Ευρωπαϊκή Οδηγία NIS2.
Η Οδηγία NIS2, μια νέα νομοθετική ρύθμιση σε επίπεδο ΕΕ με στόχο τη βελτίωση της κυβερνοασφάλειας στην Ευρώπη, τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023. Εισάγει νέα αυστηρά εποπτικά μέτρα, υποχρεώνει περισσότερους κλάδους να συμμετέχουν, ενισχύει τις απαιτήσεις αναφοράς συμβάντων και γενικά τονίζει την ανάγκη για καλύτερες πρακτικές ασφάλειας από προηγούμενες κοινοτικές οδηγίες.
Τα κράτη-μέλη έχουν πλέον προθεσμία έως τις 17 Οκτωβρίου 2024 για να εντάξουν τις κοινοτικές οδηγίες στο εθνικό δίκαιο – κάτι που τελικά θα επηρεάσει μεγάλο αριθμό επιχειρήσεων που δραστηριοποιούνται ή ασκούν δραστηριότητες εντός της ΕΕ. Πολλοί αναρωτιούνται πώς αυτό επηρεάζει τα συμφέροντά τους – εδώ, θα αναλύσουμε τις σημαντικές έννοιες της Οδηγίας και τις πιθανές επιπτώσεις.
Είναι σημαντικό να σημειώσουμε πριν από την ανάλυση, ότι η Ευρωπαϊκή Ένωση δεν είναι μόνη σε αυτές τις νομοθετικές πρωτοβουλίες. Για παράδειγμα, ως συνέχεια της ομοσπονδιακής νομοθεσίας που ανακοινώθηκε από την κυβέρνηση των ΗΠΑ το 2022, νωρίτερα αυτόν τον μήνα, οι Ηνωμένες Πολιτείες ανακοίνωσαν μια Εθνική Στρατηγική Κυβερνοασφάλειας που στοχεύει στη μετατόπιση της ευθύνης του βάρους της κυβερνοασφάλειας από τα άτομα, σε «οργανισμούς που είναι πιο ικανοί και σε καλύτερη θέση να μειώσουν τους κινδύνους για όλους μας».
Στόχος της νέας ευρωπαϊκής οδηγίας είναι η προώθηση ενισχυμένων μέτρων κυβερνοασφάλειας στο εσωτερικό κάθε κράτους – μέλους, αλλά και κατά τη συνεργασία μεταξύ επιχειρήσεων και διασυνοριακών εντός της ΕΕ.
Τα σημαντικά σημεία που προκύπτουν από την οδηγία της Ε.Ε. NIS2 περιλαμβάνουν:
– Σημαντική επέκταση στον αριθμό των τομέων που καλύπτονται, συμπεριλαμβανομένων των τηλεπικοινωνιών, της μεταποίησης, της διαχείρισης απορριμμάτων, των Μέσων Κοινωνικής Δικτύωσης και της Δημόσιας Διοίκησης .
– Η δημιουργία μιας κοινής δομής διαχείρισης κρίσεων στον κυβερνοχώρο (αναφερόμενη ως Cyber Crisis Liaison Network Network ή CyCLONE) για τη βελτίωση της γνώσης, την προώθηση της συνεργασίας και τη μείωση των γενικών εξόδων.
– Τα κράτη μέλη πρέπει να διασφαλίζουν ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών εφαρμόζουν κατάλληλα μέτρα διαχείρισης κινδύνου, συμπεριλαμβανομένων αξιολογήσεων κινδύνου σε τακτική βάση και ότι παρακολουθούν διαρκώς τα δίκτυα και τα συστήματα πληροφοριών τους για συμβάντα ασφαλείας
– Αύξηση του επιπέδου εναρμόνισης όσον αφορά τις υποχρεώσεις υποβολής εκθέσεων. Για παράδειγμα, οι επηρεαζόμενες επιχειρήσεις έχουν στη διάθεσή τους 24 ώρες από την πρώτη στιγμή που αντιλήφθηκαν ένα περιστατικό, για να υποβάλουν μια αρχική αναφορά, ακολουθούμενη από μια τελική έκθεση το αργότερο ένα μήνα αργότερα
– Ενθάρρυνση των κρατών-μελών να εξετάσουν και να ενισχύσουν τη συνολική τους «συμπεριφορική αντοχή στον κυβερνοχώρο», αναφέροντας συγκεκριμένα την αλυσίδα εφοδιασμού, τη διαχείριση ευάλωτων συστηματων, τη χρήση κρυπτογραφικών μέσων και τις καλύτερες «συνθήκες υγείας» στον κυβερνοχώρο.
– Η μη συμμόρφωση με στοιχεία της Οδηγίας NIS2 (από τη στιγμή που επιβάλλεται τοπικά από τα κράτη-μέλη) θα μπορούσε να σημαίνει πρόστιμα έως και 10 εκατ. ευρώ ή 2% του συνολικού κύκλου εργασιών ενός φορέα παγκοσμίως.
Καθώς η τεχνική ετοιμότητα κάθε κράτους-μέλους ή επιχείρησης παρουσιάζει ανομοιογένεια, είναι αδύνατο υπάρξει ενιαία πολιτική για την τήρηση της οδηγίας. Ως εκ τούτου, θα απαιτηθεί ενιαία προσπάθεια όχι μόνο εντός κάθε ιδιωτικής επιχείρησης, αλλά και των κυβερνήσεων – και ενδεχομένως επίβλεψη από τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA).
Ποια μέτρα μπορούν να ληφθούν για την ικανοποίηση των απαιτήσεων της ευρωπαϊκής οδηγίας NIS2;
Δύο είναι οι θεμελιώδεις πρακτικές που θα υποστηρίξουν οποιαδήποτε έννοια ενισχυμένης ανθεκτικότητας στον κυβερνοχώρο:
Το πρώτο και πιο κρίσιμο βήμα είναι η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για την ασφάλεια όλων των λογαριασμών, αντί για κωδικούς πρόσβασης. Δεδομένης της πολυπλοκότητας των σύγχρονων επιθέσεων στον κυβερνοχώρο, η εξάρτηση από τους κωδικούς πρόσβασης ως αξιόπιστη μορφή άμυνας πρέπει να σταματήσει.
Αν και η χρήση του SMS One-Time Password (OTP) ή μιας εφαρμογής ελέγχου ταυτότητας είναι σίγουρα καλύτερη από τον παραδοσιακό κωδικό πρόσβασης, δεν είναι ανθεκτικά στο phishing και δεν μπορούν καν να θεωρηθούν ισχυρές μορφές MFA.
Η δεύτερη θεμελιώδης πρακτική που είναι απαραίτητη για να επιτευχθεί μια πιο ισχυρή στάση κυβερνοασφάλειας είναι η προστασία κρίσιμων δεδομένων και η χρήση κρυπτογράφησης, όπου είναι δυνατόν. Με την κρυπτογράφηση βάσεων δεδομένων, επικοινωνιών, εγγράφων, διακομιστών και κρίσιμης σημασίας υποδομής, ακόμα κι αν ένας εισβολέας καταφέρει να διεισδύσει σε ένα σύστημα ή δίκτυο, είναι πολύ πιο απίθανο να μπορέσει να αποκτήσει οτιδήποτε, χωρίς το ιδιωτικό κλειδί για αποκρυπτογράφηση τα δεδομένα που καταφέρνουν να διεισδύσουν.
Πώς μπορούν αυτά τα μέτρα να ενσωματωθούν τόσο σε νέες όσο και σε υπάρχουσες υποδομές;
Η SmartManagement, αποκλειστικός συνεργάτης της Yubico για τη Νότια Ευρώπη, παρέχει μια σειρά επιλογών για επιχειρήσεις που θέλουν να ενισχύσουν την ανθεκτικότητά τους στον κυβερνοχώρο. Το YubiKey, μπορεί να αυξήσει ή ακόμα και να αντικαταστήσει μια ροή ελέγχου ταυτότητας ώστε οι κάτοχοι και χρήστες του να είναι ασφαλείς ενάντια στο phishing. Σημαντικό επίσης είναι ότι υπάρχουν επίσης πολλές επιλογές YubiKey που ταιριάζουν σε όλο το φάσμα των επιχειρήσεων, από πολύ μεγάλες έως πολύ μικρές εταιρίες. Αυτό περιλαμβάνει παραλλαγές με πιστοποίηση CSPN και FIPS – όπως τη σειρά YuiKey 5 FIPS ή τη σειρά 5 CPSN – για όσους αναζητούν μια συσκευή αναγνωρισμένη από το κράτος ή το YubiKey 5 A/C NFC που προσφέρει υποστήριξη FIDO2 και PIV με δυνατότητες USB-C και NFC για συμβατότητα με μια μεγάλη γκάμα συσκευών.
Για τις ανάγκες κρυπτογράφησης επιχειρήσεων, το YubiHSM είναι μια χρήσιμη εργαλειοθήκη για την αποθήκευση και τη δημιουργία ιδιωτικών κλειδιών και άλλου κρυπτογραφικού υλικού με ασφάλεια. Φτάνει σε ένα κλάσμα του κόστους ενός παραδοσιακού HSM, προσφέρεται σε πολύ μικρό μέγεθος, στο μέγεθος ενός νυχιού και υποστηρίζει κοινές διεπαφές όπως το PKCS11 και το Microsoft CNG.
Αν και η Ευρωπαϊκή Οδηγία NIS2 μπορεί να φαίνεται δύσκολη στην εφαρμογή, η αλήθεια είναι ότι τα βασικά ζητούμενα για την ασφάλεια είναι ξεκάθαρα και ότι οποιαδήποτε επένδυση για την ασφάλεια στον κυβερνοχώρο είναι απαραίτητη για την πρόληψη πιθανών μελλοντικών καταστροφών. Η SmartManagement μπορεί να βοηθήσει κάθε επιχείρηση που επιθυμεί διασφαλίσει τη λειτουργία της έναντι των προκλήσεων της κυβερνοασφάλειας, πολύ πέρα από την ανάγκη να ικανοποιήσει απλώς την Ευρωπαϊκή Οδηγία NIS2.