Nuair nach rogha é criptiú sonraí ar fos: treoir don CISO maidir le rialuithe cúiteacha láidre

Tháinig fionnachtain an iniúchóra anuas ar dheasc CISO Sarah Chen le meáchan a raibh sí ró-eolach air. Ní raibh bunachar sonraí oidhreachta criticiúil, a ghineann ioncam agus atá i gcroílár oibríochtúil líne déantúsaíochta na cuideachta, in ann tacú le criptiú nua-aimseartha sonraí ar fos. Bhí a bhunailtireacht deich mbliana d’aois, agus bhí deireadh curtha ag an díoltóir le nuashonruithe slándála le fada. Le ceart, mharcáil an t-iniúchóir é mar riosca mór. An moladh: “Criptigh gach sonra íogair ar fos trí algartaim de chaighdeán tionscail a úsáid.”

Do Sarah, ní fadhb theicniúil amháin a bhí anseo; ba ghéarchéim leanúnachais gnó í. Chiallódh uasghrádú an chórais míonna d’aga neamhfhónaimh agus na milliúin i gcostas, rud nach nglacfadh an Bord leis. Ach ba riosca do-ghlactha é stór mór maoine intleachtúla íogaire a fhágáil gan chriptiú, agus imeacht soiléir óna córas bainistíochta slándála faisnéise (ISMS).

Seo é fíorshaol na cibearshlándála, áit ar annamh a bhíonn réitigh fhoirfe ann agus nach féidir comhlíonadh a chur ar sos. Tarlaíonn sé nuair a stóráiltear comhaid chúltaca chriticiúla ar chórais oidhreachta, nuair a luann soláthraí tábhachtach SaaS “teorainneacha teicniúla”, nó nuair a theipeann ar fheidhmchláir ardfheidhmíochta faoi fhorchostas criptiúcháin. Is minic a bhuaileann an freagra téacsleabhair, “criptigh é”, le réaltacht chasta.

Mar sin, cad a tharlaíonn nuair nach féidir an príomhrialú forordaithe a úsáid? Ní ghlactar leis an riosca go simplí. Tógtar cosaint níos cliste agus níos athléimní trí rialuithe cúiteacha. Ní bhaineann sé seo le leithscéalta a dhéanamh; baineann sé le bainistíocht slándála aibí, rioscabhunaithe a léiriú atá in ann seasamh faoi scrúdú iniúchta dian.

Cén fáth gur ceanglas ardriosca é criptiú sonraí ar fos

Is rialú bunúsach é criptiú sonraí ar fos i ngach creat slándála nua-aimseartha, lena n-áirítear ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA, agus NIST SP 800-53 SC-28. Tá a chuspóir simplí ach criticiúil: sonraí stóráilte a dhéanamh dothuigthe má theipeann ar chosaintí fisiciúla nó loighciúla. Ní botún teicniúil amháin é téip chúltaca chaillte nó freastalaí goidte ina bhfuil sonraí neamhchriptithe; is minic gur sárú sonraí é atá infhógartha de réir dlí.

Tá na rioscaí soiléir agus suntasach:

• Goid nó caillteanas meán iniompartha amhail tiomántáin USB agus téipeanna cúltaca.
• Nochtadh sonraí ó ghléasanna neamhbhainistithe, dearmadta nó oidhreachta.
• Neamhábaltacht criptiú dúchasach diosca nó bunachair sonraí a chur i bhfeidhm i gcomhthéacsanna sonracha SaaS, néil, OT nó oidhreachta.
• Rioscaí athshlánaithe sonraí má chailltear eochracha criptithe nó má bhainistítear go mícheart iad.

Ní ceanglais theicniúla amháin iad seo; is oibleagáidí dlíthiúla iad. Aithníonn GDPR Article 32 agus DORA Articles 5 agus 10 criptiú go sainráite mar “bheart teicniúil iomchuí.” Ainmníonn NIS2 é mar bhunlíne chun sláine córas agus faisnéise a chinntiú. Nuair nach bhfuil an phríomhchosaint seo indéanta, aistrítear ualach an chruthúnais chuig an eagraíocht chun a léiriú go bhfuil a bearta malartacha chomh héifeachtach céanna.

Ó bhosca aonair le tic go cosaint chisealaithe

Is minic gurb é an freagra láithreach ar fhionnachtain iniúchta cosúil le cás Sarah ná scaoll. Ach réamh-mheasann ISMS dea-struchtúrtha na cásanna seo. Níor ghlaoigh Sarah ar an bhfoireann bonneagair ar dtús; d’oscail sí Beartas Rialuithe Cripteagrafacha a heagraíochta, doiciméad a tógadh le teimpléid fiontraíochta Clarysec. Chuaigh sí díreach chuig clásal a chuir bonn faoina straitéis.

De réir an Bheartais Rialuithe Cripteagrafacha, leagtar amach go sainráite i Roinn 7.2.3 an próiseas chun na nithe seo a shainiú:

“Rialuithe cúiteacha sonracha atá le cur i bhfeidhm”

Is tacaíocht ríthábhachtach don CISO an clásal seo. Aithníonn sé go bhfuil cur chuige aon-mhéid-do-chách i leith slándála lochtach agus soláthraíonn sé bealach ceadaithe chun aghaidh a thabhairt ar riosca. Ní oibríonn an beartas i bhfolús. Mar a luaitear i gclásal 10.5, tá sé nasctha go díreach leis an mBeartas Aicmithe agus Lipéadaithe Sonraí, a “shainíonn na leibhéil aicmithe (m.sh. Rúnda, sonraí rialáilte) a spreagann ceanglais shonracha criptiúcháin.”

Tá an nasc seo criticiúil. Aicmíodh na sonraí sa bhunachar sonraí oidhreachta mar “Rúnda”, agus sin an fáth ar ardaíodh an easpa criptiúcháin. Anois bhí misean Sarah soiléir: tacar rialuithe cúiteacha a thógáil chomh láidir sin go maolódh sé an riosca nochta go leibhéal inghlactha.

Straitéis inchosanta a dhearadh leis an Zenith Blueprint

Is bunchloch den tslándáil nua-aimseartha é criptiú, ach mar a mhíníonn Zenith Blueprint: Treochlár 30 céim d’iniúchóir de chuid Clarysec i gCéim 21, ní bhaineann Rialú 8.24 Use of Cryptography le “criptiú a chur ar siúl” amháin. Ina ionad sin, baineann sé le “cripteagrafaíocht a leabú i ndearadh, i mbeartas agus i mbainistíocht saolré na heagraíochta.”

Nuair a theipeann ar chuid amháin den dearadh (an bunachar sonraí oidhreachta), ní mór do ghnéithe an bheartais agus an tsaoilré cúiteamh a dhéanamh. D’úsáid foireann Sarah an creat seo chun cosaint ilchisealach a dhearadh a bhí fréamhaithe sa chuspóir cosc a chur ar na sonraí imeacht riamh óna gcoimeádán slán, cé go raibh siad neamhchriptithe.

Rialú cúiteach 1: Cosc ar chaillteanas sonraí (DLP)

Mura féidir na sonraí a chriptiú san áit a bhfuil siad, ní mór a chinntiú nach féidir leo imeacht. Chuir foireann Sarah réiteach cosc ar chaillteanas sonraí (DLP) i bhfeidhm mar gharda digiteach. Ní riail líonra shimplí a bhí anseo; ba rialú sofaisticiúil, feasach ar inneachar é.

Ag úsáid Zenith Controls: An Treoir Thraschomhlíonta de chuid Clarysec, chumraigh siad an córas DLP bunaithe ar an treoir do rialú ISO/IEC 27001:2022 8.12 Data leakage prevention. Bhí na rialacha bunaithe go díreach ar 5.12 Classification of information. Cuireadh bac uathoibríoch ar aon sonraí a mheaitseáil scéimeanna na faisnéise “Rúnda” sa bhunachar sonraí oidhreachta a aistriú trí ríomhphost, uaslódálacha gréasáin, nó fiú trína gcóipeáil agus a ngreamú isteach i bhfeidhmchláir eile.

Mar a mhíníonn Zenith Controls:

“Braitheann cosc ar chaillteanas sonraí (DLP) go bunúsach ar aicmiú cruinn sonraí. Cinntíonn Rialú 5.12 go lipéadaítear sonraí de réir íogaireachta… Is foirm speisialaithe d’fhaireachán leanúnach é DLP, dírithe ar ghluaiseacht sonraí… Féadfaidh 8.12 beartais chriptithe a fhorfheidhmiú do shonraí a fhágann an eagraíocht, lena chinntiú, fiú má eis-scaoiltear sonraí, go bhfanann siad dothuigthe do pháirtithe neamhúdaraithe.”

Aithnítear an rialú seo ar fud creataí éagsúla, agus é mapáilte chuig GDPR Art. 32, NIS2 Art. 21, DORA Art. 10, agus NIST SP 800-53 SI-4. Trí é a chur chun feidhme, chruthaigh foireann Sarah imlíne láidir chosanta, rud a chinntigh gur fhan na sonraí neamhchriptithe leithlisithe.

Rialú cúiteach 2: Mascadh sonraí le haghaidh úsáide neamhtháirgthe

Ceann de na rioscaí is mó do shonraí oidhreachta ná a n-úsáid i dtimpeallachtaí eile. Bhí sonraí ón gcóras déantúsaíochta de dhíth go minic ar an bhfoireann forbartha chun gnéithe nua feidhmchláir a thástáil. Ní fhéadfaí sonraí rúnda neamhchriptithe a thabhairt dóibh ar chor ar bith.

Anseo, d’fhill Sarah ar Chéim 20 den Zenith Blueprint, a chlúdaíonn 8.11 Data masking. Tugann an treoir faoi deara go gcuirfidh iniúchóirí an cheist seo go díreach: “An úsáideann tú fíorshonraí pearsanta riamh i gcórais tástála? Má úsáideann, conas a chosnaítear iad?”

Ag leanúint na treorach seo, chuir foireann Sarah nós imeachta dian mascadh sonraí chun feidhme. B’éigean d’aon eastóscadh sonraí a d’iarr an fhoireann forbartha dul trí phróiseas uathoibrithe a chuir réimsí íogaire faoi bhréagainm nó a rinne anaithnidiú orthu. Cuireadh sonraí réalaíocha ach bréige in ionad ainmneacha custaiméirí, foirmlí dílseánaigh agus méadrachtaí táirgthe. Bhain an rialú aonair seo dromchla riosca ollmhór as an áireamh, agus chinntigh sé nár fhág na sonraí íogaire a dtimpeallacht táirgthe ardrialaithe ina bhfoirm bhunaidh riamh.

Rialú cúiteach 3: Rialuithe fisiciúla agus loighciúla cruaite

Tar éis aghaidh a thabhairt ar sceitheadh sonraí agus ar úsáid neamhtháirgthe, dhírigh an ciseal cosanta deiridh ar an gcóras féin. Ag tarraingt ar phrionsabail 7.10 Storage media ó Zenith Controls, chaith foireann Sarah leis an bhfreastalaí fisiciúil mar shócmhainn ardslándála. Cé gur minic a bhaineann 7.10 le meáin inbhainte, tá a phrionsabail maidir le bainistíocht saolré agus slándáil fhisiciúil infheidhme go hiomlán.

Mar a thugann Zenith Controls faoi deara ar an ábhar seo:

“Soláthraíonn ISO/IEC 27002:2022 treoir chuimsitheach faoi Chlásal 7.10 chun meáin stórála a bhainistiú go slán ar feadh a saolré. Molann an caighdeán d’eagraíochtaí clár a choinneáil de gach meán inbhainte…"

Ag cur na loighce seo i bhfeidhm, aistríodh an freastalaí chuig raca tiomnaithe faoi ghlas san ionad sonraí, agus ní raibh rochtain air ach ag beirt innealtóirí sinsearacha ainmnithe. Bhí síniú isteach riachtanach le haghaidh rochtain fhisiciúil agus rinneadh faireachán uirthi trí CCTV. Ar thaobh an líonra de, cuireadh an freastalaí i VLAN “oidhreachta” deighilte. Cumraíodh rialacha balla dóiteáin chun gach trácht a dhiúltú de réir réamhshocraithe, agus ní raibh ach riail shoiléir amháin ann a cheadaigh cumarsáid ón bhfreastalaí feidhmchláir ainmnithe amháin ar phort sonrach. Laghdaigh an leithlisiú dian seo an dromchla ionsaithe go mór, rud a rinne na sonraí neamhchriptithe dofheicthe agus neamh-inrochtana.

Ag tabhairt aghaidh ar an iniúchadh: straitéis inchosanta ilpheirspictíochta a chur i láthair

Nuair a d’fhill an t-iniúchóir le haghaidh athbhreithniú leantach, níor chuir Sarah leithscéalta i láthair. Chuir sí Plean Cóireála Riosca cuimsitheach i láthair, mar aon le doiciméadacht, logaí agus taispeántais bheo de rialuithe cúiteacha a foirne. Ní imeacht aonair é iniúchadh; is comhrá é a bhreathnaítear trí pheirspictíochtaí éagsúla, agus ní mór do CISO a bheith ullamh do gach ceann acu.

Peirspictíocht iniúchóra ISO/IEC 27001: Bhí an t-iniúchóir ag iarraidh éifeachtacht oibríochtúil na rialuithe a fheiceáil. Léirigh foireann Sarah an córas DLP ag blocáil ríomhphost neamhúdaraithe, thaispeáin siad script an mhasktha sonraí ag rith, agus sholáthair siad logaí rochtana fisiciúla a bhí cros-tagartha le ticéid oibre.

Peirspictíocht GDPR agus príobháideachais: D’fhiafraigh an t-iniúchóir conas a cuireadh íoslaghdú sonraí i bhfeidhm. Thaispeáin Sarah na scripteanna uathoibrithe do scriosadh slán sonraí taiscthe agus an próiseas bréagainmnithe d’aon sonraí a fhágann an córas táirgthe, ailínithe le GDPR Article 25 (cosaint sonraí trí dhearadh agus de réir réamhshocraithe). Sannann Beartas Rialuithe Cripteagrafacha SME freagracht don DPO go sainráite “a chinntíonn go bhfuil rialuithe criptiúcháin ailínithe le hoibleagáidí cosanta sonraí faoi Article 32 den GDPR.”

Peirspictíocht NIS2/DORA: Díríonn an pheirspictíocht seo ar athléimneacht oibríochtúil. Chuir Sarah torthaí tástála cúltaca agus athshlánaithe i láthair don chóras leithlisithe agus aguisíní slándála díoltóra don bhogearra oidhreachta, rud a léirigh bainistíocht riosca réamhghníomhach mar a éilítear le NIS2 Article 21 agus DORA Article 9.

Peirspictíocht NIST/COBIT: Lorgaíonn iniúchóir a úsáideann na creataí seo rialachas agus méadrachtaí. Chuir Sarah an Clár Rioscaí nuashonraithe i láthair a léirigh glacadh riosca foirmiúil don riosca iarmharach (COBIT APO13). Mhapaigh sí DLP chuig NIST SP 800-53 SI-4 (System Monitoring), deighilt líonra chuig SC-7 (cosaint teorann), agus rialuithe rochtana chuig AC-3 agus AC-4, rud a chruthaigh, cé nár comhlíonadh SC-28 (Protection of Information at Rest) go díreach, go raibh tacar coibhéiseach rialuithe i bhfeidhm.

Príomhfhianaise iniúchta do rialuithe cúiteacha

Chun a straitéis a chur in iúl go héifeachtach, d’ullmhaigh foireann Sarah fianaise atá oiriúnaithe don rud a lorgaíonn iniúchóirí.

Trí na peirspictíochtaí éagsúla seo a réamh-mheas, d’athraigh Sarah neamhchomhréireacht fhéideartha ina léiriú ar aibíocht slándála.

Achoimre phraiticiúil don chéad iniúchadh eile

Chun an straitéis a dhéanamh soiléir agus inchosanta, chruthaigh foireann Sarah tábla achoimre ina bplean cóireála riosca. Is cur chuige é ar féidir le haon eagraíocht a ghlacadh.

Sracfhéachaint ar thraschomhlíonadh

Tá straitéis láidir rialuithe cúiteacha inchosanta ar fud na mórchreat uile. Soláthraíonn Zenith Controls de chuid Clarysec an mhapáil thraschreata chun a chinntiú go dtuigtear agus go nglactar le do chosaintí go huilíoch.

Conclúid: déan neart de do nasc is laige

Ní scéal teipe é scéal an bhunachair sonraí oidhreachta nach féidir a chriptiú. Is scéal é faoi bhainistíocht riosca aibí agus chliste. Trí dhiúltú glacadh leis an bhfreagra simplí “ní féidir é a dhéanamh”, d’athraigh foireann Sarah leochaileacht shuntasach ina léiriú láidir ar a gcumas cosanta i ndoimhneacht. Chruthaigh siad nach mbaineann slándáil le tic a chur i mbosca aonair darb ainm “criptiú.” Baineann sí leis an riosca a thuiscint agus cosaint mhachnamhach, chisealaithe agus in-iniúchta a thógáil chun é a mhaolú.

Beidh a leagan féin den bhunachar sonraí oidhreachta seo ag d’eagraíocht gan dabht. Nuair a aimsíonn tú é, ná féach air mar bhac bóthair. Féach air mar dheis chun clár slándála níos athléimní agus níos inchosanta a thógáil.

Réidh le do chreat rialaithe féin atá láidir agus ullamh don iniúchadh a thógáil? Tosaigh leis an mbunús ceart.

• Déan athbhreithniú ar éiceachóras beartais d’eagraíochta le foirne uirlisí cuimsitheacha beartais Clarysec.
• Fiosraigh The Zenith Blueprint: An Auditor’s 30-Step Roadmap chun do chur chun feidhme a threorú.
• Bain leas as Zenith Controls: The Cross-Compliance Guide chun a chinntiú go seasann do chosaintí faoi scrúdú ó aon uillinn.

Déan teagmháil le Clarysec le haghaidh ceardlainne saincheaptha nó measúnú iomlán traschomhlíonta. Mar, i dtírdhreach rialála an lae inniu, is í an ullmhacht an t-aon rialú atá tábhachtach.

Tagairtí:

• Beartas Rialuithe Cripteagrafacha
• Beartas Rialuithe Cripteagrafacha SME
• Beartas Aicmithe agus Lipéadaithe Sonraí
• Zenith Blueprint: Treochlár 30 céim d’iniúchóir
• Zenith Controls: An Treoir Thraschomhlíonta