Je důvěrnost, integrita a dostupnost dostačující? Dle NÚKIB ano.
V rámci veřejného připomínkování návrhu nového zákona o kybernetické bezpečnosti jsem opět otevřel téma týkající se dostatečnosti CIA modelu a navrhoval jsem zvážit adoptování Parkerian hexad modelu.
Ten kromě důvěrnosti, integrity a dostupnosti pracuje ještě s atributy neodmítnutelnosti, užitečnosti a vlastnictví.
Odpověď NÚKIB považují za cenný příspěvek do diskuse, protože NÚKIB si je problému vědom, věnuje se mu, pravidelně jej diskutuje, považuje stávající pojetí za dostatečné a uvádí i své zdůvodnění, které je uvedeno dále.
Osobně mi však vadí, že není dostatečný důraz kladen na zajištění bezpečnosti operačních technologií a systémů a ochrana se primárně soustředí na zajištění bezpečnosti informací. Tato připomínka ostatně zazněla již v minulých letech při předchozích aktualizacích VoKB.
Jestliže se dle odstavce 2b bezpečností informací rozumí zajištění dostupnosti, důvěrnosti a integrity informací a dat, tak pak by dle 2g kybernetickým bezpečnostním incidentem nemuselo být ovládnutí systému útočníkem, byť se to z této definice dá logicky vyvozovat.
Leckdo by mohl namítnout, že k narušení dostupnosti, důvěrnosti a integrity informací a dat nemusí při úspěšném útoku vůbec dojít. Útočník může systém „jen“ zneužít k nejrůznějším účelům anebo ho „jen“ kompromitovat a čekat na příhodný okamžik.
NUKIB se k tomu staví tak, že v okamžiku, kdy se útočník neautorizovaně dostane do systému a zde „čeká“, tak navrhuje hovořit o narušení důvěrnosti informací v systému, případně celého systému (aktiv). I takto to lze interpretovat, nicméně jestliže ovládnu systém pro řízení atomové elektrárny, tak tam k žádným informacím ani datům nemusím přistupovat.
U zneužití systému pro nekalé účely bude zase obvykle možné hovořit o narušení integrity systému a informací v něm obsažených. I tato interpretace je možná, nicméně opět je třeba si uvědomit, že k žádnému smazání nebo změně dat nemusí dojít, napadený systém může sloužit jako C&C server, může z něj být rozesílán spear phishing anebo veden DDoS útok.
Možná vám to přijde jako slovíčkaření a hledání problému tam, kde není, jenže rozdílná interpretace a vnímání pojmů nemusí vést jen k nesprávnému vyplnění atributu narušení bezpečnosti a podstatným způsobem zkreslovat statistiku bezpečnostních incidentů, ale hlavně může vést k tomu, že incidenty tohoto typu nebudou hlášeny vůbec.
Jednoduše proto, že provozovatel IT nebo OT může vyhodnotit, že systém žádná citlivá data neobsahuje, a ani jeho kritičnost nebyla ohrožena a tudíž mu nevzniká povinnost.
A co si o tom myslíte vy? Podělte se s ostatním čtenáři o svůj názor v diskusi pod příspěvkem a pokud jste ještě nehlasovali, můžete svůj názor vyjádřit i v anketě.
Štítky: Parkerian Hexad model
K článku “Je důvěrnost, integrita a dostupnost dostačující? Dle NÚKIB ano.” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.