W grudniu 2022 roku ustalono finalną wersję dyrektywy o cyberbezpieczeństwie NIS2, która wejdzie w życie w październiku 2024. Co to oznacza dla branży security?
Coraz większa część działalności zarówno firm prywatnych, jak i spółek państw, przenosi się do Internetu. Jest to naturalna tranzycja, która dotyczy większość biznesów. Wiąże się z nią rozmowa o bezpieczeństwie danych. W 2016 roku UE uchwaliło Directive on Security of Network and Information Systems (NIS). Z uwagi na coraz szybszy rozwój, przyszedł czas na nową wersję dokumentu – NIS2.
Od stycznia do października 2023 trwa okres przenoszenia dyrektywy parlamentu europejskiego na rodzime podwórka, rok później firmy muszą już być gotowe do spełniania nowych form. Nie ominęło to także branży security.
– Te zmiany są naprawdę słuszne – mówi Konrad Badowski z Axis Communications. – Cyberataku w dzisiejszych czasach może spodziewać się każdy, nie tylko instytucje typu NASA czy ministerstwa, dlatego należy zachować ostrożność, o czym sporo osób nie zdaje sobie sprawy. Mam nadzieję, że wszyscy nauczyli się na własnych i cudzych błędach podczas wprowadzania RODO na ostatnią chwilę i teraz zaczną przygotowania odpowiednio wcześniej.
Na co trzeba się przygotować
Głównymi zmianami względem starej wersji będzie większy zakres współpracy z ENISA (European Network and Information Security Agency) w sprawie dostarczania danych. Bardziej rygorystyczne wymogi cyberbezpieczeństwa dotyczyć będą zwłaszcza informacji
i technologii komunikacji w łańcuchach dostaw. NIS2 sprawi, iż objętych przepisami firm może być nawet do 15 razy więcej niż w poprzedniej wersji dyrektywy, a podmioty będą musiały wykazać się o wiele większą odpowiedzialnością. Będzie to też dotyczyć systemów bezpieczeństwa składających się z kamer, czujników lub głośników. Kluczowe będzie odpowiednie przechowywanie danych oraz szyfrowanie informacji.
Test TP-Link Tapo C420S2 – bezprzewodowy system kamer Smart do monitoringu
Jak dbać o stabilność systemu bezpieczeństwa?
Aby mieć pewność, iż wideo nie zostało przechwycone, potrzebna jest dokładna identyfikacja nowych urządzeń, która będzie dopuszczać tylko certyfikowane sprzęty. Ponadto, można zadbać o kryptograficzny podpis na każdej klatce nagrania, dzięki czemu będziemy mieli pewność, że nikt nie manipulował obrazem. Pozwala to na zbudowanie szczelnej ochrony o kilkuetapowym systemie bezpieczeństwa, stale zmieniającym kody dostępu, a także informującym o każdych nieprawidłowościach, co może okazać się kluczowe przy weryfikacji np. nagrania z kamery. Współczesne systemy można także wyposażyć w bezpieczne uruchamianie, które spełni swoją rolę podczas restartowania po nagłej utracie energii. Jeśli tylko autoryzowane osoby będą mogły uruchomić dozór, nikt nie będzie mógł się do niego włamać i np. uruchomić starym elektronicznym kluczem dostępu.
Okazja do wzmocnienia bezpieczeństwa
Wielu przedsiębiorcom nowa dyrektywa spędza sen z powiek, co jest naturalnym odruchem. Trzeba będzie prześwietlić firmę, dokonać wymaganych zmian i sprawdzić listę zobowiązań, aby nie narazić się na żadną z wprowadzonych kar. Patrząc z drugiej strony, to będzie świetny podręcznik do cyberbezpieczeństwa. W pierwszej połowie 2022 polskie firmy były atakowane średnio 938 razy[1] tygodniowo, aktualnie zajmujemy 6. miejsce pod względem zagrożeń cybernetycznych. NIS2 może okazać się zbawieniem dla stabilności przedsiębiorstw, które wcześniej nie chciały inwestować w bezpieczeństwo bądź nie wiedziały o takiej potrzebie.
– Projektując, zarówno standardowe, jak i złożone systemy bezpieczeństwa, widzimy potrzebę zmian. W Axis od dawna staramy się zapewnić najwyższy poziom cyberbezpieczeństwa. Przejęcie kontroli nad kamerami czy kontrolerem sieciowym do drzwi może przynieść opłakane skutki, dlatego też wyposażamy nasze sprzęty w odpowiednie oprogramowanie oraz umożliwiamy stałe rozszerzanie funkcji na żądanie. Możemy zadbać o odpowiednie kodowanie i podpisywanie treści oraz zabezpieczyć wszystkie klucze kryptograficzne i certyfikaty nawet w przypadku włamania. Bezpieczeństwo systemu gwarantuje ochronę zabezpieczanych danych – mówi Konrad Badowski.
[1] Dane zaczerpnięte z artykułu: https://itreseller.com.pl/zaawansowane-cyberataki-w-2022-roku-czego-nalezy-spodziewac-sie-w-przyszlym-roku/