Dlaczego potrzebne są nowe technologie, aby pomóc firmom spełnić przepisy dotyczące cyberbezpieczeństwa?

Ponieważ liderzy bezpieczeństwa starają się zapobiegać coraz bardziej zaawansowanym cyberatakom, stają przed równoczesnym wyzwaniem, jakim jest zapewnienie zgodności ze złożonym otoczeniem regulacyjnym, który zmienia się w zależności od regionu. Nieosiągnięcie obu tych celów może mieć poważne konsekwencje finansowe i markowe - co oznacza, że wielu liderów IT zwraca się o pomoc do zewnętrznych dostawców. Dla przedsiębiorstw wyzwanie związane z zarządzaniem przepisami dotyczącymi cyberbezpieczeństwa jest tak poważne, że Światowe Forum Ekonomiczne wezwało do globalnej harmonizacji przepisów dotyczących cyberbezpieczeństwa.

Przepisy pomagają zapewnić bezpieczeństwo przedsiębiorstwom i konsumentom. Jednak nowe wymagania oznaczają, że firmy muszą znaleźć wiedzę specjalistyczną, aby je zrozumieć, a także ulepszyć systemy informatyczne, jeśli uznają to za konieczne.

Zobacz również:

• Generatywna sztuczna inteligencja przeraża CISO. Mimo to jej wdrażanie nie zwalnia tempa
• Cyberobrona? Mamy w planach

Nowelizacja dyrektywy w sprawie bezpieczeństwa sieci i informacji – NIS2 – weszła w życie w styczniu 2023 r., nakładając na organy zarządzające odpowiedzialność za środki zielonego światła w celu radzenia sobie z zagrożeniami dla cyberbezpieczeństwa oraz wprowadzając zaostrzone obowiązki w zakresie zgłaszania incydentów.

(…)

W Europie proponowana przez KE ustawa o odporności cybernetycznej zakłada wprowadzenie obowiązkowych wymogów cyberbezpieczeństwa dla producentów i sprzedawców produktów lub oprogramowania z komponentem cyfrowym, od elektronicznych niań po urządzenia IoT.

„Szybkość i rygorystyczność konieczności dostosowania się zarówno do istniejących, jak i przyszłych przepisów stworzyły rodzaj błędnego koła zgodności”, mówi Mike Pimlott, wiceprezes ds. globalnych zarządzanych usług bezpieczeństwa w NTT. „Firmy już cierpią z powodu przeciążenia informacjami regulacyjnymi, więc ich zdolność do zachowania zgodności jest rozciągnięta do granic możliwości”. Pimlott dodaje: „Jesteśmy blisko sytuacji, w której zakłócenia związane z przestrzeganiem przepisów faktycznie przyczyniają się do narażenia na ryzyko cybernetyczne, prowadząc do naruszeń danych, które w konsekwencji mogą skłonić rządy do wprowadzenia większej liczby regulacji”.

Sytuacja komplikuje się, gdy oceny postawy cybernetycznej organizacji ujawniają kolejne luki w zabezpieczeniach, zarówno technologiczne, jak i proceduralne.

„Bezpieczeństwo danych jest tego najlepszym przykładem”, wyjaśnia Pimlott. „W ramach audytu opartego na regulacjach firma może odkryć, że ma zasoby danych, o których nie wiedziała, i że aktywa te zaczęły podlegać z mocą wsteczną nowym przepisom dotyczącym ochrony".

Pimlott dodaje: "Teraz firma musi uwzględnić te dodatkowe dane w swoich kosztach ogólnych - i działać szybko, aby zapewnić, że te aktywa są odpowiednio zabezpieczone, w przeciwnym razie nie będą zgodne. Kolejne zadanie dla przepracowanych CISO i ich zespołów".

Pimlott podejrzewa, że rosnące obciążenia regulacyjne spowodują, że przedsiębiorstwa ponownie przemyślą swoją strategię zarządzania ryzykiem cybernetycznym. „Tradycyjnie organizacje są świadome, że ich infrastruktura ma znane luki w zabezpieczeniach o większym lub mniejszym znaczeniu” - wyjaśnia. „Są również ostrzegani o nowych lukach w zabezpieczeniach wykrytych przez dostawców ich rozwiązań, którzy dostarczają dla nich poprawki. Tak więc ich inżynierowie bezpieczeństwa - wraz ze swoimi partnerami technicznymi - pracują nad tymi znanymi lukami, naprawiając je jak najszybciej”.

Jest to ustalony sposób rozwiązania długotrwałego problemu. Oznacza to, że firmy nie muszą zrywać i wymieniać infrastruktury tylko dlatego, że nie jest ona całkowicie zabezpieczona. Ale ten model łagodzenia może nie być wykonalny w erze zwiększonej regulacji cybernetycznej, sugeruje Pimlott.

„Jednym z pytań, które zadadzą organizacje, jest, czy powinny nadal radzić sobie z lukami w zabezpieczeniach poprzez łatanie poprawek?. W którym momencie powinni zdecydować, że takie podejście drenuje nasze zasoby i wiedzę - a my nadal nie jesteśmy w pełni bezpieczni i ryzykujemy karą ze strony organu regulacyjnego!", mówi Pimlott.

Pimlott uważa, że osiągnięto punkt zwrotny, w którym argumentem jest modernizacja do nowej infrastruktury - sprzętu i oprogramowania - która jest wstępnie zabezpieczona, ponownie najnowsze znane zagrożenia i została przygotowana do zgodności z najnowszymi przepisami. W międzyczasie przedsiębiorstwa mogą korzystać z dodatkowych zasobów wsparcia za pośrednictwem partnerów technologicznych, takich jak usługi zarządzanego wykrywania i reagowania (MDR) NTT.

„Zaletą MDR jest to, że oprócz uwolnienia wewnętrznych ekspertów ds. Bezpieczeństwa IT, aby mogli skupić się na projektach o większej wartości dodanej, klient może skalibrować zakres potrzebnego wsparcia bezpieczeństwa, dzięki czemu korzysta tylko z tego, czego wymaga jego infrastruktura”, wyjaśnia Pimlott. Dodaje, że usługi MDR można skonfigurować pod kątem wymagań regulacyjnych danego rynku lub branży, zapewniając dalszą zgodność z przepisami.

Źródło: CSO

Skróty pochodzą od redakcji polskiej.