Je důvěrnost, integrita a dostupnost dostačující? Dle NÚKIB ano.

V rámci veřejného připomínkování návrhu nového zákona o kybernetické bezpečnosti jsem opět otevřel téma týkající se dostatečnosti CIA modelu a navrhoval jsem zvážit adoptování Parkerian hexad modelu.

Ten kromě důvěrnosti, integrity a dostupnosti pracuje ještě s atributy neodmítnutelnosti, užitečnosti a vlastnictví.

Odpověď NÚKIB považují za cenný příspěvek do diskuse, protože NÚKIB si je problému vědom, věnuje se mu, pravidelně jej diskutuje, považuje stávající pojetí za dostatečné a uvádí i své zdůvodnění, které je uvedeno dále.

Osobně mi však vadí, že není dostatečný důraz kladen na zajištění bezpečnosti operačních technologií a systémů a ochrana se primárně soustředí na zajištění bezpečnosti informací. Tato připomínka ostatně zazněla již v minulých letech při předchozích aktualizacích VoKB.

Jestliže se dle odstavce 2b bezpečností informací rozumí zajištění dostupnosti, důvěrnosti a integrity informací a dat, tak pak by dle 2g kybernetickým bezpečnostním incidentem nemuselo být ovládnutí systému útočníkem, byť se to z této definice dá logicky vyvozovat.

Leckdo by mohl namítnout, že k narušení dostupnosti, důvěrnosti a integrity informací a dat nemusí při úspěšném útoku vůbec dojít. Útočník může systém „jen“ zneužít k nejrůznějším účelům anebo ho „jen“ kompromitovat a čekat na příhodný okamžik.

NUKIB se k tomu staví tak, že v okamžiku, kdy se útočník neautorizovaně dostane do systému a zde „čeká“, tak navrhuje hovořit o narušení důvěrnosti informací v systému, případně celého systému (aktiv). I takto to lze interpretovat, nicméně jestliže ovládnu systém pro řízení atomové elektrárny, tak tam k žádným informacím ani datům nemusím přistupovat.

U zneužití systému pro nekalé účely bude zase obvykle možné hovořit o narušení integrity systému a informací v něm obsažených. I tato interpretace je možná, nicméně opět je třeba si uvědomit, že k žádnému smazání nebo změně dat nemusí dojít, napadený systém může sloužit jako C&C server, může z něj být rozesílán spear phishing anebo veden DDoS útok.

Možná vám to přijde jako slovíčkaření a hledání problému tam, kde není, jenže rozdílná interpretace a vnímání pojmů nemusí vést jen k nesprávnému vyplnění atributu narušení bezpečnosti a podstatným způsobem zkreslovat statistiku bezpečnostních incidentů, ale hlavně může vést k tomu, že incidenty tohoto typu nebudou hlášeny vůbec.

Jednoduše proto, že provozovatel IT nebo OT může vyhodnotit, že systém žádná citlivá data neobsahuje, a ani jeho kritičnost nebyla ohrožena a tudíž mu nevzniká povinnost.

A co si o tom myslíte vy? Podělte se s ostatním čtenáři o svůj názor v diskusi pod příspěvkem a pokud jste ještě nehlasovali, můžete svůj názor vyjádřit i v anketě.

Jsem pro rozšíření CIA triády o následující atributy:

Zobrazit výsledky

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Je důvěrnost, integrita a dostupnost dostačující? Dle NÚKIB ano.” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: