NIS2 a OT

Za posledné desaťročie mnohé priemyselné organizácie čoraz viac digitalizovali svoje prostredie, aby zlepšili a zefektívnili svoju prevádzku. Táto modernizácia zároveň priniesla nové príležitosti pre kyberzločincov.

Operačné technológie (OT) sa pripájajú k IT sieťam, čo znamená, že kyberzločinci alebo štátom podporovaní aktéri majú teraz možnosť zasiahnuť kritické priemyselné procesy a spôsobiť narušenie či vážne spoločenské škody.

S cieľom čeliť týmto hrozbám bolo zavedené nariadenie NIS2. Nariadenia vo všeobecnosti poskytujú organizáciám návod, ako pristupovať ku kybernetickej bezpečnosti a aké opatrenia musia prijať na ochranu svojich aktív pred útokmi, pričom zároveň chránia spoločnosť ako celok pred tvrdými následkami útokov.

Druhá verzia smernice o bezpečnosti sietí a informácií – známa ako smernica NIS2 – je právnym predpisom, ktorého cieľom je posilniť postavenie a odolnosť Európskej únie v oblasti kybernetickej bezpečnosti. Stanovuje minimálny súbor opatrení v oblasti kybernetickej bezpečnosti a požiadaviek, ktoré sú ukladané príslušným subjektom kritickej infraštruktúry a kľúčovým podporným organizáciám v rámci členských štátov EÚ.

NIS2 stavia na základoch, ktoré položila jej predchodkyňa, pôvodná smernica NIS, rozšírením rozsahu pôsobnosti a zavedením dodatočných požiadaviek ako reakcie na zvýšenú frekvenciu a dopady kybernetických útokov proti subjektom kritickej infraštruktúry v posledných rokoch.

Mnoho podnikov spadajúcich pod kybernetický zákon 69/2018 Z.z., a teda aj pod NIS1, si z NIS2 nerobí ťažkú hlavu, pretože by už mali mať dávno nasadené kybernetické opatrenia. Príchod NIS2 sa ich teda dotýka len minimálne. Horšie sú na tom sektory ako potravinárstvo, kuriérske služby, čističky odpadových vôd atď., ktoré sa doteraz „vyhýbali“ požiadavkám NIS. S príchodom NIS2 však budú musieť začať kyberbezpečnosť budovať – a to mnohé podniky úplne od základov.

Čo teda NIS2 vyžaduje?

To, aby príslušné organizácie zaviedli primerané opatrenia kybernetickej bezpečnosti na zaistenie bezpečnosti a odolnosti svojich systémov a sietí. Tieto opatrenia pokrývajú okrem iného oblasti ako riadenie rizík a zraniteľností, bezpečnosť dodávateľského reťazca, reakciu na incidenty a bezpečnú autentifikáciu. Smernica tiež špecifikuje, ako a kedy sa musia kybernetické incidenty hlásiť.

NIS2 ako základ presadzuje zahrnutie nasledujúcich opatrení do každého programu riadenia rizík na úrovni subjektu:

• Zásady analýzy rizík a bezpečnosti informačného systému

• Spracovanie incidentov

• Kontinuita podnikania, ako je správa záloh, obnova po havárii a krízový manažment

• Bezpečnosť dodávateľského reťazca vrátane aspektov týkajúcich sa bezpečnosti vo vzťahoch medzi každým subjektom a jeho priamymi dodávateľmi alebo poskytovateľmi služieb

• Bezpečnosť pri získavaní, vývoji a údržbe sieťových a informačných systémov vrátane odhaľovania a riešenia zraniteľností

• Politiky a postupy na hodnotenie účinnosti opatrení na riadenie rizík v oblasti kybernetickej bezpečnosti

• Základné postupy kybernetickej hygieny a školenia v oblasti kybernetickej bezpečnosti

• Zásady a postupy týkajúce sa používania kryptografie a, kde je to vhodné, šifrovania

• Bezpečnosť ľudských zdrojov, zásady riadenia prístupu a správa majetku

• Použitie viacfaktorovej autentifikácie alebo riešení kontinuálnej autentifikácie

NIS2 venuje špeciálnu pozornosť kybernetickým incidentom a obsahuje dvojfázovú štruktúru hlásenia incidentov. Bez ohľadu na to, či ide o proaktívny alebo reaktívny dohľad, legislatíva nariaďuje, aby bol každý významný incident nahlásený do 24 hodín od jeho začiatku, pričom podrobnosti sa dopĺňajú do 72 hodín. Ako následné opatrenie sa vyžaduje podrobnejšie hlásenie 1 mesiac po vypuknutí závažného incidentu. Táto štruktúra má za cieľ rýchlo zachytiť okamžité detaily, aby sa zabránilo rozsiahlym dopadom podobných útokov, a zároveň poskytnúť hĺbkovú analýzu pre bezpečnostných analytikov a plánovanie odolnosti.

Významný kybernetický bezpečnostný incident je definovaný ako incident, ktorý buď spôsobil alebo je schopný spôsobiť vážne prevádzkové narušenie služieb alebo finančnú stratu pre dotknutý subjekt a/alebo ovplyvnil, prípadne môže ovplyvniť iné fyzické či právnické osoby spôsobením značnej materiálnej alebo nemateriálnej škody.

Od účtovných jednotiek sa ďalej očakáva, že uvedú, či majú podozrenie, že významný incident je výsledkom nezákonnej alebo zlomyseľnej činnosti, a či môže mať nadnárodný dosah.

Hoci legislatíva poskytuje podrobné usmernenia, jej účinnosť závisí od toho, ako subjekty chápu útoky a ich dopady. Napríklad kritická infraštruktúra bude musieť rýchlo identifikovať potenciálne dopady incidentov pred ich vznikom alebo počas ich vývoja – vrátane scenárov straty viditeľnosti (loss of view) a straty kontroly (loss of control), ktoré ovplyvňujú fungovanie služieb a kritických priemyselných procesov. Zainteresované strany každého subjektu budú musieť posúdiť vplyv na dotknutú sieť a informačné systémy, závislosti na týchto systémoch a očakávané trvanie a závažnosť prerušenia služieb.

Zhrnutie hlavných opatrení definovaných v NIS2 pre OT prostredie:

1 | Plán reakcie na incidenty

Plánovanie reakcie na incidenty je rozhodujúce, aby sa organizácie mohli pripraviť na kybernetické incidenty a precvičiť si svoju reakciu. Tieto plány by mali zahŕňať kybernetické cvičenia, aby organizácie mohli testovať reakciu na rôzne bezpečnostné incidenty a minimalizovať straty a škody. Mali by obsahovať aj kontaktné údaje na celý tím reakcie na incidenty, aby v prípade potreby mohli priamo zasiahnuť.

2 | Bezpečná architektúra

Bezpečnostné stratégie v OT sieťach často začínajú sprísňovaním pravidiel – napríklad odstránením externých prístupových bodov do OT siete, udržiavaním silnej kontroly na IT/OT perímetri a zmierňovaním vysoko rizikových zraniteľností v riadiacich systémoch.

3 | Viditeľnosť a monitorovanie OT siete

Poznanie všetkých aktív siete je zásadné – platí to pre IT, OT, mobilné zariadenia aj zariadenia typu BYOD (Bring Your Own Device). Nemôžete chrániť to, čo nevidíte, preto je nevyhnutné, aby boli všetky aktíva monitorované nepretržite.

4 | Zabezpečený vzdialený prístup

S pokračujúcou prácou na diaľku je bezpečný vzdialený prístup mimoriadne dôležitý. Kľúčovou metódou je viacfaktorová autentifikácia (MFA). Ak MFA nie je možná, je vhodné zvážiť alternatívy ako jump servery s cieleným monitorovaním.

5 | Riadenie zraniteľností

Poznanie svojich slabých miest a plán ich riadenia je kľúčovou súčasťou bezpečnej OT architektúry. Na rozdiel od IT systémov, kde je oprava jednoduchšia, odstavenie prevádzky v OT prostredí môže byť nákladné. Efektívny program riadenia zraniteľností OT si vyžaduje včasnú informovanosť o relevantných zraniteľnostiach a správne hodnotenie rizika, ideálne pomocou pasívnych skenerov, ktoré nenarúšajú chod riadiacich systémov.

Latest post

FrostyGoop: Najnovší malvér zameraný na ICS a úvahy o riadiacich opatreniach pre ICS

2025-04-19
Vybudovanie lepšieho plánu reakcie na ransomvér v oblasti OT: Jednoduchý rámec pre prostredia ICS

2025-04-19
5 opatrení pre ICS podľa Accura

2025-04-13
Čo potrebujete od softvéru na prehľad a monitorovanie ICS sietí

2025-04-13
Kľúčové opatrenia na zabezpečenie kyber-fyzických systémov (CPS)

2025-04-13
Zjednotené bezpečnostné operačné centrum pre IT a OT

2025-04-13
Prečo je dynamické objavovanie kľúčové pri ochrane kyberneticko-fyzického prostredia (CPS)

2025-04-09

Latest post

FrostyGoop: Najnovší malvér zameraný na ICS a úvahy o riadiacich opatreniach pre ICS

Vybudovanie lepšieho plánu reakcie na ransomvér v oblasti OT: Jednoduchý rámec pre prostredia ICS

5 opatrení pre ICS podľa Accura

Čo potrebujete od softvéru na prehľad a monitorovanie ICS sietí

Kľúčové opatrenia na zabezpečenie kyber-fyzických systémov (CPS)

Zjednotené bezpečnostné operačné centrum pre IT a OT

Prečo je dynamické objavovanie kľúčové pri ochrane kyberneticko-fyzického prostredia (CPS)