Még nem késtünk le semmiről, és sokkal könnyebb dolgunk lesz, ha a NIS2 irányelveit követve megtanulunk boldogan élni egy (kiber)biztonságosabb világban, mint ha eggyel több stresszfaktorként kezeljük az EU direktíváját és csak a szankciók elkerülésére koncentrálunk.
 

A NIS2 létjogosultsága

Egyre digitalizáltabb világunkban, ahol okoseszközök tömkelege teszi kényelmesebbé a mindennapjainkat, a smartmeterek automatizáltan olvassák le a közműórákat, szinte minden eszköz hálózatba van kötve - amelyek aztán további hálózatokhoz csatlakoznak - szükség van a biztonság fokozására és kikényszerítésére.

Az egyre szofisztikáltabb kibertámadások kivédése mellett ne feledkezzünk meg az elavult legacy rendszerek karbantartásáról, és kontrollálhatatlan eszközök felügyeletéről, az adatok tárolásának és adatforgalom titkosításának fontosságáról, és még sorolhatnánk.

Érdemes felülvizsgálnunk IT-biztonsági stratégiánkat, hogy az előírt szabályzatok és dokumentációk elkészítése vagy frissítése és implementálása mellett milyen eszközökkel tudjuk elérni szervezetünk biztonságosabb működését. De mi mindennek is kell megfelelnünk?

A NIS2 főbb követelményei

A GDPR-hoz hasonlóan a NIS2 követelményrendszerét is minden ország átülteti a saját jogrendszerébe, Magyarországon ezt a 2023. évi XXIII. törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza és a SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) ellenőrzi. A főbb irányelvek az alábbiak:

#1 Kockázatkezelés: A szervezeteknek átfogó kockázatkezelési programot kell bevezetniük, hogy azonosítsák, elemezzék és rangsorolják azokat a potenciális fenyegetéseket, amelyek kritikus infrastruktúrájukat érinthetik. Ez magában foglalhatja a fenyegetésmodellezést, a sebezhetőségi értékeléseket és a penetrációs tesztelést. Például egy energiaszolgáltatónak értékelnie kell a kibertámadásokkal kapcsolatos kockázatokat, amelyek megzavarhatják az elektromos hálózatot.

#2 Biztonsági intézkedések: A szervezeteknek létre kell hozniuk és fenn kell tartaniuk a műszaki és alapvető biztonsági intézkedések alapját, amelyek olyan területeket érintenek, mint a hozzáférés-kezelés, az biztonsági incidensekre történő reagálás, az üzletmenet folytonossága és a beszállítói lánc biztonsága.

#3 Vezetői felügyelet: A szervezet vezető testülete (pl. igazgatótanács, vezérigazgató) felelős a kiberbiztonsági kockázatkezelési program, a biztonsági intézkedések és az incidensreagálási tervek felügyeletéért és jóváhagyásáért. A vezetők felelősségre vonhatók ezen követelmények jelentős megsértéséért.

#4 Incidensjelentés: A szervezeteknek haladéktalanul értesíteniük kell a releváns hatóságokat minden olyan jelentős biztonsági incidensről, amely befolyásolja működésüket vagy szolgáltatásaikat. 24 órán belül egy „korai figyelmeztetés” jelentést kell benyújtani, jelezve, ha az incidens rosszindulatúnak tűnik. Ezt követi egy részletesebb „incidens értesítés” jelentés 72 órán belül, amely ismerteti a súlyosságot, a hatást és az esetleges kompromittáló jeleket. Végül egy hónapon belül egy átfogó „zárójelentést” kell benyújtani, amely részletezi az egész incidenst, annak kiindulópontját és a megtett helyreállítási lépéseket.

#5 Információmegosztás: A NIS2 előírja a tagállamok közötti jobb információmegosztást a nagyszabású kibertámadásokra adott összehangolt válaszlépések elősegítése érdekében. Ez magában foglalja a kiberfenyegetésekkel, sebezhetőségekkel és bevált gyakorlatokkal kapcsolatos információk megosztását.

NIS2 audit: nem elég jónak lenni, annak is kell látszani

Megelőzés
A fentiek megvalósításához olyan hálózatbiztonsági megoldásra van szükségünk, amely még azelőtt képes megállítani a támadások jelentős részét, mielőtt elérnék a rendszerünket. Olyan megoldást érdemes választani, ami rugalmasan testreszabható és könnyen integrálható a meglévő infrastruktúrába.

Titkosítás
Jelentősen növeli a vállalat biztonsági szintjét, ha ez a megoldás már hálózati szinten kikényszeríti a titkosítást, az azonosítást és a szerepkörök megjelölését. Mivel a NIS2 követelményeinek megfelelően titkosítani kell az adatforgalmat, fontos hogy a titkosított hálózati forgalomban is képes legyen mély csomagvizsgálatra, és ne csak az adatforgalom szűrésését hanem annak módosítását is megvalósítsa.

Adatgyűjtés, naplózás
Minél több információ és adat áll rendelkezésünkre, annál teljesebb képet kapunk a hálózatunk biztonsági állapotáról. Arra törekedjünk, hogy a legacy és IoT rendszerekről még az API-kon keresztül kommunikáló eszközökről is gyűjtsünk naplófájlokat. Biztosítsuk a folyamatos és részletes naplózást egy Zero Trust Architektúra alapú hálózati mikroszegmentációval.

A naplófájlok kikényszerítésével és azok elemzésével, illetve továbbításával más analitikiai rendszerekbe (például SOC - Security Operation Center) jelentősen növelhetjük az üzletfolytonosságunkat.

Automatizált, gyors incidens bejelentés
Fontos, hogy a hálózati forgalom mélységi vizsgálata során gyorsan és egyszerűen össze tudjunk gyűjteni minden szükséges adatot és információt, ami az incidensbejelentéshez elengedhetetlen. A NIS2 szigorú incidensbejelentési kritériumainak megfelelő átfogó képet kell kapjunk a teljes hálózati működésről, hogy egyből riportolhatók legyenek az esetleges támadásokról kapott azonnali riasztások.

Ideális esetben közvetlen csatorna hozható létre a vállalat és a felügyeletért felelős szerv bejelentési felülete között. Automatizáljuk az adatforgalmat, így töredékére csökkentjük a bejelentési időt, ami leegyszerűsíti a bejelentési folyamatot, és ezzel elkerülhetjük a késői bejelentésért járó büntetést.

Hogyan teljesíti a Proxedo Network Security a NIS2 követelményrenderét?

A Balasys Proxedo Network Security (PNS) hálózatbiztonsági  megoldása mindezen követelményt egyszerre teljesíti. A biztonsági követelmények kikényszerítése mellett teljeskörű támogatást nyújt az incidensbejelentési kötelezettségi követelmények betartásában. Teljes képet ad a hálózat átfogó működéséről, megfelelve a NIS2 kockázatkezelési, biztonsági, vezetői felügyeleti, incidensbejelentési és információmegosztási kritériumainak.