2023년 4월 Cyber Essentials 제도 변경으로 비즈니스 위험 증가

NCSC CyberEssentials( CE )는 간단히 말해서 기업을 보안 빈곤에서 벗어나게 하는 것을 목표로 하는 영국 정부가 지원하는 계획입니다. 이 계획을 준수하기로 선택한 사람들은 가장 일반적인 사이버 공격으로부터 보호받을 수 있는 이점을 얻습니다. 이는 주석 라벨에서 읽을 수 있는 내용이지만 캔 내부에는 훨씬 더 많은 내용이 있습니다.

이 계획에는 CE 와 CE+ 의 두 가지 유형이 있습니다.

CE는 나중에 IASME 에서 검토하는 온라인 설문지를 작성하여 수행되는 자체 평가입니다. 응답의 품질과 명확성이 충분하면 회사에 인증서가 수여됩니다. 회사가 처음에 평가에 실패할 경우 추가 비용 없이 수정하고 다시 제출할 수 있는 며칠의 시간이 주어집니다.

CE+는 실습 기술 검증도 포함한다는 점, 즉 제출된 정보가 침투 테스트를 통해 독립적으로 검증된다는 점에서 CE 와 다릅니다.

또 다른 장점은 영국에 주소를 두고 매출액이 £20m 미만인 인증 회사는 최대 £25,000 상당의 사이버 책임 보험에 가입할 자격이 있으며, 해외 기업은 인증을 인정하는 브로커로부터 보험 할인 혜택을 받을 수 있다는 것입니다.

이 계획을 장애물로 간주하고, 일단 극복하면 해당 특정 연도에 비즈니스에 대한 더 높은 수준의 신뢰와 향상된 평판을 보장한다고 생각한다면 귀하가 옳을 것입니다.

어느 쪽이든 구입 비용은 미미하지만 비즈니스 리더는 평가를 완료할 수 있도록 충분한 시간을 고려하고 할당해야 합니다. 이는 사소한 일이 아닙니다. 또한 인증 요구 사항을 충족하기 위해 필요한 문화 및 운영 변화에 대비하여 인력을 준비해야 합니다.

준비가 되었든 아니든 일단 보안 세뇌라는 모험을 시작하면 기업은 해당 주제에 대해 더 깊이 이해하고 향상된 보안 태세를 갖추게 될 것입니다.

약간의 비판

1- 더 많은 것을 원하는 사람들로부터

일부 보안 전문가는 평가 결과에 따라 다양한 회색 음영을 제공하는 방식으로 발전하기를 원합니다. 즉, 단순히 "인증됨" 스탬프보다 더 세부적인 분류를 제공해야 한다는 의미입니다.

나는 소셜 미디어에서 이러한 비판을 관찰하고 이미 장벽 반대편에 서 있고 공급망 보안 평가에 대한 실사 피로를 겪고 있는 지지자들을 그룹화했습니다. IASME에 공을 패스하려는 그들의 열망은 잠재적으로 회사 비용을 낮추고 균일한 응답을 얻을 수 있습니다. IASME가 이를 받아들일지 궁금합니다.

좀 더 깊이 생각해 보면, 다른 인증 기업과 차별화를 원하는 기업이 매우 호감가는 존재라는 점도 인정했습니다. 인증을 받기 위해 절차를 밟지 않았고 다른 사람들이 그렇게 믿었기 때문이거나, X를 달성하는 특정 방법이 실제로 NULL 값을 제공한다는 것을 알고 있기 때문이거나, 심지어는 그렇지 않은데 규정 준수를 명시하는 회사를 알고 있을 수도 있기 때문입니다.

그럼에도 불구하고, 나는 인증된 회사의 수가 너무 많아 인증이 가난을 바꾸는 것이 아니라 더 이상 목적을 달성하지 못할 때까지 이 계획이 유지되어야 한다고 생각하기 때문에 제안된 계획의 변형을 지지하지 않습니다. 기아 미션 미드 마라톤.

내 추론은 보안 빈곤을 경험하고 비즈니스를 보안 빈곤에서 벗어나기 위해 필요한 노력의 수준을 인식할 수 있는 데서 비롯됩니다. 따라서 매년 재인증하는 것이 처음에 달성한 것만큼 흥미롭고 변혁적이지 않을 것이라는 점을 이해하지만, 몇 년 후에도 이것이 회사가 보유한 유일한 보안 인증으로 남게 된다면 눈살을 찌푸리게 될 것입니다…

2- 더 필요한 사람들로부터

반면, 2014년 이후 이 계획이 성공했음에도 불구하고, 정보가 부족하다는 불만과 다양한 주제에 대한 추가 명확성에 대한 요청이 계속해서 접수되고 있습니다. 나 자신도 질문이 있었습니다.

그럼에도 불구하고, 나는 이 계획의 대상이 된 광범위한 청중을 고려할 때 이러한 피드백이 불가피하고 예상된다고 생각합니다. 왜냐하면 짧은 메시지만 다양한 청중에게 전송할 때에도 큰 수준의 공명을 달성하기를 희망하기 때문입니다.

하지만 이 중요하고 반복되는 비판은 가난하고 그릇된 길을 가는 사람들이 도움을 청하고 더 나은 일을 하고 싶어한다는 점을 명백히 강조합니다! 그러나 기준을 높이는 것이 실제로 차선책이거나 시기상조는 아닌지 의문이 듭니다.

3- 동의하지 않는 사람들로부터

또한 이 계획의 일부 세부 사항에 이의를 제기하는 특정 보안 전문가도 있습니다. 모든 보안 전문가는 문제의 내용을 쉽게 파악해야 하므로 여기서는 주의를 기울이고 잠시 멈춰야 합니다. 따라서 누군가가 비윤리적인 영역에까지 도달하는 관행을 유지하려는 의도로 소리를 지르기 시작하면 다른 사람들은 그 뒤에 있는 실제 이유에 대해 의문을 제기할 것입니다. 어쨌든 근본 원인은 동일할 것입니다. 위험에 관한 지식.

나는 이것이 달성된 절충안과 결합되지 않은 식별된 비용의 무게 때문에 발생한다고 믿습니다. 그럼에도 불구하고 저는 여기서 느린 과정이 될 공유된 깨달음 상태를 허용하고 맞춤형 위협 모델링, 위험 식별 및 정량화를 통해 더 나은 서비스를 제공할 수 있도록 교육한다는 목표를 가지고 하나씩 전투를 벌여야 한다는 것을 알고 있습니다. 치료(수용, 전이, 완화, 회피).

지금까지 나는 내 영향력과 가시성의 범위가 제한되어 제기된 문제를 지지하지는 않았지만, 이 계획이 더 많은 가치를 제공하고 Y가 위반할 수 있는 법률을 열거하는 형태로 인증하려는 사람들을 지원할 수 있는 기회도 인식합니다. 그리고 Z는 제자리에 있지 않습니다. 비록 그것이 영국에 국한된 것일지라도, 통찰력은 유익하고 저항을 낮출 수 있습니다.

귀하의 비즈니스에 해를 끼칠 수 있는 다가오는 변화

제안된 변경 사항 중 두 가지에 대해 의문을 제기합니다. 다른 모든 변경 사항은 현재 개선된 것처럼 느껴지지만 자유롭게 다시 방문하고 싶습니다.

1- 이 계획은 더 이상 사용자 장치 모델을 보고할 것을 요구하지 않습니다.

IASME가 자산이 많은 기업으로부터 프로세스가 얼마나 느리고 고통스러운지에 대한 불만을 받는 것을 상상할 수 있습니다. 나도 거기에 가봤지만, 이 불만을 제기하는 사람은 회사가 해당 자산을 어떻게 모니터링, 통제 및 교체하고 회사 보안을 개선하기 위해 올바른 일을 하고 있는지에 대해 즉각적인 의문을 제기합니다. 그러므로 나는 이것을 변화의 이유로 받아들이지 않을 것입니다.

저는 이러한 변화가 작업 수준을 낮추고 더 유연한 제출을 허용하는 기준을 낮추려는 IASME 및 CE+ 평가 회사에 유리하다고 믿고 싶습니다. 이는 평가 대상 조직의 규모에 따라 이들이 투자한 시간으로 인해 비용이 충당되지 않을 수 있다는 점에서 현실에 더 가깝다고 느껴집니다.

그러나 나에게는 모델마다 지원 수명 주기가 다를 수 있고 관련 운영 체제 및 펌웨어가 다를 수 있으므로 이는 부정적인 변화입니다.

예를 들어 특정 모델이 이미 다양한 보안 요구 사항을 지원할 수 없는 경우 "우리는 Mac만 사용합니다"라고 보고하는 것입니다. 이로 인해 제출된 정보가 난독화됩니다.

2- 구성표에는 라우터 및 방화벽 펌웨어 보고서만 필요합니다.

이것은 나에게 수수께끼입니다. 회사에는 Wi-Fi 중계기가 있고 펌웨어가 있는 서버가 있고 펌웨어와 기타 모든 장치가 있는 서버가 있습니다. 모두 펌웨어가 있습니다.

여기서는 그러한 정보를 공유하지 않는 가상화 및 클라우드 제공업체를 지적하고 싶습니다. 그리고 제가 가깝다면 유형 자산과 무형 자산에 대해 별도의 요구 사항을 갖는 것이 더 합리적이지 않은지 IASME에 질문할 것입니다.

장치에 어떤 펌웨어가 사용되는지 알지 못하면 자산에 필요한 보안 수준에 관한 의사 결정이 손상됩니다. 따라서 이는 보안 수준을 저하시키는 또 다른 부정적인 변화입니다.

통제력이 낮다고 해서 좋은 것은 아니며, 통제력이 낮다고 해서 최악인 것은 아닙니다. 적어도 이 두 가지 경우에는요.

인증의 가치를 낮추는 것은 옳지 않습니다.

읽어 주셔서 감사합니다. 이러한 변화에 대해 어떻게 생각하시나요? 아래 댓글로 알려주세요!