. "A biztonsági szakembereknek túl kell látniuk a megfelelőség vezérelt védelmi modelleken, hogy fel tudják venni a küzdelmet a fenyegetettségekkel szemben" - tette hozzá az igazgató.

A konferencia résztvevői összességében azt a következtetést szűrték le, hogy a biztonsági előírásoknak való megfelelőség igen is fontos, de nem szabad hagyni, hogy kizárólag ez irányítsa a védelmi intézkedések meghozatalát.