Правильне використання кібербезпеки зараз важливіше, ніж будь-коли. Через зростання загроз ризик атак постійно зростає. Законодавча влада також визнала це та створила рекомендації NIS2. Axians дає поради щодо того, як компаніям діяти зараз.
Чверть мільйона нещодавно виявлених варіантів зловмисного програмного забезпечення, 2.000 виявлених вразливостей у програмних продуктах на місяць, 21.000 68 нових заражених систем щодня, XNUMX успішних атак програм-вимагачів і дві спроби на місяць тільки на муніципальні установи чи муніципальні компанії. Тривожні цифри згадуються в поточному звіті про стан кібербезпеки Федерального відомства з інформаційної безпеки (BSI): Офіс попереджає, що злочинці розвиваються. Сьогодні професійні кіберзлочинці широко об’єднані в мережі та працюють у розділеній праці. Для своїх атак вони використовують штучний інтелект (ШІ) та інші сучасні технології.
Через ці умови у сфері кібербезпеки ЄС видав Директиву NIS2. Вимоги директиви наразі включені до національного законодавства та мають бути кодифіковані до 17 жовтня 2024 року. Тоді всі постраждалі установи зобов’язані вжити ряд заходів кібербезпеки.
Яким вимогам мають відповідати компанії для отримання NIS2?
Серед іншого, компанії повинні мати концепцію управління ризиками, запроваджувати плани на випадок надзвичайних ситуацій і повідомляти BSI про інциденти безпеки. Потрібні технічні заходи захисту, такі як систематичне резервне копіювання даних, концепції контролю доступу, шифрування та управління вразливістю. Аналогічно Закону про безпеку ІТ 2.0, NIS2 також передбачає, що компанії повинні враховувати вразливі місця своїх ланцюжків поставок у своїх концепціях безпеки, щоб злочинці не могли зламати системи через постачальників. Важливо, нарешті, запровадити сучасні технології, включивши стандарти безпеки та процеси, які вже були рекомендовані як найкращі практики до NIS2.
Усім, хто протягом останніх років приділяв увагу захисту свого бізнесу від злочинців відповідно до чинних стандартів, потрібно лише внести деякі зміни, щоб відповідати вимогам. Але компанії та установи, які зараз вперше потрапляють у зону NIS2 і раніше нехтували темою кібербезпеки, тепер стикаються з серйозними проблемами. Щоб підготуватися до вимог, нові компанії повинні завчасно вжити заходів захисту. Шлях до мети — п’ять кроків.
Чи стосується компанії законодавство NIS2?
Перш за все, компанії повинні уточнити, чи належать вони до розширеного кола регулювання NIS2. Існує дві основні групи: оператори критичних об’єктів і «особливо важливих» або «важливих» об’єктів. Важливо, чи працюють ці компанії в секторах економіки, які підлягають регулюванню. Тут ще багато невизначеності. Щоб забезпечити ясність, компаніям слід поставити собі такі запитання: чи веду я діяльність в одному з регульованих секторів? Чи відповідає мій бізнес офіційним вимогам? Чи достатньо висока плинність кадрів і чи правильна кількість працівників? Якщо відповідь на ці запитання ствердна, застосовуються вимоги захисту NIS2. Проте всім компаніям – незалежно від того, підпадають вони під NIS2 чи ні – бажано перевірити власні концепції безпеки та перевірити, чи відповідають вони сучасному рівню техніки. Особи, відповідальні за ІТ, також не повинні забувати визначати, які сфери діяльності компанії необхідно захистити.
Наскільки безпечна ІТ-інфраструктура?
Наступний крок — з’ясувати, де найбільші слабкі місця. Як структурована кібербезпека в компанії? Який поточний рівень захисту? Оцінка ризиків показує, з чого краще починати стратегію безпеки, а саме те, де компанії можуть досягти найшвидших покращень. Після цього користувачі повинні повторювати процес через регулярні проміжки часу. Постійне оцінювання може допомогти поступово підвищити стійкість ІТ.
Що таке безпека ланцюжка поставок?
Під час обов’язкової оцінки ризиків слід враховувати не лише ризики вашої компанії, а й конкретні слабкі місця ланцюга поставок. Якщо виявлено вразливі місця, необхідно вжити контрзаходів для дотримання нормативних вимог і захисту інтерфейсів. Наприклад, сканування зовнішньої поверхні атаки (EAS) може допомогти в цьому. Бажано діяти на випередження та проводити аналіз ризиків, щоб виявити можливі вразливі місця в ланцюгах постачання. Потім постраждалі підприємства можуть розробити спільну концепцію безпеки зі своїми компаніями-постачальниками.
Яка система підходить для виявлення атак?
Для забезпечення необхідної безпеки інформаційних систем також рекомендуються системи виявлення атак. Багатьом компаніям доцільно запровадити рішення для управління інформацією та подіями безпеки (система SIEM), оскільки воно є основою для більшості систем виявлення вторгнень. SIEM збирає дані, які також можна оцінити в центрі безпеки (SOC). Він надає корисну інформацію для ІТ-операцій, наприклад ознаки неправильної конфігурації. Різноманітність варіантів SIEM пропонує численні можливості для задоволення власних потреб компанії. Наприклад, компанії можуть вирішити, чи використовувати їм самокеровану систему SIEM, чи послуги професійного SOC. Діапазон пропонованих послуг варіюється від вашої внутрішньої роботи або спільно керованого SIEM до повністю керованих IT/OT SOC послуг від зовнішніх постачальників послуг ІКТ, таких як Axians.
Як виглядає розумна концепція безпеки для NIS2?
Важливо не тільки придбати системи ІТ-безпеки, що складаються з апаратного та програмного забезпечення, але й встановити правила та процедури, які постійно визначають, керують, контролюють, підтримують і постійно вдосконалюють інформаційну безпеку. Компанії можуть діяти за модульним принципом: спочатку слід зробити кроки, які швидко підвищать рівень безпеки. Потім захист можна розширювати рівень за рівнем. Стандарти безпеки, такі як BSI-Grundschutz або ISO 2700x, а також архітектура нульової довіри можуть слугувати орієнтиром. Зокрема, орієнтація на Базовий збірник захисту пропонує велику допомогу, оскільки містить каталог найкращих практик щодо заходів безпеки.
Законодавець визнав серйозність ситуації і посилив вимоги новими нормативними актами. Зростаюча загрозлива ситуація показує, що компаніям слід безпосередньо займатися впровадженням. Щоб не заблукати в детальних технічних рішеннях, ви можете звернутися за підтримкою до досвідчених постачальників послуг ІКТ, таких як Axians. Вони щодня впроваджують системи для клієнтів, як того вимагає регламент NIS2. Професійні оцінки, попередні поради та постійна підтримка допомагають швидко розробити відповідну стратегію та зняти навантаження з ІТ-відділів компаній.
Більше на Axians.com
Про аксіян
Axians підтримує приватні компанії, державні установи, мережевих операторів і постачальників послуг у модернізації їхніх цифрових інфраструктур і рішень. Будь то програми чи аналітика даних, корпоративні мережі, спільний робочий простір, центри обробки даних, хмарні рішення, телекомунікаційні інфраструктури чи безпека в Інтернеті.