Криптирането на данни в покой не е възможно? Ръководство за директорите по информационна сигурност (CISO) за устойчиви компенсиращи контроли

Одитната констатация попадна на бюрото на директора по информационна сигурност (CISO) Сара Чен с познатата тежест. Критична наследена база данни, генерираща приходи и представляваща оперативното ядро на производствената линия на компанията, не поддържаше съвременно криптиране на данни в покой. Базовата ѝ архитектура беше на повече от десетилетие, а доставчикът отдавна беше прекратил предоставянето на корекции за сигурност. Одиторът с основание я беше маркирал като съществен риск. Препоръката беше: „Криптирайте всички чувствителни данни в покой чрез алгоритми по индустриален стандарт.“

За Сара това не беше само технически проблем, а криза за непрекъснатостта на дейността. Надграждането на системата би означавало месеци прекъсване и разходи за милиони — вариант, неприемлив за управителния съвет. Но оставянето на голям обем чувствителна интелектуална собственост без криптиране беше недопустим риск и ясно отклонение от тяхната система за управление на информационната сигурност (СУИС).

Този сценарий е реалността в киберсигурността, където перфектните решения са редки, а съответствието не може да бъде поставено на пауза. Това се случва, когато критични архивни файлове се съхраняват в наследени системи, когато ключов доставчик на SaaS се позовава на „технически ограничения“ или когато високопроизводителни приложения се сриват под тежестта на допълнителното натоварване от криптиране. Учебникарският отговор „просто го криптирайте“ често се сблъсква с трудната реалност.

Какво се случва, когато основният, предписан контрол не може да бъде приложен? Не приемате риска безусловно. Изграждате по-интелигентна и по-устойчива защита чрез компенсиращи контроли. Това не е търсене на оправдания, а демонстрация на зряло, основано на риска управление на сигурността, което може да издържи на най-строгия одитен преглед.

Защо криптирането на данни в покой е изискване с висок залог

Криптирането на данни в покой е основополагащ контрол във всички съвременни рамки за сигурност, включително ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA и NIST SP 800-53 SC-28. Целта му е проста, но критична: съхраняваните данни да станат нечетими, ако физическите или логическите защити откажат. Изгубена резервна лента или откраднат сървър, съдържащ некриптирани данни, не е просто технически пропуск; често това е нарушение на сигурността на данните, подлежащо на законово уведомяване.

Рисковете са ясни и значими:

• Кражба или загуба на преносими носители като USB устройства и резервни ленти.
• Експониране на данни от неуправлявани, забравени или наследени устройства.
• Невъзможност за прилагане на вградено дисково криптиране или криптиране на база данни в конкретни SaaS, облачни, OT или наследени среди.
• Рискове за възстановяването на данни при загуба или неправилно управление на ключове за криптиране.

Тези изисквания не са само технически — те са правни задължения. GDPR Article 32 и DORA Articles 5 and 10 изрично признават криптирането като „подходяща техническа мярка“. NIS2 го определя като базова мярка за осигуряване на целостта на системите и информацията. Когато тази основна защита не е приложима, тежестта на доказване се прехвърля върху организацията: тя трябва да покаже, че алтернативните ѝ мерки са също толкова ефективни.

От единична отметка към многостепенна защита

Първичната реакция при одитна констатация като тази на Сара често е паника. Добре структурираната СУИС обаче предвижда такива ситуации. Първата стъпка на Сара не беше да се обади на инфраструктурния екип, а да отвори Политиката за криптографски контроли на своята организация — документ, изграден с корпоративните шаблони на Clarysec. Тя отиде директно на клауза, която осигуряваше основата за нейната стратегия.

Съгласно Политиката за криптографски контроли, раздел 7.2.3 изрично очертава процеса за дефиниране на:

„Конкретни компенсиращи контроли, които да бъдат приложени“

Тази клауза е най-добрият съюзник на CISO. Тя признава, че универсалният подход към сигурността е погрешен, и предоставя утвърден път за адресиране на риска. Политиката не функционира изолирано. Както е посочено в клауза 10.5, тя е пряко свързана с Политиката за класификация и етикетиране на данни, която „дефинира нивата на класификация (напр. поверителна, регулирана), задействащи конкретни изисквания за криптиране“.

Тази връзка е критична. Данните в наследената база данни бяха класифицирани като „поверителни“, поради което липсата на криптиране беше маркирана. Мисията на Сара вече беше ясна: да изгради толкова надежден слой от компенсиращи контроли, че рискът от експониране да бъде смекчен до приемливо ниво.

Проектиране на защитима стратегия със Zenith Blueprint

Криптирането е крайъгълен камък на съвременната сигурност, но както обяснява Clarysec в Zenith Blueprint: 30-стъпкова пътна карта за одитори, в стъпка 21 контрол 8.24 „Използване на криптография“ не се свежда до просто „включване на криптирането“. Вместо това става дума за „вграждане на криптографията в дизайна, политиките и управлението на жизнения цикъл на организацията“.

Когато една част от дизайна (наследената база данни) не може да изпълни изискването, политиките и аспектите на жизнения цикъл трябва да компенсират. Екипът на Сара използва тази рамка, за да проектира многостепенна защита, основана на предотвратяване на излизането на данните от техния защитен, макар и некриптиран, контейнер.

Компенсиращ контрол 1: Предотвратяване на изтичане на данни (DLP)

Ако не можете да криптирате данните там, където се намират, трябва да гарантирате, че те не могат да напуснат средата. Екипът на Сара внедри решение за предотвратяване на изтичане на данни (DLP), което да действа като цифрова охрана. Това не беше просто мрежово правило, а сложен контрол, отчитащ съдържанието.

Използвайки Zenith Controls: ръководство за кръстосано съответствие на Clarysec, те конфигурираха DLP системата въз основа на указанията за контрол 8.12 „Предотвратяване на изтичане на данни“ от ISO/IEC 27001:2022. Правилата бяха пряко информирани от 5.12 Classification of information. Всички данни, съответстващи на схемите за „поверителна“ информация в наследената база данни, автоматично се блокираха при опит за прехвърляне чрез електронна поща, уеб качвания или дори копиране и поставяне в други приложения.

Както обяснява Zenith Controls:

„Предотвратяването на изтичане на данни (DLP) зависи фундаментално от точната класификация на данните. Контрол 5.12 гарантира, че данните се етикетират според чувствителността… DLP е специализирана форма на непрекъснат мониторинг, насочена към движението на данни… 8.12 може да прилага политики за криптиране на данни, напускащи организацията, като гарантира, че дори ако данните бъдат извлечени, те остават нечетими за неоторизирани страни.“

Този контрол е признат в множество рамки и се съпоставя с GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 и NIST SP 800-53 SI-4. Чрез внедряването му екипът на Сара създаде силен защитен периметър, който гарантираше, че некриптираните данни остават изолирани.

Компенсиращ контрол 2: Маскиране на данни за непроизводствена употреба

Един от най-големите рискове за наследените данни е използването им в други среди. Екипът по разработка често се нуждаеше от данни от производствената система, за да тества нови функционалности на приложенията. Предоставянето на некриптирани поверителни данни беше изключено.

Тук Сара се обърна към стъпка 20 от Zenith Blueprint, който обхваща 8.11 Data masking. Ръководството отбелязва, че одиторите директно ще попитат: „Използвате ли някога реални лични данни в тестови системи? Ако да, как са защитени?“

Следвайки тези указания, екипът на Сара внедри строга процедура за маскиране на данни. Всеки извлек от данни, поискан от екипа по разработка, трябваше да премине през автоматизиран процес, който псевдонимизира или анонимизира чувствителните полета. Имена на клиенти, собственически формули и производствени показатели се заменяха с реалистични, но фиктивни данни. Този единичен контрол елиминира значителна повърхност на риска, като гарантира, че чувствителните данни никога не напускат строго контролираната производствена среда в първоначалния си вид.

Компенсиращ контрол 3: Укрепени физически и логически контроли

След като изтичането на данни и непроизводствената употреба бяха адресирани, последният защитен слой се фокусира върху самата система. Опирайки се на принципите на 7.10 Storage media от Zenith Controls, екипът на Сара третира физическия сървър като актив с висока степен на защита. Въпреки че 7.10 често се свързва с преносими носители, неговите принципи за управление на жизнения цикъл и физическа сигурност са напълно приложими.

Както Zenith Controls отбелязва по темата:

„ISO/IEC 27002:2022 предоставя обхватни указания в клауза 7.10 за сигурно управление на носителите за съхранение през целия им жизнен цикъл. Стандартът препоръчва организациите да поддържат регистър на всички преносими носители…“

Прилагайки тази логика, сървърът беше преместен в отделен заключен шкаф в центъра за данни, достъпен само за двама поименно определени старши инженери. Физическият достъп изискваше вписване и се наблюдаваше чрез CCTV. От мрежова страна сървърът беше поставен в сегментирана VLAN за наследени системи. Правилата на защитната стена бяха конфигурирани да отказват целия трафик по подразбиране, с едно изрично правило, позволяващо комуникация само от определеното приложение към конкретен порт. Тази строга изолация драстично намали повърхността на атака и направи некриптираните данни невидими и недостъпни.

Пред одита: представяне на защитима стратегия през няколко перспективи

Когато одиторът се върна за последваща проверка, Сара не представи оправдания. Тя представи цялостен план за третиране на риска, придружен с документация, журнали и демонстрации на живо на компенсиращите контроли на екипа. Одитът не е единично събитие, а разговор, разглеждан през различни перспективи, и CISO трябва да е подготвен за всяка от тях.

Перспективата на одитора по ISO/IEC 27001: Одиторът искаше да види оперативна ефективност. Екипът на Сара демонстрира как DLP системата блокира неоторизиран имейл, показа изпълнение на скрипта за маскиране на данни и предостави журнали за физически достъп, съпоставени с работни заявки.

Перспективата на GDPR и защитата на личните данни: Одиторът попита как се прилага минимизиране на данните. Сара показа автоматизираните скриптове за сигурно изтриване на кеширани данни и процеса на псевдонимизация за всички данни, напускащи производствената система, в съответствие с GDPR Article 25 (Data protection by design and by default). Политиката за криптографски контроли за МСП изрично възлага на DPO отговорността да „гарантира, че контролите за криптиране са съгласувани със задълженията за защита на данните по Article 32 от GDPR“.

Перспективата на NIS2/DORA: Тази перспектива се фокусира върху оперативната устойчивост. Сара представи резултати от тестове за резервно копиране и възстановяване на изолираната система, както и допълнения за сигурност от доставчика за наследения софтуер, демонстрирайки проактивно управление на риска, както се изисква от NIS2 Article 21 и DORA Article 9.

Перспективата на NIST/COBIT: Одитор, използващ тези рамки, търси управление и показатели. Сара представи актуализирания регистър на риска, показващ формално приемане на остатъчния риск (COBIT APO13). Тя съпостави DLP с NIST SP 800-53 SI-4 (System Monitoring), мрежовото сегментиране със SC-7 (Boundary Protection), а контролите на достъпа с AC-3 и AC-4, доказвайки, че макар SC-28 (Protection of Information at Rest) да не е изпълнен директно, е внедрен еквивалентен набор от контроли.

Ключови одиторски доказателства за компенсиращи контроли

За да комуникира ефективно стратегията си, екипът на Сара подготви доказателства, съобразени с очакванията на одиторите.

Като предвиди тези различни перспективи, Сара превърна потенциално несъответствие в демонстрация на зрялост на сигурността.

Практическо обобщение за следващия ви одит

За да направи стратегията ясна и защитима, екипът на Сара създаде обобщаваща таблица в своя план за третиране на риска. Това е подход, който всяка организация може да приложи.

Кръстосано съответствие накратко

Силната стратегия за компенсиращи контроли е защитима във всички основни рамки. Zenith Controls на Clarysec предоставя съпоставяне между рамките, за да гарантира, че защитите ви са универсално разбираеми и приемливи.

Заключение: превърнете най-слабото си звено в силна страна

Историята на наследената база данни, която не може да бъде криптирана, не е история за провал. Това е история за зряло и интелигентно управление на риска. Като отказа да приеме простия отговор „не може да се направи“, екипът на Сара превърна значителна уязвимост в пример за своите възможности за многостепенна защита. Те доказаха, че сигурността не означава да се постави отметка в едно поле „криптиране“. Тя означава разбиране на риска и изграждане на обмислена, многостепенна и одитируема защита за неговото смекчаване.

Вашата организация неизбежно ще има своя версия на тази наследена база данни. Когато я откриете, не я възприемайте като пречка. Възприемете я като възможност да изградите по-устойчива и по-защитима програма за сигурност.

Готови ли сте да изградите собствена надеждна и готова за одит рамка от контроли? Започнете с правилната основа.

• Прегледайте екосистемата си от политики с цялостните инструменти на Clarysec за политики.
• Разгледайте Zenith Blueprint: 30-стъпкова пътна карта за одитори, за да насочите внедряването си.
• Използвайте Zenith Controls: ръководство за кръстосано съответствие, за да гарантирате, че защитите ви издържат на проверка от всяка перспектива.

Свържете се с Clarysec за персонализиран семинар или пълна оценка на кръстосаното съответствие. Защото в днешната регулаторна среда подготвеността е единственият контрол, който има значение.

Референции:

• Политика за криптографски контроли
• Политика за криптографски контроли за МСП
• Политика за класификация и етикетиране на данни
• Zenith Blueprint: 30-стъпкова пътна карта за одитори
• Zenith Controls: ръководство за кръстосано съответствие