Ασφάλεια Προσωπικών Δεδομένων.
Oι πιο σημαντικοί νόμοι, κανονισμοί, πρότυπα και επιθεωρήσεις ελέγχου ασφαλείας, των οποίων πρέπει να έχετε γνώση και στους οποίους όλες οι επιχειρήσεις πρέπει να συμμορφωθούν.
Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ).
Ο κανονισμός αυτός δίνει στα άτομα τον έλεγχο των προσωπικών τους δεδομένων και απλοποιούν το κανονιστικό περιβάλλον για τις διεθνείς επιχειρήσεις αναφορικά με την ασφάλεια των προσωπικών δεδομένων. Όλες οι επιχειρήσεις που επεξεργάζονται ή αποθηκεύουν προσωπικά δεδομένα πρέπει να έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων. Για να εξασφαλιστεί καλύτερη συμμόρφωση με τον ΓΚΠΔ, ο Οργανισμός Cybersecurity της ΕΕ (ENISA) δημοσίευσε μια έκθεση που ορίζει τη χρήση ελέγχου ταυτότητας δύο παραγόντων . Η παραβίαση των κανόνων του ΓΚΠΔ μπορεί να οδηγήσει σε πρόστιμο έως και 10 εκατομμύρια ευρώ ή έως και το 2% του παγκόσμιου κύκλου εργασιών ενός οργανισμού.
Υπηρεσίες ηλεκτρονικής αναγνώρισης, ελέγχου ταυτότητας και εμπιστοσύνης (eIDAS).
Κανονισμός της ΕΕ που ρυθμίζει την ηλεκτρονική αναγνώριση, τις ηλεκτρονικές υπογραφές, τις πιστοποιήσεις και τους εποπτικούς φορείς, οι οποίοι παρέχουν έναν ασφαλή τρόπο για τους πολίτες της ΕΕ να επικοινωνούν με δημόσιες υπηρεσίες, μεγιστοποιώντας την ασφάλεια προσωπικών δεδομένων. Συστήματα ηλεκτρονικής αναγνώρισης σε επίπεδο διασφάλισης. Ουσιαστικά απαιτεί έλεγχο ταυτότητας δύο παραγόντων και επίπεδο διασφάλισης. Απαιτεί την προσθήκη υψηλών προδιαγραφών σε συσκευές ελέγχου ταυτότητας χωρίς δυνατότητα παραβίασης και δυναμικά κρυπτογραφικά σχήματα.
Ευρωπαϊκή Πράξη Κυβερνοασφάλειας.
Αυτός ο νόμος ενίσχυσε τον Ευρωπαϊκό Οργανισμό Κυβερνοασφάλειας (ENISA) και καθιέρωσε ένα πλαίσιο πιστοποίησης της κυβερνοασφάλειας σε επίπεδο ΕΕ για ψηφιακά προϊόντα, υπηρεσίες και διαδικασίες. Ο ENISA εξέδωσε αρκετές αναφορές και οδηγίες για τον έλεγχο ταυτότητας και το μήνυμα είναι σαφές:συνιστάται έλεγχος ταυτότητας δύο παραγόντων για πρόσβαση σε όλους τους τύπους συστημάτων πληροφορικής με στόχο την ασφάλεια των προσωπικών δεδομένων.
Οδηγία για τα Δίκτυα και τα Πληροφοριακά Συστήματα (NIS).
Η παρούσα οδηγία περιγράφει λεπτομερώς τις απαιτήσεις για φορείς εκμετάλλευσης βασικών υπηρεσιών (υποδομή ζωτικής σημασίας) και σχετικούς παρόχους ψηφιακών υπηρεσιών. Αυτοί οι φορείς συναντούνται σε όλα τα είδη βιομηχανιών: ενέργεια, μεταφορές, οικονομικά, υγειονομική περίθαλψη, νερό, τηλεπικοινωνίες και ψηφιακές υποδομές, για να αναφέρουμε μερικές. Οι επιχειρήσεις που υφίστανται επίθεση πληροφορικής, σημαντική παραβίαση ή διακοπή υπηρεσίας πρέπει να ενημερώσουν την εθνική αρχή εντός 48 ωρών και να αναφέρουν ζημιές στις υποδομές πληροφορικής τους και τυχόν διαροή στην ασφάλεια προσωπικών δεδομένων.
Οδηγία για τις υπηρεσίες πληρωμών της ΕΕ 2 (PSD2).
Ο χρηματοπιστωτικός τομέας της ΕΕ ρυθμίζεται από το PSD2, σε συνδυασμό με το σχετικό κανονιστικό τεχνικό πρότυπο . Απαιτείται «δυναμική σύνδεση», που σημαίνει ότι το ποσό πληρωμής και ο δικαιούχος της συναλλαγής πρέπει να συνδέονται με τον χρήστη μέσω ισχυρού ελέγχου ταυτότητας. Η εκπλήρωση των απαιτήσεων PSD2 μπορεί να επιτευχθεί με συσκευές PKI, όπως το YubiKey, που υποστηρίζουν tτην αυθεντικοποίηση και τις ψηφιακές υπογραφές.
Επίτευξη συμμόρφωσης με ισχυρό έλεγχο ταυτότητας πολλών παραγόντων.
Εκτός από τους προαναφερόμενους κανονισμούς της ΕΕ, το ISO έχει δημιουργήσει το παγκόσμιο πρότυπο ασφάλειας IT / ISO / IEC 27001 . Αυτό είναι ένα σημαντικό πρότυπο ελέγχου που εστιάζεται στη διαχείριση της ασφάλειας πληροφοριών και την ασφάλεια των προσωπικών δεδομένων. Αναφέρει λεπτομερώς τις απαιτήσεις για τη δημιουργία, την εφαρμογή, τη συντήρηση και τη συνεχή βελτίωση ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS). Ένα ισχυρό ISMS βοηθά τους οργανισμούς να προστατεύσουν τα στοιχεία τους. Οι επιχειρήεις που πληρούν τις απαιτήσεις του προτύπου μπορούν να επιλέξουν να πιστοποιηθούν από έναν διαπιστευμένο φορέα πιστοποίησης μετά την επιτυχή ολοκλήρωση ενός ελέγχου.
Δεν είναι ένα απλό κανονιστικό τοπίο, επομένως οι διευθυντές τμημάτων πληροφορικής πρέπει να ενημερώνονται για όλες τις πράξεις ασφαλείας, τους κανονισμούς, τις οδηγίες, τους ελέγχους και τις πιστοποιήσεις σε ολόκληρο τον κόσμο. Όλοι είτε σιωπηρά είτε ρητά απαιτούν ισχυρές λύσεις ελέγχου ταυτότητας. Η παραβίαση αυτών των κανονισμών δεν είναι κάτι που θέλετε. Υπάρχουν βαριά προστίματα ή ακόμη και ποινές φυλάκισης για υπεύθυνους διευθυντές εάν η παραβίαση είναι αρκετά σοβαρή. Ο ισχυρός έλεγχος ταυτότητας έχει νόημα ούτως ή άλλως επειδή το ηλεκτρονικό ψάρεμα (phishing) είναι η πιο συνηθισμένη επίθεση πληροφορικής , αντιπροσωπεύοντας το 22% όλων των περιστατικών ασφάλειας πληροφορικής.
Οι κανονισμοί ασφαλείας της ΕΕ απαιτούν την εναρμόνιση όλων των επιχειρήσεων ε αυτους. Η επένδυση σε λύσεις ελέγχου ταυτότητας πολλαπλών παραγόντων, όπως η σειρά YubiKey 5 ή η σειρά YubiKey FIPS , είναι μια απαραίτητη προσέγγιση για την καταπολέμηση των επιθέσεων και των εισβολών ηλεκτρονικού ψαρέματος (phishing) και έχει το πρόσθετο πλεονέκτημα της διατήρησης της συμμόρφωσής σας.
Πηγή: Sebastian Elfors / Yubico