Companiile românești în fața atacurilor cibernetice. Cum poate fi implementată directiva europeană NIS
Reading Time: 12 minuteAproape 900 de operatori economici din România se încadrează în categoria furnizorilor de servicii esențiale, calificându-se astfel la un standard înalt de securitate cibernetică, în conformitate cu Directiva privind securitatea rețelelor și a sistemelor informatice (NIS) adoptată în 2016 de către Uniunea Europeană și transpusă la nivel național prin Legea nr. 362/2018. Mai exact, conform Directoratului Național de Securitate Cibernetică (DNSC), sunt 864 de companii care furnizează astfel de servicii, iar o pătrime se află în București.
Reguli stabilite de Uniunea Europeană
Acest set de reguli stabilit de Uniunea Europeană, denumit Directiva NIS (Network and Information Security), au scopul de a îmbunătăți securitatea cibernetică în toate statele membre. Aceasta obligă companiile operatoare de servicii esențiale (OSE), precum furnizorii de energie, de transport, de utilități, de servicii financiare, bancare și de sănătate, precum și furnizorii de servicii digitale (OSD), să asigure confidențialitatea informațiilor și protecția sistemelor informatice împotriva atacurilor cibernetice. În plus, incidentele de securitate trebuie raportate către autoritățile naționale.
Ce amenințări cibernetice primesc companiile românești
Am stat de vorbă cu Ciprian Pocovnicu, expert in securitate cibernetica la TRU Solutions, pentru a înțelege mai bine ce atacuri cibernetice vizează companiile românești, dar și care sunt regulile pe care trebuie să le implementeze firmele locale pentru a face față acestor atacuri, dar mai ales pentru a respecta directiva europeană.
Care sunt principalele amenințări cibernetice cu care se confruntă companiile românești in zilele noastre ?
Aproape 90% dintre amenințările informatice la adresa companiilor ajung prin e-mail, fiind cel mai utilizat canal pentru schimbul de informații cu exteriorul. Acestea sunt reprezentate de phishing – mesaje frauduloase prin care se încearcă obținerea de informații confidențiale sau instalarea de malware pe dispozitivele victimei – programe malițioase, cum ar fi virușii, troienii și viermii, care pot provoca daune sistemelor și rețelelor – sau ransomware – programe care criptează datele utilizatorului și solicită o răscumpărare pentru a le debloca.
Ciprian Pocovnicu, expert in securitate cibernetica la TRU Solutions
Proton Mail poate salva companiile de la atacurile phishing
- Proton Mail folosește criptare end-to-end, de nivel militar, pentru a securiza e-mailurile atât în tranzit, cât și în stocare. Utilizatorul dispune de o cheie de criptare proprie, unică și gestionabilă. Funcție de nivelul de securitate ales, autentificarea în ProtonMail se poate face cu o parolă de acces, o parolă pentru decriptarea datelor, cu o cheie software sau cu o cheie hardware. Dacă parola de acces a contului de e-mail Proton ar fi interceptată, sau în cazul improbabil în care ar fi sustrase date din serverele Proton, atacatorul nu va putea accesa conținutul acesta, fiind criptate.
- Proton Mail utilizează o echipă de savanți dedicată și tehnologii proprii pentru a preveni atacurile informatice:
- Eliminarea elementelor de tracking, care pot transmite expeditorului informații personale: nume, adresa IP, locația geografică, statusul mesajului, samd.
- Verificarea autenticității expeditorului, pentru a preveni atacurile de tip phishing.
- Confirmare link, prin care se solicită confirmarea accesării unei adrese, oferind șansa verificării legitimității.
- Alte pericole sunt reprezentate de furtul de identitate, exploatarea vulnerabilităților software, atacuri de tip „man-in-the-middle”, infracțiuni interne sau atacuri de tip ddos.
Ați fost implicat în implementarea directivei NIS la nivel național sau în consilierea companiilor în conformitate cu acesta? Puteți oferi exemple specifice?
Desigur, am implementat normele directivei NIS în companii medii și mari din România, din industriile de sănătate, transport și energie. Măsurile impuse de directiva NIS sunt similare, indiferent de industria în care care își desfășoară activitatea compania operatoare de servicii esențiale. Toate companiile cu care am colaborat au trecut cu succes sesiunile de audit ale autorităților.
Care au fost cele mai mari provocări pe care le-ați întâmpinat în securitatea cibernetică a companiilor din servicii esențiale și cum ați gestionat aceste situații?
Majoritatea companiilor cu care am colaborat nu aveau implementate sisteme de criptare a datelor în stocare cu posibilitatea gestionării cheilor de criptare, cerință explicită NIS. Sistemele de e-mail și de stocare a documentelor tradiționale criptează datele doar în tranzit, stocarea fiind realizată “în clar”.
De asemenea, segregarea și criptarea rețelelor de comunicații reprezintă o provocare deosebit de serioasă.
Primul pas în conformarea cu normele directivei NIS este implementarea suitei de confidențialitate și securitate a datelor Proton Business, care include e-mail, stocare de fișiere, VPN și calendar, ușor de utilizat, cu stocare criptată în Elveția.
Ulterior, în funcție de etapa de dezvoltare a securității informatice a companiei, dezvoltăm strategia de implementare a măsurilor și soluțiilor necesare conformării cu normele directivei NIS.
Care sunt principalele directive europene privind companiile care operează în servicii esențiale (OSE) și ce rol au acestea în securitatea cibernetică?
Uniunea Europeană a stabilit două directive principale legate de companiile care operează în domenii de servicii esențiale: Directiva NIS (Network and Information Security) și Directiva privind securitatea cibernetică (CSD – Cybersecurity Directive).
Directiva NIS: Aceasta a fost prima lege a UE care a stabilit cerințe de securitate și notificare de incidente pentru operatorii de servicii esențiale. Obligația acestora este să ia măsuri adecvate pentru a gestiona riscurile asociate cu confidențialitatea informațiilor, securitatea rețelelor și a sistemelor informatice, precum și notificarea incidentelor către autoritățile competente.
Directiva privind securitatea cibernetică (CSD): Aceasta vizează îmbunătățirea securității cibernetice a rețelelor și informațiilor în întreaga Uniune Europeană. Introduce cerințe legale pentru statele membre pentru a se asigura că au niveluri adecvate de securitate în întreaga economie, nu doar în sectoarele cheie.
Ambele directive urmăresc să îmbunătățească reziliența cibernetică a infrastructurilor vitale ale Uniunii Europeane și să asigure un nivel minim de securitate în toate statele membre. De asemenea, ele sporesc cooperarea între statele membre în cazul atacurilor cibernetice și încurajează împărtășirea de informații pentru a preveni și contracara amenințările cibernetice.
Cum se aplică directiva NIS la nivelul Uniunii Europene și cum sunt implementate aceste reguli la nivel național? Care este situația în România?
Directiva NIS se aplică la nivelul Uniunii Europene prin transpunerea acesteia în legislațiile naționale ale fiecărui stat membru, ceea ce înseamnă că fiecare stat membru trebuie să adopte propriile legi care să corespundă cu cerințele directivei.
Directiva NIS stabilește un cadru general pe care statele membre trebuie să îl respecte, dar acestea au libertatea de a adapta implementarea la contextul lor național specific.
Ciprian Pocovnicu, expert in securitate cibernetica la TRU Solutions
În ceea ce privește implementarea directivelor la nivel național, aceasta implică identificarea operatorilor de servicii esențiale, implementarea cerințelor de securitate, înființarea autorităților naționale competente și cooperarea la nivelul Uniunii Europene.
România a transpus Directiva NIS în legislația națională prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Normele de aplicare ale directivei sunt detaliate în Monitorul Oficial nr. 1142 din 26 noiembrie 2020.
Ce măsuri specifice de securitate cibernetică trebuie să adopte companiile care operează în servicii esențiale în conformitate cu directivele NIS?
Directiva NIS solicită operatorilor de servicii esențiale și furnizorilor de servicii digitale să ia măsuri adecvate pentru a gestiona riscurile de confidențialitate a informațiilor, de securitate a rețelelor și a sistemelor informatice. Aceste măsuri trebuie să asigure un nivel de securitate adecvat riscurilor identificate.
Cerințele specifice sunt:
- Protecția împotriva amenințărilor cibernetice: Companiile trebuie să implementeze măsuri tehnice pentru a proteja confidențialitatea informațiilor și a se proteja împotriva amenințărilor cibernetice;
- Politici de securitate cibernetică: Companiile trebuie să definească politici clare și detaliate care acoperă toate aspectele securității cibernetice, inclusiv protecția datelor, accesul la rețea, utilizarea software-ului și echipamentelor, precum și formarea angajaților.
- Planuri de răspuns la incidente: În cazul unui incident de securitate, companiile trebuie să pregătească planuri de răspuns care descriu modul în care vor reacționa și vor încerca să limiteze daunele.
- Gestionarea riscurilor: Companiile trebuie să efectueze evaluări periodice de risc pentru a identifica și a remedia orice vulnerabilitate în confidențialitatea datelor și securitatea lor cibernetică.
- Raportare: În cazul unui incident de securitate, companiile trebuie să-l raporteze la autoritatea națională competentă, într-un interval de timp specificat.
- Recuperare după incident: Companiile trebuie să aibă planuri de recuperare pentru a se asigura că pot reveni rapid la operațiunile normale după un incident de securitate. Cum ați văzut evoluția amenințărilor cibernetice de-a lungul anilor și cum vă adaptați strategiile de securitate pentru a face față acestor amenințări în continuă schimbare?
Amenințările cibernetice au evoluat semnificativ de-a lungul anilor, devenind tot mai sofisticate și mai periculoase. Dacă în trecut atacurile cibernetice erau de obicei opera unor indivizi sau grupuri mici care căutau să cauzeze haos sau să fure informații, astăzi multe dintre aceste atacuri sunt sponsorizate de state și au ca țintă infrastructurile critice, organizațiile guvernamentale și companiile private.
În plus, cu avansarea tehnologiei și cu creșterea numărului de dispozitive conectate la internet (internet of things), numărul de puncte vulnerabile la atacuri cibernetice a crescut semnificativ. Acest lucru, combinat cu creșterea utilizării inteligenței artificiale și a automatizării de către atacatori, a făcut ca peisajul amenințărilor cibernetice să devină mult mai complex.
Pentru a face față acestor amenințări în continuă schimbare, strategiile de securitate cibernetică trebuie să se adapteze în mod constant. Iată câteva abordări cheie:
- Abordare bazată pe riscuri: Organizațiile trebuie să identifice și să evalueze riscurile potențiale și să prioritizeze măsurile de securitate în funcție de acestea;
- Formare și conștientizare: Angajații sunt adesea cea mai mare vulnerabilitate a unei organizații în ceea ce privește securitatea cibernetică. Prin urmare, este esențial să se urmărească formarea regulată a angajaților cu privire la amenințările cibernetice și despre cum să evite comportamentele riscante;
- Protecție în profunzime: Acest concept implică implementarea mai multor straturi de securitate astfel încât, dacă un strat este compromis, altele pot împiedica accesul atacatorilor;
- Monitorizare și răspuns rapid: Organizațiile trebuie să instaleze sisteme de monitorizare a rețelelor și a sistemelelor în timp real, și pentru a putea răspunde rapid la orice incidente de securitate;
- Planuri de recuperare: Organizațiile trebuie să definească planuri de recuperare pentru a se asigura că pot reveni rapid la operațiunile normale în cazul unui incident de securitate;
- Colaborarea și partajarea informațiilor: Schimbul de informații despre amenințările cibernetice cu alte organizații și cu autoritățile guvernamentale poate ajuta la identificarea rapidă a noilor amenințări și la elaborarea de strategii eficiente de combatere a acestora. Ce rezultate și impacturi pozitive ați observat în companiile care au implementat măsuri solide de securitate cibernetică conform directivelor NIS?
Implementarea Directivei NIS are beneficii semnificative nu doar pentru securitatea cibernetică a unei companii, ci și pentru performanța generală a afacerii:
- Protecție îmbunătățită împotriva atacurilor cibernetice: Măsurile de securitate cibernetică prevăzute în Directiva NIS ajută la protejarea datelor și a infrastructurii informatice a unei companii, atât împotriva potențialelor atacuri cibernetice, cât și împotriva scurgerilor de informații.
- Reziliență crescută: Prin punerea în aplicare a planurilor de răspuns la incidente și la cele de recuperare, companiile pot reveni rapid la operațiunile normale după un incident de securitate, limitând astfel perturbările operaționale.
- Încredere crescută: Companiile care demonstrează că au implementat măsuri solide de securitate cibernetică câștigă încrederea clienților, a partenerilor și altor părți interesate, ceea ce le îmbunătățește relațiile de afaceri și le oferă avantaje competitive.
- Conformitate cu reglementările: Respectarea Directivei NIS și a altor reglementări de securitate cibernetică ajută companiile să evite sancțiunile, inclusiv amenzi și daune reputaționale.
- Detectarea rapidă a amenințărilor: Prin monitorizarea continuă a sistemelor informatice și prin raportarea incidentelor, companiile detectează mai rapid noile amenințări și iau măsuri imediate pentru a le combate.
- Schimb de bune practici: Directiva NIS promovează cooperarea între statele membre și schimbul de informații despre amenințările cibernetice, ceea ce ajută companiile să fie la curent cu cele mai recente amenințări și să își adapteze strategiile de securitate în consecință.
Care este rolul autorităților naționale de reglementare în aplicarea directivelor NIS și cum colaborează acestea cu companiile pentru a asigura securitatea cibernetică?
Autoritățile naționale de reglementare au un rol esențial în aplicarea Directivelor NIS. În conformitate cu aceste directive, fiecare stat membru al Uniunii Europene trebuie să desemneze una sau mai multe autorități naționale competente pentru securitatea rețelelor și a sistemelor informatice.
Responsabilitățile acestora pot include următoarele:
- 1) Supravegherea implementării directivei: Autoritățile de reglementare sunt responsabile pentru monitorizarea modului în care organizațiile din țara lor își respectă obligațiile în conformitate cu Directiva NIS.
- 2) Furnizarea de orientări: Autoritățile pot oferi orientări și resurse pentru a ajuta organizațiile să înțeleagă și să se conformeze cerințelor Directivelor NIS.
- 3) Identificarea operatorilor de servicii esențiale: Fiecare stat membru este responsabil pentru identificarea organizațiilor din țara lui care sunt considerate operatori de servicii esențiale (OSE) și care, prin urmare, trebuie să respecte cerințele Directivei NIS.
- 4) Răspuns la incidente de securitate: Autoritățile naționale de reglementare pot avea un rol în coordonarea răspunsului la incidentele de securitate la nivel național și pot colabora cu OSE și FSD pentru a gestiona și remedia incidentele.
- 5) Raportare: Operatorii de servicii esențiale și furnizorii de servicii digitale trebuie să raporteze anumite tipuri de incidente de securitate către autoritățile naționale competente.
- 6) Colaborare la nivel internațional: Autoritățile naționale de reglementare pot fi implicate în colaborarea cu autoritățile similare din alte țări și cu entități supranaționale, precum Grupul de Cooperare NIS al UE, pentru a schimba informații și a coordona răspunsurile la amenințările de securitate.
Cum afectează directiva NIS companiile mici și mijlocii care operează în servicii esențiale și care caută resurse sau sprijin pot obține pentru a se conforma acestor cerințe?
Directiva NIS are un impact direct asupra companiilor mici și mijlocii identificate ca operatori de servicii esențiale, acestea trebuind să îndeplinească cerințele de confidențialitate și de securitate specificate în normele directivei, respectiv implementarea de soluții tehnice și măsuri de securitate adecvate, raportarea incidentelor de securitate și menținerea unor niveluri minime de performanță în cazul unei întreruperi a serviciilor.
Deși implementarea Directivei NIS implică costuri și eforturi suplimentare, există resurse disponibile pentru a ajuta companiile să se conformeze:
- Ghiduri și resurse: autoritățile naționale de reglementare oferă ghiduri și alte resurse pentru a ajuta organizațiile să înțeleagă și să își îndeplinească obligațiile în conformitate cu Directiva NIS.
- Consultanță și formare: Există multe companii care oferă consultanță și formare în securitatea cibernetică. Acestea pot ajuta IMM-urile să evalueze riscurile lor de securitate, să dezvolte strategii de securitate eficiente și să se pregătească pentru auditurile de securitate.
- Partajarea informațiilor: Participarea la grupuri de partajare a informațiilor despre amenințările cibernetice poate ajuta IMM-urile să rămână la curent cu cele mai recente amenințări și să își adapteze strategiile de securitate în consecință.
Există sancțiuni pentru companiile care nu respectă directivele NIS și cum se asigură autoritățile respectarea acestor reguli?
În cazul în care măsurile impuse prin normele de aplicare ale Directivei NIS nu sunt respectate, companiile se expun riscului de a primi amenzi considerabile conform legii. Acestea variază între 3.000 lei și 50.000 lei, iar în cazul încălcărilor repetate, limita maximă a amenzii poate ajunge la 100.000 lei.
Pentru societățile cu o cifră de afaceri de peste 2.000.000 lei, amenzile pot reprezenta între 0,5% și 2% din cifra de afaceri, iar în cazul încălcărilor repetate, limita maximă a amenzii este de 5% din cifra de afaceri.
Autoritățile au un rol activ în asigurarea conformității cu Directiva NIS, prin:
- Efectuarea de controale și audituri: Autoritățile pot efectua controale periodice sau specifice ale organizațiilor pentru a se asigura că acestea respectă cerințele Directivei NIS. Acest lucru poate include verificarea soluțiilor tehnice și a măsurilor de securitate implementate, examinarea planurilor de răspuns la incidente și evaluarea procedurilor de raportare a incidentelor.
- Impunerea de sancțiuni: În cazul în care o organizație nu respectă cerințele Directivei NIS, autoritățile pot impune sancțiuni, care pot include amenzi, interdicții de operare sau alte măsuri disciplinare.
- Furnizarea de orientări: Autoritățile pot oferi orientări și resurse pentru a ajuta organizațiile să înțeleagă și să își îndeplinească obligațiile în conformitate cu Directiva NIS.
- Colaborarea cu alte entități: Autoritățile de reglementare din România pot colabora cu autoritățile similare din alte țări, cu entități supranaționale și cu sectorul privat pentru a asigura respectarea Directivei NIS la nivel național.
Cum pot companiile să își măsoare și să își evalueze nivelul de securitate cibernetică în conformitate cu directivele NIS și cum pot îmbunătăți continuu aceste măsuri?
Implementarea măsurilor de securitate cibernetică conform Directivei NIS și monitorizarea constantă a eficienței acestora este un proces complex. Iată un exemplu practic, simplificat, despre modul în care o companie ar putea aborda această problematică:
- Evaluarea inițială: Începeți cu o evaluare detaliată a sistemelor informatice existente, a datelor stocate și procesate, precum și a serviciilor pe care le oferiți. Identificați riscurile potențiale la adresa securității și evaluați impactul pe care l-ar avea un incident de securitate asupra afacerii.
- Implementarea măsurilor de securitate: Pe baza evaluării, dezvoltați și implementați măsurile de securitate necesare pentru a proteja sistemele și datele. Acestea pot include controlul accesului, criptarea datelor, securitatea rețelei, managementul vulnerabilităților, securitatea aplicațiilor, formarea angajaților și multe altele.
- Monitorizarea și managementul incidentelor: Stabiliți un sistem pentru monitorizarea constantă a sistemelor și a rețelelor în vederea detectării oricăror activități suspecte sau neautorizate. Trebuie să aveți, de asemenea, un plan de răspuns la incidente care stabilește exact ce trebuie făcut în cazul unui incident de securitate.
- Audituri și testări: Realizați audituri interne regulate pentru a evalua eficiența măsurilor de securitate. Acestea pot fi completate cu testări de penetrare efectuate de terțe părți, care încearcă să exploateze orice vulnerabilități pentru a determina unde pot fi îmbunătățite măsurile de securitate.
- Revizuirea și îmbunătățirea continuă: Pe baza rezultatelor auditurilor și testărilor, și ca răspuns la orice incidente de securitate care au loc, revizuiți și îmbunătățiți în mod constant măsurile de securitate.
- Raportarea incidentelor: În cazul unui incident de securitate care are un impact semnificativ asupra continuității serviciilor, este necesar să-l raportați la autoritatea națională de reglementare, în conformitate cu Directiva NIS.
Acest proces continuu de evaluare, implementare, monitorizare, testare și îmbunătățire arată că o companie poate menține un nivel adecvat de securitate cibernetică, în conformitate cu cerințele Directivei NIS.
Ce sfaturi ați oferi companiilor care doresc să își îmbunătățească capacitățile de securitate cibernetică în conformitate cu directiva NIS?
Îmbunătățirea securității cibernetice în conformitate cu Directiva NIS poate fi o sarcină importantă, însă există mai multe abordări strategice care pot ajuta companiile să navigheze acest proces:
- Înțelegeți cerințele Directivei NIS: Înainte de a începe orice efort de îmbunătățire a securității cibernetice, este esențial să înțelegeți pe deplin cerințele Directivei NIS și cum acestea se aplică afacerii dvs. Acest lucru poate implica contractarea unui consultant în securitate cibernetică.
- Evaluați-vă riscurile: Faceți un audit de securitate pentru a înțelege unde se află vulnerabilitățile în sistemele dvs. și care sunt riscurile potențiale. Acesta vă va oferi o imagine clară a zonelor care necesită atenție.
- Dezvoltați o strategie de securitate cibernetică: Pe baza evaluării riscurilor, dezvoltați o strategie de securitate cibernetică care să abordeze aceste riscuri. Aceasta ar trebui să includă măsuri tehnice, cum ar fi asigurarea confidențialității datelor, securitatea rețelei și controlul accesului, precum și măsuri organizatorice, cum ar fi politici de securitate și proceduri de răspuns la incidente.
- Educați personalul: Angajații pot reprezenta cel mai mare risc de securitate dacă nu sunt instruiți corespunzător. Asigurați-vă că personalul este conștient de politica de securitate a companiei și cunoaște bunele practici de securitate, cum ar fi evitarea phishing-ului și folosirea parolelor puternice.
- Monitorizați și îmbunătățiți în mod continuu: Securitatea cibernetică nu este o sarcină unică, ci necesită monitorizare și îmbunătățiri continue. Asigurați-vă că aveți un sistem pentru monitorizarea incidentelor de securitate și revizuirea periodică a politicii și a practicilor de securitate.
- Colaborați cu experți: Luând în considerare complexitatea și importanța securității cibernetice, poate fi foarte util să colaborați cu experți, fie interni, fie consultanți externi. Ei pot ajuta la navigarea prin aspectele tehnice și legislative ale Directivei NIS și la asigurarea conformității.
TRU Solutions este o companie de securitate cibernetică și de confidențialitate a datelor, cu sediul în România, condusă de Ciprian Pocovnicu, Chief Information Officer cu peste 20 de ani de experiență. TRU Solutions oferă soluții personalizate și de înaltă calitate pentru protecția datelor și a infrastructurii informatice a companiilor, cu accent pe confidențialitate, securitate și orientare către client. TRU Solutions oferă soluții la cheie pentru companiile aflate sub efectele Directivelor NIS și NIS2. Distribuitor exclusiv în România al soluției Proton Business, TRU Solutions și rețeaua sa de furnizori de calibru și acoperire națională, își propun să devină parteneri de încredere ai companiilor care doresc să se protejeze împotriva amenințărilor informatice și să își concentreze energia pe dezvoltarea afacerii.
Photo 161932555 © Kamachi209 | Dreamstime.com
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz