EN
Dyrektywa NIS2 jest aktem prawnym związanym z cyberbezpieczeństwem funkcjonującym w Unii Europejskiej. Stanowi aktualizację wcześniejszej wersji z 2016 roku. Jej wprowadzenie miało na celu podwyższenie poziomu ochrony danych w przestrzeni wirtualnej. Jak zapisy dyrektywy odnoszą się do kwestii dostępu uprzywilejowanego i SOC? Wyjaśniamy.
Kogo dotyczy dyrektywa NIS 2?
Nowe przepisy weszły w życie 16 stycznia 2023 roku. Zastąpiły tym samym dokument obowiązujący od 2016 roku. Zmianom przyświecała chęć wzmocnienia zabezpieczeń cybernetycznych tam, gdzie wirtualna przestrzeń pracy jest filarem działalności organizacji. Co dokładnie zmieniło się w tym akcie prawnym?
Przede wszystkim rozszerzono spis branż i sektorów oraz obszarów działalności, które wymagają zwiększenia zabezpieczeń. Dyrektywa NIS 2 obejmuje zarówno podmioty z sektora prywatnego, jak i publicznego, które można sklasyfikować jako przedsiębiorstwa średniej wielkości. W ramach dyrektywy NIS dwa rozróżnia się kolejne dwie grupy podmiotów – świadczących usługi kluczowe i usługi ważne. Ich lista stanowi załącznik do tego aktu.
Organizacje, w których atak wirtualny może doprowadzić do poważnych zmian w zakresie gospodarczym czy społecznym, uważa się za kluczowe. To choćby organy administracji publicznej.
Dyrektywa NIS 2 — powołanie zespołu SOC
W praktyce wprowadzenie dyrektywy NIS 2 nakłada na organizacje obowiązek stworzenia zespołu SOC (Security Operations Center). Zadaniem jego członków ma być kontrola systemu bezpieczeństwa IT, ale także natychmiastowe reagowanie na ewentualne pojawiające się zagrożenia.
Nie ma jednak obowiązku zatrudniania w tym celu specjalistów. Monitoring sieci można z powodzeniem zlecić firmie zewnętrznej w ramach outsourcingu. Nie ma przy tym obaw o skuteczność ochrony strategicznych danych. System bezpieczeństwa zarządzany przez zewnętrzny SOC wysyła regularne raporty do zespołów CSIRT. Dyrektywa NIS 2 w pewnym sensie motywuje do dokładniejszych audytów bezpieczeństwa, testów, analiz złośliwego oprogramowania, ale także stosownego przeszkolenia użytkowników w kwestiach związanych z cyberbezpieczeństwem.
Dyrektywa NIS 2 a dostęp uprzywilejowany
Na początek warto przypomnieć, że w zarządzaniu dostępem uprzywilejowanym, skrótowo PAM (Privileged Access Management) chodzi m.in. o limitowanie dostępu do informacji, ale też w równym stopniu śledzenie i ewentualne blokowanie podejrzanych zachowań. Dzięki temu ryzyko nieuprawnionego dostępu jest znacznie ograniczone. Działania w zakresie PAM mają realny wpływ na bezpieczeństwo pracy całej firmy.
Kluczowe zasoby przedsiębiorstwa, do których dostęp ma ograniczona liczba osób, są łakomym kąskiem dla cyberprzestępców.. Jeśli hakerowi uda się przedostać przynajmniej do jednego z kont pracownika, to pierwszy i zwykle skuteczny krok do eskalacji przestępstwa. Skutki mogą być poważne – to m.in. utrata kontroli nad informatyczną infrastrukturą organizacji.
Wszystkie kwestie związane z bezpieczeństwem wirtualnym i zasadami wynikającymi z dyrektywy NIS 2 warto powierzyć specjalistom. Dzięki swojej wiedzy i doświadczeniu mogą oni trafnie oceniać ryzyko związane z tworzeniem kont uprzywilejowanych w firmie, ale także w porę reagować na nieautoryzowane operacje, do których dochodzi na serwerach firmowych.
Jak wdrożyć założenia dyrektywy NIS 2?
Jeśli zdecydujesz się na rozwiązanie outsourcingowe, ISCG zajmie się analizą procesów związanych z zarządzaniem dostępem uprzywilejowanym. W zewnętrzną obsługę bezpieczeństwa firmy wpisują się także techniczne przeglądy już istniejących rozwiązań oraz ich weryfikacja pod kątem zasad bezpieczeństwa.
Kluczowy jest również etap, na którym wytycza się słabe punkty w infrastrukturze informatycznej firmy i określa, jakie usprawnienia są możliwe do wdrożenia. W każdym momencie tego procesu możesz liczyć na fachowe doradztwo, np. w zakresie optymalizacji systemu PAM i innych narzędzi ochronnych.
Potem pozostaje już kompleksowe wdrożenie systemu i jego stopniowe rozwijanie.