Firmy mają coraz mniej czasu na wzmocnienie swojego bezpieczeństwa

W styczniu ubiegłego roku weszły w życie nowe regulacje, które wymagają od firm i organizacji wzmocnienia ochrony przed cyberatakami. Do kiedy przedsiębiorstwa mają czas na przygotowanie i czego dokładnie wymagają od nich przepisy Unii Europejskiej?

Rola technologii w biznesie i życiu społecznym rośnie. Wraz z nią rośnie zagrożenie cyberatakami. To dlatego Unia Europejska opracowała nowe regulacje – rozporządzenie DORA i dyrektywę NIS 2. Mają one podnieść poziom cyberbezpieczeństwa w całej Unii.

Kogo dotyczą DORA i NIS 2

Rozporządzenie DORA, które zacznie obowiązywać w Polsce 17 stycznia 2025 roku, obejmuje swoim zasięgiem podmioty działające w sektorze finansowym, w tym banki, instytucje kredytowe, firmy inwestycyjne i płatnicze czy firmy ubezpieczeniowe, a także dostawców technologii dla tych instytucji.

NIS 2 natomiast to dyrektywa, której termin wdrożenia upływa 17 października 2024 roku. Dotyczy znacznie szerszego grona firm. Obejmuje bowiem organizacje świadczące usługi kluczowe dla gospodarki i społeczeństwa, takie jak energia, transport, gospodarka wodna, opieka zdrowotna i infrastruktura cyfrowa. Co ważne – stosują ją przede wszystkim podmioty mające status przynajmniej średniego przedsiębiorstwa.

Nowe regulacje dotyczą dużej liczby przedsiębiorstw. Najważniejsze jest jednak to, aby każdy podmiot działający w sektorach objętych rozporządzeniem i dyrektywą przeanalizował swoją sytuację i sprawdził, czy musi się stosować do tych przepisów, a jeśli tak – to w jakim zakresie. Dobrze jest się już dziś zapoznać z treścią dokumentów i przedyskutować temat z prawnikami. Czasu jest już naprawdę niewiele. Warto też pamiętać, że i DORA, i NIS 2 mają na celu podniesienie poziomu cyberbezpieczeństwa, zatem wszelkie działania podjęte w związku z ich wejściem w życie posłużą i samym organizacjom, i ich kontrahentom oraz klientom – mówi Krzysztof Góźdź, Dyrektor Sprzedaży w Secfense, firmie opracowującej rozwiązania z obszaru cyberbezpieczeństwa.

Jak przygotować się do nowych przepisów

Ani DORA, ani NIS 2 nie dają konkretnych wskazówek dotyczących technologii, których wdrożenie pomoże przygotować się do wdrożenia nowych przepisów. Natomiast wskazują obszary działania i możliwe kroki, które firmy mogą podjąć.

DORA stawia nie tylko na ochronę przed cyberatakami, ale także na sprawne przywrócenie działalności przedsiębiorstwa w przypadku wystąpienia incydentu bezpieczeństwa. Wymaga od organizacji między innymi przygotowania polityki cyberbezpieczeństwa, implementacji odpowiednich zabezpieczeń (w tym m.in. szyfrowania, uwierzytelniania, kontroli dostępu, monitoringu, narzędzi audytu), wdrożenia procesów wykrywania i zarządzania incydentami związanymi z ICT oraz przygotowania scenariuszy działań na wypadek cyberataku lub innego rodzaju incydentu bezpieczeństwa.

Dyrektywa NIS 2 natomiast skupia się na środkach zarządzania ryzykiem w cyberbezpieczeństwie. Wymaga od podmiotów kluczowych i ważnych wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, które pomogą w zarządzaniu ryzykiem bezpieczeństwa sieci i systemów informatycznych oraz w zapobieganiu wpływowi incydentów na odbiorców ich usług lub na inne usługi.

NIS 2 nakłada jednak na podmioty kluczowe i ważne obowiązek przyjęcia szerokiego wachlarza podstawowych praktyk dotyczących cyberhigieny. W ich skład wchodzą między innymi zasada zerowego zaufania, regularna aktualizacja oprogramowania, odpowiednia konfiguracja urządzeń, segmentacja sieci, a także zarządzanie tożsamością i dostępem. Ważnym obowiązkiem jest również podnoszenie świadomości użytkowników, w tym organizacja szkoleń dla pracowników oraz szerzenie wiedzy na temat cyberzagrożeń, phishingu i technik inżynierii społecznej – dodaje Krzysztof Góźdź.

Konkretne zalecenie – wdrożenie silnego uwierzytelniania

Choć DORA i NIS 2 nie narzucają konkretnych rozwiązań, z których należy skorzystać, jednoznacznie wskazują na konieczność stosowania mechanizmów silnego uwierzytelniania.

W rozporządzeniu DORA znajdziemy jednoznaczne sformułowanie, mówiące o tym, że podmioty finansowe wdrażają silne mechanizmy uwierzytelniania. Nie ma tu żadnego pola do własnej interpretacji. Innym słowem – organizacje całego sektora są zobligowane do zaimplementowania takich rozwiązań. Zresztą wymóg ten wpisuje się w rekomendacje Komisji Nadzoru Finansowego, która w październiku 2022 r. uznała brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów za nieakceptowalne ryzyko – wyjaśnia Krzysztof Góźdź.

Według NIS 2 organizacje samodzielnie powinny ocenić własne zdolności w zakresie cyberbezpieczeństwa i w stosownych przypadkach wdrożyć odpowiednie technologie zabezpieczające, takie jak systemy oparte na sztucznej inteligencji (AI) lub uczeniu maszynowym (ML), aby poprawić swoje zdolności do ochrony przed cyberprzestępcami.

Co tu ukrywać – to daleko idące wymagania i rekomendacje. Jeśli zatem rozwiązania oparte na AI czy ML mają stać się standardem w przedsiębiorstwach, tym bardziej mechanizmy silnego uwierzytelniania powinny zostać uznane za podstawowy mechanizm ochronny i stanowić fundament ekosystemu cyberbezpieczeństwa w organizacji – konkluduje ekspert z Secfense.

Tym bardziej że technologia ta jest rekomendowana coraz częściej przez administrację publiczną i organy nadzoru różnych sektorów, w tym Urząd Ochrony Danych Osobowych czy Komisję Nadzoru Finansowego.

Silne uwierzytelnianie, czyli co?

Silne uwierzytelnianie to zaawansowana metoda weryfikacji tożsamości użytkownika w procesach związanych z płatnościami elektronicznymi oraz dostępem do kont i usług online. Wymaga przeprowadzenia co najmniej dwóch niezależnych, trudnych do podrobienia etapów weryfikacji. Można w nich wykorzystać coś, co użytkownik zna (hasło), posiada (telefon) lub czym jest (biometria).

Doświadczenie pokazuje, że tak szeroko stosowane dziś hasła nie są niestety wystarczającą barierą dla cyberprzestępców. Przede wszystkim dlatego, że łatwo jest je wykraść lub odgadnąć. Nawet SMS-y nie są już dziś problemem dla intruzów. Średnio zaawansowany przestępca jest w stanie rozpracować SMS 2FA za pomocą kilku tutoriali dostępnych na YouTube i złamać zabezpieczenia w kilkanaście minut. Przyszłością jest odporne na phishing uwierzytelnianie wieloskładnikowe oparte na biometrii i kryptografii, czyli FIDO – wyjaśnia ekspert z Secfense.

Na rynku jest wiele rozwiązań z obszaru MFA, zdarza się jednak, że ich wdrożenie w organizacji zajmuje wiele miesięcy. Dodatkowo wiąże się z ingerencją w kod. Zmusza też użytkowników do zmiany swoich przyzwyczajeń, co może wywołać opór, a nawet potrzebę zmiany dostawcy np. usług bankowych.

Znając te problemy, opracowaliśmy rozwiązanie User Access Security Broker, które umożliwia wdrożenie MFA na dowolnej aplikacji w 5 minut oraz wprowadzenie MFA w całej organizacji w 7 do 14 dni. Technologia umożliwia łatwą i szybką implementację dowolnego MFA, w tym także najskuteczniejszego dziś FIDO2, na każdej aplikacji bez ingerencji w jej kod – podsumowuje Krzysztof Góźdź z Secfense.

Czasu na dostosowanie się do nowych przepisów jest coraz mniej. Firmy, które już teraz przeanalizują swoją sytuację, systemy zabezpieczeń, procedury i strategie i wprowadzą wymagane technologie oraz polityki, będą mogły nie tylko ze spokojem patrzeć w przyszłość, ale też skutecznie walczyć z nasilającymi się atakami cyberprzestępców.

Źródło: materiały prasowe. Zdjęcie ilustracyjne – fot. Shutterstock.

Udostępnij wpis:

Zapisz się na Newsletter

Bądź na bieżąco ze wszystkimi artykułami, tematami i wydarzeniami.

PROJEKT CHARYTATYWNY GLORIA VICTISspot_img

Popularne

Podobne
Podobne

Ponad połowa Polaków ufa instytucjom finansowym w kwestii cyberbezpieczeństwa

Badanie „Postawy Polaków wobec cyberbezpieczeństwa” – przygotowane przez Biostat...

Krajobraz cyberprzestrzeni

W 2023 r. obsłużono ponad 80 tys. incydentów cyberbezpieczeństwa...

Cyfryzacja. Nowe otwarcie – podsumowanie 100 dni

Otwarte konsultacje społeczne, nadrabianie zaległości legislacyjnych oraz przyspieszenie prac...

Wysyłanie dokumentów drogą mailową. Niezbędne środki ostrożności

Z raportu przygotowanego przez ClickMeeting wynika, że zaledwie 20%...