התכונן לתקנת אבטחה חדשה של מרכז נתונים בבריטניה

מאת פיל מונקסטר • 8 פבואר 2024

כלכלת בריטניה מתמקדת יותר ויותר בדיגיטל. על פי ממשלה, הנתונים תרמו כמעט 7% לתמ"ג ב-2022, ושלושה רבעים מכל יצוא השירותים מהמדינה היו תלויים בנתונים. זה מייצג הזדמנות פנטסטית לצמיחה, אבל גם חושף את הארגונים ואת הלקוחות המסתמכים עליהם לסיכונים חדשים. זו הסיבה שהממשלה פרסמה הצעות חדשות להסדרת מרכזי הנתונים של צד שלישי המפעילים חלק גדול מהכלכלה הדיגיטלית.

במתכונתם הנוכחית, הכללים יציגו מסגרת סטטוטורית ופונקציה רגולטורית חדשה, המחייבת דרישות אבטחה בסיסיות מינימליות לבעלי מרכזי נתונים. מומחים מאמינים שמסגרות אבטחה מומלצות כמו ISO 27001 יכולות להיות דרך שימושית עבור ארגונים כאלה להבטיח תאימות.

מדוע אנו זקוקים למרכזי נתונים מאובטחים יותר?

מרכזי נתונים יושבים בלב הכלכלה הדיגיטלית, ומאפשרים לארגונים בכל הגדלים הפועלים בכל המגזרים לספק שירותים מקוונים חלקים ולפעול ביעילות רבה יותר. הממשלה מעריכה כי 28% מכלל העסקים בבריטניה משתמשים בשירותים המתארחים במרכזי נתונים, עלייה ל-62% מהחברות הגדולות. עם זאת, גם אירועי מזג אוויר קיצוניים וגם איומי סייבר כמו פרצות מידע ותוכנות כופר הם אתגר הולך וגובר. ועדה פרלמנטרית לאחרונה הזהיר שבריטניה נמצאת ב"סיכון גבוה" לחוות התקפת כופר "קטסטרופלית".

לא משנה מה הסיבה לאירוע, הפסקות חמורות עלולות לגבות מחיר כספי ומוניטין משמעותי מבעלי מרכזי הנתונים ומהעסקים ולקוחות הקצה המסתמכים על מתקנים אלה. לפי מכון Uptime דמויות לשנת 2022, 80% ממנהלי מרכז הנתונים והמפעילים חוו סוג כלשהו של הפסקה בשלוש השנים הקודמות. למעלה מ-60% מהכשלים ב-2022 הביאו להפסדים של לפחות 100,000 דולר, לעומת 39% ב-2019. המניה שעלתה מיליון דולר+ עלתה מ-1% ל-11% באותה תקופה.

עם זאת, בעוד שספקי שירותי ענן (CSP) ומתקנים של ספקי שירותים מנוהלים (MSP) כבר מוסדרים על ידי תקנות הרשת ומערכות המידע של בריטניה (NIS) 2018, הדבר אינו נכון לגבי מרכזי נתונים אחרים של צד שלישי. זה הופך את בריטניה לחורג בקרב הכלכלות הגדולות. וזו הסיבה שהממשלה פרסמה מסמך התייעצות ציבורי חדש: הגנה ושיפור האבטחה והחוסן של תשתית הנתונים בבריטניה.

מה כוללות ההצעות?

הכללים המוצעים יכסו באופן ספציפי ספקי שירותי מרכז נתונים משותף ואירוח משותף. בעלי מתקנים יידרשו להירשם אצל רגולטור ייעודי ולספק "מידע רלוונטי" על פעילותם בבריטניה. לרגולטור זה יהיה כוח לנהל ולאכוף את המסגרת החדשה, תוך התחשבות בצמיחה ובחדשנות בעת קבלת החלטות כלשהן.

בעלי מרכזי נתונים יצטרכו גם לציית לסדרה של אמצעי אבטחה וחוסן, הקשורים ל:
⦁ ניהול סיכונים
⦁ אבטחה פיזית וסייבר של מתקנים, רשתות ומערכות
⦁ ניהול תקריות - עם תקריות משמעותיות שידווחו לרגולטור ועלולים להיחשף ללקוחות/גורמים מושפעים
⦁ חוסן והמשכיות שירות
⦁ ניטור, איתור, ביקורת ובדיקה
⦁ ממשל וכוח אדם
⦁ ניהול שרשרת אספקה

"הנתונים הם מניע חשוב יותר ויותר לצמיחה הכלכלית שלנו וממלא תפקיד מרכזי בשירותים הציבוריים שלנו. אז הבטחה שלחברות המאחסנות אותו יש את ההגנות הנכונות כדי להגביל סיכונים מאיומים כמו התקפות סייבר ומזג אוויר קיצוני, תעזור לנו לקצור את היתרונות ולתת לעסקים שקט נפשי", טען שר הנתונים והתשתיות הדיגיטליות, ג'ון וויטינגדייל. הצהרה.

"הממשלה רצינית בשמירה על בטיחות הנתונים, וזו הסיבה שאנו קוראים לעסקים הללו לשתף באופן אקטיבי את התובנות והמומחיות שלהם, ובמקביל לוודא שיש לנו את התקנות הנכונות. על ידי הפיכת האבטחה לעדיפות עליונה באופן שבו אנו מטפלים בנתונים, אנו לא רק מתמודדים עם אתגרים חדשים אלא גם הופכים את בריטניה למובילה עולמית בקידום טכנולוגיה בטוחה ואחראית".

תקנים ומסגרות יכולים לעזור

עם זאת, כמו בכל הצעה רגולטורית חדשה, ישנם אתגרים פוטנציאליים, לדברי ג'יימס מקוויגן, תומך למודעות אבטחה ב- KnowBe4.
"ראשית, הגישה המתאימה לכולם עשויה להתאים רק לחלק ממפעילי מרכזי הנתונים, במיוחד אלה קטנים יותר שעלולים להיאבק בעלויות ובמורכבות של תאימות", הוא אומר ל-ISMS.online.

"שנית, קיים סיכון של רגולציה יתר, שעלולה לחנוק חדשנות או להוביל לחשיבה ממוקדת ציות ולא אבטחה. לבסוף, ישנו את האתגר לעמוד בקצב של איומי סייבר המתפתחים במהירות, שבהם התקנות עלולות להתיישנות במהירות".

מפעילי מרכזי נתונים יצטרכו לפרוס את טכנולוגיות אבטחת הנתונים והחוסן העדכניות ביותר תוך הבטחת תאימות וזמני השבתה מינימליים, כל זאת תוך מזעור החובות הטכניים, מוסיף מקוויגן.

"עמידה ברשימה הולכת וגדלה של תקנות ותקנים בתעשייה יכולה לקחת זמן ומאמץ, במיוחד עבור מפעילים קטנים יותר. איזון בין ציות ליעילות תפעולית הוא אתגר משמעותי", הוא טוען.

עם זאת, תקני שיטות עבודה מומלצות יכולים לעזור. באופן מכריע, מסמך ההתייעצות של הממשלה מציין כי "ניתן להשתמש בתקנים, במסגרות הערכה ובכלים אחרים כדי לשפר ולהבטיח הפחתת אבטחה וחוסן". זה פותח את הדלת לשימוש בסטנדרטים בינלאומיים כמו ISO 27001, המספקת מסגרת להקמה, יישום וניהול מערכת ניהול אבטחת מידע (ISMS).

"המסגרת שמה דגש על שיפור מתמיד, שמתיישר היטב עם האופי הדינמי של איומי אבטחת הסייבר וההתקדמות הטכנולוגית. זה יכול לעזור לבעלי מרכזי נתונים לנהל באופן שיטתי מידע רגיש של החברה ולהבטיח אבטחת מידע", אומר מקוויגן.

"בנוסף, ארגונים המחזיקים בהסמכות ISO 2700x יכולים להוכיח לספקים, לקוחות ורגולטורים שמרכז הנתונים רציני בניהול סיכוני אבטחת מידע ביעילות."

ההתייעצות על החוק החדש תימשך עד ה-22 בפברואר, כאשר בעלי עניין שונים, כולל מפעילי מרכזי נתונים, ספקי ענן ומומחים בתעשייה מוזמנים להגיש משוב על ההצעות. הממשלה מאמינה כי זו, הצעת חוק הגנת מידע ומידע דיגיטלי החדש וה- חוק אבטחת מוצרים ותשתיות טלקומוניקציה (PSTI) 2022 יחד יסייעו להגביר את חוסן הסייבר של הכלכלה הדיגיטלית של בריטניה, בזמן של איומים מתגברים ומשטח התקפות תאגידי הולך וגדל. הזמן יגיד.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.