Директива NIS2.
Директивата NIS2, нов законодателен акт в целия ЕС, насочен към подобряване на киберсигурността в региона, влезе в сила на 16 януари 2023 г. Тя въвежда нови строги надзорни мерки, задължава повече субекти и сектори да участват, засилва изискванията за докладване на инциденти и като цяло подчертава по-добри практики от Директивата за МИС, която я предшества. Сега държавите членки разполагат с срок до 17 октомври 2024 г., за да транспонират мерките му в националното законодателство – което в крайна сметка ще засегне голям брой предприятия, работещи или извършващи дейности в рамките на ЕС. Мнозина остават да се чудят как това се отразява на техните интереси – тук ще обсъдим важните концепции от директивата и възможните последици.
Като важна бележка, преди да се потопите, ЕС не е сам. Например, като продължение на федералната стратегия за архитектура с нулево доверие и изпълнителна заповед обявени от правителството на САЩ през 2022 г., по-рано този месец те обявиха Национална стратегия за киберсигурност, която има за цел да прехвърли отговорността за тежестта на киберсигурността от физически лица към „организации,”които са най-способни и в най-добра позиция да намалят рисковете за всички нас”.
Подобно на своя предшественик, NIS2 не уточнява изрично никакви технологични промени, които трябва да бъдат въведени, а по-скоро очертава концепции и идеи на високо ниво, насочени към подобряване на положението на сигурността. Целта е да се насърчат засилени мерки за киберсигурност вътрешно, но също и при сътрудничество между предприятия и трансгранично сътрудничество в рамките на ЕС.
Важни точки от NIS2.
- Значително разширяване на броя на обхванатите сектори, включително телекомуникации, производство, управление на отпадъци, социални медийни платформи и публична администрация (по-изчерпателен списък може да бъде намерен в информационния лист на NIS2)
- Създаване на обща структура за управление на кибер кризи (наричана Мрежа на организацията за връзка при кибер кризи или CyCLONe) за подобряване на съвместната осведоменост за ситуацията, насърчаване на сътрудничеството и намаляване на разходите за координация
- Държавите членки трябва да гарантират, че операторите на основни услуги и доставчиците на цифрови услуги прилагат подходящи мерки за управление на риска, включително редовни оценки на риска, и наблюдават своите мрежи и информационни системи за инциденти, свързани със сигурността
- Повишаване на нивото на хармонизация по отношение на задълженията за докладване. Например, засегнатите предприятия имат 24 часа от момента, в който за първи път са разбрали за инцидент, за да подадат първоначален доклад, последван от окончателен доклад не по-късно от един месец
- AНасърчаване на държавите-членки да проучат и укрепят цялостната си „киберустойчивост“, като по-специално се обръща внимание на веригата за доставки, управлението на уязвимостите, използването на криптография и по-добрата киберхигиена
- Неспазването на елементи от Директивата NIS2 (веднъж наложена на местно ниво от държавите-членки) може да означава глоби до 10 милиона евро или 2% от общия оборот на предприятието в световен мащаб
Сега, тъй като обстоятелствата и техническата готовност на всяка държава членка или предприятие ще варират значително, невъзможно е да се очертае подход „универсален за всички“ за изпълнение на директивата. Следователно отговорността за откриване, прилагане и налагане на необходимите промени ще изисква обединени усилия не само в рамките на всяко отделно предприятие, но в крайна сметка включва както местните, така и федералните правителства – и потенциално надзор от Агенцията на Европейския съюз за киберсигурност (ENISA).
Но дори ако обхватът на промяната, за да се изпълнят задълженията на NIS2, е технологично неясен, не трябва да се отрича, че две основни практики ще подкрепят всяка идея за повишена кибер устойчивост.
Какви мерки могат да бъдат предприети, за да се изпълнят изискванията на NIS2?
Първата и най-важна стъпка е да се приложи многофакторно удостоверяване (MFA), за да се защитят всички акаунти, вместо пароли. Като се има предвид сложността на съвременните кибератаки и наличния кибер арсенал на върха на пръстите на нападателя, разчитането на паролите като надеждна форма на защита трябва да приключи.
Освен това, не всички видове многократна аутентикация (MFA) са създадени еднакви. Въпреки че използването на SMS с еднократна парола (OTP) или приложение за автентикация определено е по-добре от традиционната парола, те не са устойчиви на фишинг и не могат да се считат дори за силни форми на MFA.
Втората основна практика, необходима за постигане на по-стабилна позиция за киберсигурност, е защитата на критични данни и използването на криптиране, когато е възможно. Чрез криптиране на бази данни, комуникации, документи, сървъри и критична инфраструктура, дори ако нападателят успее да проникне в система или мрежа, е много по-малко вероятно те да могат да получат нещо лесно експлоатируемо или дори ценно, без частния ключ за дешифриране данните, които успяват да измъкнат.
Как тези мерки могат да бъдат интегрирани както в новата, така и в съществуващата инфраструктура?
Yubico предоставя редица възможности за предприятия, които искат да подобрят своята кибер-устойчивост. YubiKey, ардуерен токен за сигурност, който поддържа и PIV и FIDO2, може да допълни или дори да замени процеса на аутентикация, базиран на пароли, със силен и устойчив на фишинг начин. Също така има множество опции и форм фактори на YubiKey, които отговарят на пълния спектър от предприятия, от много големи до много малки. Това включва YubiKey 5C NFC, който предлага поддръжка за FIDO2 и PIV, както и възможности за USB-C и NFC, за съвместимост с разнообразни устройства.
За нуждите на предприятието от шифроване, YubiHSM е полезен инструмент за съхранение и генериране на частни ключове и друг материал за криптография по сигурен начин. Той идва на част от цената на традиционен HSM, е опакован в компактен форм-фактор с размер на нокът, и поддържа обичайни интерфейси като PKCS11 и Microsoft CNG.
Въпреки че Директивата NIS2 може да изглежда внушителна и трудна за прилагане, истината е, че основите на сигурността са ясни и всяка инвестиция в кибер устойчивост е изключително полезна за предотвратяване на потенциално бъдещо бедствие. Yubico може да помогне на всяко предприятие, желаещо да приеме предизвикателствата на киберсигурността, далеч отвъд необходимостта да задоволи NIS2.
Източник: Dave Pham / Yubico.com