Lei de Segurança de TI 2.0: Os operadores de infraestruturas críticas (KRITIS) são legalmente obrigados a tomar “precauções organizacionais e técnicas razoáveis” para evitar ataques cibernéticos. Com a aprovação da "lei de segurança de TI 2.0" (ITSiG 2.0) na primavera de 2021, essas obrigações foram reforçadas novamente. A partir de maio de 2023, os operadores de infraestruturas críticas devem implementá-las e, sobretudo, ter à disposição “sistemas de deteção de ataques”.
A Sophos, como fornecedora de serviços de resposta APT (Advanced Persistent Threat) oficialmente qualificada pelo BSI, criou, portanto, um resumo de solução para KRITIS que ajuda empresas e organizações a adaptar suas medidas de segurança em tempo hábil de acordo com os novos requisitos.
144 milhões de novos programas maliciosos em 2021
O foco das atividades cibercriminosas são empresas e instituições públicas, principalmente para paralisar operações ou roubar dinheiro de chantagem. Os fatos mostram que a situação de risco é tensa: segundo o BSI, cerca de 2021 milhões de novos programas de malware foram identificados em 144. Cerca de 25% das empresas e organizações afetadas viram os ataques como uma ameaça séria ou existencial.
Este risco potencial é tanto mais grave quando as infraestruturas críticas são alvo dos cibercriminosos, por exemplo no setor da saúde, nas áreas do abastecimento de energia e água ou no abastecimento alimentar. Por esta razão, os operadores de infraestruturas críticas (KRITIS) são legalmente obrigados a tomar "precauções organizacionais e técnicas razoáveis" para prevenir ataques cibernéticos. Com a aprovação da Lei de Segurança de TI 2.0 na primavera de 2021, essas obrigações foram reforçadas novamente. A partir de maio de 2023, os operadores de infraestruturas críticas devem implementá-las e, sobretudo, ter à disposição “sistemas de deteção de ataques”.
Novas edições, mas pouca recomendação concreta para ação
Como no passado, as autoridades que exigem segurança no KRITIS também têm ideias precisas sobre como as violações devem ser punidas e punidas com a nova edição do regulamento. No entanto, eles geralmente dão às empresas e organizações liberdade para implementar a segurança de TI. A justificativa: recomendações concretas de ação podem impedir a inovação progressiva no campo da tecnologia de TI e levar as obrigações legais a se tornarem rapidamente obsoletas novamente com o surgimento de novas tecnologias. Do ponto de vista dos órgãos de controle, essa abordagem é compreensível, mas não auxilia as empresas na implementação concreta do IT Security Act 2.0.
Abordagem de solução de segurança para KRITIS
Como um provedor de serviços de resposta APT oficialmente qualificado (Ameaça Persistente Avançada) pelo BSI criou um resumo de solução para KRITIS que ajuda empresas e organizações a ajustar suas medidas de segurança em tempo hábil de acordo com os novos requisitos. Para determinar as medidas necessárias com mais detalhes, as empresas e organizações KRITIS podem usar dois pontos de referência: os "padrões de segurança específicos da indústria" que foram desenvolvidos pelas associações industriais individuais dos setores em questão e as diretrizes atuais do BSI.
Embora os padrões de segurança específicos do setor sejam aplicáveis apenas ao respectivo setor, o folheto do BSI oferece requisitos gerais aplicáveis a todos os setores e indústrias. Neste catálogo de requisitos, o BSI define 100 tópicos relevantes e explica as respectivas precauções de segurança.
Catálogo de requisitos do BSI
No Solution Brief, a Sophos descreve quais tópicos do catálogo de requisitos do BSI podem ser abordados com quais componentes de segurança para implementar as precauções de segurança necessárias - especialmente em conexão com o novo IT Security Act 2.0 - ITSiG 2.0. Um dos focos das novas leis é a detecção de ataques. As empresas e organizações KRITIS devem ser capazes de comparar continuamente os dados processados em TI com informações e padrões técnicos para identificar possíveis ataques. Para fazer isso, os parâmetros e características durante a operação devem ser registrados de forma contínua e automática e, acima de tudo, avaliados.
A sofisticação e o rápido desenvolvimento dos cibercriminosos exigem uma combinação de segurança automatizada enriquecida com inteligência artificial e experiência humana. Tanto a segurança técnica quanto a humana devem se unir em um ecossistema para evitar ameaças e, acima de tudo, eliminar quaisquer interrupções ocorridas o mais rápido possível.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.