Maak gereed vir 'n nuwe Britse datasentrumsekuriteitsregulasie

Die VK se ekonomie is toenemend digitaal-gesentreerd. Volgens die regering, data het in 7 byna 2022% tot die BBP bygedra, en driekwart van alle diensuitvoere uit die land was op data aangewese. Dit verteenwoordig 'n fantastiese geleentheid vir groei, maar stel ook organisasies en die kliënte wat op hulle staatmaak bloot aan nuwe risiko's. Daarom het die regering nuwe voorstelle gepubliseer om die derdeparty-datasentrums te reguleer wat 'n groot deel van die digitale ekonomie aandryf.

In hul huidige vorm sal die reëls 'n nuwe statutêre raamwerk en regulatoriese funksie instel, wat minimum basislynsekuriteitsvereistes vir datasentrumeienaars vereis. Kenners meen beste praktyk-sekuriteitsraamwerke soos ISO 27001 kan 'n nuttige manier wees vir sulke organisasies om nakoming te verseker.

Waarom het ons meer veilige datasentrums nodig?

Datasentrums sit in die hart van die digitale ekonomie, wat organisasies van alle groottes wat oor alle sektore werk, in staat stel om naatlose aanlyndienste te lewer en meer doeltreffend te werk. Die regering skat dat 28% van alle Britse ondernemings dienste gebruik wat in datasentrums aangebied word, wat tot 62% van groot maatskappye styg. Tog is beide uiterste weersomstandighede en kuberbedreigings soos data-oortredings en losprysware 'n groeiende uitdaging. ’n Parlementêre komitee onlangs gewaarsku dat die VK 'n "hoë risiko" het om 'n "katastrofiese" losprysaanval te ervaar.

Wat ook al die oorsaak van 'n voorval is, ernstige onderbrekings kan 'n aansienlike finansiële en reputasie tol eis op datasentrumeienaars en die besighede en eindkliënte wat op hierdie fasiliteite staatmaak. Volgens die Uptime Institute se syfers vir 2022 het 80% van datasentrumbestuurders en -operateurs die een of ander soort onderbreking in die vorige drie jaar ervaar. Meer as 60% van mislukkings in 2022 het gelei tot totale verliese van minstens $100,000 39, vergeleke met 2019% in 1. Die aandeel wat $11 miljoen+ kos, het oor dieselfde tydperk van 15% tot XNUMX% gestyg.

Alhoewel wolkdiensverskaffer (CSP) en bestuurde diensverskaffer (MSP) fasiliteite reeds deur die VK se netwerk- en inligtingstelselsregulasies (NIS) 2018 gereguleer word, is dieselfde nie waar vir ander derdeparty-datasentrums nie. Dit maak die Verenigde Koninkryk 'n uitskieter onder groot ekonomieë. En dit is hoekom die regering 'n nuwe openbare konsultasiedokument uitgereik het: Beskerming en verbetering van die sekuriteit en veerkragtigheid van Britse data-infrastruktuur.

Wat behels die voorstelle?

Die voorgestelde reëls sal spesifiek samestelling en mede-gasheer van datasentrumdiensverskaffers dek. Daar sal van fasiliteiteienaars verwag word om by 'n aangewese reguleerder te registreer en "relevante inligting" oor hul Britse bedrywighede te verskaf. Hierdie reguleerder sal die mag hê om die nuwe raamwerk te bestuur en af ​​te dwing, met inagneming van groei en innovasie wanneer enige besluite geneem word.

Datasentrumeienaars sal ook aan 'n reeks sekuriteits- en veerkragtigheidsmaatreëls moet voldoen, wat verband hou met:
⦁ Risikobestuur
⦁ Fisiese en kuberveiligheid van fasiliteite, netwerke en stelsels
⦁ Insidentbestuur – met beduidende voorvalle wat aan die reguleerder gerapporteer moet word en moontlik aan kliënte/geaffekteerde partye bekend gemaak moet word
⦁ Veerkragtigheid en dienskontinuïteit
⦁ Monitering, opsporing, ouditering en toetsing
⦁ Bestuur en personeel
⦁ Voorsieningskettingbestuur

“Data is 'n toenemend belangrike dryfveer van ons ekonomiese groei en speel 'n deurslaggewende rol in ons openbare dienste. Om dus te verseker dat maatskappye wat dit stoor die regte beskerming in plek het om risiko's van bedreigings soos kuberaanvalle en uiterste weer te beperk, sal ons help om die voordele te pluk en besighede gemoedsrus te gee,” het John Whittingdale, minister van data en digitale infrastruktuur, aangevoer. n verklaring.

“Die regering is ernstig daaroor om data veilig te hou, en daarom doen ons 'n beroep op hierdie besighede om aktief hul insigte en kundigheid te deel, terwyl ons ook seker maak dat ons die regte regulasies in plek het. Deur sekuriteit 'n topprioriteit te maak in hoe ons data hanteer, pak ons ​​nie net nuwe uitdagings aan nie, maar maak die VK ook 'n wêreldleier in die bevordering van veilige en verantwoordelike tegnologie.”

Standaarde en raamwerke kan help

Soos met enige nuwe regulatoriese voorstel, is daar egter potensiële uitdagings, volgens James McQuiggan, veiligheidsbewustheid-advokaat by KnowBe4.
"Eerstens is die een-grootte-pas-almal-benadering dalk net geskik vir sommige datasentrumoperateurs, veral kleineres wat dalk sukkel met die koste en kompleksiteit van voldoening," sê hy aan ISMS.online.

“Tweedens is daar 'n risiko van oorregulering, wat innovasie kan smoor of lei tot 'n nakoming-gefokusde eerder as 'n sekuriteit-gefokusde ingesteldheid. Laastens is daar die uitdaging om tred te hou met vinnig ontwikkelende kuberbedreigings, waar regulasies vinnig verouderd kan raak.”

Datasentrum-operateurs sal die nuutste datasekuriteit- en veerkragtigheidstegnologie moet ontplooi terwyl versoenbaarheid en minimale stilstand verseker word, alles terwyl tegniese skuld tot die minimum beperk word, voeg McQuiggan by.

“Om aan ’n steeds groeiende lys regulasies en industriestandaarde te voldoen, kan tyd en moeite verg, veral vir kleiner operateurs. Die balansering van nakoming met bedryfsdoeltreffendheid is ’n wesenlike uitdaging,” voer hy aan.

Beste praktykstandaarde kan egter help. Die regering se konsultasiedokument wys daarop dat "standaarde, assesseringsraamwerke en ander instrumente gebruik kan word om sekuriteit en veerkragtigheid te verbeter en te verseker." Dit maak die deur oop vir die gebruik van internasionale standaarde soos ISO 27001, wat 'n raamwerk verskaf vir die vestiging, implementering en bestuur van 'n inligtingsekuriteitbestuurstelsel (ISMS).

“Die raamwerk beklemtoon voortdurende verbetering, wat goed strook met die dinamiese aard van kuberveiligheidsbedreigings en tegnologiese vooruitgang. Dit kan datasentrumeienaars help om sensitiewe maatskappyinligting sistematies te bestuur en datasekuriteit te verseker,” sê McQuiggan.

“Boonop kan organisasies wat die ISO 2700x-sertifisering besit, aan verkopers, kliënte en reguleerders demonstreer dat die datasentrum ernstig is om inligtingsekuriteitsrisiko’s doeltreffend te bestuur.”

Die konsultasie oor die nuwe wet sal tot 22 Februarie duur, met verskeie belanghebbendes, insluitend datasentrumoperateurs, wolkverskaffers en bedryfskenners wat genooi is om hul terugvoer oor die voorstelle in te dien. Die regering glo dat hierdie, die nuwe wetsontwerp op die beskerming van data en digitale inligting en die Wet op Produksekuriteit en Telekommunikasie-infrastruktuur (PSTI) 2022 sal saam help om die kuberveerkragtigheid van die VK se digitale ekonomie 'n hupstoot te gee, in 'n tyd van toenemende bedreigings en 'n groeiende korporatiewe aanvaloppervlak. Die tyd sal leer.