A Micro Focus szakértői rendesek! Összegyűjtötték a legfontosabb tudnivalókat az új uniós kibervédelmi irányelv, a NIS2 fókuszterületeiről és a javasolt módszerekről.
Az új uniós kibervédelmi irányelv, a NIS2 számos szervezet számára támaszt új követelményeket több különféle területen. Nehéz eligazodni, kinek milyen teendői vannak, mely rendszereket és folyamatokat kell átvizsgálni, és milyen fejlesztéseket muszáj véghezvinni a megfeleléshez. A szakértők szerint az ellenőrzést és korszerűsítést az adatvédelemnél érdemes kezdeni, majd a hozzáférések kezelését és a hitelesítési folyamatokat ajánlott rendbe tenni, és végül az alkalmazások biztonsági tesztelését és az incidensek kezelését ajánlott automatizálni.
Az új EU-s kiberbiztonsági irányelv, a NIS2 rengeteg teendőt ró a cégekre. A legtöbb szervezetnél még folyik a tájékozódás a feladatokról. Sokan küzdenek azzal, hogy átlássák, pontosan milyen fejlesztésekre van szükség, és ezek mennyi idő alatt hajthatók végre. Érdemes azonban minél hamarabb belevágni, hogy ne legyen kapkodás a vége. Csak így lehet ugyanis felkészülni időben a megfelelő pénzügyi és szakmai erőforrásokkal arra az esetre, ha valahol szigorítani kell a gyakorlatokon vagy új megoldásokat és folyamatokat kell bevezetni.
Sok az érintett, nagy a tét
Az irányelv kötelezi a stratégiai szempontból kritikus fontosságú ágazatokban tevékenykedő közép- és nagyvállalatokat kiberbiztonságuk megerősítésére. Ennek megfelelően a cégeknek technológiai és szervezeti ellenőrzéseket kell végezniük, és létre kell hozniuk biztonsági incidensekre reagáló csapatokat. Továbbá átfogó képzést kell biztosítaniuk az alkalmazottak számára, és olyan holisztikus kockázatkezelési stratégiát kell bevezetniük, amellyel kezelhetik mind a meglévő, mind a potenciális jövőbeli fenyegetéseket.
Az érintett szervezeteknek 2024. június 30-ig kötelező jelentkezniük a nyilvántartásba vételre, majd október 18-tól indul a felügyeleti és ellenőrzési tevékenység, valamint a felügyeleti díj megfizetése. A cégeknek az év végéig szerződést kell kötniük az auditorral, amely átvilágítja a kibertevékenységüket, és a jövő év végéig le kell folytatni az első kiberbiztonsági auditot. Mulasztás esetén a bírság elérheti a tízmillió eurót vagy a teljes forgalom két százalékát.
Lépésről lépésre
A szakértők szerint a vállalati adatok átvizsgálásával és a kapcsolódó kockázatok kezelésével érdemes kezdeni a feladatokat. Vannak fejlett, mesterséges intelligenciára támaszkodó eszközök, amelyek segítenek átfogó képet alkotni arról, hol találhatók érzékeny információk a rendszerekben, és mekkora az esetleges kompromittálódás rizikója. Az intelligensebb megoldások szükség esetén automatizált folyamatokkal növelni is képes az adatok biztonságát.
Ezek után ajánlott szigorú biztonsági irányelveket bevezetni és betartatni annak érdekében, hogy a bizalmas és fontos adatokhoz csak azok férjenek hozzá, akiknek erre valóban szükségük van. Ebben hatékony segítséget nyújthatnak az olyan teljes körű személyazonosság-kezelési rendszerek, amelyek átfogó képet nyújtanak az infrastruktúrán belül érvényes hozzáférésekről, és lehetőséget kínálnak arra, hogy azokat az illetékes üzleti vezetők rendszeresen felülvizsgálják a megfelelő információk birtokában. Az eszköz emellett olyan pontos és gyorsan áttekinthető jelentések készítésére is alkalmas, amelyek segítségével a szakemberek igazolhatják a megfelelőséget.
Ha megvannak a hozzáférések,
arról is gondoskodni kell, hogy a megfelelő hitelesítés társuljon ehhez. Nagyobb biztonságot garantál, ha a szervezetek többlépcsős hitelesítést használnak. Ehhez érdemes olyan technológiákat alkalmazni, amelyeket szívesen vesznek igénybe a felhasználók, mert egyszerűen használhatók, illetve nem okoznak plusz nehézségeket. Erre a problémára nyújtanak megoldást azok a rendszerek, amelyekben egyetlen felületen kezelhető minden hitelesítési eszköz. Ennek köszönhetően a vállalatok könnyen és gyorsan bevezethetik a felhasználók számára legkényelmesebb hitelesítési megoldásokat, amelyek használatát csak akkor kéri a rendszer, amikor azok biztonsági okokból valóban indokoltak.
Akkor teljes a védelmi stratégia, ha a cégek arra is felkészülnek, hogy minden intézkedés ellenére a kiberbűnözők betörnek a rendszereikbe. Ilyen esetben jönnek jól az olyan biztonsági információ- és eseménykezelő megoldások, amelyek közel valós időben elemzik a vállalati infrastruktúrában zajló tevékenységeket, majd gépi tanulásra és mesterséges intelligenciára támaszkodva azonosítják a szokatlan és gyanúra okot adó aktivitásokat, amelyeket a szakembereknek azonnal meg kell vizsgálniuk. Így a támadások gyorsan kezelhetők, mielőtt komolyabb kárt okoznának.
Csökkenti a támadási felületet
és a kiberbiztonsági kockázatokat, ha a vállalatok figyelmet fordítanak az alkalmazásaikban előforduló sebezhetőségekre is. Erre is léteznek jól bevált megoldások, amelyek képesek átvizsgálni a cégek által használt alkalmazások forráskódját, azonosítja a bennük található sebezhetőségeket, és támogatja a fejlesztőket azok kijavításában.
Rossz hír, hogy ezek az intézkedések, szoftverek, a sok befektetett munka és pénz alig ér valamit, ha egy gyanútlan alkalmazott rákattint egy fertőzött linkre vagy csatolmányra. Érdemes tehát rendszeres oktatásokat tartani a munkavállalóknak, amelyeken keresztül megismerhetik az aktuális veszélyeket és támadási stratégiákat, és megtanulhatják, hogyan ismerjék fel, illetve kerüljék ki a kiberbűnözők kifinomult trükkjeit.
 „A kiberfenyegetések egyre merészebbek és összetettebbek. Elengedhetetlen volt, hogy az új realitásokhoz igazítsuk a biztonsági keretrendszerünket, és gondoskodjunk polgáraink és infrastruktúráink védelméről. A NIS2 megállapodással frissítjük az előírásokat, hogy kritikus szolgáltatásokat biztosíthassunk a társadalom és a gazdaság számára. Ez egy jelentős előrelépés.”
Thierry Breton, az Európai Bizottság belső piacért felelős biztosa |
A NIS2 az alábbi ágazatok szervezeteire terjed ki
Nagy kritikusságú ágazatok: energia (villamos energia, távfűtés és távhűtés, olaj, gáz és hidrogén); közlekedés (légi, vasúti, vízi és közúti) bankügyletek; pénzügyi piaci infrastruktúrák; egészségügy, beleértve a gyógyszeripari termékek gyártását, beleértve az oltóanyagokat is; ivóvíz; szennyvíz; digitális infrastruktúra (internetcsere-pontok; DNS-szolgáltatók; TLD névjegyzékek; felhőalapú számítástechnikai szolgáltatók; adatközpont-szolgáltatók; tartalomszolgáltató hálózatok; megbízható szolgáltatók; nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók; IKT-szolgáltatások kezelése (menedzselt szolgáltatók és felügyelt biztonsági szolgáltatók), közigazgatás és űrkutatás. Egyéb kritikus ágazatok: postai és futárszolgálat; hulladékgazdálkodás; vegyi anyagok; élelmiszerek; orvostechnikai eszközök, számítógépek és elektronika, gépek és berendezések, gépjárművek, pótkocsik és félpótkocsik és egyéb szállítóeszközök gyártása; digitális szolgáltatók (online piacterek, online keresőprogramok és közösségi hálózati szolgáltatási platformok) és kutatási szervezetek.
![[Valid RSS]](https://www.minuszos.hu/wp-content/uploads/logos/valid-rss.png "Validate my RSS feed")
