Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Tanácsok a NIS2-kompatibilis adatvédelemhez

MEGOSZTÁS

Többmillió eurós bírsággal is járhat, ha egy szervezet nem tesz eleget a nemrég hatályba lépett NIS2 feltételeinek. A szabályozás összetett és számos területre kiterjed, az érintetteknek pedig már nincs sok idejük megtenni a szükséges lépéseket. A Kingston szakértői szerint jelentősen megkönnyíti az adatvédelemhez kapcsolódó előírások teljesítését, ha a vállalatok hardveres titkosítással minimalizálják az adataikat érintő kiberbiztonsági kockázatokat.

Tavaly lépett hatályba az új európai uniós kiberbiztonsági irányelv, a NIS2. Magyarországon a „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről” szabályozza, hogyan kell megfelelniük a hazai szervezeteknek a direktíva követelményeinek. Ha nem teljesítik az előírásokat, a bírság összege bizonyos vállalatok esetében elérheti a 10 millió eurót, vagy ha ez magasabb, akkor a szervezet éves árbevételének 2 százalékát.

Több ezer cégnek kellett már lépnie

A szabályozás több ezer hazai vállalatra vonatkozik a kiemelten kritikus és az egyéb kritikus ágazatokban.

Az előbbi kategóriába tartozik az energia, a szállítás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, az ivóvíz, a szennyvíz, a digitális infrastruktúra, az IKT-szolgáltatások irányítása (vállalkozások között), valamint az űripar. Az egyéb kritikus területek között szerepelnek a postai és futárszolgáltatások, a hulladékgazdálkodás, a vegyszerek gyártása, előállítása és forgalmazása, az élelmiszer-termelés, -feldolgozás és -forgalmazás, a gyártás, a digitális szolgáltatók és a kutatás.

A szervezetek nem kaptak hivatalos értesítést arról, hogy érinti-e őket a szabályozás. Maguknak kellett lefuttatniuk egy önellenőrzési folyamatot azzal kapcsolatban, hogy nekik is meg kell-e tenniük a szükséges lépéseket. Az első határidő már le is járt: a vállalatoknak június 30-ig kellett nyilvántartásba vetetniük magukat a Szabályozott Tevékenységek Felügyeleti Hatósága rendszerében. Ezzel együtt egy érintettségi kérdőívet is ki kellett tölteniük. Illetve ki kellett nevezniük egy szakembert, aki a cég elektronikus információs rendszerek biztonságáért felel.

A következő lépés egy jól működő, a kockázatokkal arányos információbiztonsági irányítási keretrendszer kialakítása. Ezt 2024. október 18-ig kell megtenniük, és egy független auditorral is szerződniük kell, akinek a következő év végéig bezárólag ellenőriznie kell minden feltétel teljesülését.

Hardveres titkosítással a szigorú előírások teljesítéséhez

A kiberfenyegetések óriási károkat okozhatnak, és a kritikus ágazatokban tevékenykedő cégeknek ezzel arányos módon kell gondoskodniuk az elektronikus információs rendszereik biztonságáról. Ez számos teendőt foglal magában, többek között az adatvédelem terén is szigorú követelményeket fogalmaz meg. A Kingston szakértői szerint a legújabb előírások teljesítéséhez elengedhetetlen, hogy a szervezetek hardveres titkosítást kínáló megoldásokat vegyenek igénybe – ugyanúgy, ahogyan a GDPR vagy az USA-ban alkalmazott HIPAA szabályozások esetében is.

A megfelelően kiválasztott titkosított külső USB-meghajtók és SSD-k előnye, hogy ellenállnak a kibertámadásoknak és az adatlopási kísérleteknek. Fejlett védelemmel rendelkeznek az olyan módszerek ellen, mint a brute force jelszótámadások, és nagyobb biztonságot garantálnak a szoftveres opciókhoz képest. Van olyan hardver is a piacon, amely számolja a jelszókísérleteket, és megadott számú, sikertelen próbálkozás után kriptográfiai törlést végez a meghajtón. Ezzel megakadályozva, hogy illetéktelenek hozzáférhessenek a bizalmas információkhoz.

 

NIS2
Az adatkezelési stratégia alapelemei között szerepelnie kell a megbízható biztonsági mentésnek

A szoftveres titkosítás ugyan olcsóbb és könnyebben hozzáférhető, hiszen nem szükséges hozzá speciális hardver megvásárlása. Ám ez a módszer sebezhető bizonyos algoritmusokat alkalmazó támadásokkal szemben. A hardveres titkosítást egy külön mikroprocesszor végzi, amely felügyeli a felhasználói hitelesítést és az adatok titkosítását. Ez nagyobb biztonságot nyújt, mivel a titkosítási folyamatok elkülönülnek a számítógép többi részétől, így nehezebb feltörni a jelszót.

A titkosított hardvereszközök egyúttal a biztonságos adatmentési és -helyreállítási eljárásokhoz is nagyszerű kiindulópontot biztosítanak az érzékeny operatív adatokhoz, amelyek szintén szerepelnek a NIS2 előírásai között.

A Kingston szakértői szerint az adatkezelési stratégia alapelemei között szerepelnie kell a megbízható biztonsági mentésnek is, amely a “3-2-1” szabályt követi. Eszerint három másolatot érdemes készíteni a fontos adatokról: két példányt két különböző eszközön érdemes tárolni (akár felhőben, akár egy külső eszközön), egy harmadikat pedig el kell különíteni egy széfben vagy egy külső helyszínen. Ez segít megvédeni az adatokat a kiberbiztonsági incidensektől, és egy támadás után pedig gyorsan helyre lehet azokat állítani.

Ezek az intézkedések fontos szerepet játszanak abban, hogy a vállalatok igazolhassák: megfelelnek a sok területre kiterjedő irányelvnek. Ha ezt elmulasztják, az bírságot von maga után, és a szervezet hírnevének is árthat. A hardveres titkosítást alkalmazó külső SSD-k és USB-k, illetve a fenti technikák plusz biztonsági réteget nyújtanak egy támadás esetén.

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!