Nemcsak hogy NIS2 kötelezett szervezet vagyunk, de a felkészülésben és tanácsadásban is partnerként állunk rendelkezésre.
Mi a NIS2?
(Network and Information Systems, NIS) Európai Uniós direktíva második frissített verziója, mely az Informatikai hálózatok és rendszerek kiberbiztonságát hivatott magasabb szintre emelni. Ennek magyarországi jogharmonizációs eredménye a Kibertan.tv. (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről).
Mikro- vagy kisvállalkozásnál nagy a probléma
A NIS2 szabályozás elsősorban nagyvállalati környezetre készült, így a kisebb cégek számára, amelyek kiemelten kritikus üzletágaik révén érintettek, a hatékony és hosszú távú informatikai biztonság fenntartása komoly kihívást jelenthet. Sajnos nem elég egy alkalommal rendbetenni a dokumentumokat, mint a GDPR esetében. Komoly változásokat kell eszközölni a működésben és ezt folyamatosan adminisztrálni is kell. Ehhez elengedhetetlen az automatizálás és a megfelelő szoftverek használata, hiszen a kétévente esedékes újra auditáláskor vagy ellenőrzéskor bizonyítani kell a napi működés során keletkezett logok létezését, elemzését, tárolását, és az elvégzett feladatok kötelező dokumentálását. Fontos, hogy a keletkezett dokumentumok ne csak a jogszabályi kötelezettségeket fedjék le, hanem valódi segítséget nyújtsanak egy esetleges incidens során a helyreállításban.
Milyen szoftverekre lehet szükség?
Három nagy csoportot lehet azonosítani, ami segíthet:
- Biztonsági információk és események kezelése.
Azok az szoftver eszközök, amelyek a számítógépekről és a szerverekről gyűjtenek információkat, hogy elemezés révén észrevehetővé tegyék a fenyegetéseket, lehetővé tegyék, hogy reagálhassunk rájuk (pl.: SIEM, XDR). - Biztonsági vezénylés, az automatizálás és reagálás.
Az összegyűjtött információk alapján (SIEM) az ismétlődő és időigényes feladatokkal elárasztott informatikai biztonsággal foglalkozó csapat automatizálással tudja megoldani az incidenseket, ezáltal csökkentik a költségeket, pótolják a lefedettségi hiányosságokat és növelik a hatékonyságot (pl.: SOAR). - Irányítás, kockázatok és megfelelőség.
Hozzáférések engedélyeztetése, beavatkozási utasítások, naplók, kockázatkezelési keretrendszer - azok a folyamatok, amiket a szabályozás előír és elvégzésre került, de eddig nem volt semmi nyoma (pl.: GRC).
Természetesen, ezek a funciók egyes szoftverekben részben átfedhetik egymást! Kérj tőlünk segítséget, hogy számotokra mi lenne az ideális!
Régóta tapasztaljuk és tesszük
Cégünk már 2012 óta saját fejlesztésű ügyfélszolgálati nyilvántartó rendszert fejleszt és használ, amely biztosítja a folyamatos, magas színvonalú támogatást és a gyors reagálást. Ez különösen kritikus azoknak a cégeknek, amelyek nem rendelkeznek saját IT-biztonsági szakértőkkel. Fontos kiemelni, hogy olyan rendszereket javaslunk (nem kizárólag saját fejlesztésűt), amelyek részben automatizálják az adminisztratív feladatokat, így a cégeknek nem szükséges plusz munkaerőt felvenniük a kötelezettségek teljesítéséhez. - Ezzel jelentős anyagi terhet veszünk le partnereink válláról, és minimalizáljuk a képzéshez kapcsolódó kihívásokat is.
Minek kell megfelelni?
Miniszteri rendelet szabályozza, hogy melyik biztonsági kategóriában, milyen védelmi intézkedéseknek kell megfelelni, de jobban járunk, ha rögtön a Nemzeti Kibervédelmi Intézet követelménykatalógusát (lap alja, letöltés) kezdjük böngészni, mert ebben benne van a magyarázat és a végrehajtási lépések javaslata is egyben.
Fontos kulcs az élettartam
A megoldásaink élettartama az iparágban megszokottnál hosszabb, hiszen egyetemi és önkormányzati, repülőtéri rendszereket is üzemeltetünk folyamatos frissítéssel és terméktámogatással. Ezeknél a rendszereknél nem engedhető meg a rövid, 1-3 éves átlagos szoftver élettartam, mivel a stabilitás és a hosszú távú működés kiemelt szempont. Folyamatosan arra törekszünk, hogy olyan megoldásokat válasszunk, amelyek hosszú távon is fenntarthatók, és lehetőleg magas licenc költségek nélkül üzemeltethetők, vagy könnyen skálázhatók.
Hogyan kezdjünk neki?
Szükséges felmérni a jelenleg használt hálózati és szoftveres környezetet. Ebből a leltárból azonosítani tudjuk az elkülöníthető EIR-eket (Elektronikus Információs Rendszer). Ha elkészült a lista, akkor el kell végezni egy GAP (rés) analízist, hogy mi az eltérés a jelenlegi rendszer és az elvárt cél között.
Ez első körben nem végrehajtható feladat! A valódi sorrend, hogy felmérjük a meglévő rendszereket a fenyegetések katalógusa alapján, ahol bizalmasság, sértetlenség, rendelkezésre állás szempontból értékelünk. Ha ez elkészült, akkor láthatóvá válik, hogy mely rendszerek jelentenek vállalhatatlan kockázatot (mit kell kiváltani).
A kiváltandó rendszereket ne ész nélkül cseréljük le, mert itt lehet a legtöbbet bukni! Válasszunk helyettük olyat, ami meg fog felelni az előírásoknak, és automatizálhatóan lehet őket dokumentálni és üzemeltetni (védeni)! Ez az a pont, ahol a tapasztalat segíthet a tervezésben. Keress bennünket, ha kérdésed van!
Alkossunk közösséget!
Cégünk célja, hogy vezető szerepet vállaljon abban az általunk megálmodott kezdeményezésben, amely lehetővé teszi, hogy ezek a kisebb, nem nagyvállalati szereplők tapasztalataik megosztásával növeljék versenyképességüket. Fontos felismernünk azokat az előnyöket, amelyeket a NIS2 kapcsán vállalt kötelezettségek betartása nyújthat, és amelyek piaci versenyelőnyt jelenthetnek azok számára, akik valóban elkötelezettek ennek teljesítése iránt.