A kritikus infrastruktúrák, ipari környezetek, közművek, egészségügyi rendszerek, közlekedési hálózatok és más magas hatású digitális-üzemi környezetek biztonsága sajátos helyet foglal el a kiberbiztonsági gondolkodásban. Ezekben a rendszerekben a biztonsági események következményei nem korlátozódnak adatvesztésre vagy pénzügyi kiesésre. Kiterjedhetnek fizikai folyamatokra, üzembiztonságra, ellátásfolytonosságra, sőt emberi biztonságra is.

Ebben a környezetben a szabályozói megfelelés természetesen kiemelt jelentőségű. A NIS2, az ágazati biztonsági előírások, a nemzeti és nemzetközi szabványok, valamint az auditkövetelmények mind azt a célt szolgálják, hogy a szervezetek minimális védelmi szintet érjenek el, és működésük strukturált módon ellenőrizhető legyen. A gyakorlatban azonban a megfelelőség és a tényleges biztonság közötti különbség sokszor éppen a legérzékenyebb környezetekben válik a legélesebbé.

Lényegi állítás: a megfelelőség a biztonsági irányítás alapja lehet, de a kritikus rendszerek védelmének valódi szintjét a technikai valóság, a rendszerek tényleges viselkedése és a támadási lehetőségek gyakorlati korlátozása határozza meg.

A megfelelőség fogalma és funkciója

A megfelelőség elsődleges funkciója a minimálisan elvárt biztonsági rend kialakítása. Ez kiterjed a felelősségi körök meghatározására, a folyamatok dokumentálására, a kontrollok formalizálására, a felülvizsgálhatóság megteremtésére és az ellenőrzési mechanizmusok standardizálására. E szerepe nélkülözhetetlen, különösen olyan szervezeteknél, ahol a biztonsági működés sok szereplő, alrendszer és üzleti érdek mentén oszlik meg.

A megfelelőség erőssége abból ered, hogy közös nyelvet teremt a szervezet, a szabályozó, az auditor, a vezetés és más érintettek között. Lehetővé teszi, hogy a biztonság ne kizárólag technikai kérdésként, hanem irányítási és elszámoltathatósági kérdésként is megjelenjen. Ennyiben a megfelelőség a biztonsági érettség fontos feltétele.

Ugyanakkor a megfelelőség szükségképpen absztrakció. A szabvány és a szabályozás általánosításra törekszik, mert széles körben alkalmazható keretet kell adnia. Ebből következően a megfelelőségi szempontok gyakran nem a konkrét rendszer egyedi fenyegetési profilját, hanem egy tipikus vagy feltételezett biztonsági modellt írnak le. Ez a különbség különösen jelentőssé válik akkor, amikor a szervezet technológiai környezete összetett, rétegzett, örökölt rendszerelemeket tartalmaz, vagy ahol az üzemi és informatikai rétegek összekapcsolódnak.

A megfelelőség korlátai kritikus rendszerekben

A kritikus rendszerek környezetében a megfelelőség egyik alapvető korlátja az időbeliség. Egy audit, tanúsítás vagy szabályozói ellenőrzés tipikusan egy adott időpillanatban rögzíti a kontrollkörnyezet állapotát. A támadási környezet ezzel szemben folyamatosan változik. Új technikák jelennek meg, a támadók alkalmazkodnak, az összekapcsoltság növekszik, a rendszerek konfigurációja módosul, a szervezet üzleti folyamatai átalakulnak. Ami egy auditpillanatban megfelelő, az néhány hónappal később már lehet elégtelen.

A második korlát a granularitás kérdése. A megfelelőségi keretek többnyire azt vizsgálják, hogy egy kontroll vagy folyamat létezik-e, dokumentált-e, kijelölt felelőssel és megfelelő működési renddel bír-e. A támadó számára azonban nem az a releváns kérdés, hogy van-e szabályzat, hanem az, hogy egy konkrét támadási útvonal végigjárható-e. A rendszer kompromittálható-e? A jogosultsági modell valóban korlátoz-e? A szegmentáció ténylegesen érvényesül-e? A naplózásból valóban észlelhető-e a támadói aktivitás?

Egy rendszer lehet auditálható, dokumentált és formálisan szabályozott úgy is, hogy közben architekturális értelemben sérülékeny, működésileg nehezen védhető, vagy támadási szempontból indokolatlanul kitett marad.

A harmadik korlát az arányosság problémája. Két szervezet egyaránt megfelelhet ugyanannak a szabályozói keretnek, miközben valós kockázati helyzetük jelentősen eltérhet. Az a környezet, amelyben érzékeny üzemi folyamatok, távoli karbantartási csatornák, harmadik felekből eredő függőségek, heterogén örökölt rendszerek és magas rendelkezésre állási követelmények vannak jelen, minőségileg más védekezési helyzetet jelent, mint egy jóval homogénebb és könnyebben kontrollálható informatikai környezet.

A technikai mélység mint biztonsági tényező

A kritikus rendszerek valódi védelméhez ezért technikai mélység szükséges. Ez a fogalom itt nem egyszerűen magas szakmai tudásszintet jelent, hanem a rendszer viselkedésének, kapcsolódásainak, függőségeinek és kompromittálhatóságának konkrét megértését. Technikai mélység nélkül a szervezet nem tudja megkülönböztetni a formálisan meglévő kontrollt a ténylegesen hatékony kontrolltól.

A technikai mélység első eleme az architekturális megértés. Egy kritikus környezet védelmét nem lehet kizárólag kontrolllisták alapján megítélni. Ismerni kell a hálózati kapcsolatokat, a bizalmi határokat, az adminisztratív útvonalakat, a rendszerközi adatáramlásokat, a karbantartási hozzáféréseket, az örökölt technológiák korlátait, valamint azt, hogy mely pontokon van valódi izoláció és mely pontokon csak annak látszata.

A második elem a fenyegetési modellezés rendszerspecifikus jellege. A kritikus környezetek támadási felülete nem merül ki az ismert sérülékenységek listájában. Számos esetben az architekturális elrendezés, a túlzott jogosultság, a felügyelet hiánya, a beszállítói hozzáférés, vagy a hibásan feltételezett üzemi szeparáció teremti meg a tényleges kockázatot. A technikai mélység ezért mindig magában foglalja a támadói útvonalak elemzését is.

A harmadik elem a validáció. A kritikus környezetekben különösen fontos, hogy a biztonsági állítások ne pusztán deklaratívak legyenek. A hálózati elválasztás, a hozzáférés-korlátozás, a naplózási és észlelési képesség, a helyreállíthatóság és az incidenskezelési felkészültség mind olyan területek, ahol a tényleges működés sokszor eltér az elméleti modelltől.

A kontrollok statikus és dinamikus természete

A szabályozási rendszerek gyakran statikus kontrollokra épülnek. Előírják a hozzáférés-kezelést, a naplózást, az incidenskezelési eljárást, a mentéseket, a kockázatkezelési folyamatot, a szállítói kontrollokat és egyéb alapvető biztonsági elemeket. Ezek szükségesek, de tényleges hatásuk csak akkor értelmezhető, ha a szervezet azt is vizsgálja, hogy a kontrollok dinamikus környezetben hogyan viselkednek.

A dinamikus kontrollfelfogás azt jelenti, hogy a kontrollt nem mint jelenléti elemet, hanem mint teljesítményt vizsgáljuk. Képes-e ténylegesen korlátozni a támadói mozgást? Érzékel-e valós eltérést? Megmarad-e a hatása konfigurációváltozás után? Alkalmazható-e a gyakorlatban üzemi megszakítás nélkül? Támogatja-e a helyreállítást, vagy csak formálisan létezik?

Kritikus rendszerekben ez azért különösen fontos, mert a támadói tevékenység ritkán lineáris. A támadó oldalról nézve a védelem nem kontrollok listája, hanem akadályok hálózata. Ha e hálózatban létezik egy gyenge összekötő pont, akkor a magas megfelelőségi szintű környezet is sebezhető maradhat. A valódi védelem tehát nem az egyes kontrollok formális jelenlétéből, hanem a teljes rendszer együttműködő védelmi logikájából következik.

Gyakorlati következmény: a vezetés számára a releváns kérdés nem az, hogy hány kontroll van jelen, hanem az, hogy ezek a kontrollok milyen tényleges kockázatcsökkentő teljesítményt nyújtanak az adott architektúrában.

Reziliencia mint architekturális és működési minőség

A kritikus rendszerek esetében a végső cél nem pusztán a kompromittáció megelőzése, hanem a reziliencia. A reziliencia itt azt jelenti, hogy a szervezet képes a káros hatásokat korlátozni, az észlelést időben végrehajtani, a működést kontrollált módon fenntartani vagy visszaállítani, valamint a biztonsági eseményből tanulni.

A reziliencia ezért architekturális minőség is. Függ a szegmentációtól, a redundanciától, az adminisztratív utak korlátozásától, a helyreállítási logikától, a mentések gyakorlati használhatóságától, a beszállítói kapcsolódások kontrolljától és attól, hogy a szervezet milyen gyorsan és pontosan képes értelmezni egy esemény valódi természetét.

Ugyanakkor a reziliencia működési minőség is. Ide tartozik a döntéshozatali fegyelem, az incidenskezelési gyakorlat, a technikai és vezetői szintek közötti információáramlás, valamint az a képesség, hogy a szervezet nagy nyomás alatt is képes maradjon arányos, strukturált és technikailag megalapozott lépésekre.

Ebből a nézőpontból a megfelelőség egy szükséges belépési szint, de a reziliencia mindig többet jelent annál. A reziliens szervezet nem pusztán megfelel az elvárásoknak, hanem érti saját rendszereit, támadási felületét, korlátait és valódi gyenge pontjait is.

Vezetői következtetések

A kritikus rendszerekkel működő szervezetek számára a legfontosabb vezetői felismerés az, hogy a szabályozói megfelelés és a tényleges védelem nem azonos fogalmak. A megfelelőség nélkülözhetetlen, mert struktúrát és elszámoltathatóságot ad. Ugyanakkor a védelmi képesség valós szintjét csak akkor lehet megérteni, ha a szervezet a technikai mélységet, az architekturális összefüggéseket és a kontrollok tényleges teljesítményét is elemzi.

A vezetői szint számára ebből három gyakorlati következmény adódik. Először: a biztonsági jelentéseknek túl kell mutatniuk a megfelelőségi státuszon, és ki kell térniük a valós támadási felületre, az architekturális kockázatokra és a kontrollok tényleges hatékonyságára. Másodszor: a fejlesztési prioritásokat nem a formális hiányosságok puszta száma, hanem a valós kockázati és működési hatás alapján kell meghatározni. Harmadszor: a kritikus rendszerek biztonságát olyan szemléletben kell kezelni, amely a megfelelőséget a technikai valósággal és a működési rezilienciával együtt értelmezi.

A Qyntar szemlélete ebből indul ki: a szabályozói és auditkövetelmények fontos alapot jelentenek, de a kritikus rendszerek védelmének valódi minőségét a technikai igazolhatóság, a támadási felületek mély megértése és a működési reziliencia együttese adja.