Dyrektywa NIS 2 – zagrożenie może płynąć od wewnątrz.

Obecnie usługi cyfrowe są niezbędne do prawidłowego funkcjonowania konsumentów, przedsiębiorstw, instytucji, a nawet całych państw. Rozwój cyfrowej gospodarki dał ogromne możliwości wymiany informacji, handlu i współpracy pomiędzy niezależnymi podmiotami. Niestety wypadkową tego rozwoju są również nowe zagrożenia. Główne z nich to niedostępności kluczowych usług informatycznych, stanowiących podstawę funkcjonowania przedsiębiorstw, wycieki danych osobowych, wycieki informacji poufnych, a także ataki cybernetyczne, których głównym celem może być wymuszenie, okupu lub destabilizacja.

Dyrektywa NIS, w której spisane są obowiązki państw członkowskich okazała się niewystarczająca, ponieważ nakładała ona zbyt małe obowiązki na podmioty kluczowe oraz nie obejmowała wszystkich istotnych sektorów gospodarki. Dlatego bardziej kompleksową regulacją ma być dyrektywa NIS 2, której celem będzie doprowadzenie do zwiększenia bezpieczeństwa usług cyfrowych świadczonych na terytorium Unii Europejskiej. Jako podmioty kluczowe z perspektywy zapewnienia cyberbezpiczeństwa, oprócz podmiotów z sektora energetycznego, transportowego, bankowego, finansowego czy zdrowotnego (wymienionych w NIS) uznano m.in.: dostawców usług cyfrowych, dostawców usług zaufania; podmioty produkujące żywności; podmioty produkujące elektronikę; podmioty produkujące samochody; administrację publiczną; oraz usługi pocztowe i kurierskie.

Mówiąc o bezpieczeństwie informatycznym, specjaliści często powtarzają, że najsłabszym ogniwem całościowego bezpieczeństwa informatycznego jest człowiek. Dlatego rolą działów IT powinno być przewidywanie tego, co może się wydarzyć, jaki błąd może popełnić użytkownik i zabezpieczanie luk bezpieczeństwa, które mogą być przyczyną incydentu. W tym celu dobierane są różne systemy informatyczne, których zadaniem jest kontrola i ograniczanie użytkowników, a także reakcja na ewentualne zagrożenia. Obserwując ogólny trend w wyborze rozwiązań bezpieczeństwa w pierwszej kolejności stawiamy na te, które chronią organizację od zewnątrz. Na przykład systemy typu firewall i antywirus, których zadaniem jest ograniczenie możliwości użytkowników w sieci Internet oraz ochrona przed zagrożeniami płynącymi spoza firmy, często zapominając o tym, że samo niebezpieczeństwo może nadejść od wewnątrz ze strony pracowników. Nie mamy tu wcale na myśli umyślnego działania ze strony niezadowolonego pracownika. Do incydentu bezpieczeństwa często dochodzi w wyniku nieroztropnego, nieświadomego działania lub zwykłej nieuwagi. Dlatego tak istotne jest zabezpieczenie sieci również od wewnątrz tak, aby mieć wiedzę, jakie urządzenia znajdują się w sieci, kto z nich korzysta i niedopuszczanie do niej urządzeń nieznanych. Nie kontrolując dostępu do sieci narażamy się na to, że podłączone może zostać urządzenie, które jest zainfekowane, lub podatne na ataki, co może doprowadzić to poważnych konsekwencji. Nie mając wdrożonego systemu kontroli dostępu do sieci nie jesteśmy w stanie zareagować automatycznie na zagrożenia. Co z tego, że system firewall lub antywirus wykryje zagrożenie na komputerze, jeżeli pozostanie on w sieci firmowej przez kolejne minuty, godziny, a nawet dni powodując infekcję pozostałych urządzeń pracujących w sieci firmowej. Zadaniem systemów NAC (Network Access Control) jest nie tylko kontrola nad tym, co podłącza się do sieci, ale również reakcja na informacje otrzymane z innych rozwiązań. W sytuacji, gdy firewall lub antywirus wykryje niebezpieczeństwo na komputerze system NAC niemal natychmiast odetnie takie urządzenie z sieci nie pozwalając na rozprzestrzenianie się niebezpieczeństwa na całą sieć firmową.

Dlatego w kontekście bezpieczeństwa informatycznego firmy, instytucji czy całego państwa bardzo ważne jest podejście całościowe i kompleksowe niezaniedbujące żadnego jej elementu. W dzisiejszym świecie cyberataków i naruszeń bezpieczeństwa wykorzystanie jedynie systemu antywirusowego lub systemu firewall nie wystarczy do ochrony infrastruktury i systemów przedsiębiorstwa.

 


Powrót do Aktualności