साइबर हमलों के संदर्भ में क्रिटिकल इन्फ्रास्ट्रक्चर (KRITIS): क्या सभी सुरक्षात्मक उपाय नए IT सुरक्षा अधिनियम 2.0 के अनुरूप हैं? आईटी सुरक्षा अधिनियम 2.0 के परिणामस्वरूप महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों के लिए महत्वपूर्ण समायोजन हुआ है।
ऊर्जा, पानी, वित्त और स्वास्थ्य के साथ-साथ औद्योगिक कंपनियों के उत्पादकों और उपयोगिताओं को हमलावरों द्वारा तेजी से निशाना बनाया जा रहा है। परिणाम: लाखों का उत्पादन घाटा और मानव जीवन को खतरे में डालने सहित आपूर्ति की अड़चनें। हाल के उदाहरणों में संयुक्त राज्य अमेरिका में सबसे बड़ी पाइपलाइन, आयरिश स्वास्थ्य प्राधिकरण, और एक क्रोएशियाई सबस्टेशन पर एक घटना शामिल है जिसने यूरोप को बिजली ब्लैकआउट के कगार पर ला खड़ा किया।
KRITIS हमलों के लिए कार्रवाई की आवश्यकता है
जर्मन नगरपालिका प्रशासनों पर साइबर हमले, जैसे अनहाल्ट-बिटरफेल्ड, श्वेरिन और विटन में, जर्मन अधिकारियों की भेद्यता को भी उजागर किया, जहां आईटी सिस्टम के बड़े हिस्से विफल हो गए या आपात स्थिति में बंद करना पड़ा। खाद्य उत्पादन कितनी जल्दी ठप हो सकता है, यह तीसरी सबसे बड़ी ऑस्ट्रियाई डेयरी पर साइबर हमले से स्पष्ट हो गया था, जिसमें उत्पादन से लेकर रसद और संचार तक कंपनी के सभी क्षेत्र प्रभावित हुए थे।
इसके अलावा, फ्लोरिडा में ओल्डस्मार भूजल उपचार संयंत्र पर हमले ने महत्वपूर्ण बुनियादी ढांचे से समझौता किए जाने के संभावित जीवन-धमकाने वाले परिणामों का प्रदर्शन किया। हमलावरों ने जल उपचार संयंत्र को नियंत्रित करने वाले कंप्यूटर सिस्टम में सफलतापूर्वक प्रवेश किया और पानी की आपूर्ति के रासायनिक संतुलन को बदलने के लिए दूर से एक कंप्यूटर में हेरफेर किया, जिससे गंभीर मानव क्षति हो सकती थी।
साइबर युद्ध: जब बातचीत करने वाला साथी नदारद हो
हमलों की इस बढ़ती संख्या की पृष्ठभूमि के खिलाफ, महत्वपूर्ण बुनियादी ढांचे के संचालकों और विशेष आर्थिक महत्व वाली कंपनियों को न केवल ब्लैकमेल के प्रयासों से निपटना चाहिए, बल्कि साइबर युद्ध के विषय से भी निपटना चाहिए। क्योंकि यदि साइबर अपराधी केवल फिरौती की मांग करते हैं, तो संगठन कम से कम कार्रवाई के लिए उचित दिशानिर्देशों को पहले से लागू कर सकते हैं, उदाहरण के लिए, एक सफल रैंसमवेयर हमला होता है।
हालांकि, यदि कोई साइबर हमला विशुद्ध रूप से राजनीति से प्रेरित है और संगठन को केवल एक शत्रुतापूर्ण राष्ट्र राज्य द्वारा एक उदाहरण स्थापित करने के लिए एक यादृच्छिक शिकार के रूप में चुना गया था, तो कोई बातचीत करने वाला भागीदार नहीं है और नुकसान न केवल व्यावसायिक क्षमता पर व्यापक प्रभाव डाल सकता है, बल्कि समग्र रूप से समाज के लिए आयाम भी लेते हैं।
डिजिटल हमलों के साथ हाइब्रिड युद्ध
यह नया हाइब्रिड युद्ध यूक्रेन-रूस संघर्ष में स्पष्ट है, जिसमें सैन्य हमलों से पहले डिजिटल हमले हुए हैं और भविष्य में भी ऐसा करना जारी रह सकता है। 2015 की शुरुआत में, रूस ने एक बड़े साइबर हमले के साथ यूक्रेनी पावर ग्रिड के हिस्से को पंगु बना दिया, जिससे सर्दियों में एक लाख यूक्रेनियन बिजली के बिना रह गए। जनवरी 2022 में युद्ध शुरू होने से एक महीने पहले, Microsoft ने यूक्रेनी सरकारी एजेंसियों और संगठनों के दर्जनों महत्वपूर्ण सिस्टम में विनाशकारी वाइपर मैलवेयर पाया। यूक्रेनी सरकार के अनुसार, इस बात के स्पष्ट संकेत हैं कि इन हमलों के पीछे रूस का हाथ है। इसके अलावा, इस बात से इंकार नहीं किया जा सकता है कि ऐसी घटनाएं यूक्रेन की राष्ट्रीय सीमाओं से कहीं आगे तक बढ़ सकती हैं। जर्मन सुरक्षा अधिकारियों ने पहले से ही महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों को विशेष रूप से संभावित साइबर हमलों के खिलाफ खुद को तैयार करने के लिए कहा है।
इसलिए KRITIS क्षेत्र में आईटी और ओटी बुनियादी ढांचे दोनों के लिए एक सुसंगत, एकीकृत सुरक्षा अवधारणा को लागू करना मौलिक है, न केवल मौद्रिक रूप से प्रेरित हमलों के कारण, बल्कि राष्ट्रीय सुरक्षा के संबंध में भी उत्पाद शामिल हैं। , प्रक्रियाओं और सभी क्षेत्रों में योग्य सुरक्षा विशेषज्ञ।
महत्वपूर्ण बुनियादी ढांचे के लिए नया कानूनी ढांचा
विधायक ने नई डिजिटल चुनौतियों पर प्रतिक्रिया दी है। नतीजतन, महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों और विशेष सार्वजनिक हित की कंपनियों को न केवल साइबर खतरों की बढ़ती संख्या के कारण, बल्कि जर्मन और यूरोपीय स्तर पर कानूनी ढांचे के अद्यतन के कारण भी बड़ी चुनौतियों का सामना करना पड़ रहा है।
जर्मन बीएसआई अधिनियम के अनुसार, संगठन महत्वपूर्ण बुनियादी ढांचे के संचालक हैं यदि वे ऊर्जा, स्वास्थ्य, सूचना प्रौद्योगिकी और दूरसंचार, परिवहन और यातायात, जल, वित्त और बीमा और भोजन के सात क्षेत्रों में से एक से संबंधित हैं, महत्वपूर्ण सेवाएं प्रदान करते हैं और, में ऐसा करने से, BSI-KRITIS विनियमों का अनुपालन सीमा से अधिक हो जाता है।
2022 में KRITIS ऑपरेटरों के लिए अतिरिक्त कानूनी आवश्यकताएं
जर्मनी में, सूचना प्रौद्योगिकी प्रणालियों की सुरक्षा बढ़ाने के लिए दूसरा कानून - संक्षेप में: आईटी सुरक्षा अधिनियम 2021 - मई 2.0 में बीएसआई अधिनियम के पूरक के रूप में लागू हुआ। इसने नगरपालिका अपशिष्ट निपटान क्षेत्र को शामिल करने के लिए महत्वपूर्ण बुनियादी ढांचे के समूह का विस्तार किया। इसके अलावा, तथाकथित "विशेष सार्वजनिक हित" में अन्य कंपनियां, जैसे कि आयुध निर्माता या विशेष रूप से बड़े आर्थिक महत्व वाली कंपनियां, को भी भविष्य में कुछ आईटी सुरक्षा उपायों को लागू करना होगा।
IT सुरक्षा अधिनियम 2.0 के परिणामस्वरूप कंपनियों के लिए महत्वपूर्ण समायोजन हुआ है और कुछ मामलों में महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों के लिए भी:
क्रिटिकल इंफ्रास्ट्रक्चर ऑपरेटरों को 1 मई, 2023 तक अटैक डिटेक्शन सिस्टम को नवीनतम रूप से लागू करना चाहिए।
इसके अलावा, ऑपरेटरों को महत्वपूर्ण घटकों के नियोजित प्रारंभिक उपयोग के संघीय आंतरिक मंत्रालय को सूचित करना चाहिए, उदाहरण के लिए यदि निर्माता किसी तीसरे देश द्वारा नियंत्रित किया जाता है या जर्मन संघीय सरकार, यूरोपीय संघ या नाटो के सुरक्षा नीति लक्ष्यों का खंडन करता है।
विशेष जनहित में कंपनियां नियमित रूप से स्व-घोषणा प्रस्तुत करने के लिए बाध्य हैं। उन्हें यह बताना होगा कि पिछले दो वर्षों में आईटी सुरक्षा के क्षेत्र में कौन से प्रमाणपत्र किए गए हैं और उनके आईटी सिस्टम को कैसे सुरक्षित किया गया है।
इसके अलावा, यूरोपीय आयोग ने महत्वपूर्ण सुविधाओं और नेटवर्क के डिजिटल और भौतिक लचीलेपन में सुधार के लिए यूरोपीय एनआईएस डायरेक्टिव (एनआईएस -2) और "क्रिटिकल फैसिलिटीज रेजिलिएंस डायरेक्टिव" में सुधार का प्रस्ताव पेश किया है। इन प्रस्तावों का उद्देश्य वर्तमान और भविष्य के जोखिमों को कम करना है। इन यूरोपीय दिशानिर्देशों के कार्यान्वयन के परिणामस्वरूप आईटी सुरक्षा अधिनियम 2.0 का एक नया संशोधन हो सकता है।
महत्वपूर्ण बुनियादी ढांचे का एकीकृत संरक्षण कैसा दिखता है?
ऊर्जा, जल और स्वास्थ्य क्षेत्रों में उत्पादकों और आपूर्तिकर्ताओं के साथ-साथ औद्योगिक कंपनियां जिन्हें अपने आईटी की सुरक्षा और साइबर हमलों से प्रौद्योगिकी को नियंत्रित करने की आवश्यकता है, उन्हें एकीकृत समाधानों की आवश्यकता है जो आईटी सुरक्षा अधिनियम 2.0/बीएसआई अधिनियम और आईएसओ 27000 के अनुरूप हों। सूचना सुरक्षा की स्थिति के लिए मानक। प्रौद्योगिकी पक्ष पर, निम्नलिखित दक्षताओं को हमलों के खिलाफ एक मजबूत सुरक्षा नेटवर्क बनाने के लिए जोड़ा जाना चाहिए:
महत्वपूर्ण बुनियादी ढांचे की सुरक्षा के लिए सुरक्षा मॉड्यूल
- लॉग डेटा विश्लेषण (एलडीए): लॉग डेटा विश्लेषण, जिसे सुरक्षा सूचना और इवेंट मैनेजमेंट (एसआईईएम) के रूप में भी जाना जाता है, विभिन्न प्रकार के स्रोतों से लॉग का संग्रह, विश्लेषण और सहसंबंध है। इसका परिणाम सुरक्षा समस्याओं या संभावित जोखिमों के लिए अलर्ट में होता है।
- भेद्यता प्रबंधन और अनुपालन (वीएमसी): भेद्यता प्रबंधन पूर्ण कवरेज के लिए व्यापक पहचान, अनुपालन जांच और परीक्षण के साथ निरंतर आंतरिक और बाहरी भेद्यता स्कैनिंग को सक्षम बनाता है। सॉफ़्टवेयर अनुपालन के भाग के रूप में, प्रत्येक सर्वर या सर्वर समूह के लिए सॉफ़्टवेयर का अधिकृत उपयोग नियमों के एक सेट और निरंतर विश्लेषण का उपयोग करके निर्धारित किया जाता है। हेरफेर किए गए सॉफ़्टवेयर को जल्दी से पहचाना जा सकता है।
- नेटवर्क कंडीशन मॉनिटरिंग (ओटी मॉड्यूल): इसका उपयोग वास्तविक समय में संचार की रिपोर्ट करने के लिए किया जाता है जो त्रुटि-मुक्त संचालन में व्यवधान का संकेत देता है। तकनीकी अधिभार की स्थिति, भौतिक क्षति, गलत कॉन्फ़िगरेशन और नेटवर्क प्रदर्शन में गिरावट इस प्रकार तुरंत पहचानी जाती है और त्रुटि के स्रोत सीधे पहचाने जाते हैं।
- नेटवर्क व्यवहार विश्लेषिकी (एनबीए): नेटवर्क व्यवहार विश्लेषण के साथ, हस्ताक्षर और व्यवहार-आधारित पहचान इंजनों के आधार पर नेटवर्क ट्रैफ़िक में खतरनाक मैलवेयर, विसंगतियों और अन्य जोखिमों का पता लगाना संभव है।
- समापन बिंदु का पता लगाने और प्रतिक्रिया: एंडपॉइंट डिटेक्शन एंड रिस्पांस कंप्यूटर कंप्यूटर (मेजबान) पर विश्लेषण, निगरानी और विसंगतियों का पता लगाने के लिए खड़ा है। ईडीआर के साथ, सक्रिय सुरक्षा क्रियाएं और तत्काल चेतावनी प्रदान की जाती हैं।
जटिलता के कारण, सुरक्षा विशेषज्ञों द्वारा इन मॉड्यूल से सुरक्षा-प्रासंगिक जानकारी की आगे की प्रक्रिया की जाती है। आप स्वचालित रूप से प्राप्त ज्ञान का मूल्यांकन और प्राथमिकता देते हैं। यह सही प्रति उपाय शुरू करने का आधार है। अंत में, सुरक्षा विशेषज्ञ सभी सूचनाओं को एक केंद्रीय पोर्टल में स्पष्ट रूप से उपलब्ध कराते हैं, जिसमें आईटी और ओटी संचालन टीमों सहित संबंधित हितधारकों तक पहुंच होती है, लेकिन प्रबंधन के पास भी पहुंच होती है या जिससे वे नियमित रूप से अनुकूलित रिपोर्ट प्राप्त करते हैं जिसे वे समझ सकते हैं।
यूरोपीय सुरक्षा प्रौद्योगिकियां
हालांकि यूरोपीय सुरक्षा प्रौद्योगिकियों का उपयोग बीएसआई कानून में नहीं है, लेकिन केआरआईटीआईएस ऑपरेटरों और कंपनियों के लिए विशेष जनहित में सिफारिश की जाती है ताकि आसानी से निम्नलिखित कानूनी आवश्यकताओं को पूरा किया जा सके:
सामान्य डेटा संरक्षण विनियमन के साथ-साथ आईटी सिस्टम की अखंडता, प्रामाणिकता और गोपनीयता का अनुपालन
KRITIS ऑपरेटर्स, अन्य सभी क्षेत्रों की कंपनियों की तरह, EU जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) की आवश्यकताओं के अधीन हैं और उन्हें हर समय उनका पालन करना चाहिए और तदनुसार उन्हें सुरक्षित करना चाहिए।
इसके अलावा, बीएसआई अधिनियम (§ 8ए पैरा 1 बीएसआईजी) के लिए महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों को बीएसआई को उनकी सूचना प्रौद्योगिकी प्रणालियों, घटकों या प्रक्रियाओं की उपलब्धता, अखंडता, प्रामाणिकता और गोपनीयता में व्यवधान से बचने के लिए उनकी सावधानियों के उपयुक्त प्रमाण प्रदान करने की आवश्यकता है। उनके द्वारा संचालित महत्वपूर्ण बुनियादी ढांचे की कार्यक्षमता के लिए आवश्यक प्रासंगिक हैं।
रडार साइबर सुरक्षा के सीईओ और महाप्रबंधक अली कार्ल गुलरमैन (छवि: रडार साइबर सुरक्षा)।
यूरोपीय सुरक्षा प्रदाताओं के साथ, जिनकी सेवाएं यूरोप में विकसित मालिकाना तकनीक पर आधारित हैं, उपरोक्त आवश्यकताओं का अनुपालन लागू करना आसान है, क्योंकि वे उच्चतम डेटा सुरक्षा मानकों के अधीन हैं। साइबर सुरक्षा प्रदाता की उत्पत्ति के अलावा, KRITIS कंपनियों को सुरक्षा सॉफ़्टवेयर स्थापित करने और सुरक्षा डेटा संग्रह करने के तरीके पर भी ध्यान देना चाहिए। सर्वोत्तम संभव डेटा सुरक्षा सुनिश्चित करने के लिए, हम परिनियोजन के सबसे सुरक्षित रूप के रूप में ऑन-प्रिमाइसेस समाधान स्थापित करने की अनुशंसा करते हैं। भले ही रुझान तेजी से क्लाउड की ओर बढ़ रहा हो, लेकिन KRITIS के क्षेत्र में उच्च डेटा संवेदनशीलता को देखते हुए इसे गंभीरता से लिया जाना चाहिए।
महत्वपूर्ण घटक: प्रयुक्त निर्माताओं के लिए विनिर्देश
यूरोपीय सुरक्षा प्रौद्योगिकी का उपयोग भी BSI द्वारा § 9b BSIG के अनुसार महत्वपूर्ण घटकों के परीक्षण की सुविधा प्रदान करता है। उदाहरण के लिए, बीएसआई एक महत्वपूर्ण घटक के प्रारंभिक उपयोग पर रोक लगा सकता है यदि
- निर्माता किसी तीसरे देश की अन्य सरकारी एजेंसियों या सशस्त्र बलों सहित सरकार द्वारा प्रत्यक्ष या अप्रत्यक्ष रूप से नियंत्रित होता है,
- निर्माता जर्मनी के संघीय गणराज्य या यूरोपीय संघ के किसी अन्य सदस्य राज्य, यूरोपीय मुक्त व्यापार संघ या उत्तरी अटलांटिक संधि या उनके संस्थानों में सार्वजनिक व्यवस्था या सुरक्षा पर प्रतिकूल प्रभाव डालने वाली गतिविधियों में शामिल था या पहले से ही शामिल है,
- महत्वपूर्ण घटक का उपयोग जर्मनी के संघीय गणराज्य, यूरोपीय संघ या उत्तरी अटलांटिक संधि के सुरक्षा नीति लक्ष्यों के अनुरूप नहीं है।
KRITIS संगठनों के लिए मजबूत साइबर लचीलापन मौलिक
साइबर अपराधियों के लिए महत्वपूर्ण बुनियादी ढांचे पर हमले आकर्षक हैं। साथ ही, वे समुदाय को नुकसान पहुंचाने की विशेष रूप से उच्च क्षमता रखते हैं: उदा।
इसलिए KRITIS संगठनों के लिए यह आवश्यक है कि वे अपने रक्षा उपायों के लिए सुरक्षा प्रदाताओं का चयन करें जो पूरी तरह से BSI और ISO 27000 मानकों की आवश्यकताओं को पूरा करते हैं और साथ ही उच्चतम यूरोपीय डेटा सुरक्षा मानकों का पालन करते हैं। आधार न केवल जुर्माने से बचने के लिए होना चाहिए, बल्कि विशेष रूप से आईटी और ओटी सिस्टम की प्रभावी और स्थायी सुरक्षा सुनिश्चित करने के लिए होना चाहिए। हालांकि, हमलों के खिलाफ मजबूत साइबर लचीलापन केवल सुरक्षा तकनीकों पर आधारित नहीं होता है, लेकिन इसमें हमेशा सही प्रक्रियाएं और योग्य विशेषज्ञ शामिल होते हैं। उत्पाद, प्रक्रियाओं और विशेषज्ञों के इस तिकड़ी के माध्यम से ही किसी संगठन के संपूर्ण बुनियादी ढांचे के बारे में 360 डिग्री का दृश्य संभव है ताकि समग्र रूप से शुरुआती पहचान और साइबर खतरों की त्वरित प्रतिक्रिया सुनिश्चित की जा सके।
RadarCS.com पर अधिक
रडार साइबर सुरक्षा के बारे में रडार साइबर सुरक्षा मालिकाना साइबर डिटेक्शन प्लेटफ़ॉर्म तकनीक के आधार पर वियना के केंद्र में यूरोप के सबसे बड़े साइबर रक्षा केंद्रों में से एक का संचालन करती है। मानव विशेषज्ञता और अनुभव के मजबूत संयोजन से प्रेरित, दस वर्षों के अनुसंधान और विकास कार्य से नवीनतम तकनीकी विकास के साथ, कंपनी अपने उत्पादों राडार सेवाओं और राडार समाधानों में आईटी और ओटी सुरक्षा से संबंधित चुनौतियों के लिए व्यापक समाधानों को जोड़ती है।