PokerStop

A digitális reziliencia fogalma már nem csak a kiberbiztonsági ellenőrzésekhez kapcsolódik, de ma a szabályozók tágabban tekintenek rá, és magában foglalja a modern gazdaságok alapját képező létfontosságú szoftverrendszerek folytonosságának biztosítását.

Ez az elmozdulás jól látható Szaúd-Arábiában, ahol a „szoftver letéti” új szabályozási iránymutatások kiadása azt jelzi, hogy egyre jobban felismerik, hogy a digitális rugalmasságnak kezelnie kell a harmadik fél szoftverszolgáltatóktól való működési függőség kockázatát is.

Ráadásul a kockázatok már nem korlátozódnak a feltörésekre vagy az adatszivárgásokra, a szervezetek összetettebb szoftverrendszerekre támaszkodnak.

Alex McCulloch, az Escode Közel-Kelet piacfejlesztési igazgatója szerint a szabályozók kiszélesítik a figyelmüket, mivel a digitális gazdaság egyre inkább függ a külső cégek által fejlesztett és kezelt szoftverektől. Az Asharq Al-Awsatnak adott exkluzív interjú során kifejti, hogy a működési rugalmasság már nem korlátozódik csak a kiberbiztonsági ellenőrzésekre, hanem az üzleti szempontból kritikus szoftverek folytonosságának biztosítására is ki kell terjednie. Hozzáteszi: „Mivel a szervezetek egyre inkább külső szoftverszolgáltatókra támaszkodnak, a kockázatok túlmutatnak a kiberfenyegetéseken, beleértve a beszállítói mulasztásokat, egyesüléseket és felvásárlásokat, szolgáltatáskimaradásokat vagy működési hibákat.”

Szervezeti átalakítás a működési folytonosság felé

A szakértők úgy vélik, hogy a szaúd-arábiai Kommunikációs, Űr- és Technológiai Bizottság kibocsátotta a szoftveres letéti számlákra vonatkozó iránymutatást olyan lépés, amely egy átfogóbb keretrendszer felé halad az úgynevezett „szervezett működési folytonosság” felé. Gyakorlatilag ez azt jelenti, hogy a szabályozók már nemcsak azt kérdezik a szervezetektől, hogyan védjék meg rendszereiket a támadásoktól, hanem azt is, hogyan nyújtsák tovább szolgáltatásaikat, ha egy nagy technológiai szolgáltató hirtelen eltűnik.

McCulloch kijelenti, hogy ez az útmutató „tágabb szervezeti elmozdulást tükröz a kizárólag a kiberbiztonságra összpontosító modellről egy átfogóbb, a strukturált működési folytonosság koncepcióján alapuló modell felé”. Kezeli a digitális függőség kockázatait, és biztosítja a kritikus szoftverrendszerek folytonosságát.”

Ez az átalakulás akkor következik be, amikor a Királyság a „Vision 2030” gazdasági átalakítási stratégia részeként jelentős összegeket fektet be a digitális infrastruktúrába. A felhőplatformok, a vállalati szoftverrendszerek és a digitális kormányzati szolgáltatások az ország digitális gazdaságának gerincévé váltak. De ahogy növekszik az ezekre a rendszerekre való támaszkodás, úgy nőnek a kockázatok új formái is.

A szoftverfüggőség rejtett veszélyei

Manapság számos iparágban a külső szoftverszolgáltatók a színfalak mögött dolgoznak a digitális infrastruktúra lényeges részeként. A banki rendszerek, egészségügyi platformok, kormányzati szolgáltatások és vállalati műveletek nagymértékben támaszkodnak külső szállítókra alapvető digitális műveleteik kezelésében. A szakértők véleménye szerint azonban ez a támaszkodás rendszerszintű sebezhetőséget okozhat.

McCulloch rámutat, hogy „a rendszerszintű kockázatok jelentősek, mivel a harmadik felek által biztosított szoftverek olyan létfontosságú szektorok gerincét alkotják, mint a pénzügyi szolgáltatások, a nyilvános infrastruktúra, az egészségügyi rendszerek és az intézményi üzleti platformok”.

Bár a kiberbiztonság továbbra is komoly aggodalomra ad okot, a legégetőbb kockázatot gyakran a szoftverellátási láncon belüli váratlan zavarok okozhatják. A szállító csődje, egy másik vállalat felvásárlása, üzleti stratégiai változása, vagy akár egy hirtelen műszaki hiba a szervezetek és kormányok által igénybe vett szolgáltatások megszakadásához vezethet. Ezek a forgatókönyvek már nem hipotetikusak, különösen az összekapcsolt platformokon alapuló digitális gazdaságban. Egyetlen beszállítói kudarc hatása több ágazatra is átterjedhet.

Készüljön fel a mulasztó beszállítókra

Ahogy a szabályozók tudomást szereznek ezekről a kockázatokról, egyre nagyobb az érdeklődés az iránt, hogy a szervezetek hogyan készülhetnek fel a beszállítói alapértelmezett forgatókönyvekre. Az egyik egyre nagyobb figyelmet kapó mechanizmus a szoftver letéti számla, amely egy olyan megállapodás, amelynek során a szoftver forráskódja és a kapcsolódó műszaki dokumentáció másolatát egy semleges harmadik félnél helyezik letétbe. Ha a szállító már nem tudja folytatni a rendszer támogatását, a szervezet ezt a letétet felhasználhatja a szoftver futásának fenntartására vagy önálló újraépítésére. McCulloch úgy véli, hogy a szervezetek olyan kockázatokkal szembesülhetnek, mint a beszállítói mulasztás, az akvizíció, a szolgáltatás megszakítása vagy a működési hiba. Ezen túlmenően az ilyen forgatókönyvekre való felkészüléshez szisztematikus intézkedésekre van szükség a rugalmasság növelése érdekében, mint például a szoftver letéti számlája és a beszállítói alapértelmezett forgatókönyvek tesztelése a működési készenlét biztosítása érdekében.

A biológiai rendszerek azonosítása

A szervezeten belül nem minden alkalmazásnak van szüksége ilyen típusú védelemre. A szoftverek ellenálló képességének kialakításának első lépése az igazán üzleti szempontból kritikus rendszerek azonosítása. „A szervezeteknek belső értékelést kell végezniük annak meghatározására, hogy mely alkalmazások igazán üzleti szempontból kritikusak” – mondja McCulloch. „Azok a rendszerek, amelyek támogatják a szabályozott szolgáltatásokat, közvetlenül kapcsolódnak a bevételekhez, a nemzeti infrastruktúra részét képezik, vagy az ügyfelek alaptevékenységeitől függenek, nyilvánvaló jelöltek a letéti védelemre.” Ennek a folyamatnak a vállalati kockázatkezelési keretrendszerekbe történő integrálása segít a szervezeteknek abban, hogy prioritást állítsanak fel legfontosabb digitális eszközeiknek, és biztosítsák, hogy a rugalmassági intézkedések ott legyenek, ahol a legnagyobb szükség van rájuk.

A raktározástól a műszaki ellenőrzésig

Elterjedt tévhit, hogy a folytonosság biztosításához elegendő a forráskód elhelyezése. Valójában a kód tárolása korlátozott védelmet nyújthat, ha a szoftvert nem lehet önállóan újraépíteni vagy karbantartani.

McCulloch megjegyzi, hogy pusztán a forráskód tárolása nem garantálja a folytonosságot. Ha a letétbe helyezett kód régi, hiányos, vagy nem építhető újra tiszta környezetben, az hamis védelmi érzetet kelt.

Ezért vált a műszaki igazolás a modern letéti megállapodások fontos részévé. Ezek a folyamatok magukban foglalják a forráskód áttekintését, a fordításának tesztelését ellenőrzött környezetben, valamint annak biztosítását, hogy a rendszer szükség esetén valóban újraépíthető legyen.

Ezek az eljárások a letéti számlát passzív jogi garanciából tényleges mechanizmussá alakítják a működés folytonosságának fokozása érdekében.

A letéti számla integrálása a vállalatirányításba

Egy másik fontos elmozdulás a szoftver-ellenállósági intézkedések közvetlenül a beszerzési politikákba és a vállalatirányítási keretekbe történő integrálásához kapcsolódik. Ahelyett, hogy a beszállítókkal kötött szerződések késői szakaszában letétbe helyezési megállapodásokat alkalmaznának, a szervezetek elkezdik integrálni ezeket a követelményeket a beszerzési politikákba, az ajánlatkérési dokumentumokba és a szállítói jóváhagyási eljárásokba. McCulloch hangsúlyozza annak fontosságát, hogy „a letéti számlákra vonatkozó követelményeket integrálják a beszerzési politikákba, az ajánlatkérési dokumentumokba, a szállítói jóváhagyási eljárásokba és a szabványos szerződési űrlapokba”. Ez biztosítja, hogy a letéti számla szisztematikus kockázatcsökkentő mechanizmussá váljon, nem pedig az utolsó pillanatban kötött szerződéses intézkedéssé.” Az olyan szabályozott ágazatokban, mint a pénzügyi szolgáltatások vagy a kormányzati infrastruktúra, ezek a gyakorlatok fokozatosan standarddá válnak, nem pedig kiegészítő lehetőséggé.

Alkalmazkodás a felhő és a SaaS korszakához

A felhőalapú szoftverek és a „SaaS” modellek felé való elmozdulás, vagyis a szoftverek interneten keresztüli szállítása a felhasználói eszközökre vagy vállalati szerverekre való telepítés helyett, új bonyodalmakat tesz a digitális rugalmasság tervezésében. A hagyományos letéti elrendezéseket eredetileg helyszíni rendszerekre tervezték, ahol a rendszert csak forráskód használatával lehetett újraépíteni.

A szoftverek felhőkörnyezetben való futtatása azonban a kódon túl további elemektől is függ.

Az Asharq Al-Awsattal folytatott beszélgetése során McCulloch rámutat arra, hogy a modern letéti stratégiáknak túl kell lépniük a puszta forráskód-tárolókon, és magában kell foglalniuk a felhőarchitektúrákat, a telepítési forgatókönyveket, a működési konfigurációs környezeteket, valamint a „SaaS” és felhőarchitektúrákon alapuló modern rendszerek működtetéséhez szükséges műszaki dokumentációt. Ezen elemek figyelmen kívül hagyása nagy hézagokat hagyhat a működési rugalmassági tervekben.

A szoftverek rugalmasságának szabályozásának jövője

A jövőre nézve a digitális rezilienciával kapcsolatos szabályozási követelmények valószínűleg tovább fognak fejlődni. Ahogy a digitális rendszerek a gazdasági és közszolgáltatások alapvető összetevőjévé válnak, a szoftvert egyszerre tekintik az innováció kulcsfontosságú hajtóerejének és a kockázatok potenciális koncentrációjának. McCulloch feltárja, hogy a szabályozási követelmények a működési folytonosság tágabb keretei felé haladnak, amelyek elismerik, hogy a szoftver a digitális átalakulás kulcsfontosságú mozgatórugója és a kockázatok fókusza.

Szaúd-Arábia számára az új szoftveres letéti számlák útmutatója korai lépést jelent ebbe az irányba, összhangban a Királyság azon erőfeszítéseivel, hogy a Vision 2030 keretein belül rugalmasabb digitális gazdaságot építsenek ki.

Ez az elmozdulás tükrözheti a digitális kockázatok természetének mélyebb megértését. Az infrastruktúra védelme már nemcsak a kibertámadások elleni védekezést jelenti, hanem azt is, hogy a modern gazdaságokat működtető szoftverrendszerek továbbra is működjenek, még akkor is, ha az azokat fejlesztő vagy kezelő entitások meghibásodnak.

Ebben az értelemben a szoftverrugalmasság a digitális bizalom egyik alappillérévé válik.