25. května bylo splněno sedmé výročí zavedení GDPR. Iniciativa, kterou GDPR zahájila v roce 2018, nyní pokračuje NIS2, s cílem povzbudit společnosti, aby učinily své procesy a digitální infrastrukturu robustnější, aby kybernetické útoky mohly lépe odolat. Ti, kteří odvedli dobrou práci v souladu s GDPR, získají výhody ohledně naplnění NIS2, i když některé laguny zůstávají.
Je důležité, aby společnosti více efektivně a úspěšly důsledky útoků. Příliš často, jak se nedávno stalo s M&S ve Velké Británii, se vyrábějí celkové přerušení, důležitá data a poškození postižených společností, jejich dodavatelé a zákazníci.
GDPR zaručil, že společnosti pečlivěji spravují osobní údaje. Úřady již uložily pokuty za celkem téměř 6 200 milionů EUR společnosti, které tyto standardy porušují. V květnu 2024 bylo toto číslo 4,6 miliardy EUR. Směrnice NIS2 si klade za cíl regulovat aplikaci pomocí podobného konceptu jemného konceptu, s rozdílem, že vlastní ředitelé společnosti budou zodpovědní s jejich aktivy.
Některé společnosti se proto uchýlily k pomoci konzultantů, jako je KPMG, aby zajistily dodržování předpisů. Jeho zkušenost ukazuje, že společnosti najdou několik problémů, protože směrnice ponechává mnoho manévru a závisí převážně na individuální interpretaci. Problém je často podrobně například s ohledem na odpovědnost správcovského orgánu, informačních závazků v případě incidentů nebo zabezpečení základních technologií pro provoz.
Lhůta povinnosti informovat
Jedním z nejnáročnějších požadavků GDPR i NIS2 je povinnost informovat v případě kybernetických incidentů. GDPR vyžaduje, aby porušení údajů byla oznámena do 72 hodin. NIS2 vyžaduje, aby postižené společnosti upozornily na vážné incidenty v oblasti kybernetické bezpečnosti do 24 hodin v případě nouze.
Pracovní postupy a procesy nezbytné pro NIS2 by proto již měly probíhat z dodržování předpisů GDPR. Musí se však urychlit. V důsledku toho musí společnosti používat automatizované procesy, aby se dozvěděli o svých datových zásobách a kategorizovaly důležitá data.
Ještě důležitější je to, že společnost zůstává v případě nouze funkční, a to i během probíhajícího útoku. K tomu musí dodržovat koncept „minimální životaschopnosti“. Tento koncept předem přesně definuje, jakou infrastrukturu, systémy, aplikace, procesy a prostředí jsou nezbytné k udržení nouzových operací. Dále je tento minimální balíček bezpečně uložen v izolovaném prostředí tak, aby nebyl útoky ovlivněn.
V případě útoku je nouzový balíček aktivován v izolované bílé místnosti, ze které IT bezpečnosti a infrastrukturní zařízení přeinstalují zesílené produkční prostředí a současně zkoumá útok, ohrožené údaje a zadní dveře. Pouze ti, kteří mohou jednat okamžitě a zahájit analýzu, mohou splnit přísné informace o informacích. Mimochodem, společnosti, které nejsou tak připravené, trvají po kybernetickém útoku v průměru 24 dní, 24 dní v tvář období 24 hodin vyžadované nařízením.
Řídit preventivní rizika
GDPR vyžaduje vyhodnocení dopadu na ochranu údajů (EIPD) pro operace s léčbou s vysokým rizikem, zatímco NIS2 zase vyžaduje opatření na řízení rizik souvisejících s počítačovou infrastrukturou. Patří sem například analýza hrozeb a plánování kontinuity činnosti. Procesy analýzy rizik GDPR mohou být odpovídajícím způsobem přijaty a rozšířeny tak, aby pokryly rizika ochrany údajů a kybernetická bezpečnost.
Aby se rizika co nejdříve identifikovala, musí společnosti odpovídajícím způsobem prozkoumat své soubory dat. A pro minimalizaci dopadu na jeho výrobní prostředí stojí za to dohlížet na zálohy. To umožňuje bezpečnostnímu vybavení přesně detekovat jakoukoli anomálii, která může podrobněji zkoumat a v ideálním případě zastavit bezprostřední útok.
Aby se společnosti dále snížilo riziko, musí společnosti pravidelně testovat data a systémy a praktikovat interakci všech zařízení ve skutečném prostředí čistého pokoje se skutečnými daty a nejen na papíře. Teprve potom zařízení detekuje laguny v pokrytí a objeví problémy s koordinací a pracovní postupy. Během útoku je vybavení mentálně napjaté a úrovně stresu jsou velmi vysoké, takže tato zkušenost musí být získána dříve, než dojde k útoku.
Více synergií
- GDPR vyžaduje, aby byly funkce ochrany údajů stanoveny a správně spravoványjako u manažera ochrany dat (DPO)
- Musí být implantovány odpovídající struktury správy. NIS2 zase vyžaduje jasné odpovědnosti v kybernetické bezpečnosti, včetně jmenování ředitele informační bezpečnosti (CISO) nebo podobných funkcí. Stávající funkce procesu GDPR a odpovídající struktury správy lze přizpůsobit nebo rozšířit tak, aby zahrnovaly povinnosti kybernetické bezpečnosti
- GDPR vyžaduje, aby společnosti uplatňovaly několik opatření. Patří mezi ně problémy, jako je šifrování, řízení přístupu, ověřování a pseudonymizace, což jsou standardní bezpečnostní opatření. NIS2 vyžaduje podobné kontroly kybernetické bezpečnosti, ale více se zaměřuje na provoz. Mnoho kontroly zabezpečení GDPR zcela nebo částečně splňuje požadavky NIS2: Často jsou vyžadována pouze zlepšená opatření pro zabezpečení počítače
- GDPR vyžaduje, aby společnosti podrobně dokumentovaly, jak zpracovávají osobní údaje. Tyto zprávy musí zahrnovat činnosti léčby a hodnocení dopadů na ochranu údajů. NIS2 také vyžaduje dokumentaci bezpečnostních zásad, odpovědí na incidenty a výsledky auditů. Centralizované systémy dokumentace GDPR lze znovu použít a rozšířeny tak, aby pokryly dodržování dodržování NIS2
Závěr
Zavedení NIS2 bude hodně vyžadovat společnostem, ale ti, kteří plnili své povinnosti při uplatňování GDPR, mohou z této přípravné práce těžit. Je velmi pravděpodobné, že NIS2 vede k obecnému zvýšení bezpečnostních úrovní, což ztěžuje počítačovým pirátům a kybernetickým řemeslníkům, aby ohrozily kritickou infrastrukturu. A tato větší kybernetická odolnost bude nakonec konkurenční výhodou. Zvykli jsme si, že kybernetické útoky jsou součástí každodenního života. A díky NIS2 se očekává, že si zvykneme na společnosti, aby odolávaly útokům a budou znovu online za pár dní nebo hodin, ne v týdnech nebo měsících.
Autor: Ricardo José Garrido Reichelt, bezpečnostní technolog EMEA, Commvault CTO Office
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
