W styczniu ubiegłego roku weszły w życie nowe regulacje, które wymagają od firm i organizacji wzmocnienia ochrony przed cyberatakami. Do kiedy przedsiębiorstwa mają czas na przygotowanie i czego dokładnie wymagają od nich przepisy Unii Europejskiej?
Rola technologii w biznesie i życiu społecznym rośnie. Wraz z nią rośnie zagrożenie cyberatakami. To dlatego Unia Europejska opracowała nowe regulacje – rozporządzenie DORA i dyrektywę NIS 2. Mają one podnieść poziom cyberbezpieczeństwa w całej Unii.
Kogo dotyczą DORA i NIS 2
Rozporządzenie DORA, które zacznie obowiązywać w Polsce 17 stycznia 2025 roku, obejmuje swoim zasięgiem podmioty działające w sektorze finansowym, w tym banki, instytucje kredytowe, firmy inwestycyjne i płatnicze czy firmy ubezpieczeniowe, a także dostawców technologii dla tych instytucji.
NIS 2 natomiast to dyrektywa, której termin wdrożenia upływa 17 października 2024 roku. Dotyczy znacznie szerszego grona firm. Obejmuje bowiem organizacje świadczące usługi kluczowe dla gospodarki i społeczeństwa, takie jak energia, transport, gospodarka wodna, opieka zdrowotna i infrastruktura cyfrowa. Co ważne – stosują ją przede wszystkim podmioty mające status przynajmniej średniego przedsiębiorstwa.
– Nowe regulacje dotyczą dużej liczby przedsiębiorstw. Najważniejsze jest jednak to, aby każdy podmiot działający w sektorach objętych rozporządzeniem i dyrektywą przeanalizował swoją sytuację i sprawdził, czy musi się stosować do tych przepisów, a jeśli tak – to w jakim zakresie. Dobrze jest się już dziś zapoznać z treścią dokumentów i przedyskutować temat z prawnikami. Czasu jest już naprawdę niewiele. Warto też pamiętać, że i DORA, i NIS 2 mają na celu podniesienie poziomu cyberbezpieczeństwa, zatem wszelkie działania podjęte w związku z ich wejściem w życie posłużą i samym organizacjom, i ich kontrahentom oraz klientom – mówi Krzysztof Góźdź, Dyrektor Sprzedaży w Secfense, firmie opracowującej rozwiązania z obszaru cyberbezpieczeństwa.
Jak przygotować się do nowych przepisów
Ani DORA, ani NIS 2 nie dają konkretnych wskazówek dotyczących technologii, których wdrożenie pomoże przygotować się do wdrożenia nowych przepisów. Natomiast wskazują obszary działania i możliwe kroki, które firmy mogą podjąć.
DORA stawia nie tylko na ochronę przed cyberatakami, ale także na sprawne przywrócenie działalności przedsiębiorstwa w przypadku wystąpienia incydentu bezpieczeństwa. Wymaga od organizacji między innymi przygotowania polityki cyberbezpieczeństwa, implementacji odpowiednich zabezpieczeń (w tym m.in. szyfrowania, uwierzytelniania, kontroli dostępu, monitoringu, narzędzi audytu), wdrożenia procesów wykrywania i zarządzania incydentami związanymi z ICT oraz przygotowania scenariuszy działań na wypadek cyberataku lub innego rodzaju incydentu bezpieczeństwa.
Dyrektywa NIS 2 natomiast skupia się na środkach zarządzania ryzykiem w cyberbezpieczeństwie. Wymaga od podmiotów kluczowych i ważnych wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, które pomogą w zarządzaniu ryzykiem bezpieczeństwa sieci i systemów informatycznych oraz w zapobieganiu wpływowi incydentów na odbiorców ich usług lub na inne usługi.
– NIS 2 nakłada jednak na podmioty kluczowe i ważne obowiązek przyjęcia szerokiego wachlarza podstawowych praktyk dotyczących cyberhigieny. W ich skład wchodzą między innymi zasada zerowego zaufania, regularna aktualizacja oprogramowania, odpowiednia konfiguracja urządzeń, segmentacja sieci, a także zarządzanie tożsamością i dostępem. Ważnym obowiązkiem jest również podnoszenie świadomości użytkowników, w tym organizacja szkoleń dla pracowników oraz szerzenie wiedzy na temat cyberzagrożeń, phishingu i technik inżynierii społecznej – dodaje Krzysztof Góźdź.
Konkretne zalecenie – wdrożenie silnego uwierzytelniania
Choć DORA i NIS 2 nie narzucają konkretnych rozwiązań, z których należy skorzystać, jednoznacznie wskazują na konieczność stosowania mechanizmów silnego uwierzytelniania.
– W rozporządzeniu DORA znajdziemy jednoznaczne sformułowanie, mówiące o tym, że podmioty finansowe wdrażają silne mechanizmy uwierzytelniania. Nie ma tu żadnego pola do własnej interpretacji. Innym słowem – organizacje całego sektora są zobligowane do zaimplementowania takich rozwiązań. Zresztą wymóg ten wpisuje się w rekomendacje Komisji Nadzoru Finansowego, która w październiku 2022 r. uznała brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów za nieakceptowalne ryzyko – wyjaśnia Krzysztof Góźdź.
Według NIS 2 organizacje samodzielnie powinny ocenić własne zdolności w zakresie cyberbezpieczeństwa i w stosownych przypadkach wdrożyć odpowiednie technologie zabezpieczające, takie jak systemy oparte na sztucznej inteligencji (AI) lub uczeniu maszynowym (ML), aby poprawić swoje zdolności do ochrony przed cyberprzestępcami.
– Co tu ukrywać – to daleko idące wymagania i rekomendacje. Jeśli zatem rozwiązania oparte na AI czy ML mają stać się standardem w przedsiębiorstwach, tym bardziej mechanizmy silnego uwierzytelniania powinny zostać uznane za podstawowy mechanizm ochronny i stanowić fundament ekosystemu cyberbezpieczeństwa w organizacji – konkluduje ekspert z Secfense.
Tym bardziej że technologia ta jest rekomendowana coraz częściej przez administrację publiczną i organy nadzoru różnych sektorów, w tym Urząd Ochrony Danych Osobowych czy Komisję Nadzoru Finansowego.
Silne uwierzytelnianie, czyli co?
Silne uwierzytelnianie to zaawansowana metoda weryfikacji tożsamości użytkownika w procesach związanych z płatnościami elektronicznymi oraz dostępem do kont i usług online. Wymaga przeprowadzenia co najmniej dwóch niezależnych, trudnych do podrobienia etapów weryfikacji. Można w nich wykorzystać coś, co użytkownik zna (hasło), posiada (telefon) lub czym jest (biometria).
– Doświadczenie pokazuje, że tak szeroko stosowane dziś hasła nie są niestety wystarczającą barierą dla cyberprzestępców. Przede wszystkim dlatego, że łatwo jest je wykraść lub odgadnąć. Nawet SMS-y nie są już dziś problemem dla intruzów. Średnio zaawansowany przestępca jest w stanie rozpracować SMS 2FA za pomocą kilku tutoriali dostępnych na YouTube i złamać zabezpieczenia w kilkanaście minut. Przyszłością jest odporne na phishing uwierzytelnianie wieloskładnikowe oparte na biometrii i kryptografii, czyli FIDO – wyjaśnia ekspert z Secfense.
Na rynku jest wiele rozwiązań z obszaru MFA, zdarza się jednak, że ich wdrożenie w organizacji zajmuje wiele miesięcy. Dodatkowo wiąże się z ingerencją w kod. Zmusza też użytkowników do zmiany swoich przyzwyczajeń, co może wywołać opór, a nawet potrzebę zmiany dostawcy np. usług bankowych.
– Znając te problemy, opracowaliśmy rozwiązanie User Access Security Broker, które umożliwia wdrożenie MFA na dowolnej aplikacji w 5 minut oraz wprowadzenie MFA w całej organizacji w 7 do 14 dni. Technologia umożliwia łatwą i szybką implementację dowolnego MFA, w tym także najskuteczniejszego dziś FIDO2, na każdej aplikacji bez ingerencji w jej kod – podsumowuje Krzysztof Góźdź z Secfense.
Czasu na dostosowanie się do nowych przepisów jest coraz mniej. Firmy, które już teraz przeanalizują swoją sytuację, systemy zabezpieczeń, procedury i strategie i wprowadzą wymagane technologie oraz polityki, będą mogły nie tylko ze spokojem patrzeć w przyszłość, ale też skutecznie walczyć z nasilającymi się atakami cyberprzestępców.Więcej informacji