TSA: زمان اقدام | امنیت حرفه ای

راب پوکاک، مدیر فنی این شرکت سایبری می نویسد، همانطور که اتکای ما به فناوری ارتباطات افزایش یافته است، خطرات مرتبط با آن نیز افزایش یافته است. مارپیچ قرمز.

با توجه به اینکه پیش‌بینی می‌شود حدود 95 درصد از جمعیت بریتانیا تا سال 2025 از گوشی‌های هوشمند استفاده کنند، بدون در نظر گرفتن ثروت سایر دستگاه‌های متصل به اینترنت، آسیب‌های احتمالی وارد شده به زیرساخت‌های بریتانیا در صورت نقض یک شبکه حامل، شدید است. در پاسخ به این موضوع، دولت قانون ارتباطات (امنیت) (TSA) را در نوامبر 2021 رونمایی کرد که یک چارچوب امنیتی قوی‌تر را برای ارائه‌دهندگان شبکه‌های ارتباطات الکترونیکی عمومی معرفی کرد و از آن زمان پیش‌نویس مقررات و آیین‌نامه جدیدی را برای رسیدگی به خطرات امنیتی پیشرفته منتشر کرده است. .

اصولاً از مقررات استقبال خوبی شده است. با این حال، اگرچه الزامات ارائه شده در این چارچوب امنیتی جدید واضح است، اما زمان بندی اجرا و جزئیات دقیق آنچه در زمان مورد انتظار است مبهم است. دولت درخواست کرده است که “سرراست ترین و کم مصرف ترین اقدامات” تا 31 مارس 2024 انجام شود و “پیچیده ترین و فشرده ترین اقدامات” تا سال 2028 انجام شود – با برخی اقدامات “نسبتاً کم” و “پیچیده تر” در این بین تکمیل شود – همه اینها چیزهای زیادی را به تفسیر هر یک از سازمان ها واگذار می کند.

در حالی که تعریف دقیق کمترین، نسبتاً کم، پیچیده‌تر و منابع فشرده‌ترین اقدامات برای بحث باقی مانده است، احتمالاً برای دستیابی به انطباق با این مقررات جدید، کار زیادی لازم است.

مقررات TSA به طور خلاصه

در اصل، مقررات جدید بیان می‌کند که شرکت‌های مخابراتی باید بتوانند خطرات ناشی از خطرات امنیتی را شناسایی کنند، اقداماتی را برای کاهش این خطرات انجام دهند و به طور مداوم فرآیندهای موجود خود را بازبینی کنند، و برای وقوع یک مصالحه امنیتی آماده شوند – هر چیزی که به خطر بیفتد. در دسترس بودن، عملکرد، عملکرد یا محرمانه بودن شبکه، اجازه دسترسی یا تداخل غیرمجاز را می دهد یا باعث از بین رفتن یا تغییر سیگنال ها یا داده ها بدون اجازه ارائه دهنده می شود.

این در تئوری نسبتاً ساده به نظر می رسد. با این حال، قوانین ثانویه الزامات بسیار دقیق تری را فراهم می کند، از جمله:
• امنیت بر اساس طراحی – شبکه ها باید طراحی یا بازطراحی شوند (در صورت لزوم) تا امنیت را همیشه تضمین کنند
• مستقر در بریتانیا – شبکه‌ها باید بدون اتکا به افراد، تجهیزات یا داده‌های ذخیره‌شده خارج از بریتانیا بتوانند کار کنند (اگرچه این ممکن است در عمل دشوار باشد، زیرا بسیاری از شرکت‌های مخابراتی دارای ردپای بین‌المللی هستند)
• زنجیره تامین – مخابرات باید تاثیر امنیت را بر تامین کنندگان شخص ثالث ارزیابی کند، وابستگی به هر یک از ارائه دهندگان شخص ثالث را کاهش دهد و اطمینان حاصل کند که در صورت قطع عرضه، برنامه های اضطراری نوشته شده وجود دارد.
• وصله – وصله های امنیتی باید ظرف 14 روز پس از هر گونه خطر به خطر افتادن اعمال شوند (اگر لازم باشد ممکن است مدت طولانی تری مجاز باشد)
• افسر امنیتی در سطح هیئت مدیره – رعایت امنیت باید توسط شخص یا کمیته ای با مسئولیت در سطح هیئت مدیره مدیریت شود (که همچنین باید به او اجازه داده شود تا به طور مؤثر مسئولین اقدامات امنیتی سازمان را مدیریت کند)
• تست – تست نفوذ منظم، بررسی های امنیتی و ارزیابی های کتبی باید برای آزمایش امنیت شبکه و آگاهی کارکنان انجام شود.
• گزارش های امنیتی – تمامی گزارش های مربوط به دسترسی به شبکه باید حداقل به مدت 13 ماه نگهداری شوند و سیستم هایی برای نظارت بر تغییرات غیرمجاز در بخش های حساس شبکه/سرویس ها وجود داشته باشد. (اینکه آیا آن لاگ‌ها باید صرفاً در بریتانیا ذخیره شوند یا نه، یک بحث مداوم است). و
• همکاری در صنعت – اگر اطلاعات بتواند به کاهش خطرات ناشی از به خطر افتادن امنیت کمک کند، مخابرات باید اطلاعات را با سایر ارائه دهندگان به اشتراک بگذارد.

به‌علاوه، «کد عمل» که در کنار این مقررات گنجانده شده است، چگونگی دستیابی Telcos به انطباق و امنیت خوب در صنعت را مشخص می‌کند. اگرچه از نظر قانونی الزام آور نیست، اما مقررات مندرج در آیین نامه نحوه انجام اقدامات “مناسب و متناسب” را با توجه به هر ردیف – با استفاده از یک سیستم سه لایه بر اساس گردش مالی سالانه ارائه دهنده مخابرات، روشن می کند.

از کجا شروع کنیم

برای انطباق با مقررات جدید دستیابی به چیزهای زیادی وجود دارد و شروع به کار در لیست گسترده وظایف ممکن است دورنمای دلهره‌آوری به نظر برسد. بنابراین ارزش آن را دارد که این وظایف را به مراحل کوچکتر و مدیریت آسان تر تقسیم کنیم. به عنوان اولین نقطه تماس، شرکت های مخابراتی باید نقش های خاصی را در سازمان خود برای مقابله با مقررات TSA اختصاص دهند. برای بسیاری، تغییرات زیادی لازم است تا امنیت را به سطح مشخص شده در مقررات برساند، و با ایجاد نقشی مسئول برای دستیابی به انطباق در بازه‌های زمانی مناسب، شرکت‌ها می‌توانند از مدیریت کار اطمینان حاصل کنند.

برای شرکت‌های مخابراتی کوچک‌تر که ممکن است ظرفیت ایجاد یک نقش سفارشی را نداشته باشند، تقسیم مسئولیت‌ها بین چند نفر از کارکنان همچنان می‌تواند تضمین کند که این کار انجام می‌شود. علاوه بر این، شرکت های مخابراتی باید آزمایش و ممیزی زیرساخت امنیتی موجود و آگاهی سایبری کارکنان خود را آغاز کنند. این نه تنها به شناسایی شکاف‌های امنیتی بالقوه، هم در محیط شبکه و هم در دانش کارکنان کمک می‌کند، بلکه یک علامت پایه نیز ارائه می‌کند که می‌تواند برای نشان دادن پیشرفت‌های آینده استفاده شود.

شرکت‌های مخابراتی همچنین می‌توانند شناسایی کنند که کدام یک از مقررات در بازه‌های زمانی مختلف قرار می‌گیرند. در حالی که پیچیدگی هر کار امنیتی ممکن است برای ارائه‌دهندگان مختلف متفاوت باشد، بسته به زیرساخت‌های موجود و ابزارهای موجود، شناسایی برنده‌های آسان کاری است که همه می‌توانند برای آماده شدن برای اولین ضرب‌الاجل و ترسیم تاریخ‌های لازم برای دستیابی به آن انجام دهند. الزامات امنیتی برای بقیه

چرا الان شروع کنیم؟

با توجه به ابهام در مورد بازه‌های زمانی دولت، بدون شک وسوسه‌ای وجود دارد که همه اقدامات را به‌عنوان بسیار پیچیده و منابع فشرده شناسایی کنیم، سپس قبل از اعمال تغییرات تا سال 2028 منتظر بمانیم. باید از این وسوسه اجتناب کرد، نه تنها به این دلیل که اجرای این اقدامات به زمان نیاز دارد، با تنظیمات و آزمایش لازم برای تعیین اینکه کدام راه حل های امنیتی برای هر محیط خاص مناسب است، بلکه در درجه اول به این دلیل که این اقدامات برای امنیت زیرساخت های ارتباطی ما ضروری هستند. با نزدیک‌تر شدن به راه‌اندازی هسته 5G و قابلیت‌های جدیدی که این امکان را فراهم می‌کند، امنیت شبکه اهمیت فزاینده‌ای پیدا می‌کند و عواقب نقض شدیدتر می‌شود – فقط باید به شکاف Optus در اواخر سال گذشته نگاهی بیندازیم تا تأثیر آن را ببینیم. هنگامی که امنیت ارتباطات راه دور کنترل نشده باشد، ممکن است نقض داده شود.

مقررات TSA به شدت مورد بررسی قرار گرفته است و نباید به عنوان یک تمرین ساده “تیک باکس” تلقی شود. آنها اقدامات بسیار مهمی برای Telcos هستند تا از موفقیت و استحکام شبکه های مخابراتی بریتانیا اطمینان حاصل کنند.

امنیت شبکه بهتر، امروز

اگرچه مهلت 31 مارس 2028 دولت برای رعایت کامل ممکن است مدتی دیگر به نظر برسد، کسب و کارها نباید وسوسه شوند که اقدام را به تعویق بیندازند. شرکت‌های مخابراتی باید اکنون زیرساخت‌های امنیتی خود را ارزیابی کنند، شکاف‌ها را شناسایی کرده و تنظیمات لازم را برای اطمینان از رفع آنها آغاز کنند. ما باید درس‌های آموخته‌شده از شرکت‌های مالی را در نظر بگیریم که اقدامات اولیه در راستای رعایت مقررات زمان دقیق MiFID II را از دست داده‌اند – که باعث عجله برای دستیابی و گزارش پایبندی MiFID II می‌شود، که باعث حواس پرتی شرکت‌های تجاری و زنجیره‌های تامین حمایت می‌شود. آنها را و هنگامی که تمرکز TSA را بر امنیت زنجیره تامین، انتخاب تامین کنندگان برای کمک به تحویل TSA (در میان سایر نیازها) و ارزیابی طرح های اضطراری امنیتی در نظر بگیرید، حواس پرتی های زمان بر زیادی ایجاد می شود که می تواند تاخیرهای بیشتری را به دنبال داشته باشد. برای دستیابی به انطباق

با توجه به اینکه شرکت‌های مخابراتی نیز قرار است در چند سال آینده شبکه‌های خود را به 5G و 400 گیگابیت بر ثانیه ارتقا دهند، این دستورات TSA و تمرکز مورد نیاز آن‌ها نیز بر تکامل شبکه‌های بریتانیا حاکم خواهد بود – که بر حجم کاری تیم‌های امنیتی و زیرساختی Telcos افزوده می‌شود. ما باید به این الزامات به عنوان یک چیز خوب نگاه کنیم، نه به عنوان دلیلی برای حجم کاری سنگین. از آنجایی که این شبکه‌ها بیش از پیش در زندگی ما در هم تنیده می‌شوند، باید مطمئن شویم که از آنها محافظت می‌شود، بدون اینکه تأثیری که یک نقض امنیتی بر هر یک از ما می‌تواند داشته باشد را دست کم بگیریم.