NIS2, nová evropská směrnice zaměřená na kybernetickou bezpečnost, přináší rozsáhlé změny a nové povinnosti pro firmy a veřejné instituce v České republice. S přijetím NIS2 se zvyšuje počet subjektů, které budou podléhat povinnostem zajištění kybernetické bezpečnosti
a rozšiřuje se i spektrum závazků, které tyto subjekty musí splnit.
Nový zákon o kybernetické bezpečnosti by měl významně posílit ochranu nejen pro klíčové subjekty, ale také pro další důležité prvky národní infrastruktury a služeb, což klade na podniky a instituce nové a významné výzvy. O přípravách na NIS2 jsme si povídali s Michalem Řezáčem, ředitelem sekce bezpečnosti a informačních technologií společnosti GORDIC.
Všude slyšíme o nové evropské směrnici NIS2. Jak se na změny spojené s novou legislativou spojenou s kybernetickou bezpečností připravujete?
Jako firma, která zákazníkům nabízí produkty a služby v oblasti kybernetické bezpečnosti, se samozřejmě vlastní bezpečností intenzivně zabýváme. Již nyní jsme schopni zatím známé požadavky evropské směrnice NIS2 plnit. Já osobně úpravu legislativy a zpřísnění požadavků vítám. Firmy si neuvědomují rizika, dokud je bezpečnostní incident nepostihne. Potom už bývá ale pozdě. Pro naše zákazníky jsme, kvůli zvýšeným požadavkům i kvůli změně legislativy, rozšířili nabídku služeb z této oblasti. Troufám si říct, že jsou na velmi pokročilé úrovni. Při jejich přípravě jsme se zaměřili na snadné nasazení a správu, možnost integrace na jiné nástroje i brzkou návratnost investice.
O jaké služby se jedná?
Je jím například monitorování externí útočné plochy. Ve zkratce to znamená, že prostředí umožní zákazníkovi monitorovat dění týkající se jejich firmy na internetu, a to i v prostředí dark webu. Umožní pohled kybernetického útočníka na vlastní aktiva firmy. Výsledkem je pak celková inventarizace – externích služeb, technologií, DNS, certifikátů i potenciálních zranitelností, které jsou viditelné na internetu.
Znamená to, že budu mít pod kontrolou veškeré dění na internetu, týkající se mé firmy?
Ano, jde v podstatě o takový monitoring. Kromě aktiv firmy umí monitorovat i podvodné domény nebo účty na sociálních sítích, které se snaží vystupovat jménem firmy zákazníka. Zmiňovaná funkce nabízí kromě detekce podvodné domény nebo účtu i integrovaný tzv. takedown. To znamená, že umí jediným tlačítkem za definovaných okolností iniciovat odstranění podvodné domény či účtu
Co když namítnu, že už mám aplikace, které dokáží sledovat události na mojí infrastruktuře?
Důležité je také vyhodnocení zjištěných skutečností. My máme například produkt, který výstupy z různých bezpečnostních nástrojů umí integrovat do jednoho funkčního celku. Jedná se o produkt Centrální správa událostí.
Jde o otevřenou bezpečnostní platformu, kdetechnologie AI zaručí správné vyhodnocení a srozumitelné poskládání všech dat. Platforma je integrující s technologiemi SIEM, E/XDR, SOAR. Znamená to, že se neznehodnotí investice, které firma do těchto technologií již vložila, ale vše uvidí přehledněa srozumitelně v jednom nástroji.
Firmy dost často pracují se staršími verzemi aplikací operačních systémů. Je to velký problém?
Samozřejmě, že zranitelnost firmy to zvyšuje. V těchto případech nabízíme využít produkt Záplatování aplikací a operačních systémů za běhu. Ten umí provést okamžitou a automatickou bezpečnostní záplatu na zranitelnost nultého dne, tzn. dříve, než ji vydá dodavatel.
Je kompatibilní s jinými záplatovacími mechanismy, které provádí záplaty pravidelně při odstávkách systému. Záplatování je funkční také na již nepodporované verze operačního systému Windows, což je v dnešní době velká výhoda, protože dodavatel již záplaty na tyto verze nevydává.
Evropská směrnice NIS2 míří na tisíce firem, které budou muset řídit kybernetickou bezpečnost. Pomohou tyto produkty s plněním legislativy?
Asi každý se ptá, kde začít… Směrnice přináší změnu hlavně v počtu organizací, které budou spadat pod zákon o kybernetické bezpečnosti a budou povinny své systémy zabezpečovat. Počet vzroste z několika stovek na zhruba 6 tisíc. Hlavním cílem je dosáhnout toho, aby organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti, a tím zvyšovaly bezpečnost důležité infrastruktury v celé unii. Naše produkty jim s tímto určitě pomohou. Navíc poskytnou jistotu, že zákazník pro bezpečnost vlastní firmy udělal maximum. Organizace budou dále řešit mnoho nových povinností, na prvním místě však bude vždy zpracování analýzy rizik. Ta zahrnuje evidenci a hodnocení aktiv, identifikaci rizik, jejich hodnocení i návrh na implementaci bezpečnostních opatření.
Jak taková analýza vypadá? Málokterá firma si asi může dovolit zaměstnávat na tuto oblast specialistu.
V produktovém portfoliu máme aplikaci CSA (CyberSecurity Audit), která umožňuje takovou analýzu snadno zpracovat. Analýza je vedená v zabezpečeném online nástroji, kde jsou data k dispozici 24/7. Veškeré informace lze snadno a rychle nahrát, změnit či stáhnout. Aplikace umožňuje celou řadu zajímavých a užitečných pohledů na zpracovávaná data. CSA neslouží pouze pro analýzu, nýbrž pro její celkové procesní řízení kybernetické bezpečnosti. Pro řadu organizací bývají nové povinnosti vyplývající z evropské legislativy náročné nejen finančně, ale také administrativně a procesně. A to i z důvodu složitého výkladu legislativních předpisů. Proto doporučujeme obrátit se na odborníky, kteří dokáží najít nejméně nákladné a efektivní řešení v souladu s evropskými požadavky.