Kibernetska varnost se ne začne s tehnologijo, ampak z zaupanjem
Kibernetska varnost je pogosto opisana kot tehnični izziv. Požarni zidovi, nadzor dostopa, sistemi za spremljanje in orodja za odzivanje na incidente običajno prevladujejo v razpravi. Čeprav so ti ukrepi bistveni, se kibernetska varnost v resnici ne začne tukaj. V praksi se začne veliko prej – v trenutku, ko se organizacija odloči, s kom bo poslovala.
Sodobno poslovanje je globoko medsebojno povezano. Podjetja se zanašajo na zunanje ponudnike storitev, dobavitelje, finančne posrednike in partnerje po vsem svetu. Vsaka povezava ustvarja operativno vrednost, vendar prinaša tudi tveganje. Če je identiteta poslovnega partnerja nejasna, zastarela ali jo je težko preveriti, postane zanesljiva ocena tveganja nemogoča.
Kibernetska varnost temelji na zaupanju. Zaupanje pa se začne z vedenjem, s kom dejansko poslujete.
Zakaj sama tehnična varnost ni več zadostna
Tehnični varnostni nadzori so zasnovani za zaščito sistemov, vendar predpostavljajo, da je dostop dodeljen pravim subjektom. Če je dostop dodeljen napačni organizaciji – ali organizaciji, katere ozadje je slabo razumljeno – lahko tudi močni tehnični nadzori ne preprečijo škode.
Številni resni incidenti kibernetske varnosti ne izvirajo iz neposrednih vdorov v sisteme, temveč iz zlorabe zaupanja vrednih odnosov. Ko akter grožnje deluje prek na videz legitimnega partnerja, dobavitelja ali izvajalca, postane tehnična obramba veliko manj učinkovita.
To premakne osrednje vprašanje iz „Kako zaščitimo svoje sisteme?“ v „Komu naj sploh zaupamo dostop?“
Tveganje tretjih oseb kot osrednje vprašanje kibernetske varnosti
Vse večji delež kibernetske in operativne varnosti izvira od tretjih oseb. Ti lahko vključujejo dobavitelje, ponudnike IT storitev, procesorje plačil, logistične partnerje ali zunanje podporne funkcije. Vsaka tretja oseba postane del razširjenega digitalnega oboda organizacije.
Tveganje tretjih oseb ni omejeno na ranljivosti programske opreme ali negotovo infrastrukturo. Vključuje tudi:
- nejasen pravni status
- netransparentne lastniške strukture
- nedosledni ali zastareli podatki registra
- težave pri dodeljevanju odgovornosti
Za učinkovito obvladovanje teh tveganj se organizacije zanašajo na strukturirane postopke preverjanja, vključno z KYC in preverjanjem poslovanja
Ko organizacija ne more jasno identificirati svojih nasprotnih strank, se znatno povečajo tako varnostna kot skladnostna tveganja.
Regulativna usmeritev: na podlagi tveganja in osredotočena na identiteto
Po vseh jurisdikcijah se regulativni okviri premikajo k bolj tveganjem in identiteti usmerjenemu pristopu h kibernetski varnosti. Namesto predpisovanja specifičnih tehničnih kontrol regulatorji vse bolj pričakujejo, da bodo organizacije razumele in obvladovale tveganja v celotnem svojem operativnem okolju, vključno z dobavitelji in ponudniki storitev.
V Evropski uniji se ta premik jasno odraža v direktivi NIS2 in zahtevah glede kibernetske varnosti
Za uradni pravni okvir glejte direktivo NIS2
Čeprav se okviri globalno razlikujejo, je osnovno pričakovanje dosledno: organizacije morajo biti sposobne dokazati, da vedo, na koga se zanašajo in kako ti odnosi vplivajo na njihovo varnostno držo.
Poslovna identiteta kot temelj kibernetske varnosti
Ko se kibernetska varnost obravnava širše, postane poslovna identiteta osrednji koncept. Globalno standardiziran pristop k identifikaciji podjetij zagotavlja Identifikator pravne osebe (LEI)
Poslovna identiteta presega ime podjetja ali registrsko številko. Vključuje:
- pravni obstoj in status
- uradni podatki registra
- lastniške in nadzorne strukture
- odnose z drugimi pravnimi osebami
- točnost in ažurnost podatkov
Brez jasne in standardizirane poslovne identitete postane zanesljiva ocena tveganja težavna. Ta izziv je še večji v čezmejnih okoljih, kjer se podatki pridobivajo iz več nacionalnih registrov z uporabo različnih formatov in standardov.
V digitalnih in avtomatiziranih okoljih mora biti poslovna identiteta nedvoumna, strojno berljiva in mednarodno usklajena za podporo učinkovitemu obvladovanju tveganj.
Perspektiva malih podjetij: postati zaupanja vreden partner
Razprave o kibernetski varnosti in regulaciji se pogosto osredotočajo na velike organizacije. Vendar pa enaka dinamika močno vpliva na mala in srednje velika podjetja, ki želijo sodelovati z velikimi podjetji, finančnimi institucijami ali mednarodnimi strankami.
Za manjša podjetja glavna ovira pogosto ni kakovost izdelkov ali tehnična zmogljivost, temveč zaupanje. Velike organizacije morajo oceniti tveganje za vsakega novega partnerja, vendar tega ne morejo storiti ročno in poglobljeno za vsakega potencialnega dobavitelja. Zato se zanašajo na standarde, signale in strukturirane podatke, da se odločijo, katere odnose je vredno podrobneje raziskati.
Številne priložnosti za sodelovanje zastanejo ne zato, ker ponudba nima vrednosti, ampak zato, ker nasprotne stranke ni mogoče hitro in jasno razumeti.
LEI kot pospeševalec zaupanja in vključevanja
Tukaj postane pomemben Identifikator pravne osebe (LEI). LEI je globalni standard, zasnovan za edinstveno identifikacijo pravnih oseb in njihovo povezovanje s preverjenimi referenčnimi podatki iz verodostojnih virov.
Za manjša podjetja LEI ni le regulativna zahteva v določenih kontekstih. Je praktično orodje, ki jim omogoča, da se predstavijo na način, ki je usklajen s tem, kako velike organizacije obvladujejo tveganja.
LEI signalizira, da:
- subjekt je edinstveno prepoznaven
- njegovi osnovni referenčni podatki so povezani z uradnimi registri
- podatki o lastništvu so deklarirani v standardizirani obliki
- podatki se lahko uporabljajo v avtomatiziranih in čezmejnih procesih
Z vidika velike organizacije to zmanjšuje začetno negotovost in pospešuje odločitev o tem, ali se lahko potencialno partnerstvo nadaljuje. LEI ne zagotavlja sodelovanja niti ne nadomešča skrbnega pregleda, vendar podjetju pomaga, da postane razumljivo in ocenljivo veliko prej v procesu.
Kibernetska varnost kot skupna odgovornost v celotni dobavni verigi
Kibernetska varnost ni le odgovornost velikih kupcev ali centralnih platform. Vsak udeleženec v dobavni verigi prispeva k celotnemu profilu tveganja. Ko ena stranka ne more jasno predstaviti svoje identitete ali posodabljati svojih podatkov, postane celotna veriga bolj ranljiva.
Zaradi tega imajo tudi manjša podjetja koristi od sprejemanja standardov, ki jim olajšajo preverjanje in integracijo v okvire obvladovanja tveganj njihovih partnerjev – pogosto preden so takšna pričakovanja formalno zahtevana.
Nenehna točnost kot predpogoj za zaupanje
Niti kibernetska varnost niti poslovna identiteta nista statični. Podjetja se spreminjajo, lastniške strukture se razvijajo in podatki postanejo zastareli. Preverjanja identitete, opravljena samo enkrat, hitro izgubijo svojo vrednost.
Učinkovito obvladovanje tveganj je odvisno od informacij o identiteti, ki ostajajo točne in aktualne skozi čas. Ta stalna zanesljivost podpira ne le skladnost, temveč tudi dolgoročno zaupanje med poslovnimi partnerji.
Zaključek
Kibernetska varnost se ne začne v strežniški sobi niti se ne konča s programsko opremo. Začne se z razumevanjem, s kom poslujete in na kakšni podlagi ta odnos obstaja.
Tehnični nadzori ostajajo bistveni, vendar so brez jasne, standardizirane in posodobljene poslovne identitete nepopolni. V današnjem medsebojno povezanem in reguliranem gospodarstvu je poznavanje vaših nasprotnih strank eden najpomembnejših razpoložljivih varnostnih ukrepov.
LEI zagotavlja skupen, globalni okvir, ki pomaga tako velikim kot majhnim organizacijam graditi zaupanje, izboljšati preglednost in učinkoviteje sodelovati čezmejno.