Terminas jau praėjo. NIS2, atnaujintą ES kibernetinio saugumo direktyvą, visose Sąjungos valstybėse į nacionalinę teisę reikėjo perkelti iki 2024 m. spalio 17 d. Jeigu jūsų organizacija teikia esmines paslaugas arba yra reikšmingas veikėjas viename iš direktyvos apimamų sektorių, klausimas nebėra ar taisyklės jums taikomos; klausimas yra, ar galėtumėte priežiūros institucijai įrodyti, kad jūsų prieigos kontrolė jas atitinka. Ir pirmą kartą šis klausimas gula ant vadovybės pečių, o ne vien IT skyriaus.
Autentifikacija dabar įvardyta įstatyme, o ne tik rekomendacijose
Ankstesnės gerosios praktikos sistemos daugiafaktorę autentifikaciją tik rekomendavo. NIS2 eina toliau. Jos bazinės rizikos valdymo priemonės (21 straipsnis) reikalauja, kad organizacijos įdiegtų technines kontrolės priemones, tarp jų prieigos kontrolės politiką, kriptografiją ir (tiesiogiai įvardytą) daugiafaktorės arba nuolatinės autentifikacijos sprendimų naudojimą, kai tai tikslinga.
Praktiškai silpnas arba neprivalomas antras veiksnys nebėra pateisinama pozicija. Jeigu auditorius paklaus, kaip privilegijuotasis administratorius prisijungia prie jūsų VPN, „Windows“ serverių ar valdymo konsolės, atsakymas „slaptažodžiu ir kartais SMS kodu“ atveria kelią neatitikčiai.
Kam tai taikoma
NIS2 organizacijas skirsto į esminius ir svarbius subjektus plačiame sektorių rinkinyje: energetika, transportas, bankininkystė ir finansų rinkos infrastruktūra, sveikatos priežiūra, geriamasis ir nuotekų vanduo, skaitmeninė infrastruktūra, viešasis administravimas ir kt., o antrasis lygmuo įtraukia pašto paslaugas, atliekų tvarkymą, gamybą, maisto, cheminių medžiagų ir skaitmeninių paslaugų teikėjus. Daugelis organizacijų, likusių už pirminės NIS direktyvos ribų, dabar tvirtai patenka į jos įpėdinės aprėptį.
Du pokyčiai perkelia tai anapus formalios varnelės:
- Vadovybės atskaitomybė. Vadovybė privalo patvirtinti kibernetinio saugumo rizikos valdymo priemones ir prižiūrėti jų įgyvendinimą, o už nesėkmes gali būti patraukta asmeninėn atsakomybėn.
- Realios sankcijos. Priežiūros institucijos gali skirti dideles baudas: iki 10 mln. eurų arba 2 % metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma didesnė, esminiams subjektams.
Kaip iš tikrųjų atrodo NIS2 lygio autentifikacija
Turėti kažkokią MFA nėra tas pat, kas atitikti direktyvos tikslą. Trys dalykai skiria kontrolės priemonę, tenkinančią auditorių, nuo tos, kuri tik gražiai atrodo skaidrėje:
- Atsparumas sukčiavimui. SMS kodus galima perimti arba apeiti SIM kortelės pakeitimu, o ir jie, ir paprasti vieno paspaudimo pranešimai pasiduoda AiTM („priešininko viduryje“) perdavimo atakoms. Raktas, susietas su aparatine įranga naudotojo įrenginio viduje, toks, kurio neįmanoma nei nukopijuoti, nei pakartoti, pašalina šią rizikos klasę. Pranešimų nuovargis yra atskira problema, ir joks raktas ar biometrinis duomuo jo nesustabdo, kai užklausa jau pasiekia telefoną: jį įveikia tik tai, ką užklausa parodo: tikslus, aiškiai perskaitomas aprašymas, kas būtent tvirtinama, kad niekada nieko nebūtų patvirtinama aklai.
- Privilegijuotos ir nuotolinės prieigos aprėptis. Reikalavimas nėra „MFA žiniatinklio paštui“. Tai kiekvienas kelias, kuriuo iš tikrųjų pasinaudotų užpuolikas: VPN, nuotolinis darbalaukis, serverių prisijungimai, administratorių konsolės.
- Įrodymai. NIS2 tiek pat susijusi su kontrolės įrodymu, kiek ir su jos turėjimu. Kiekviena autentifikacija turėtų palikti audituojamą, klastojimui atsparų įrašą, kas ką patvirtino ir kada.
Kur čia Notakey
Notakey sukurta būtent tokio profilio organizacijoms: reguliuojamoms, saugumui jautrioms ir atskaitingoms auditoriams.
- Naudotojo raktas sugeneruojamas telefono saugios aparatinės įrangos viduje ir niekada jos nepalieka. Nėra bendrosios paslapties, kurią būtų galima pavogti, ir nėra ko išvilioti sukčiaujant.
- Kiekvienas prisijungimas ir kiekviena operacija yra kriptografiškai pasirašytas, laiko žyma pažymėtas įvykis: būtent tas audito pėdsakas, kurio prašo NIS2 vertinimas, sukuriamas automatiškai, o ne atkuriamas po fakto.
- Ji apima svarbiausius prieigos kelius per protokolus, kuriais jūsų sistemos jau kalba. Žr. praktinius vadovus: 2FA VPN per RADIUS, „Windows“ nuotolinis darbalaukis ir „Linux“ SSH.
- Ji veikia jūsų pačių infrastruktūroje arba debesyje, todėl autentifikacijos duomenys gali likti jūsų kontrolėje, o PSD2, eIDAS ir BDAR atitiktis įdiegta iš pagrindų, o ne prikabinta paskui.
Mes sąmoningai nesakysime, kad Notakey „padaro jus atitinkančius NIS2“; nė vienas produktas to nepadaro savarankiškai. Ką ji padaro, tai užpildo autentifikacijos formos spragos dalį ir įduoda jums įrodymus tam pademonstruoti.
Pradėkite nuo bandomojo diegimo, o ne nuo politikos dokumento
Greičiausias būdas išsiaiškinti, ar jūsų autentifikacija atitinka NIS2, yra išbandyti ją savo pačių aplinkoje: realus VPN, realus administratoriaus prisijungimas, saujelė realių naudotojų. Tai per savaitę pasakys apie jūsų spragą (ir apie jūsų įrodymus) daugiau, nei funkcijų lentelė per ketvirtį.
Išbandykite gyvą demonstraciją ir pasirašykite operaciją iš savo telefono maždaug per dvi minutes arba užsisakykite demonstraciją, ir mes suplanuosime jūsų VPN, SSO ar „Windows“ prieigos perkėlimą į veikiantį bandomąjį diegimą.
Šis straipsnis yra bendro pobūdžio informacija, o ne teisinė konsultacija. NIS2 į nacionalinę teisę atskirai perkelia kiekviena ES valstybė narė; konkrečias jūsų organizacijai taikomas prievoles, ribas ir terminus pasitikslinkite su kvalifikuotais teisininkais.