„A kiberfenyegetések egyre merészebbek és összetettebbek. Elengedhetetlen volt, hogy az új realitásokhoz igazítsuk a biztonsági keretrendszerünket, és gondoskodjunk polgáraink és infrastruktúráink védelméről. A NIS2 megállapodással frissítjük az előírásokat, hogy kritikus szolgáltatásokat biztosíthassunk a társadalom és a gazdaság számára. Ez egy jelentős előrelépés.”
Thierry Breton, az Európai Bizottság belső piacért felelős biztosa
Az idei évben a NIS2 az egyik legfontosabb téma a hazai vállalatok életében. Az új Európai Uniós kiberbiztonsági irányelv tengernyi teendőt ró a cégek széles körére. A legtöbb szervezetnél még folyik a tájékozódás a feladatokról. Sokan küzdenek azzal, hogy átlássák, pontosan milyen fejlesztésekre van szükség, és ezek mennyi idő alatt hajthatók végre.
Érdemes azonban minél hamarabb belevágni, hogy ne legyen kapkodás a vége. Csak így lehet ugyanis felkészülni időben a megfelelő pénzügyi és szakmai erőforrásokkal arra az esetre, ha valahol szigorítani kell a gyakorlatokon vagy új megoldásokat és folyamatokat kell bevezetni.
Sok az érintett, nagy a tét
Az irányelv kötelezi a stratégiai szempontból kritikus fontosságú ágazatokban tevékenykedő közép- és nagyvállalatokat bizonyos kiberbiztonsági intézkedések végrehajtására.
A NIS2 a következő ágazatok szervezeteire terjed ki:
Nagy kritikusságú ágazatok: energia (villamos energia, távfűtés és távhűtés, olaj, gáz és hidrogén); közlekedés (légi, vasúti, vízi és közúti) bankügyletek; pénzügyi piaci infrastruktúrák; egészségügy, beleértve a gyógyszeripari termékek gyártását, beleértve az oltóanyagokat is; ivóvíz; szennyvíz; digitális infrastruktúra (internetcsere-pontok; DNS-szolgáltatók; TLD névjegyzékek; felhőalapú számítástechnikai szolgáltatók; adatközpont-szolgáltatók; tartalomszolgáltató hálózatok; megbízható szolgáltatók; nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók; IKT-szolgáltatások kezelése (menedzselt szolgáltatók és felügyelt biztonsági szolgáltatók), közigazgatás és űrkutatás.
Egyéb kritikus ágazatok: postai és futárszolgálat; hulladékgazdálkodás; vegyi anyagok; élelmiszerek; orvostechnikai eszközök, számítógépek és elektronika, gépek és berendezések, gépjárművek, pótkocsik és félpótkocsik és egyéb szállítóeszközök gyártása; digitális szolgáltatók (online piacterek, online keresőprogramok és közösségi hálózati szolgáltatási platformok) és kutatási szervezetek.
Ennek megfelelően a cégeknek technológiai és szervezeti ellenőrzéseket kell végezniük, és létre kell hozniuk biztonsági incidensekre reagáló csapatokat. Továbbá átfogó képzést kell biztosítaniuk az alkalmazottak számára, és olyan holisztikus kockázatkezelési stratégiát kell bevezetniük, amellyel kezelhetik mind a meglévő, mind a potenciális jövőbeli fenyegetéseket.
Az érintett szervezeteknek 2024. június 30-ig kötelező jelentkezniük a nyilvántartásba vételre, majd október 18-tól indul a felügyeleti és ellenőrzési tevékenység, valamint a felügyeleti díj megfizetése. A cégeknek az idei év végéig muszáj szerződést kötniük az auditorral, aki átvilágítja a kibertevékenységüket, és a jövő év végéig le kell folytatni az első kiberbiztonsági auditot. Mulasztás esetén a bírság elérheti a 10 millió eurót vagy a teljes forgalom 2 százalékát.
Lépésről lépésre
A Micro Focus szakértői szerint az ellenőrzést és korszerűsítést az adatvédelemnél érdemes kezdeni, majd a hozzáférések kezelését és a hitelesítési folyamatokat ajánlott rendbe tenni, és végül az alkalmazások biztonsági tesztelését és az incidensek kezelését ajánlott automatizálni.
- Adatvédelem: az olyan fejlett, mesterséges intelligenciára támaszkodó eszközök, mint például a Voltage Fusion segítenek átfogó képet alkotni arról, hol találhatók érzékeny információk a rendszerekben, és milyen rizikók érintik ezeket. Sőt, szükség esetén a megoldás automatizált folyamatokkal növeli is az adatok biztonságát.
- Hozzáférés: ezek után ajánlott szigorú biztonsági irányelveket bevezetni és betartatni annak érdekében, hogy a bizalmas és fontos adatokhoz csak azok férjenek hozzá, akiknek erre valóban szükségük van. Ebben hatékony segítséget nyújthatnak az olyan teljes körű személyazonosság-kezelési rendszerek, mint például az Identity Governance and Administration. Egy ilyen megoldás átfogó képet nyújt az infrastruktúrán belül érvényes hozzáférésekről, és lehetőséget kínál arra, hogy azokat az illetékes üzleti vezetők rendszeresen felülvizsgálják a megfelelő információk birtokában.
- Hitelesítés: ha megvannak a hozzáférések, arról is gondoskodni kell, hogy a megfelelő hitelesítés társuljon hozzá. Nagyobb biztonságot garantál, ha a szervezetek többlépcsős hitelesítést használnak. Ehhez érdemes olyan technológiákat alkalmazni, amelyeket szívesen vesznek igénybe a felhasználók, mert egyszerűen használhatók, illetve nem okoznak plusz nehézségeket. Ezt a megközelítést jól támogatja egy olyan fejlett keretrendszer, mint például az Advanced Authentication, amelyben egyetlen felületen kezelhető minden hitelesítési eszköz. Ennek köszönhetően a vállalatok könnyen és gyorsan bevezethetik a felhasználók számára legkényelmesebb hitelesítési megoldásokat, amelyek használatát csak akkor kéri a rendszer, amikor azok biztonsági okokból valóban indokoltak.
- Incidenskezelés: akkor teljes a védelmi stratégia, ha a cégek arra is felkészülnek, hogy minden intézkedés ellenére a kiberbűnözők betörnek a rendszereikbe. Ilyenkor segíthet egy olyan biztonsági információ- és eseménykezelő megoldás, mint például az ArcSight, amely közel valós időben elemzi a vállalati infrastruktúrában zajló tevékenységeket, majd gépi tanulásra és mesterséges intelligenciára támaszkodva azonosítja a szokatlan és gyanúra okot adó aktivitásokat, amelyeket a szakembereknek azonnal meg kell vizsgálniuk. Így a támadások még időben kezelhetők, mielőtt komolyabb kárt okoznának.
- Biztonsági tesztelés: csökkenti a támadási felületet és a kiberbiztonsági kockázatokat, ha a vállalatok figyelmet fordítanak az alkalmazásaikban előforduló sebezhetőségekre is. Ebben nyújt támogatást például a Fortify termékcsalád, amely képes átvizsgálni a cégek által használt alkalmazások forráskódját, azonosítja a bennük található sebezhetőségeket, és támogatja a fejlesztőket azok kijavításában.
- Edukáció: természetesen semmit nem érnek a kiberbiztonsági intézkedések, ha egy gyanútlan alkalmazott rákattint egy fertőzött linkre vagy csatolmányra. Érdemes tehát rendszeres oktatásokat tartani a munkavállalóknak, amelyeken keresztül megismerhetik az aktuális veszélyeket és támadási stratégiákat, és megtanulhatják, hogyan ismerjék fel, illetve kerüljék ki a kiberbűnözők kifinomult trükkjeit.
(Kiemelt kép: Micro Focus)
