NIS direktiva: Još jedan razlog zašto vam treba sigurno IT okruženje
Nova direktiva Europske unije pomaže u stvaranju sigurnijeg digitalnog tržišta, a države članice trebaju se uskladiti s njom do 9. svibnja 2018. godine
Ova godina mogla bi biti prijelomna za informacijsku sigurnost na razini Europske unije (EU). Barem što se novih zakona tiče. Kako bi se osigurali rast, razvoj i jedinstvenost digitalnog tržišta potrebno je ostvariti određene temeljne preduvjete. Jedan od njih, svakako je cyber sigurnost. Samo kroz pravilno implementirane tehničke kontrole i procese možemo osigurati dostupnost, kontinuitet i integritet podataka i usluga.
Podizanje razine sigurnosti kibernetičkih sustava
Konačno, i na sreću, to su prepoznali Vijeće, Parlament i Komisija Europske unije. Konačno – jer to su trebali poduzeti davno ranije. Na sreću – jer bi bez novih zakona i kazni, sigurnost kibernetičkih sustava u Hrvatskoj (a vjerojatno i šire) i dalje bila na nezavidnoj razini.
Kao rezultat prepoznavanja problematike dobili smo jednu uredbu (General Data Protection Regulation – GDPR) i jednu direktivu (Network and Information Security Directive – NIS). O GDPR-u ne treba trošiti puno riječi, jer su sadržaj uredbe i kazne koju propisuje svima već dobro poznati.
Nešto više riječi svakako bi trebalo potrošiti na direktivu NIS koja nalaže državama članicama EU da se s njom usklade do 9. svibnja 2018. godine (tada bi i naš lokalno usklađeni zakon trebao stupiti na snagu).
Kao što stoji u nacrtu prijedloga Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, direktiva NIS je dio široke digitalne inicijative EU, kojom se svijest o nužnosti razvoja digitalnog gospodarstva širi kroz niz segmenata suvremenog društva, kroz aktualni proces stvaranja jedinstvenog digitalnog tržišta EU, a nastala je na temelju provedbe strategije EU cyber sigurnosti, donesene još 7. veljače 2013. godine. Direktiva NIS je prema svojoj važnosti jednako, ako ne i više bitna za unapređenje cyber sigurnosti u Hrvatskoj i Europskoj uniji, od GDPR-a.
Cilj direktive NIS
Uredba GDPR bavi se zaštitom osobnih podataka. Cilj joj je prevenirati gubitak i njihovo nedozvoljeno, odnosno nekontrolirano korištenje/procesiranje. Cilj direktive NIS je spriječiti one scenarije koje često vidimo na filmovima, ali sve češće i u stvarnosti.
Neki od takvih slučajeva su napadi na energetsku mrežu u Ukrajini, koji su prouzročili potpuna zamračenja, kontrolni pristup grupacije Dragonfly u američkim energetskim kompanijama kroz koji su mogli upravljati dijelovima energetske mreže SAD-a te napad na iransko nuklearno postrojenje i fizičko uništavanje centrifuga za obogaćivanje urana cyber napadom.
Kako bi se osigurao integritet i kontinuitet poslovanja operatera ključnih i digitalnih usluga, direktiva NIS propisuje da tvrtke iz sektora kao što su digitalne usluge, energetika, prijevoz, bankarstvo, zdravstvo, vodoopskrba, i koje odgovaraju kriterijima propisanim zakonom, moraju implementirati tehničke i organizacijske mjere za upravljanje rizicima, uzimajući pri tome u obzir najnovija tehnička dostignuća koja se koriste u okviru najbolje sigurnosne prakse u području kibernetičke sigurnosti; te mjere za sprečavanje i ublažavanje učinaka incidenata na sigurnost mrežnih i informacijskih sustava.
Vrlo je pozitivno to što se prilikom odabira i implementacije tehničke mjere moraju uzeti u obzir najnovija tehnička dostignuća i najbolje sigurnosne prakse jer takva definicija praktički onemogućava da se, primjerice, klasični antivirusni sustavi koji se temelje na starom načinu zaštite od zloćudnog kôda, smatraju adekvatnom zaštitom sustava.
Tako da su sustavi za zaštitu od naprednih prijetnji (ATP), sustavi za detekciju anomalija u korisničkom ponašanju i mrežnom prometu (UEBA) te sustavi za provjeru i analizu ranjivosti, tehnologije koje treba uzeti u obzir prilikom zaštite tako bitnih sustava.
Tehničke i organizacijske mjere za upravljanje rizicima
Jako bitna, ako ne i najbitnija, poruka direktive NIS je da će tvrtke morati poduzimati tehničke i organizacijske mjere za upravljanje rizicima koje uključuju utvrđivanje rizika od incidenata; sprečavanje, otkrivanje i rješavanje incidenata te ublažavanje učinka incidenata na najmanju moguću mjeru.
Kako bi se osigurao kvalitetan proces upravljanja incidentima potrebno je posjedovati odgovarajuću popratnu infrastrukturu i uigrane procese. Kao ključna tehnologija za izvršavanje tih zahtjeva svakako je SIEM (Security Information and Event Management) koja može omogućiti pravodobnu detekciju sigurnosnih incidenata, a nakon toga i omogućiti kvalificiranom osoblju da analiziraju incident, utvrde njegov opseg i važnost te, prema potrebi, informiraju nadležne institucije (CSIRT).
S obzirom na kompleksnost takvog posla i znanja potrebnog da se procesi i tehnologije implementiraju i koriste na svakodnevnoj razni, tvrtke se suočavaju s manjkom stručnog osoblja.
Dodatno, tu je i nedostatak vremena da se s takvim izazovima bave 24/7, što je krucijalno u cyber sigurnosti jer napadači i organizirane kriminalne skupine ne biraju vrijeme za napad. Spanova usluga upravljanja SIEM sustavom te usluga Sigurnosnog operativnog centra eliminira takve probleme potpunim 24/7 nadzorom svih sigurnosnih događaja, analizom te odgovorom na sigurnosne incidente.
Kako bi se osiguralo i motiviralo tvrtke da se usklade s novim zakonom, predviđene su kazne od 15.000 do 500.000 kuna. Ovisno o tome koga se kažnjava i prema kojem članku/prekršaju (pravnu ili odgovornu fizičku osobu).
Direktiva za sigurnije digitalno doba
U svakom slučaju, direktiva NIS predstavlja pomak prema unaprjeđenju cyber sigurnosti. Zajedno s GDPR-om, trebala bi podići svijest o tome da je sigurnost nešto što omogućuje i stvara podlogu za razvoj, rast i digitalnu transformaciju, a ne da je tu kako bi takve procese kočila.
Isto tako, direktiva NIS je tu da bi omogućila normalno i kontinuirano korištenje usluga i beneficija digitalnog doba u kojem živimo, bez straha da se takva infrastruktura okrene protiv nas samih.
Odnosi li se direktiva NIS i na vašu tvrtku?
Nova direktiva Europske unije odnosi se na operatore ključnih usluga i davatelje digitalnih usluga, odnosno tvrtke koje se nalaze u sljedećim sektorima:
- energetika (električna energija, nafta, plin)
- prijevoz (zračni promet, željeznički promet, vodni prijevoz, cestovni prijevoz)
- bankarstvo
- infrastrukture financijskog tržišta
- zdravstvo
- opskrba vodom za piće i njezina distribucija
- digitalna infrastruktura
- usluge u sustavima državne informacijske infrastrukture
Span Managed Security Service
Napali su vas cyber kriminalci. Zaposlenici ne mogu pristupiti računalima i poslovanje je stalo. Koliko vas košta svaki sat “nerada”? Neke se organizacije od posljedica napada oporavljaju i do tjedan dana. Možete li si to priuštiti?
Nekad je opasnost dolazila isključivo od hakera, kojima je pisanje zlonamjernog kôda predstavljalo neku vrstu dokazivanja i zabave. Danas to više nije zabava, nego biznis – cyber kriminalci od toga žive i zarađuju mnogo novca.
“Ma, neće baš nas, nismo im mi zanimljivi…”
…glavni je argument većine organizacija koje nemaju učinkovita rješenja za cyber sigurnost. I što se onda događa?
Globalni ransomware napad WannaCry u samo nekoliko dana zarazio je više od 230.000 računala u 150 zemalja. NotPetya je poharala Europu – sustav za nadzor radijacije u Černobilu, kijevski metro i zrakoplovna luka te američka bolnica u Pittsburghu samo su neke od žrtava.
Mete napada mogu biti svi – od pojedinaca do velikih organizacija.
Što kada IT stručnjaci unutar određene organizacije nemaju vremena niti dovoljno osposobljenih ljudi za adekvatnu zaštitu informatičkih sustava?
Uz Span Managed Security Service napad možete spriječiti u potpunosti ili ga detektirati u vrlo kratkom roku.
Ova usluga obuhvaća kompletnu brigu o svim dijelovima sustava:
- Upravljanje SIEM sustavom – prikupljanje, povezivanje i analiziranje svih sigurnosnih događaja s mreže, poslužitelja i kritičnih aplikacija
- Upravljanje ranjivostima – provjera i analiza svih sustava pod nadzorom za ranjivostima
- Upravljanje sustavima za zaštitu od standardnih i naprednih napada – instalacija, konfiguracija, administracija i nadzor svih sustava vezanih za detekciju i sprječavanje malicioznog kôda
- Upravljanje sustavom za detekciju napada i prijetnji – upravljanje i nadzor na mrežnoj i poslužiteljskoj raziini te odgovaranje na detektirane napade i prijetnje
- Upravljanje sustavom za otkrivanje nepravilnosti u mrežnom prometu – postavljanje bazičnog stanja i analiziranje svih anomalija u mrežnom prometu
- Upravljanje sustavom za upravljanje resursima – uvid u sve resurse na mreži kako bi se pravodobno uočili novi uređaji i oni koji zahtijevaju posebnu pozornost
