Seperti yang berulang kali diingat di halaman-halaman ini, dan ditegaskan kembali beberapa hari yang lalu oleh Delegated Authority of Sistem informasi untuk keamanan Republik, Italia tertinggal di belakang banyak negara Eropa dalam mengadopsi struktur nasional untuk keamanan informasi.
Terlepas dari luasnya dampak serangan dunia maya yang disebabkan oleh interkoneksi yang kuat antara sistem dan aplikasi yang mencerminkan interaksi antara orang, perusahaan, dan organisasi, semua orang dapat melihatnya. kesannya masih banyak yang menganggap serangan cyber sebagai peristiwa yang efeknya terbatas dan tanggung jawabnya mudah diatribusikan. Ingat saja itu sebagai serangan ransomware, tidak terlalu canggih, telah memaksa blokade salah satu jaringan pipa minyak terpenting di AS dengan dampak pada ribuan perusahaan dan jutaan orang.
Kurangnya kesadaran akan konsekuensi dari serangan dunia maya adalah penyebab kelambanan dalam menangani masalah ini. Dan justru pada kesadaran inilah eksponen otoritatif kita Departemen Informasi Keamanan baru-baru ini menyatakan - dengan alasan yang bagus - bahwa kita perlu memikirkan kembali cara kita mengatur dan mengelola keamanan domain siber: Lompatan kualitatif diperlukan yang tidak lagi hanya menargetkan keamanan sistem dan jaringan yang dianalisis sebagai entitas otonom, tetapi yang, dikombinasikan dengan ini, bertujuan untuk memastikan mereka kegembiraan jika terjadi serangan yang efektif. Kami menambahkan bahwa dalam konteks Italia perlu lebih awal memperkuat semua sistem dan jaringan untuk menghilangkan semua kerentanan dan kelemahan yang ada perbaikannya dan yang, jika tidak dihilangkan, merupakan: Tumit Achilles yang dapat membuat tindakan pertahanan yang canggih menjadi tidak efektif.
Mari kita coba mendefinisikan ketangguhan dalam domain siber berdasarkan konstruksi khas dunia akademis dan bukti manajemen risiko bisnis.
Sistem informasi dan kontrol industri, seperti yang terjadi pada sistem pertahanan dan keamanan suatu negara, jelas telah mengalami kerentanan terhadap ancaman cyber tingkat lanjut. Banyaknya insiden sebenarnya telah menunjukkan bahwa tidak mungkin untuk memastikan bahwa sumber daya TI organisasi, bahkan ketika dirancang dan dipelihara sesuai dengan standar keamanan terbaik, akan dapat bekerja di bawah serangan musuh yang canggih dan dilengkapi dengan baik. mempekerjakan kombinasi kapasitas dunia maya, militer, dan intelijen.
Oleh karena itu, tantangan masa depan harus dihadapi mulai dari asumsi bahwa, dalam menggunakan - atau bergantung pada - sumber daya jaringan, ada risiko tinggi bahwa seseorang akan melanggar pertahanan perimeter dan membangun diri mereka sendiri dengan cara yang kurang lebih jelas dan kurang lebih langgeng. . , dalam batas keamanan seperti kanker yang tumbuh di dalam makhluk hidup.
Dari sini muncul pertimbangan bahwa tidak cukup membatasi diri untuk mengamankan aset secara individual, bahwa cepat atau lambat - hanya masalah waktu - mereka akan "rusak"; tetapi perlu untuk melampaui, dan menciptakan jaringan, sistem informasi, dan layanan TI yang tangguh, yaitu, mampu mengharapkan, menolak, pemulihan e untuk beradaptasi di bawah kondisi yang merugikan, stres, serangan dan kompromi: sedikit seperti tubuh manusia, yang menyajikan ya a sistem kekebalan mampu menyerap bahaya lingkungan dan menyediakan mekanisme pertahanan untuk tetap sehat, tetapi juga memiliki, jika perlu, sistem perbaikan otomatis untuk pulih dari penyakit dan cedera; dan bahwa, terlebih lagi, ketika gagal memulihkan kondisi kesehatan sebelum sakit, itu adalah mampu beradaptasi dengan kondisi supervisi.
Untuk beberapa waktu, dunia akademis telah mengusulkan model konseptual yang memungkinkan pengembangan sistem siber tangguh pada model "tubuh manusia" yang disebutkan di atas dan yang menciptakan keterampilan ketahanan dari tahap awal pengembangan siklus hidup: yang disebut ketahanan dengan desain.
Il Institut Standar dan Teknologi Nasional, sebenarnya, dia mendefinisikan kerangka teknik komputer dimulai dari pengertian empat keterampilan dasar, yaitu: Antisipasi, yaitu kemampuan untuk mengantisipasi masalah; salah satunya Menahan yaitu, untuk menahan stres, memastikan misi atau fungsi yang dianggap penting; salah satunya Memulihkan, yaitu pemulihan yang terakhir, jika terkena dampak selama atau setelah kecelakaan; dan akhirnya, Menyesuaikan, kemampuan untuk mengubah misi atau fungsi ketika aspek teknis atau operasional berubah atau ancaman berkembang.
Untuk masing-masing kapasitas ini, berbagai tujuan diusulkan untuk dikejar: Mencegah, yaitu, pencegahan serangan, untuk mencegah eksekusi mereka; Mempersiapkan, yaitu, berhipotesis dan menguji serangkaian tindakan untuk menghadapi kesulitan; Continue, yaitu, memaksimalkan durasi dan kelayakan misi kritis sistem selama insiden; Memaksa, yaitu, membatasi kerusakan; Menyusun kembali, yaitu, memulihkan fungsi-fungsi penting; Memahami, yaitu untuk memahami apa yang terjadi, untuk memiliki representasi yang jelas, kejadian selama, tentang status sumber daya yang terkena dampak dan pada dependensi yang ada dengan sumber daya lain; Mengubah, yaitu, untuk memodifikasi misi atau fungsi penting untuk menyesuaikannya dengan konteks operasional, teknis, atau ancaman yang berubah; dan akhirnya Arsitek Ulang, yaitu, memodifikasi arsitektur untuk mengelola kesulitan dan menangani perubahan lingkungan secara lebih efektif.
Tetapi jika empat kemampuan dan delapan tujuan yang diusulkan mewakili "apa" yang harus dilakukan untuk mendapatkan sistem tangguh di jaringan, "bagaimana" ditentukan oleh definisi teknik ketahanan dunia maya tertentu, untuk diimplementasikan dengan pendekatan implementasi yang berbeda dan sesuai dengan prinsip-prinsip desain yang ditetapkan. , banyak di antaranya merupakan subjek penelitian dan pengembangan dalam kegiatan kolaboratif antara akademisi, perusahaan, dan administrasi publik.
Tekniknya berbeda. Hanya beberapa yang dikutip sebagai contoh, mengacu pada analisis mendalam yang diperlukan.
Ini dimulai dariPemantauan Analitik yang memastikan pemantauan dan analisis properti sistem atau perilaku pengguna, serta Kesadaran Kontekstual dengan mana efisiensi sumber daya kritis sistem dipantau sesuai dengan ancaman yang sedang berlangsung dan tindakan respons.
Teknik lain malah sengaja ditujukan untuk melawan tindakan lawan, seperti Penipuan - metode penipuan yang dimaksudkan untuk menyesatkan, membingungkan lawan, misalnya dengan menyembunyikan sumber daya penting darinya atau mengekspos sumber daya yang tercemar secara rahasia - atau Ketidakpastian, dengan mana perubahan terjadi dalam sistem dengan cara kausal atau tidak terduga.
Metode lain memungkinkan mekanisme perlindungan untuk beroperasi dengan cara yang terkoordinasi dan efisien - Perlindungan Terkoordinasi - atau mereka memfasilitasi penggunaan pendekatan heterogenitas untuk meminimalkan dampak dari berbagai ancaman yang mengeksploitasi kerentanan umum, seperti kasus teknik yang disebut Keragaman.
Teknik pencegahan seperti Pemosisian Dinamis memungkinkan Anda untuk secara dinamis mendistribusikan atau mengalokasikan kembali fungsionalitas atau sumber daya sistem untuk menghapusnya dari perhatian penyerang; atau dari Integritas yang Terbukti yang memungkinkan untuk memastikan apakah elemen penting dari sistem telah dikompromikan.
Akhirnya, yang lain memastikan fungsionalitas redundansi atau segmentasi.
Singkatnya, sekali lagi solusi teknis, pendekatan konseptual dan standar kualitas hadir dan diawasi dengan baik oleh dunia akademik dan regulasi. Dorongan untuk kontekstualisasi mereka di berbagai daerah juga akan terjadi berkat pembentukan jaringan Pusat Inovasi Digital Eropa yang, berkat pembentukan konsorsium regional antara universitas, pusat penelitian, perusahaan dan administrasi publik, akan memberikan dukungan langsung kepada usaha kecil dan menengah, yang paling rentan terhadap risiko dan yang kerapuhannya dapat menjadi penyebab kelemahan seluruh negeri. sistem.
Ini adalah kapasitas tata kelola organisasi publik dan swasta untuk memahami ancaman baru; jelas tentang aset kepentingan dan kebutuhan keamanan dan ketahanan terkait; memahami kompleksitas yang berkembang dari domain kelima untuk secara efektif mengelola ketidakpastian yang terkait dengan kompleksitas ini; mengintegrasikan persyaratan, fungsi, dan layanan keamanan ke dalam proses manajemen dan teknis dalam siklus hidup pengembangan sistem; dan terakhir untuk memprioritaskan desain dan implementasi sistem yang aman dan tangguh yang mampu melindungi aktivitas pihak-pihak yang berkepentingan.
Orazio Danilo Russo dan Giorgio Giacinto
Untuk mempelajari lebih lanjut:
https://formiche.net/2021/06/agenzia-cyber-tempo-scaduto-lallarme-di-gabrielli/
https://www.agi.it/economia/news/2021-05-11/colonial-pipeline-ransomware-12504743/
https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2391
https://digital-strategy.ec.europa.eu/en/activities/edihs
https://nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-081.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2.pdf
Foto: Angkatan Darat AS / Angkatan Udara AS / web
