Lei de segurança de TI 2.0: proteção de infraestruturas críticas

15. agosto 2022
| Sem comentários

Compartilhar postagem

Em 1º de maio de 2023, a emenda à Lei de Segurança de TI 2.0 entrará em vigor. Terminado o período de transição, o BSI está exigindo novos requisitos dos operadores de infraestrutura crítica. O que será em detalhes, quem será afetado e quais medidas devem ser tomadas até então. Um comentário de Radar Cibersegurança.

Os cibercriminosos têm cada vez mais como alvo operadores de infraestruturas críticas e empresas com particular importância económica. Isso pode não apenas levar a perdas de produção no valor de milhões e gargalos no fornecimento, mas, no pior dos casos, pode colocar em risco a segurança pública. Além disso, os operadores do KRITIS não precisam apenas se proteger contra tentativas de chantagem com motivação monetária. Ataques politicamente motivados como parte da guerra híbrida também se tornaram uma ameaça real.

ITSig 2.0 - Lei de segurança de TI 2.0 de maio de 2023

O legislador alemão reagiu a esses perigos já em 2021 com a Segunda Lei para Aumentar a Segurança dos Sistemas de Tecnologia da Informação - em resumo: Lei de Segurança de TI 2.0. Com isso, a lei BSI existente foi complementada por outros pontos. Uma segunda Diretiva de Rede e Segurança da Informação (NIS 2) também seguirá o exemplo a nível da UE.

Além dos tradicionais operadores do KRITIS, as empresas denominadas de “particular interesse público”, como fabricantes de armamentos ou empresas com importância econômica particularmente grande, agora também devem implementar algumas medidas de segurança de TI. Como resultado, o círculo de infraestruturas críticas foi expandido para incluir setores como eliminação de resíduos e produção de armamentos.

Lei de Segurança de TI 2.0: Visão geral dos novos requisitos

  • Os operadores de infraestrutura crítica devem implementar sistemas de detecção de ataques até 1º de maio de 2023, o mais tardar.
  • Os operadores do KRITIS devem notificar o Ministério Federal do Interior sobre o uso inicial planejado de componentes críticos, por exemplo, se o fabricante for controlado por um país terceiro ou contradizer os objetivos da política de segurança do governo federal alemão, da UE ou da OTAN.
  • As empresas de especial interesse público são obrigadas a apresentar regularmente uma autodeclaração. Eles devem explicar quais certificações na área de segurança de TI foram realizadas nos últimos dois anos e como seus sistemas de TI foram protegidos.

Medidas para proteger a infraestrutura crítica

Os operadores e empresas KRITIS que precisam proteger sua tecnologia de TI e controle contra ataques cibernéticos precisam de soluções integradas que estejam alinhadas com o IT Security Act 2.0, o BSI Act e o padrão ISO 27001 sobre segurança da informação. Os seguintes módulos de detecção devem, portanto, ser usados ​​no lado da tecnologia:

  • Análise de dados de log (LDA) / informações de segurança e gerenciamento de eventos (SIEM): Isso significa a coleta, análise e correlação de logs de uma ampla variedade de fontes. Isso resulta em alertas para problemas de segurança ou riscos potenciais.
  • Vulnerability Management & Compliance (VMC): O gerenciamento de vulnerabilidades permite a verificação contínua de vulnerabilidades internas e externas com detecção abrangente, verificações de conformidade e testes para cobertura completa. Como parte da conformidade de software, o uso autorizado de software para cada servidor ou grupo de servidores é determinado por meio de um conjunto de regras e análises contínuas. O software manipulado pode ser reconhecido rapidamente.
  • Monitoramento da condição da rede (módulo OT): relata comunicações em tempo real que indicam uma interrupção na operação sem erros. Condições de sobrecarga técnica, danos físicos, configurações incorretas e deterioração no desempenho da rede são reconhecidas imediatamente e as fontes de erro são identificadas diretamente.
  • Network Behavior Analytics (NBA): Com a análise de comportamento de rede, a detecção de malware perigoso, anomalias e outros riscos no tráfego de rede é possível com base em mecanismos de detecção baseados em assinatura e comportamento.
  • Endpoint Detection & Response (EDR): Endpoint Detection and Response significa análise, monitoramento e detecção de anomalias em computadores (hosts). Com EDR, ações de proteção ativa e alertas instantâneos são fornecidos.

🔎 Parte 1: IT Security Act 2.0 para Kritis (Imagem: Radar Cyber ​​​​Security).

Devido à complexidade, o processamento adicional das informações relevantes para a segurança desses módulos é realizado por especialistas em segurança. Você avalia e prioriza os insights obtidos automaticamente de uma enorme coleta de dados. Os resultados desta análise são a base para iniciar as contramedidas corretas por especialistas internos.

Para garantir a melhor segurança de dados possível, também é recomendável configurar soluções no local como a forma mais segura de implantação. Mesmo que a tendência seja cada vez mais para a nuvem, isso é problemático em termos de alto nível de sensibilidade de dados na área de KRITIS.

Centros de Defesa Cibernética (CDC) para proteger a infraestrutura crítica

Com um Cyber ​​​​Defense Center (CDC) - também conhecido como Security Operations Center (SOC) - os operadores e empresas KRITIS podem efetivamente implementar todos os pontos acima para implementar um conceito de segurança consistente e integrado para sua infraestrutura de TI e OT . Um CDC abrange tecnologias, processos e especialistas responsáveis ​​por monitorar, analisar e manter a segurança das informações de uma organização. O CDC coleta dados em tempo real das redes, servidores, endpoints e outros ativos digitais da organização e usa automação inteligente para detectar, priorizar e responder a possíveis ameaças à segurança cibernética - XNUMX horas por dia, XNUMX dias por semana. Isso permite que as ameaças sejam contidas e neutralizadas rapidamente.

🔎 Parte 2: IT Security Act 2.0 para Kritis (Imagem: Radar Cyber ​​​​Security).

Além disso, recomenda-se o uso de tecnologias de segurança europeias para operadores e empresas KRITIS no interesse público específico. Desta forma, os requisitos legais de proteção de dados podem ser facilmente atendidos. Isso inclui, por exemplo, os requisitos do Regulamento Geral de Proteção de Dados da UE (GDPR) e a exigência da lei BSI para prova adequada de suas precauções para evitar interrupções na disponibilidade, integridade, autenticidade e confidencialidade de seus sistemas de tecnologia da informação, componentes ou processos necessários à funcionalidade das infraestruturas críticas por eles operadas são relevantes.

Ataques ao KRITIS da Europa aumentarão

O uso da tecnologia de segurança europeia também torna mais fácil para o BSI verificar componentes críticos para garantir que atores de países terceiros não possam acessar informações confidenciais que violem a proteção de dados da UE a qualquer momento. Isso é ainda mais importante em tempos em que a Lei de Privacidade entre os EUA e a Europa está inativa.

É de se esperar que os ataques às infraestruturas críticas da Europa continuem a aumentar no futuro e isso é particularmente evidente no cenário geopolítico com a guerra na Ucrânia. Com uma solução holística do Cyber ​​​​Defense Center, os operadores KRITIS alemães podem aumentar significativamente sua resiliência cibernética para se defender contra ataques.

Mais em RadarCS.com

 

Sobre Radar Segurança Cibernética

A Radar Cyber ​​​​Security opera um dos maiores centros de defesa cibernética da Europa, no coração de Viena, com base na tecnologia proprietária da Cyber ​​​​Detection Platform. Impulsionada pela forte combinação de expertise e experiência humana, combinada com os mais recentes desenvolvimentos tecnológicos de dez anos de trabalho de pesquisa e desenvolvimento, a empresa combina soluções abrangentes para os desafios relacionados à segurança de TI e OT em seus produtos RADAR Services e RADAR Solutions.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Stories
, , , , ,