Šifriranje podatkov v mirovanju ni izvedljivo? Vodnik za vodjo informacijske varnosti za zanesljive kompenzacijske kontrole

Ugotovitev presoje je z znanim občutkom pristala na mizi vodje informacijske varnosti Sarah Chen. Kritična zastarela podatkovna baza, ki ustvarja prihodke in predstavlja operativno jedro proizvodne linije podjetja, ni podpirala sodobnega šifriranja podatkov v mirovanju. Njena temeljna arhitektura je bila stara desetletje, dobavitelj pa že dolgo ni več zagotavljal varnostnih posodobitev. Presojevalec jo je upravičeno označil kot pomembno tveganje. Priporočilo: »Šifrirajte vse občutljive podatke v mirovanju z algoritmi, skladnimi z industrijskimi standardi.«

Za Sarah to ni bila le tehnična težava, temveč kriza neprekinjenega poslovanja. Nadgradnja sistema bi pomenila mesece izpada in milijonske stroške, kar za upravni odbor ni bilo sprejemljivo. Toda pustiti obsežno zbirko občutljive intelektualne lastnine nešifrirano je bilo nesprejemljivo tveganje in jasen odklon od njihovega sistema upravljanja informacijske varnosti (ISMS).

To je realnost kibernetske varnosti: popolne rešitve so redke, skladnosti pa ni mogoče začasno ustaviti. To se zgodi, ko so kritične varnostne kopije shranjene na zastarelih sistemih, ko ključni ponudnik SaaS navaja »tehnične omejitve« ali ko visoko zmogljive aplikacije odpovedo zaradi režije šifriranja. Učbeniški odgovor »preprosto šifrirajte« pogosto trči ob neurejeno operativno realnost.

Kaj torej storiti, ko primarna, predpisana kontrola ni mogoča? Tveganje se ne sprejme samodejno. Zgraditi je treba pametnejšo in odpornejšo obrambo s kompenzacijskimi kontrolami. Pri tem ne gre za izgovore, temveč za dokazovanje zrelega, na tveganjih temelječega upravljanja varnosti, ki prestane tudi najzahtevnejši presojni pregled.

Zakaj je šifriranje podatkov v mirovanju zahteva z visokimi posledicami

Šifriranje podatkov v mirovanju je temeljna kontrola v vseh sodobnih varnostnih okvirih, vključno z ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA in NIST SP 800-53 SC-28. Njegov namen je preprost, vendar kritičen: zagotoviti, da so shranjeni podatki neberljivi, če fizična ali logična obramba odpove. Izgubljen varnostni trak ali ukraden strežnik z nešifriranimi podatki ni zgolj tehnični spodrsljaj; pogosto gre za zakonsko prijavljivo kršitev varnosti osebnih podatkov.

Tveganja so jasna in pomembna:

• Kraja ali izguba prenosnih medijev, kot so pogoni USB in varnostni trakovi.
• Izpostavitev podatkov zaradi neupravljanih, pozabljenih ali zastarelih naprav.
• Nezmožnost uporabe izvornega šifriranja diskov ali podatkovnih baz v specifičnih kontekstih SaaS, oblaka, OT ali zastarelih sistemov.
• Tveganja pri obnovitvi podatkov, če so šifrirni ključi izgubljeni ali neustrezno upravljani.

Te zahteve niso le tehnične, temveč imajo naravo zakonskih obveznosti. GDPR Article 32 in DORA Articles 5 and 10 izrecno prepoznavata šifriranje kot »ustrezen tehnični ukrep«. NIS2 ga opredeljuje kot izhodiščno zahtevo za zagotavljanje celovitosti sistemov in informacij. Kadar ta primarna obramba ni izvedljiva, se dokazno breme prenese na organizacijo, ki mora dokazati, da so njeni alternativni ukrepi enako učinkoviti.

Od ene kontrolne kljukice do večplastne obrambe

Prva reakcija na ugotovitev presoje, kot je bila Sarahina, je pogosto panika. Dobro strukturiran ISMS pa takšne primere predvidi. Sarahin prvi korak ni bil klic infrastrukturni ekipi, temveč odprtje organizacijske Politike kriptografskih kontrol, dokumenta, pripravljenega na podlagi Clarysecovih poslovnih predlog. Neposredno je poiskala klavzulo, ki je predstavljala temelj njene strategije.

V skladu s Politiko kriptografskih kontrol razdelek 7.2.3 izrecno določa proces za opredelitev:

»Specifičnih kompenzacijskih kontrol, ki jih je treba uporabiti«

Ta klavzula je eno najbolj uporabnih orodij vodje informacijske varnosti. Priznava, da pristop »ena rešitev za vse« pri varnosti ni ustrezen, in zagotavlja odobreno pot za obravnavo tveganja. Politika ne deluje v izolaciji. Kot je navedeno v klavzuli 10.5, je neposredno povezana s Politiko klasifikacije in označevanja podatkov, ki »opredeljuje ravni razvrščanja (npr. zaupno, regulirani podatki), ki sprožijo specifične zahteve za šifriranje«.

Ta povezava je ključna. Podatki v zastareli podatkovni bazi so bili razvrščeni kot »zaupno«, zato je bila odsotnost šifriranja označena kot ugotovitev. Sarahina naloga je bila zdaj jasna: zgraditi tako robusten sklop kompenzacijskih kontrol, da se tveganje izpostavitve zmanjša na sprejemljivo raven.

Oblikovanje zagovorljive strategije z načrtom Zenith Blueprint

Šifriranje je temeljni kamen sodobne varnosti, vendar Clarysecov Zenith Blueprint: 30-korakovni načrt presojevalca v koraku 21 pojasnjuje, da kontrola 8.24 Uporaba kriptografije ne pomeni zgolj »vklopa šifriranja«. Gre za »vgradnjo kriptografije v zasnovo, politike in upravljanje življenjskega cikla organizacije«.

Ko odpove en del zasnove (zastarela podatkovna baza), morajo to nadomestiti vidiki politike in življenjskega cikla. Sarahina ekipa je ta okvir uporabila za zasnovo večplastne obrambe, katere izhodišče je bilo preprečiti, da bi podatki sploh zapustili svoj varen, čeprav nešifriran, vsebnik.

Kompenzacijska kontrola 1: preprečevanje izgube podatkov (DLP)

Če podatkov ne morete šifrirati tam, kjer so shranjeni, morate zagotoviti, da od tam ne morejo oditi. Sarahina ekipa je uvedla rešitev za preprečevanje izgube podatkov (DLP), ki je delovala kot digitalni varnostnik. To ni bilo preprosto omrežno pravilo, temveč napredna kontrola, ki razume vsebino.

Z uporabo Clarysecovega vodnika Zenith Controls: vodnik za skladnost med okviri so konfigurirali sistem DLP na podlagi smernic za kontrolo ISO/IEC 27001:2022 8.12 Preprečevanje odtekanja podatkov. Pravila so bila neposredno izpeljana iz 5.12 Classification of information. Vsi podatki, ki so ustrezali shemam »zaupnih« informacij v zastareli podatkovni bazi, so bili samodejno blokirani pri prenosu prek e-pošte, nalaganju v splet ali celo kopiranju v druge aplikacije.

Kot pojasnjuje Zenith Controls:

»Preprečevanje izgube podatkov (DLP) je temeljno odvisno od natančnega razvrščanja podatkov. Kontrola 5.12 zagotavlja, da so podatki označeni glede na občutljivost … DLP je specializirana oblika stalnega spremljanja, usmerjena v gibanje podatkov … 8.12 lahko uveljavlja politike šifriranja za podatke, ki zapuščajo organizacijo, s čimer zagotovi, da podatki tudi ob odnašanju ostanejo neberljivi za nepooblaščene osebe.«

Ta kontrola je prepoznana v več okvirih in se preslika na GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 in NIST SP 800-53 SI-4. Z njeno uvedbo je Sarahina ekipa ustvarila močno zaščitno plast, ki zagotavlja, da nešifrirani podatki ostanejo izolirani.

Kompenzacijska kontrola 2: maskiranje podatkov za neprodukcijsko uporabo

Eno največjih tveganj pri zastarelih podatkih je njihova uporaba v drugih okoljih. Razvojna ekipa je pogosto potrebovala podatke iz produkcijskega sistema za testiranje novih funkcionalnosti aplikacije. Neposredna predaja nešifriranih zaupnih podatkov ni prišla v poštev.

Sarah se je zato oprla na korak 20 vodnika Zenith Blueprint, ki obravnava 8.11 Data masking. Vodnik navaja, da bodo presojevalci neposredno vprašali: »Ali v testnih sistemih kdaj uporabljate dejanske osebne podatke? Če da, kako so zaščiteni?«

Na podlagi teh smernic je Sarahina ekipa uvedla strog postopek maskiranja podatkov. Vsak izvoz podatkov, ki ga je zahtevala razvojna ekipa, je moral skozi avtomatiziran proces, ki je psevdonimiziral ali anonimiziral občutljiva polja. Imena strank, lastniške formule in proizvodne metrike so bili nadomeščeni z realističnimi, vendar izmišljenimi podatki. Ta ena kontrola je odpravila obsežno površino tveganja in zagotovila, da občutljivi podatki nikoli niso zapustili strogo nadzorovanega produkcijskega okolja v svoji izvirni obliki.

Kompenzacijska kontrola 3: utrjene fizične in logične kontrole

Ko sta bila uhajanje podatkov in neprodukcijska uporaba obravnavana, se je zadnja plast obrambe osredotočila na sam sistem. Sarahina ekipa je na podlagi načel 7.10 Storage media iz Zenith Controls fizični strežnik obravnavala kot sredstvo z visokimi varnostnimi zahtevami. Čeprav je 7.10 pogosto povezana z izmenljivimi mediji, so njena načela upravljanja življenjskega cikla in fizične varnosti povsem uporabna tudi v tem primeru.

Kot Zenith Controls navaja na to temo:

»ISO/IEC 27002:2022 v klavzuli 7.10 zagotavlja celovite smernice za varno upravljanje nosilcev podatkov skozi njihov življenjski cikel. Standard organizacijam svetuje, naj vodijo register vseh izmenljivih medijev …«

Na podlagi te logike je bil strežnik prestavljen v namensko, zaklenjeno omaro v podatkovnem centru, do katere sta imela dostop le dva poimensko določena višja inženirja. Fizični dostop je zahteval vpis, spremljal pa ga je videonadzor. Na omrežni strani je bil strežnik umeščen v segmentiran »zastareli« VLAN. Pravila požarnega zidu so bila nastavljena na privzeto zavračanje vsega prometa, z enim samim izrecnim pravilom, ki je dovoljevalo komunikacijo samo z določenega aplikacijskega strežnika na določenih vratih. Takšna stroga izolacija je občutno zmanjšala napadalno površino ter nešifrirane podatke naredila nevidne in nedostopne.

Pred presojo: predstavitev zagovorljive strategije z več vidikov

Ko se je presojevalec vrnil na naknadni pregled, Sarah ni predstavljala izgovorov. Predstavila je celovit načrt obravnave tveganja, skupaj z dokumentacijo, dnevniki in živimi prikazi kompenzacijskih kontrol svoje ekipe. Presoja ni enkraten dogodek; je strokovni dialog, obravnavan skozi različne perspektive, vodja informacijske varnosti pa mora biti pripravljen na vsako od njih.

Vidik presojevalca ISO/IEC 27001: Presojevalec je želel videti operativno učinkovitost. Sarahina ekipa je prikazala, kako sistem DLP blokira nepooblaščeno e-poštno sporočilo, pokazala delovanje skripte za maskiranje podatkov in predložila dnevnike fizičnega dostopa, navzkrižno povezane z delovnimi zahtevki.

Vidik GDPR in zasebnosti: Presojevalec je vprašal, kako se izvaja minimizacija podatkov. Sarah je pokazala avtomatizirane skripte za varni izbris predpomnjenih podatkov in postopek psevdonimizacije za vse podatke, ki zapustijo produkcijski sistem, skladno z GDPR Article 25 (vgrajeno in privzeto varstvo podatkov). Politika kriptografskih kontrol za MSP izrecno dodeljuje odgovornost DPO, da »zagotavlja, da so kontrole šifriranja usklajene z obveznostmi varstva podatkov po Article 32 of the GDPR«.

Vidik NIS2/DORA: Ta perspektiva se osredotoča na operativno odpornost. Sarah je predstavila rezultate testov varnostnega kopiranja in obnove za izolirani sistem ter varnostne dodatke dobavitelja za zastarelo programsko opremo, s čimer je dokazala proaktivno upravljanje tveganj, kot ga zahtevata NIS2 Article 21 in DORA Article 9.

Vidik NIST/COBIT: Presojevalec, ki uporablja ta okvira, išče upravljanje in metrike. Sarah je predstavila posodobljen register tveganj, ki prikazuje formalni sprejem preostalega tveganja (COBIT APO13). DLP je preslikala na NIST SP 800-53 SI-4 (System Monitoring), segmentacijo omrežja na SC-7 (Boundary Protection), kontrole dostopa pa na AC-3 in AC-4. S tem je dokazala, da je bil, čeprav SC-28 (Protection of Information at Rest) ni bil izpolnjen neposredno, vzpostavljen enakovreden nabor kontrol.

Ključna presojna dokazila za kompenzacijske kontrole

Za učinkovito predstavitev strategije je Sarahina ekipa pripravila dokazila, prilagojena temu, kar presojevalci pričakujejo.

S predvidevanjem teh različnih perspektiv je Sarah potencialno neskladnost spremenila v dokaz zrelosti informacijske varnosti.

Praktični povzetek za vašo naslednjo presojo

Da bi bila strategija jasna in zagovorljiva, je Sarahina ekipa v načrtu obravnave tveganja pripravila povzetkovno tabelo. Tak pristop lahko uporabi vsaka organizacija.

Pregled skladnosti med okviri

Močna strategija kompenzacijskih kontrol je zagovorljiva v vseh ključnih okvirih. Clarysecov Zenith Controls zagotavlja preslikavo med okviri, da so vaše obrambne plasti razumljive in sprejemljive v vsakem kontekstu presoje.

Zaključek: najšibkejši člen spremenite v prednost

Zgodba o zastareli podatkovni bazi, ki je ni mogoče šifrirati, ni zgodba o neuspehu. Je zgodba o zrelem in premišljenem upravljanju tveganj. Sarahina ekipa ni sprejela preprostega odgovora »ne da se«, temveč je pomembno ranljivost spremenila v dokaz svojih zmogljivosti večplastne obrambe. Dokazali so, da varnost ni označevanje ene same kljukice z napisom »šifriranje«. Gre za razumevanje tveganja ter vzpostavitev premišljene, večplastne in preverljive obrambe za njegovo zmanjšanje.

Tudi vaša organizacija bo neizogibno imela svojo različico takšne zastarele podatkovne baze. Ko jo odkrijete, je ne obravnavajte kot oviro. Obravnavajte jo kot priložnost za vzpostavitev odpornejšega in bolj zagovorljivega varnostnega programa.

Ste pripravljeni vzpostaviti lasten zanesljiv okvir kontrol, pripravljen na presojo? Začnite s pravimi temelji.

• Preglejte ekosistem svojih politik s celovitimi nabori orodij za politike Clarysec.
• Raziščite Zenith Blueprint: 30-korakovni načrt presojevalca, ki vas vodi pri uvedbi.
• Uporabite Zenith Controls: vodnik za skladnost med okviri, da zagotovite, da vaše obrambne plasti prestanejo presojo iz katerega koli zornega kota.

Stopite v stik s Clarysec za prilagojeno delavnico ali celovito presojo skladnosti med okviri. V današnjem regulativnem okolju je namreč pripravljenost edina kontrola, ki resnično šteje.

Reference:

• Politika kriptografskih kontrol
• Politika kriptografskih kontrol za MSP
• Politika klasifikacije in označevanja podatkov
• Zenith Blueprint: 30-korakovni načrt presojevalca
• Zenith Controls: vodnik za skladnost med okviri