Tähtaeg on juba möödas. NIS2, Euroopa Liidu uuendatud küberturvalisuse direktiiv, tuli kogu liidus siseriiklikku õigusesse üle võtta hiljemalt 17. oktoobriks 2024. Kui teie organisatsioon osutab elutähtsaid teenuseid või on üks olulistest tegijatest mõnes hõlmatud sektoris, ei ole küsimus enam selles, kas reeglid teile kehtivad; vaid selles, kas suudate järelevalvele tõestada, et teie juurdepääsukontroll neile vastab. Ja esimest korda langeb see küsimus juhatusele, mitte üksnes IT-osakonnale.
Autentimine on nüüd seaduses nimetatud, mitte ainult juhistes
Varasemad hea tava raamistikud soovitasid mitmeastmelist autentimist. NIS2 läheb kaugemale. Selle riskijuhtimise põhimeetmed (artikkel 21) nõuavad organisatsioonidelt tehniliste kontrollide rakendamist, sealhulgas juurdepääsukontrolli poliitikad, krüptograafia ning – otsesõnu välja öelduna – mitmeastmelise autentimise või pideva autentimise lahenduste kasutamine seal, kus see on asjakohane.
Praktikas ei ole nõrk ega valikuline teine tegur enam kaitstav seisukoht. Kui audiitor küsib, kuidas privilegeeritud administraator teie VPN-i, Windowsi serveritesse või halduskonsooli sisse logib, on vastus “parool ja mõnikord SMS-kood” see, mis avab leiu.
Kellele see kehtib
NIS2 jagab organisatsioonid elutähtsateks ja olulisteks üksusteks laias sektorite ringis: energeetika, transport, pangandus ja finantsturu infrastruktuur, tervishoid, joogi- ja reovesi, digitaristu, avalik haldus ja palju muud, kusjuures teine tasand haarab kaasa postiteenused, jäätmekäitluse, tootmise, toidu, kemikaalid ja digiteenuse osutajad. Paljud organisatsioonid, kes jäid algsest NIS-direktiivist välja, on nüüd kindlalt selle järglase sees.
Kaks muutust viivad selle vastavuse linnukesest kaugemale:
- Juhtkonna vastutus. Juhatus peab küberturvalisuse riskijuhtimise meetmed heaks kiitma ja nende üle järelevalvet teostama ning võib rikkumiste eest isiklikult vastutada.
- Reaalsed karistused. Järelevalveasutused võivad määrata märkimisväärseid trahve: elutähtsatele üksustele kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem.
Milline “NIS2-tasemel” autentimine tegelikult välja näeb
Mingi MFA olemasolu ei ole sama, mis direktiivi mõtte täitmine. Kolm asja eristavad kontrolli, mis audiitorit rahuldab, sellest, mis üksnes slaidil hea välja näeb:
- Andmepüügikindlus. SMS-koode saab pealt kuulata või SIM-vahetusega üle võtta ning nii need kui ka lihtne ühe puudutusega push langevad vahemees-relee (AiTM) ohvriks. Kasutaja seadme riistvarasse seotud võti, mida ei saa kopeerida ega korrata, kõrvaldab selle riskiklassi. Push-väsimus on eraldi probleem ja ükski võti ega biomeetria ei peata seda, kui teade on juba telefoni jõudnud: selle võidab üksnes see, mida teade näitab: täpne, loetav kirjeldus sellest, mida täpselt kinnitatakse, nii et midagi ei kinnitata kunagi pimesi.
- Privilegeeritud ja kaugjuurdepääsu katmine. Nõue ei ole “MFA veebipostis”. See on iga tee, mida ründaja tegelikult kasutaks: VPN, kaugtöölaud, serveri sisselogimised, halduskonsoolid.
- Tõendid. NIS2 puudutab sama palju kontrolli tõendamist kui selle olemasolu. Iga autentimine peaks jätma auditeeritava, võltsimiskindla kirje sellest, kes mida ja millal kinnitas.
Kus Notakey sobitub
Notakey on ehitatud just sellise profiiliga organisatsioonile: reguleeritud, turvateadlik ja audiitorite ees vastutav.
- Kasutaja võti genereeritakse telefoni turvalises riistvaras ega lahku sealt kunagi. Puudub jagatud saladus, mida varastada, ja pole midagi, mida andmepüügiga kätte saada.
- Iga sisselogimine ja iga tehing on krüptograafiliselt allkirjastatud, ajatempliga sündmus: auditijälg, mida NIS2 hindamine nõuab, tekitatud automaatselt, mitte tagantjärele rekonstrueerituna.
- See katab olulised juurdepääsuteed nende protokollide kaudu, mida teie süsteemid juba kõnelevad. Vaadake praktilisi juhendeid VPN-i 2FA kohta RADIUS-e kaudu, Windowsi kaugtöölaua kohta ja Linuxi SSH kohta.
- See töötab teie enda taristus või pilves, nii et autentimisandmed võivad jääda teie kontrolli alla; PSD2, eIDAS ja IKÜM kooskõla on sisse ehitatud, mitte külge poogitud.
Me teadlikult ei hakka teile ütlema, et Notakey “teeb teid NIS2-le vastavaks”; ükski toode ei tee seda üksinda. Mida see teeb, on autentimise-kujulise osa lüngast sulgemine ja teile tõendite andmine selle tõestamiseks.
Alustage pilootprojektist, mitte poliitikadokumendist
Kiireim viis teada saada, kas teie autentimine vastab NIS2-le, on katsetada seda oma keskkonna vastu: reaalne VPN, reaalne administraatori sisselogimine, käputäis reaalseid kasutajaid. See ütleb teie lünga – ja teie tõendite – kohta nädalaga rohkem, kui funktsioonide maatriks ütleb kvartaliga.
Proovige elavat demot, et allkirjastada tehing oma telefonist umbes kahe minutiga, või küsige demot ja me kaardistame teie VPN-i, SSO või Windowsi juurdepääsu töötavaks pilootprojektiks.
See artikkel on üldine teave, mitte õigusnõustamine. NIS2 võtab iga EL-i liikmesriik siseriiklikku õigusesse üle eraldi; kinnitage teie organisatsioonile kehtivad konkreetsed kohustused, künnised ja tähtajad kvalifitseeritud õigusnõustajaga.