Biznesmen korzystający ze swojego laptopa z ikoną kłódki i ikonami sieci internetowych na pierwszym planie

NIS2, DORA i znacząca rola szyfrowanej pamięci – porady eksperta

W obliczu rosnącej liczby cyberataków na organizacje bardzo ważna jest znajomość i przestrzeganie najnowszych przepisów.

Wcześniej mieliśmy okazję porozmawiać z doświadczonym ekspertem w dziedzinie cyberbezpieczeństwa, Davidem Clarkiem, na temat zmieniającego się podejścia do szyfrowania przechowywanych danych. Tym razem poprosiliśmy go o podzielenie się swoimi przemyśleniami na temat dyrektywy NIS2 i Ustawy o cyfrowej odporności operacyjnej (DORA), a także konsekwencji ich wprowadzenia.

David ma bogate doświadczenie w zarządzaniu bezpieczeństwem w największych prywatnych sieciach handlowych na świecie, a także w kierowaniu jednym z największych centrów operacyjnych ds. bezpieczeństwa w Europie. Oto najważniejsze wnioski z naszej rozmowy wraz z pełnym zapisem wideo z wywiadu.

Omówienie dyrektywy NIS2

Dyrektywa NIS2 ma na celu zwiększenie cyberbezpieczeństwa infrastruktury kluczowej w Unii Europejskiej. David Clarke wyjaśnia, że dotyczy ona sektorów, w których naruszenie danych mogłoby mieć poważne konsekwencje dla dużej części populacji. Chodzi o takie branże, jak lotnictwo, usługi przewozowe, rolnictwo, duże sieci handlowe i wiele innych. Ponadto dyrektywa NIS2 obejmuje teraz dostawców zarządzanych usług informatycznych, ze względu na potencjalne zagrożenie dla wielu klientów w przypadku naruszenia danych.

Dyrektywa podkreśla znaczenie cyberodporności i zarządzania współpracą z dostawcami. Firmy muszą także wykazać, że skutecznie zarządzają współpracą ze swoimi dostawcami usług informatycznych, aby spełniać wymagane standardy cyberbezpieczeństwa. Niedostosowanie się do tych przepisów może skutkować karami finansowymi w wysokości do 2% łącznych przychodów (lub do 10 mln euro – zależnie od tego, która kwota jest wyższa). Nawet jeśli nie doszło do naruszenia, przedsiębiorstwa mogą zostać ukarane grzywną za brak odpowiedniej dokumentacji potwierdzającej zapewnienie zgodności.

Zrozumienie wymogów rozporządzenia DORA

Z kolei rozporządzenie o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA) koncentruje się wyłącznie na sektorze finansowym. Przepisy wejdą w życie w styczniu 2025 r., nakładając wymóg stosowania rygorystycznych środków cyberbezpieczeństwa w celu zapewnienia odporności operacyjnej instytucji finansowych.

Clarke podkreśla, że kary przewidziane w rozporządzeniu DORA mogą sięgać 1% łącznych przychodów, a jeśli nieprawidłowości nie zostaną szybko usunięte, możliwe jest naliczanie kar dziennych. Rozporządzenie DORA wymaga od instytucji finansowych przeprowadzania testów penetracyjnych pod kątem potencjalnych zagrożeń w celu upewnienia się, że w ich systemach nie ma pojedynczych punktów awarii.

Zgłaszanie incydentów i międzynarodowy transfer danych

Zarówno dyrektywa NIS2, jak i rozporządzenie DORA wymagają szczegółowego raportowania incydentów odpowiednim organom regulacyjnym. Clarke zwraca uwagę, że rpzporządzenie DORA określa 72-godzinny okres raportowania wraz z precyzyjnymi wytycznymi, jakie informacje musi zawierać raport – np. dotyczące liczby klientów dotkniętych ryzykiem oraz charakteru ryzyka.

Ekspert podkreśla konieczność stosowania bezpiecznych metod międzynarodowego transferu danych. Na przykład rozporządzenie DORA wymaga od przedsiębiorstw testowania planów ciągłości działania oraz przedstawienia dowodów na ich skuteczność. Gwarantuje to, że firmy będą w stanie poradzić sobie z incydentami i potwierdzić swoje przygotowanie w tym zakresie.

Zapewnienie zgodności jako szansa biznesowa

Clarke uważa, że zapewnienie zgodności z przepisami może być istotną szansą biznesową. Wykazanie zgodności ze standardami cyberbezpieczeństwa i ochrony danych może otworzyć firmom drzwi do kontraktów rządowych i partnerstwa z większymi podmiotami. Często wymagają one od mniejszych firm dostarczenia dowodów potwierdzających stosowanie środków cyberbezpieczeństwa, aby ograniczyć ryzyko odpowiedzialności prawnej.

Zalety szyfrowania sprzętowego

Aby spełnić wymogi regulacji NIS2 i DORA, nośniki pamięci USB muszą być wyposażone w solidne zabezpieczenia. Clarke zwraca uwagę na znaczenie szyfrowania sprzętowego,które ma kilka zalet w porównaniu z rozwiązaniami opartymi na oprogramowaniu. Mechanizmy szyfrowania sprzętowego to zamknięty ekosystem zapewniający bezpieczeństwo i ochronę przed atakami.

Z drugiej strony szyfrowanie programowe pamięci przenośnej można łatwo usunąć poprzez jej ponowne sformatowanie, co jest niezgodne z przepisami i zwiększa ryzyko naruszenia bezpieczeństwa danych. Ponadto pliki zabezpieczone hasłem lub zaszyfrowane programowo są podatne na naruszenie z wykorzystaniem z łatwo dostępnych narzędzi do odgadywania haseł, które można znaleźć w Internecie.

Na pytanie, czy organizacje powinny przejść na „złoty standard”, jakim są rozwiązania pamięci z certyfikatem FIPS przyznawanym przez organizację NIST, Clarke odpowiada: „jak najbardziej”. Ekspert mówi, że „było sporo przypadków użytkowników, którzy twierdzili, że mają lepsze zabezpieczenia i szyfrowanie, a one się nie sprawdziły i zostały złamane”.

Pamięci USB Kingston IronKey D500S i Keypad 200 mają certyfikat FIPS 140-3 Level 3 (w toku), co oznacza, że skutecznie chronią dane, wykorzystując jeden z najsilniejszych dostępnych systemów szyfrowania, który spełnia wojskowe normy bezpieczeństwa. Jeśli chodzi o pamięć masową o dużej pojemności, zewnętrzny dysk SSD IronKey Vault Privacy 80 z certyfikatem FIPS 197 oferuje do 8TB, które można wykorzystać do zapisu kopii zapasowych ważnych danych w trybie offline.

Wnioski

Zagrożenia dla cyberbezpieczeństwa nadal rosną i rozprzestrzeniają się, dlatego dyrektywy i regulacje, takie jak NIS2 i DORA, odgrywają decydującą rolę w zapewnianiu odporności kluczowej infrastruktury oraz instytucji finansowych. David Clarke podkreśla znaczenie zapewnienia zgodności z przepisami, efektywnego zgłaszania incydentów, solidnych zabezpieczeń oraz korzystania z pamięci szyfrowanej sprzętowo. Dzięki wdrożeniu tych regulacji i zapewnieniu zgodności z przepisami organizacje mogą nie tylko zwiększyć swoje bezpieczeństwo, ale także zyskać przewagę konkurencyjną.

Obejrzyj cały film

#KingstonIronKey

Ikona usługi Zapytaj eksperta firmy Kingston na płytce drukowanej chipsetu

Zapytaj eksperta

Aby wybrać odpowiednie rozwiązanie, należy poznać cele bezpieczeństwa swojego projektu. Skorzystaj ze wskazówek ekspertów firmy Kingston.

Zapytaj eksperta

Artykuły na temat Kingston IronKey

Powiązane artykuły