Gør dig klar til en ny britisk datacentersikkerhedsforordning
Indholdsfortegnelse:
Storbritanniens økonomi er i stigende grad digitalt centreret. Ifølge Regeringen, bidrog data med næsten 7 % til BNP i 2022, og tre fjerdedele af al serviceeksport fra landet var afhængig af data. Dette repræsenterer en fantastisk mulighed for vækst, men udsætter også organisationer og de kunder, der er afhængige af dem, for nye risici. Derfor har regeringen offentliggjort nye forslag til regulering af de tredjepartsdatacentre, der driver en stor del af den digitale økonomi.
I deres nuværende form vil reglerne indføre en ny lovbestemt ramme og reguleringsfunktion, der kræver minimumskrav til basissikkerhed for datacenterejere. Eksperter mener, at best practice-sikkerhedsrammer som ISO 27001 kan være en nyttig måde for sådanne organisationer at sikre overholdelse.
Hvorfor har vi brug for flere sikre datacentre?
Datacentre sidder i hjertet af den digitale økonomi og gør det muligt for organisationer af alle størrelser, der opererer på tværs af alle sektorer, at levere problemfri onlinetjenester og operere mere effektivt. Regeringen anslår, at 28 % af alle britiske virksomheder bruger tjenester, der er hostet i datacentre, hvilket stiger til 62 % af de store virksomheder. Alligevel er både ekstreme vejrhændelser og cybertrusler såsom databrud og ransomware en voksende udfordring. Et parlamentarisk udvalg for nylig advaret at Storbritannien har en "høj risiko" for at opleve et "katastrofisk" ransomware-angreb.
Uanset årsagen til en hændelse, kan alvorlige afbrydelser kræve en betydelig økonomisk og omdømmemæssig byrde på datacenterejere og de virksomheder og slutkunder, der er afhængige af disse faciliteter. Ifølge Uptime Institute's tal for 2022 har 80 % af datacenterledere og -operatører oplevet en eller anden form for nedbrud i de foregående tre år. Over 60 % af fejlene i 2022 resulterede i samlede tab på mindst 100,000 USD mod 39 % i 2019. Andelen, der koster 1 mio. USD+, steg fra 11 % til 15 % i samme periode.
Selvom cloud service provider (CSP) og managed service provider (MSP) faciliteter allerede er reguleret af Storbritanniens Network and Information Systems Regulations (NIS) 2018, er det samme ikke tilfældet for andre tredjeparts datacentre. Dette gør Storbritannien til en outlier blandt store økonomier. Og det er derfor, regeringen har udsendt et nyt offentligt høringsdokument: Beskyttelse og forbedring af sikkerheden og modstandsdygtigheden af britisk datainfrastruktur.
Hvad indebærer forslagene?
De foreslåede regler vil specifikt dække samlokalisering og co-hosting af datacentertjenesteudbydere. Facilitetsejere vil være forpligtet til at registrere sig hos en udpeget regulator og give "relevante oplysninger" om deres britiske operationer. Denne regulator vil have beføjelse til at forvalte og håndhæve den nye ramme, idet vækst og innovation tages i betragtning, når der træffes beslutninger.
Datacenterejere vil også skulle overholde en række sikkerheds- og modstandsdygtighedsforanstaltninger, relateret til:
⦁ Risikostyring
⦁ Fysisk og cybersikkerhed af faciliteter, netværk og systemer
⦁ Incident management – med væsentlige hændelser, der skal rapporteres til regulatoren og potentielt videregives til kunder/berørte parter
⦁ Resiliens og servicekontinuitet
⦁ Overvågning, detektion, revision og test
⦁ Ledelse og personale
⦁ Supply chain management
"Data er en stadig vigtigere drivkraft for vores økonomiske vækst og spiller en central rolle på tværs af vores offentlige tjenester. Så at sikre, at virksomheder, der opbevarer det, har den rette beskyttelse på plads for at begrænse risici fra trusler såsom cyberangreb og ekstremt vejr, vil hjælpe os med at høste fordelene og give virksomhederne ro i sindet,« argumenterede minister for data og digital infrastruktur, John Whittingdale, i en erklæring.
"Regeringen er seriøs omkring at holde data sikre, og derfor opfordrer vi disse virksomheder til aktivt at dele deres indsigt og ekspertise, samtidig med at vi sørger for, at vi har de rigtige regler på plads. Ved at gøre sikkerhed til en topprioritet i, hvordan vi håndterer data, tackler vi ikke kun nye udfordringer, men gør også Storbritannien til en global leder inden for at fremme sikker og ansvarlig teknologi."
Standarder og rammer kan hjælpe
Men som med ethvert nyt reguleringsforslag er der potentielle udfordringer ifølge James McQuiggan, fortaler for sikkerhedsbevidsthed hos KnowBe4.
"For det første er den ensartede tilgang muligvis kun egnet til nogle datacenteroperatører, især mindre operatører, der måske kæmper med omkostningerne og kompleksiteten af overholdelse," siger han til ISMS.online.
"For det andet er der en risiko for overregulering, som kan kvæle innovation eller føre til en compliance-fokuseret snarere end en sikkerhedsfokuseret tankegang. Endelig er der udfordringen med at følge med hurtigt udviklende cybertrusler, hvor reglerne hurtigt kan blive forældede."
Datacenteroperatører bliver nødt til at implementere de nyeste datasikkerheds- og robusthedsteknologier, samtidig med at de sikrer kompatibilitet og minimal nedetid, alt imens de minimerer teknisk gæld, tilføjer McQuiggan.
"Det kan tage tid og kræfter at overholde en stadigt voksende liste over regler og industristandarder, især for mindre operatører. At balancere compliance med operationel effektivitet er en væsentlig udfordring,” argumenterer han.
Best practice-standarder kan dog hjælpe. Afgørende er, at regeringens høringsdokument påpeger, at "standarder, vurderingsrammer og andre værktøjer kan bruges til at forbedre og sikre sikkerhed og modstandsdygtighed afhjælpning." Dette åbner døren til brug af internationale standarder som ISO 27001, som giver en ramme for etablering, implementering og styring af et informationssikkerhedsstyringssystem (ISMS).
"Rammen lægger vægt på løbende forbedringer, som stemmer godt overens med den dynamiske karakter af cybersikkerhedstrusler og teknologiske fremskridt. Det kan hjælpe datacenterejere med systematisk at administrere følsomme virksomhedsoplysninger og sikre datasikkerhed,” siger McQuiggan.
"Derudover kan organisationer med ISO 2700x-certificeringer demonstrere over for leverandører, kunder og regulatorer, at datacentret er seriøst med at håndtere informationssikkerhedsrisici effektivt."
Høringen om den nye lov løber frem til den 22. februar, hvor forskellige interessenter, herunder datacenteroperatører, cloud-udbydere og brancheeksperter, er inviteret til at indsende deres feedback på forslagene. Regeringen mener, at dette, det nye lovforslag om databeskyttelse og digital information og den Lov om produktsikkerhed og telekommunikationsinfrastruktur (PSTI) 2022 vil sammen bidrage til at booste cyberresiliensen i Storbritanniens digitale økonomi i en tid med eskalerende trusler og en voksende virksomhedsangrebsflade. Det vil tiden vise.
