Операторы сетей и ИТ-услуг не избегут нового регламента кибербезопасности
Опубликовано: 26.04.2023
Операторы сетей и ИТ-услуг не избегут нового регламента кибербезопасности
По мере углубления нашей зависимости от ИКТ-систем, которые нам абсолютно необходимы для удовлетворения общих требований цифровизации общества, защита этих систем становится все более важной темой. Профессионально я происхожу из среды частной компании, сферой деятельности которой была ИКТ-инфраструктура, особенно телекоммуникации, в которой к вопросам кибербезопасности относятся очень серьезно.
Наоборот, эта тема не считается самой важной в государственном управлении – безопасность ИКТ-систем стоит дорого и не приносит видимого улучшения услуг. Часто дела решаются только тогда, когда случается беда. К сожалению, в офисах, больницах, школах или подобных организациях достаточно сложно убедить персонал в необходимости обучения и соблюдения элементарной кибергигиены. Хотя мы видим постепенное улучшение, например атака на ŘSD с ущербом в десятки миллионов показал, что король голый и что государство нагоняет долги из прошлого в виде пренебрежения даже базовыми элементами киберзащиты и предотвращения ущерба.
Рука об руку с растущей зависимостью от цифровых процессов развивается и законодательство ЕС. Действующая в настоящее время Директива NIS, Директива о сетевой и информационной безопасности, является первым общеевропейским законодательством о кибербезопасности, и ее конкретной целью было достижение высокого общего уровня кибербезопасности во всех государствах ЕС. Несмотря на то, что способность государств-членов реагировать на киберугрозы увеличилась — мы в целом считаем систему киберзащиты в Европе первоклассной, фактическая реализация директивы оказалась сложной и фрагментарной по всему европейскому рынку.
В ответ на растущие угрозы, связанные с оцифровкой и резким увеличением кибератак, Европейская комиссия представила предложение заменить директиву NIS новой директивой с таким же названием – Директива о сетевой и информационной безопасности 2 (NIS2).
Целью Комиссии является ужесточение требований безопасности, обеспечение безопасности цепочек поставок, упрощение обязательств по уведомлению и, что не менее важно, усиление полномочий соответствующих национальных и европейских органов, ответственных за правоприменение, включая согласованные санкции.
Предложение NIS2 несколько лет обсуждалось в различных органах Комиссии, текущая формулировка уже зафиксирована. после пробной встречи в июне этого года. Между прочим, теневой корреспондент NIS2 — чешский депутат Европарламента. Евжен Тошеновский от ODS (ECR), которая также активно участвовала в обсуждении европейской нормативно-правовой базы для электронных коммуникаций.
Для всех нас важно то, что директива NIS2 расширяет круг регулируемых организаций и распространяется на большее количество отраслей, стремясь повысить их кибербезопасность в долгосрочной перспективе.
В текущей, все еще действующей директиве NIS перечислены две группы объектов. Это операторыбазовых услугиоператоры цифровых услуг. В соответствии с законами транспозиции эти субъекты имеют как отраслевые, так и объемные обязательства. Предприятие, оказывающее услуги в следующих областях:
- энергия (электричество, нефть, природный газ),
- транспорт (воздушный, железнодорожный, водный, автомобильный),
- банковское дело (кредитные учреждения),
- инфраструктура финансовых рынков,
- здравоохранение (медицинские учреждения, включая больницы и частные клиники),
- поставка и распределение питьевой воды (поставщики и дистрибьюторы),
- цифровая инфраструктура (узлы интернет-обмена (IXP), поставщики услуг системы доменных имен (DNS), реестры доменов верхнего уровня в Интернете (TLD)).
Однако в то же время он должен также соответствовать критериям объема предоставляемых услуг, так называемым критериям воздействия. Таким образом, не каждая помпа PHM является базовой услугой, не каждый оператор, предоставляющий доступ в Интернет, является базовой услугой, не каждый кабинет врача является базовой услугой. Он использовался для обозначения такой инфраструктуры как критической (KII) в соответствии с § 2 Закона о кризисе № 240/2000 Coll.
Вернемся к кибербезопасности. В современном обществе, конечно, основные системы обслуживания контролируются информационной системой. Системы, от которых зависят базовые услуги, являются информационными системами базовой услуги.
Предложение по Директиве NIS2 расширяет регулируемые области, и в значительной степени. Меняется и терминология. Новые предметы делятся наосновные и важные.
Базовые объектыв соответствии с Директивой NIS также расширяются:
- в энергетическом секторе – подсекторы централизованного теплоснабжения и охлаждения, а также водорода (операторы по производству, хранению и транспортировке водорода),
- Помимо медицинских учреждений, сектор здравоохранения также будет включать референс-лаборатории ЕС, организации, проводящие исследования и разработки лекарственных средств, организации, производящие основные фармацевтические продукты и препараты, а также медицинские изделия, считающиеся критически важными в случае угрозы для здоровья населения).
- в дополнение к сектору питьевой воды, также добавляется сектор сточных вод,
- сектор цифровой инфраструктуры также включает поставщиков услуг облачных вычислений, услуг центров обработки данных, сетей доставки контента, услуг по укреплению доверия, общедоступных сетей электронной связи, услуг электронной связи (если их услуги общедоступны),
- субъекты в секторе государственного управления (органы центрального государственного управления, органы местного самоуправления) и космоса (наземная инфраструктура, поддерживающая использование космического пространства) также вновь включены сюда.
Важными объектамипредлагается стать:
- почтовые и курьерские услуги,
- управление отходами,
- производство, производство и распространение химических веществ,
- производство, переработка и распределение продуктов питания,
- производство (медицинские изделия и медицинские изделия для диагностики in vitro; компьютеры, электронные и оптические устройства и оборудование; электрическое оборудование; машины и оборудование и т. д. (т.е. машины и оборудование, которые механически или термически воздействуют на материалы или осуществляют производственные процессы на материалах); автомобили; прицепы и полуприцепы и другие транспортные средства и оборудование),
- цифровые услуги (поставщики онлайн-рынков, поисковых систем в Интернете и платформ социальных сетей).
К счастью, в ходе переговоров можно было утверждать, что помимо отраслевого критерия в большинстве случаев будет применяться и критерий размера субъекта, так что новое регулирование, за исключениями, не будет бессмысленно применяться к малым субъектам. Таким образом, сфера действия директивы NIS2будет включать все средние и крупные предприятия в отдельных секторах. Это также четкий критерий с точки зрения государственного управления – даже их компании имеют своих сотрудников и оборот, хотя непосредственно органами государственного управления не являются.
Вернемся к частной сфере, к телекоммуникациям. Операторы сетей электронной связи общего пользования и поставщики общедоступных услуг электронной связи автоматически подпадают под действие директивы и не могут избежать регулирования. Однако средние и крупные компании попадут в категорию «основных», а малый бизнес — только в категорию «важных». Таким образом, размер бизнеса будет иметь важное значение для определения силы будущего регулирования. Конечно, регулирование будет распространяться на всю ИКТ, включая контент-провайдеров, но об этом мы поговорим подробнее в другой раз.
Обязанное лицо должно будет выполнить две основные категории мер; технические и не технические. Прежде всего, это обязательство принимать надлежащие и адекватные технические и организационные меры для управления рисками безопасности. Меры должны включать следующие основные аспекты:
- анализ рисков и политика безопасности информационных систем
- разрешение инцидентов, включая предотвращение и реагирование на них, опять же технические и нетехнические категории мер
- управление непрерывностью бизнеса и антикризисное управление; в том числе, например, отработка перехода на нецифровую работу в аварийном режиме
- безопасность цепочки поставок, включая аспекты безопасности, связанные с отношениями между субъектами, их поставщиками или поставщиками услуг. Опять же, здесь мы имеем дело с техническими и нетехническими аспектами.
- обеспечение приобретения, развития и обслуживания сетевых и информационных систем, включая публикацию информации об уязвимостях и их решениях, предназначенных в первую очередь для вышестоящих и ответственных органов - в нашем случае, вероятно, NÚKIB или CSIRT
- создавать политики и процедуры, включая аудиты и тесты на проникновение, для оценки эффективности мер управления рисками KB
- организации будут обязаны использовать криптографию и шифрование
Управление рисками, описанное в статье 18 NIS2, применяет принцип так называемого «подхода ко всем опасностям». AHA включает в себя защиту сети и информационных систем и, а также их физической среды от любого события. Примерами являются кража, пожар, наводнение, дублирование телекоммуникационных маршрутов, перебои в подаче электроэнергии, вандализм или саботаж или другие неправомерные действия.
В некотором смысле, NIS2 обязывает принять аналогичные и даже более тщательные меры, чем те, которые мы применяли, когда GDPR вступил в силу. Мы предполагаем, что интерес к сертификации по стандарту ISO 27000 будет стремительно расти, в директиве прямо говорится о необходимости соответствовать международно признанным стандартам.
Если вы дочитали до этого места и сходите с ума, не опускайте голову. Меры должны быть пропорциональны размеру субъекта и вероятности возникновения инцидентов. Для оценки и базового аудита также должны служить, например, профессиональные и отраслевые ассоциации. Комитет независимой индустрии ИКТ z.s. Анализ рисков будет также включать оценку рисков критических цепочек поставок. В следующей статье мы более подробно обсудим оценку благонадежности цепочки поставок на тему скоординированной оценки рисков в ЕС по рекомендации (EU) 2019/534 и по комплексу мер для сетей КБ, так называемый набор инструментов ЕС.
Уставные органы регулируемых субъектов будут нести ответственность за реализацию мер, и они будут вынуждены проходить регулярное обучение. Политика кибербезопасности также потребует повышенных требований к человеческим ресурсам. На предприятиях, отвечающих критериям, вытекающим из NIS2, необходимо будет ввести роли менеджера по кибербезопасности, архитектора кибербезопасности и аудитора кибербезопасности (они уже знают регулируемые субъекты в соответствии с действующей редакцией NIS). Конечно, такую роль можно разделить, но она все равно потребует профессиональных возможностей специалистов в области ИКТ.
По оценке автора, если законодательный процесс пройдет гладко, NIS2 выйдет где-то до конца 2022 года. Затем у государств-членов есть 21 месяц для внедрения директивы в национальное законодательство. Включение NIS2 в правовую систему Чехии займет некоторое время, но уже ясно, куда должны будут стремиться ответственные руководители компаний. В конце концов, субъекты также могут добровольно подчиняться директиве. Потеря репутации и устранение последствий серьезной кибератаки обычно обходятся дороже, чем инвестиции в безопасность систем и сервисов управления бизнесом.
Подробнее о кибербезопасности вы можете узнать на конференции Куда идут телекоммуникационные сети? 22 сентября в Пльзене.