Закон про безпеку ІТ 2.0: Оператори критичної інфраструктури (KRITIS) за законом зобов’язані вживати «розумних організаційних і технічних запобіжних заходів» для запобігання кібератакам. З ухваленням «Закону про безпеку ІТ 2.0» (ITSiG 2.0) навесні 2021 року ці зобов’язання були знову посилені. З травня 2023 року оператори критичної інфраструктури повинні запровадити їх і, перш за все, мати доступні «системи виявлення атак».
Sophos, як постачальник послуг реагування APT (Advanced Persistent Threat), офіційно сертифікований BSI, створив опис рішення для KRITIS, який допомагає компаніям і організаціям своєчасно адаптувати свої заходи безпеки відповідно до нових вимог.
144 мільйони нових шкідливих програм у 2021 році
Діяльність кіберзлочинців зосереджена на компаніях і державних установах, головним чином для паралізації операцій або викрадення грошей шантажу. Факти свідчать про напружену ситуацію з ризиком: за даними BSI, у 2021 році було виявлено близько 144 мільйонів нових шкідливих програм. Приблизно 25 відсотків постраждалих компаній і організацій вбачали в атаках серйозну загрозу чи існування.
Цей потенційний ризик стає ще більш серйозним, коли мішенню кіберзлочинців є критично важливі інфраструктури, наприклад, у сфері охорони здоров’я, у сферах енерго- та водопостачання чи постачання продуктів харчування. З цієї причини оператори критичної інфраструктури (KRITIS) за законом зобов’язані вживати «розумних організаційних і технічних заходів» для запобігання кібератакам. Із прийняттям Закону про безпеку ІТ 2.0 навесні 2021 року ці зобов’язання знову посилилися. З травня 2023 року оператори критичної інфраструктури повинні запровадити їх і, перш за все, мати доступні «системи виявлення атак».
Нові видання, але мало конкретних рекомендацій щодо дій
Як і раніше, органи влади, які вимагають безпеки в KRITIS, також мають чіткі уявлення про те, як мають бути покарані порушення та покарані новою редакцією правил. Однак вони дають компаніям і організаціям здебільшого розв’язану руку щодо впровадження ІТ-безпеки. Обґрунтування: конкретні рекомендації щодо дій можуть перешкодити прогресивним інноваціям у сфері ІТ-технологій і призвести до того, що юридичні зобов’язання знову швидко застаріють із появою нових технологій. З точки зору контролюючих органів такий підхід зрозумілий, але не допомагає компаніям у конкретному впровадженні Закону про безпеку інформаційних технологій 2.0.
Підхід до рішення безпеки для KRITIS
Як офіційно кваліфікований постачальник послуг реагування APT (Advanced Persistent Threat) BSI створив короткий опис рішення для KRITIS, який допомагає компаніям і організаціям своєчасно налаштувати свої заходи безпеки відповідно до нових вимог. Для більш детального визначення необхідних заходів компанії та організації KRITIS можуть використовувати дві точки відліку: «галузеві стандарти безпеки», розроблені окремими галузевими асоціаціями відповідних секторів, і поточні рекомендації BSI.
Хоча галузеві стандарти безпеки застосовуються лише до відповідного сектора, роздатковий матеріал BSI пропонує загальні вимоги, які застосовуються до всіх секторів і галузей. У цьому каталозі вимог BSI визначає 100 відповідних тем і пояснює відповідні запобіжні заходи.
Каталог вимог BSI
У Короткому описі рішення Sophos описує, які теми з каталогу вимог BSI можна розглянути за допомогою яких компонентів безпеки, щоб реалізувати необхідні запобіжні заходи, особливо у зв’язку з новим Законом про безпеку ІТ 2.0 – ITSiG 2.0. Одним із напрямків нових законів є виявлення атак. Компанії та організації KRITIS повинні мати можливість постійно порівнювати дані, оброблені в ІТ, з інформацією та технічними шаблонами, щоб ідентифікувати потенційні атаки. Для цього параметри та характеристики під час роботи повинні постійно та автоматично реєструватися та, перш за все, оцінюватися.
Витонченість і швидкий розвиток кіберзлочинців вимагає поєднання автоматизованої безпеки, збагаченої штучним інтелектом і людським досвідом. Як технічна, так і людська безпека повинні об’єднуватися в екосистему, щоб уникнути загроз і, перш за все, якнайшвидше усунути будь-які збої, які виникли.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.