Poradnik na temat tworzenia ISAC (Centra Wymiany i Analizy Informacji)

ISAC to akronim angielskiego Information Sharing and Analysis Center, tłumaczony na język polski jako Centra Wymiany i Analizy Informacji. To centra wymiany wiedzy i doświadczeń dotyczących incydentów cyberbezpieczeństwa w danym sektorze gospodarki (np. finansowym, energetyki czy lotnictwa).

ISAC jest formą partnerstwa publiczno-prywatnego (PPP) rozumianego jako długookresowe porozumienie przynajmniej dwóch przedstawicieli sektora prywatnego lub publicznego [1]. Partnerstwo publiczno-prywatne jest często rozumiane jako współpraca sektora prywatnego i publicznego, tymczasem chodzi także o budowanie relacji pomiędzy różnymi sektorami gospodarki oraz pomiędzy różnymi instytucjami publicznymi. PPP wydaje się być szczególnie istotne w zakresie cyberbezpieczeństwa, ponieważ operatorzy usług kluczowych to przede wszystkim prywatne przedsiębiorstwa [2]. Dodatkowo zagrożenia teleinformatyczne rzadko dotyczą tylko jednej instytucji, a nawet jednego sektora. Dlatego dobra współpraca i właściwa wymiana wiedzy może znacznie podnieść poziom cyberbezpieczeństwa. Nie tylko z uwagi na wymianę informacji o samych incydentach, czy też zagrożeniach, ale także możliwość uczenia się od siebie nawzajem. Z danych zebranych przez Europejską Agencję Bezpieczeństwa Sieci i Informacji (ENISA) wynika, że rozwinięcie systemu partnerstw publiczno-prywatnych w dziedzinie cyberbezpieczeństwa, a w szczególności powstanie ISAC, wyraźnie przyczyniło się do zwiększenia ogólnego poziomu wiedzy na temat zagrożeń w danym państwie, a także do wzrostu kompetencji poszczególnych firm i instytucji w przeciwdziałaniu zagrożeniom[.

ISAC stanowi bardzo dobrą formę gromadzenia wiedzy na temat aktualnych zagrożeń i ryzyka, głównie dlatego, że składa się ze specjalistów, którzy znają specyfikę sektora i mają najbardziej aktualne informacje na temat zagrożeń. Taki stan wiedzy może być trudny do osiągnięcia dla organów właściwych. Jednocześnie ISAC mogą być dobrą platformą współpracy i wymiany informacji dla operatorów usług kluczowych. W obliczu incydentu nie zawsze konieczny jest zespół typu CERT/CSIRT działający w systemie 24/365. Czasem wystarczy wiedzieć gdzie i do kogo w sektorze zadzwonić, żeby uzyskać potrzebne informacje i wsparcie – np. od organu właściwego lub innego przedsiębiorstwa z sektora. Takie działania, wraz ze wsparciem właściwego CSIRT poziomu krajowego, mogą okazać się wystarczające.

Wydawać by się mogło, że utworzenie centrum jest złożonym i kosztownym przedsięwzięciem. Nic bardziej mylnego! Wystarczy kilku specjalistów z zakresu cyberbezpieczeństwa, którzy zaczną wymieniać się informacjami oraz doświadczeniami. Warto też zaznaczyć, że każdy sektor ma odmienną specyfikę i dlatego każdy ISAC może być odmienny. Dla przykładu: funkcjonujące już w Europie ISAC w sektorze finansowym koncentrują się przede wszystkim na współpracy z organami ścigania w celu zwalczania cyberprzestępczości, podczas gdy te działające w sektorze energetyki koncentrują się przede wszystkim na aspektach badawczych i rozwojowych (R&D). Uruchomienie sektorowego ISAC powinno być poprzedzone analizą potrzeb i wyzwań stojących przed danym sektorem.

Co jest potrzebne, żeby ustanowić ISAC?

Zaufanie
Zaufanie jest kluczem do współpracy. Konieczna jest pewność, że informacje, którymi dzielą się uczestnicy, nie ukażą się w jutrzejszych gazetach ani nie zostaną przekazane dalej bez ich zgody. Dlatego dobrym wyjściem będzie stworzenie wytycznych członkostwa, które określą z kim i w jaki sposób można dzielić się informacjami. W późniejszym okresie warto wykorzystać reguły Traffic Light Protocol (TLP) .
Budowaniu zaufania służy również wyznaczenie stałych reprezentantów. Ponieważ ISAC funkcjonuje w oparciu o systematyczne interakcje (m.in. spotkania) warto, aby przy stole wciąż zasiadali ci sami ludzie. Warto inwestować w relacje, być odpowiedzialnym, dotrzymywać słowa i dawać dobry przykład.

Wspólne interesy
Od początku należy być szczerym odnośnie do swoich motywacji. Tylko takie podejście pozwoli odkryć, jakie wspólne interesy mają uczestnicy oraz ich organizacje, a także ustalić priorytety dla działania ISAC. Nie można zapominać, że na bezpieczeństwo sektora składa się suma bezpieczeństwa należących do niego organizacji.
Organizacje tworzące ISAC mogą mieć różne interesy, o ile zostały one przedyskutowane i nie leżą w sprzeczności do siebie. Każdy konflikt interesów szybko zakończy owocną pracę ISAC, bo spowoduje utratę zaufania jego członków.

Równość
Udana współpraca wymaga tego, aby uczestnicy ISAC byli sobie równi. Nie powinno się tworzyć hierarchicznych relacji. Jeśli organizacje są podległe jedna drugiej poza ISAC, zapewne nie będą przygotowane na to, aby dzielić się informacjami wewnątrz grupy. Trudno dzielić się wiedzą, która w przyszłości może zostać wykorzystana przeciw Tobie.

Jak uruchomić ISAC?

Proces uruchamiania ISAC składa się z trzech faz: poszukiwania, budowania i kontynuacji.

Faza 1 – Poszukiwanie
Najważniejsze jest znalezienie osób, które myślą podobnie. Początki nie muszą być spektakularne. Czasem najlepiej jest zacząć od kilku entuzjastycznie nastawionych oficerów bezpieczeństwa informacji. Pozwoli to stworzyć nieformalną grupę współpracy i wzajemnie się poznać. Warto też na samym początku zastanowić się nad wspólnymi celami, zmapować podobieństwa i różnice.

Faza 2 – Budowanie
Ważnym elementem jest organizacja oficjalnego otwarcia ISAC. Wspólny wybór przewodniczącego, wiceprzewodniczącego oraz sekretarza. Da im to jasną legitymizację do dalszych działań. Dodatkowo niezwykle istotne jest uzgodnienie częstotliwości spotkań i sposobu komunikacji, a także wytycznych dotyczących członkowska i przekazywania informacji. Warto od razu spisać to w formie MoU (memorandum of understanding), bo dzięki temu wszystkie zasady będą jasne i dostępne dla wszystkich członków (zarówno obecnych, jak i przyszłych).

Faza 3 – Kontynuacja
Warto być krytycznym, jeśli chodzi o uczestnictwo w ISAC, stworzyć przestrzeń do oceny i podsumowania swoich działań. ISAC jest pewnego rodzaju „żywym organizmem”, który powinien ewoluować wraz ze zmianą potrzeb jego członków. Ważne tylko, aby te zmiany odbywały się w sposób transparentny, za zgodą wszystkich członków.

Udana współpraca wymaga tego, aby uczestnicy ISAC byli sobie równi. Nie powinno się tworzyć hierarchicznych relacji. Jeśli organizacje są podległe jedna drugiej poza ISAC, zapewne nie będą przygotowane na to, aby dzielić się informacjami wewnątrz grupy. Trudno dzielić się wiedzą, która w przyszłości może zostać wykorzystana przeciw Tobie.

Zachęcamy do pobrania Poradnika ISAC (Centra Wymiany i Analizy Informacji)  w kontekście sektorowych centrów cyberbezpieczeństwa


Przypisy:

[1] Public Private Partnership (PPP). Coooperative models. Listopad 2017, ENISA.

[2] Zgodnie z Ustawą o krajowym systemie cyberbezpieczeństwa operator usługi kluczowej to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej  w sektorach: energetycznym, transportowym, bankowym i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej. Usługa kluczowa jest zależna od systemów informatycznych.


TAGI Analizy, Dobre praktyki,