位商務人士正在使用筆記型電腦,螢幕前顯示鎖頭和網路圖示的 HUD 抬頭顯示器

NIS2、DORA 與加密儲存的關鍵角色 — 專家見解

面對日益增長的網路安全威脅,企業必須瞭解並遵守最新法規,這對他們來說至關重要。

此前,我們曾訪問經驗豐富的網路安全專家 David Clarke,探討加密儲存行為的變遷。本次,我們邀請 David 分享他對 NIS2 指令與《數位營運韌性法案 (DORA)》的看法及其影響。

Clarke 擁有豐富的經驗,包括管理全球最大私人交易網路的安全,並經營歐洲最大的安全運作中心之一。以下是本次訪談的主要觀點,以及完整影片。

NIS2 指令概覽

NIS2 指令的設計目的是加強歐盟各國關鍵基礎建設的網路安全復原能力。Clarke 解釋,這項指令針對的產業,一旦遭受攻擊,可能會對廣大人口造成重大影響。其中包括航空、航運、農業、主要零售連鎖店等產業。此外,NIS2 現在也包括託管 IT 服務供應商,因為一旦遭受攻擊,他們可能會影響眾多客戶。

該指令強調網路復原能力和第三方管理的重要性。公司還必須證明其能有效管理 IT 供應商,達到符合規定的網路安全標準。若未能遵守,罰款可達全球營收的 2% 或 1,000 萬歐元(以較高者為準)。即便沒有違反規定,公司仍可能因未提供足夠的合規證據而被罰款。

瞭解 DORA 法規

《數位營運韌性法案 (DORA)》的全名是「Digital Operational Resilience Act」,是專為金融業設立的法案。該法案將於 2025 年 1 月生效,強制實施嚴格的網路安全措施,以確保金融機構的營運復原能力。

Clarke 強調,DORA 的罰款可達全球營收的 1%,若未及時糾正,甚至可能按日計算罰款。DORA 要求金融機構進行威脅導向的滲透測試,並確保系統中沒有單點故障。

事故報告和國際資料傳輸

NIS2 和 DORA 都要求向相關監管機構進行詳細的事故報告。Clarke 指出,DORA 規定必須在 72 小時內報告,並明確說明需包含哪些資訊,例如受影響客戶的數量及風險的性質。

至於國際資料傳輸,Clarke 強調必須採取安全性實務。例如,DORA 要求企業測試其業務連續性計劃,並提供其有效性的證據。這樣可以確保企業能夠妥善處理事故,並展示其應對能力。

將合規轉化為商機

Clarke 認為,遵循法規可以成為一個重要的商機。展現符合網路安全和資料保護標準的能力,可以為企業開啟政府合約和與大型公司合作的大門。這些實體企業通常會要求規模較小的公司提供其網路安全措施的證據,以降低責任風險。

硬體型加密的優勢

為了符合 NIS2 和 DORA,USB 隨身碟必須具備強大的安全功能。Clarke 指出硬體型加密的重要性,這種加密方式比軟體解決方案有多項優勢。硬體型加密是一個封閉的生態系統,能提供強大的安全性以及抵禦攻擊者的防護。

另一方面,行動儲存裝置的軟體加密可以透過重新格式化輕易移除,這樣會影響合規性,並增加資料外洩的風險。此外,使用線上輕易獲得的密碼猜測工具,就有可能入侵那些受密碼保護和軟體加密的檔案。

當被問及企業是否應將 NIST 的 FIPS 認證視為「黃金標準」時。「絕對是的」。Clarke 斷言:「有不少案例顯示,人們聲稱擁有更好的安全性和加密功能,但實際上並未達成,反而被破解。」

Kingston IronKey D500SKeypad 200 隨身碟提供 FIPS 140-3 Level 3 (申請中) 認證,提供目前市場上最強大的軍事等級加密保護,讓企業組織可以放心地防護敏感資料。針對大容量儲存裝置,已通過 FIPS 197 認證的 IronKey Vault Privacy 80 外接式 SSD 固態硬碟最高可擴充至 8 TB,讓關鍵資料的實體隔離備份成為可能。

總結

隨著網路安全威脅的持續增加和擴散,像 NIS2 和 DORA 這樣的指令和法規在確保關鍵基礎建設和金融機構的韌性方面,扮演著重要角色。Clarke 的見解強調了合規性、有效的事件通報、強大的安全措施以及使用硬體型加密儲存裝置的重要性。遵循這些法規,企業組織不僅可以強化其安全態勢,還能利用合規性來獲得競爭優勢。

觀看完整影片

#KingstonIronKey

電路板晶片組上的 Kingston 諮詢專家圖示

請教專家

要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。

請教專家

Kingston IronKey 文章

相關文章