Конвергенция безопасности

Конвергенция безопасности относится к конвергенции двух исторически различных функций безопасности — физической безопасности и информационной безопасности — в рамках предприятий; обе являются неотъемлемыми частями последовательной программы управления рисками . Конвергенция безопасности мотивируется признанием того, что корпоративные активы все больше основываются на информации. В прошлом физические активы требовали большей части усилий по защите, тогда как информационные активы требуют все большего внимания. Хотя обычно используется в отношении киберфизической конвергенции, конвергенция безопасности может также относиться к конвергенции безопасности с соответствующими дисциплинами риска и устойчивости, включая планирование непрерывности бизнеса и управление чрезвычайными ситуациями . Конвергенция безопасности часто называется «конвергентной безопасностью».

Определения

По данным Агентства по кибербезопасности и безопасности инфраструктуры США , конвергенция безопасности — это «формальное сотрудничество между ранее разрозненными функциями безопасности». ^[1] Участники опроса в рамках исследования Фонда ASIS « Состояние конвергенции безопасности в США, Европе и Индии» определяют конвергенцию безопасности как «обеспечение бесперебойной совместной работы функций безопасности/управления рисками, устранение пробелов и уязвимостей, существующих в пространстве между функциями». ^[2]

В своей книге « Конвергенция безопасности: управление рисками безопасности предприятия » Дэйв Тайсон определяет конвергенцию безопасности как «интеграцию совокупных ресурсов безопасности организации с целью предоставления общекорпоративных преимуществ за счет улучшенного снижения рисков, повышения операционной эффективности и результативности, а также экономии средств». ^[3]

Фон

Концепция конвергенции безопасности получила распространение в контексте Четвертой промышленной революции , которая, по словам основателя и исполнительного председателя Всемирного экономического форума (ВЭФ) Клауса Шваба , «характеризуется слиянием технологий, которое стирает границы между физической, цифровой и биологической сферами». ^[4] Основные результаты этого слияния включают разработки в области киберфизических систем (CPS) и рост Интернета вещей (ioT), которые привели к увеличению количества и типов физических объектов, подключенных к Интернету. В 2017 году Gartner предсказал, что к 2020 году будет 20 миллиардов вещей, подключенных к Интернету. ^[5]

Конвергенция безопасности была одобрена еще в 2007 году тремя ведущими международными организациями для профессионалов в области безопасности — ASIS International , ISACA и ISSA , — которые совместно основали Альянс по управлению рисками безопасности предприятий, в частности, для продвижения этой концепции.

Типы конвергенции

Киберфизическая конвергенция

Конвергенция рисков

В контексте Интернета вещей киберугрозы легче переходят в физические последствия, а физические нарушения безопасности также могут расширить поверхность киберугроз организации. По данным Агентства по кибербезопасности и безопасности инфраструктуры США , «принятие и интеграция устройств Интернета вещей (IoT) и промышленного Интернета вещей (IIoT) привело к все более взаимосвязанной сети киберфизических систем (CPS), что расширяет поверхность атаки и размывает некогда четкие функции кибербезопасности и физической безопасности». ^[6]

Согласно отчету WEF Global Risks Report 2020 , «Операционные технологии подвергаются повышенному риску, поскольку кибератаки могут вызывать более традиционные, кинетические воздействия, поскольку технологии распространяются на физический мир, создавая киберфизическую систему». ^[7] Согласно Министерству внутренней безопасности США , «Последствия непреднамеренных сбоев или злонамеренных атак [на киберфизические системы] могут иметь серьезные последствия для человеческих жизней и окружающей среды». ^[8]

Яркими примерами атак на подключенные к Интернету объекты являются атака Stuxnet в 2010 году на иранские ядерные объекты в Натанзе и кибератака на украинскую электросеть в декабре 2015 года .

«Сегодняшние угрозы являются результатом гибридных и смешанных атак, использующих информационные технологии (ИТ), физическую инфраструктуру и операционные технологии (ОТ) в качестве вражеского пути подхода», — отмечает бывший помощник директора CISA по безопасности инфраструктуры Брайан Харрелл. «Выделение этого будущего ландшафта угроз обеспечит лучшую ситуационную осведомленность и более быстрое реагирование». ^[9]

Организационная конвергенция

Сторонники конвергенции безопасности считают традиционно отдельные или «изолированные» подходы к физической безопасности и кибербезопасности неспособными адекватно защитить организацию от атак, включающих как кибер-, так и физические (киберфизические) измерения. Организационный аспект конвергенции безопасности фокусируется на том, в какой степени внутренняя структура организации способна адекватно решать конвергентные риски безопасности.

По данным Агентства по кибербезопасности и безопасности инфраструктуры , «физическая безопасность и кибербезопасность часто по-прежнему рассматриваются как отдельные субъекты. Когда руководители служб безопасности работают в этих изолированных структурах, у них отсутствует целостное представление об угрозах безопасности, направленных на их предприятие. В результате атаки более вероятны». ^[1] «Многие из обычных физических и информационных рисков безопасности рассматриваются изолированно», — говорится в документе PricewaterhouseCoopers «Конвергенция рисков безопасности ». «Эти риски могут сходиться или пересекаться в определенных точках жизненного цикла риска и, как таковые, могут стать слепым пятном для организации или лиц, ответственных за управление рисками». ^[10]

В ходе опроса более 1000 старших специалистов по физической безопасности, кибербезопасности, управлению стихийными бедствиями и обеспечению непрерывности бизнеса исследование Фонда ASIS « Состояние конвергенции безопасности в Соединенных Штатах, Европе и Индии» показало, что, несмотря на «годы прогнозов о неизбежности конвергенции безопасности, только 24 процента респондентов объединили свои физические и кибербезопасные функции». ^[2] Опрос также показал, что 96 процентов организаций, которые объединили две или более функций безопасности, сообщили о положительных результатах от конвергенции, причем 72 процента сообщили, что конвергенция усилила их общую безопасность. В целом, 78 процентов опрошенных считали, что конвергенция усилит их общую функцию безопасности.

Ссылаясь на работу Джея Райта Форрестера по системному мышлению , генеральный директор Optic Security Group Джейсон Черрингтон утверждает, что системный подход дает полезную линзу для понимания того, как подгруппы безопасности в организации вносят вклад в общие цели безопасности организации. «В идеальном мире SoS организации рассматривали бы свою безопасность как набор ориентированных на задачи или выделенных систем, которые объединяют свои ресурсы и возможности вместе как часть общей системы, предлагающей большую функциональность и производительность, чем сумма ее частей. Важно, что надзор за всей системой гарантировал бы, что любые пробелы между ее компонентными системами будут выявлены и сбои будут предотвращены». ^[11]

Конвергенция решений (единая безопасность)

Растущая распространенность гибридных кибер-физических угроз безопасности привела к параллельному появлению ряда конвергентных решений безопасности, которые охватывают как кибер-, так и физические домены. По словам Джейсона Черрингтона, «в современных угрозах безопасности мы видим конвергенцию физических и цифровых векторов; и что защита от этих гибридных угроз требует гибридного подхода». ^{[11] По данным} Агентства по кибербезопасности и безопасности инфраструктуры США : «Организации с конвергентными функциями кибербезопасности и физической безопасности более устойчивы и лучше подготовлены к выявлению, предотвращению, смягчению и реагированию на угрозы. Конвергенция также поощряет обмен информацией и разработку единых политик безопасности между подразделениями безопасности». ^[6]

Библиография

• Андерсон, К., «Конвергенция: целостный подход к управлению рисками», Network Security, Elsevier, Ltd., том 2007, выпуск 5, май 2007 г.
• Андерсон, К., «Профессионалы в области ИТ-безопасности должны развиваться в соответствии с меняющимся рынком», журнал SC, 12 октября 2006 г.

Ссылки

1. "Руководство по действиям по сближению кибербезопасности и безопасности инфраструктуры". Агентство по кибербезопасности и безопасности инфраструктуры . 2020. Получено 18 февраля 2021 г.
2. "Состояние конвергенции безопасности в Соединенных Штатах, Европе и Индии" (PDF) . Global Security Exchange Plus . 2019 . Получено 18 февраля 2021 г. .
3. Тайсон, Дэйв (2007). Конвергенция безопасности: управление рисками безопасности предприятия. Elsevier. стр. 4. ISBN 978-0-7506-8425-5.
4. Шваб, Клаус (14 января 2016 г.). «Четвертая промышленная революция: что это значит, как реагировать». Всемирный экономический форум . Получено 27 февраля 2021 г.
5. Ханг, Марк (2017). «Лидерство в Интернете вещей: идеи Gartner о том, как лидировать в связанном мире» (PDF) . Gartner . Получено 28 февраля 2021 г. .
6. "Cybersecurity and Physical Security Convergence". Агентство по кибербезопасности и безопасности инфраструктуры . Получено 12 марта 2021 г.
7. "The Global Risks Report 2020" (PDF) . Всемирный экономический форум . Март 2020 г. Получено 28 февраля 2021 г.
8. "Безопасность киберфизических систем". Министерство внутренней безопасности . Получено 28 февраля 2021 г.
9. Джонсон, Бриджит (1 ноября 2019 г.). «CISA будет работать с заинтересованными сторонами, «влиять на культуру конвергенции безопасности» во время NCISRM». Homeland Security Today . Получено 28 февраля 2021 г.
10. «Конвергенция рисков безопасности» (PDF) . PricewaterhouseCoopers . 2010 . Получено 15 марта 2021 г. .
11. Cherrington, Jason (25 ноября 2020 г.). «Конвергенция безопасности: система системного подхода». New Zealand Security Magazine . Получено 21 февраля 2021 г. .

Внешние ссылки

• Альянс по управлению рисками безопасности предприятий