Бизнесмен, использующий свой ноутбук со значками замка и интернет-сетей в качестве выдвижного дисплея на переднем плане

NIS2, DORA и важная роль хранилищ данных с шифрованием — заключение эксперта

По мере того, как организации сталкиваются с растущим числом атак на свои данные, им важно понимать и соблюдать новейшие нормативные требования в области кибербезопасности.

Ранее мы брали интервью у Дэвида Кларка, эксперта по кибербезопасности с огромным опытом, чтобы обсудить, как изменялась стратегия в отношении хранения данных в сторону выбора решений с шифрованием. В этот раз мы попросили Дэвида поделиться своими мыслями о Директиве NIS2 и Законе о цифровой операционной устойчивости (DORA), а также о том, что они влекут за собой.

Обширный опыт Кларка в этой сфере включает управление безопасностью крупнейших в мире частных торговых сетей и управление одним из крупнейших в Европе центров обеспечения безопасности. Здесь мы представляем вам основные выводы вместе с полным видео его интервью.

Обзор Директивы NIS2

Директива NIS2 направлена на повышение устойчивости к кибербезопасности критической инфраструктуры в ЕС. Кларк объясняет, что эта директива нацелена на сектора, которые, если они окажутся под угрозой, могут в значительной степени затронуть большую часть населения. Сюда входят такие отрасли, как авиация, судоходство, сельское хозяйство, крупные розничные сети и многие другие области. Кроме того, директива NIS2 теперь относится и к поставщикам управляемых ИТ-сервисов, учитывая их потенциал влияния на многочисленных клиентов, если они будут скомпрометированы.

В директиве подчеркивается важность киберустойчивости и управления отношениями со сторонними организациями. Чтобы соответствовать требуемым стандартам кибербезопасности, компании также должны продемонстрировать, что они эффективно управляют своими ИТ-поставщиками. Несоблюдение этого требования может привести к штрафам в размере до 2% от глобальной выручки (или 10 миллионов евро – в зависимости от того, что больше). Даже при отсутствии нарушений компании все равно могут быть оштрафованы за непредоставление адекватных доказательств соответствия нормативным требованиям.

О регламенте DORA

В свою очередь, закон о цифровой операционной устойчивости (DORA) фокусируется исключительно на финансовом секторе. Вступая в силу в январе 2025 года, он предписывает строгие меры в отношении кибербезопасности для обеспечения операционной устойчивости финансовых учреждений.

Кларк подчеркивает, что штрафы по DORA могут достигать 1% от глобальной выручки, с возможностью ежедневных штрафов, если проблемы не будут устранены в кратчайшие сроки. DORA требует, чтобы финансовые учреждения проводили тестирование на вероятность взлома с учетом угроз и следили за тем, чтобы в их системах не было единых точек отказа.

Отчетность об инцидентах и международная передача данных

Как NIS2, так и DORA требуют подробного отчета об инцидентах в соответствующие регулирующие органы. Кларк отмечает, что DORA определяет срок отчетности в 72 часа с четкими рекомендациями о том, какая информация должна быть включена в такие отчеты, например, количество затронутых клиентов и характер рисков.

Что касается международной передачи данных, Кларк подчеркивает необходимость безопасных практик. Например, регламент DORA требует, чтобы компании проверяли свои планы обеспечения непрерывности бизнеса и предоставляли доказательства их эффективности. Такая мера гарантирует, что компании смогут продемонстрировать свою готовность к возможным инцидентам и смогут справиться с ними.

Превращение необходимости соблюдения нормативных требований в возможность для бизнеса

Кларк считает, что соблюдение нормативных требований может стать значительной возможностью для развития бизнеса. Демонстрация соответствия стандартам кибербезопасности и защиты данных может открыть двери для государственных контрактов и партнерских отношений с более крупными компаниями. Эти организации часто требуют от небольших компаний предоставить доказательства соблюдаемых мер в области кибербезопасности для снижения рисков, связанных с ответственностью.

Преимущества аппаратного шифрования

Для соблюдения NIS2 и DORA, USB-накопители должны быть оснащены надежными функции безопасности. Кларк отмечает важность аппаратного шифрования, имеющего несколько преимуществ по сравнению с вариантами программного шифрования. Аппаратное шифрование — это закрытая экосистема, которая обеспечивает надежную безопасность и защиту от злоумышленников.

Программное шифрование на мобильном устройстве хранения данных, наоборот, может быть легко убрано путем переформатирования, нарушая соблюдение нормативных требований и увеличивая риск утечки данных. Кроме того, защищенные паролем файлы с программным шифрованием могут быть взломаны с помощью легкодоступных инструментов для подбора пароля, которые можно найти в Интернете.

На вопрос, следует ли организациям рассматривать сертификацию FIPS от NIST как «золотой стандарт» безопасности, Кларк отвечает: «Абсолютно». «Было довольно много случаев, когда люди утверждали, что у них лучшая безопасность и шифрование, но это было не так, и они были взломаны».

Накопители Kingston IronKey D500S и Keypad 200 сертифицированы FIPS 140-3 уровня 3 (ожидается), так что организации могут быть уверены в том, что их конфиденциальные данные защищены при помощи одного из самых передовых методов шифрования военного класса, доступных в настоящий момент на рынке. Для хранения данных большой емкости сертифицированные по стандарту FIPS 197 внешние твердотельные накопители IronKey Vault Privacy 80 масштабируются до 8 ТБ, что позволяет создавать физически изолированные резервные копии критически важных данных.

Заключение

Угрозы кибербезопасности продолжают усиливаться и распространяться, и именно поэтому директивы и правила, такие как Директива NIS2 и Регламент DORA, играют ключевую роль в обеспечении устойчивости критически важных инфраструктур и финансовых учреждений. Выводы Кларка подчеркивают важность соблюдения нормативных требований, эффективной отчетности об инцидентах, надежных мер безопасности и использования устройств хранения данных с аппаратным шифрованием. Выполняя эти правила, организации могут не только улучшить свою позицию в области безопасности, но и использовать соблюдение нормативных требований в качестве конкурентного преимущества.

Смотреть полное видео

#KingstonIronKey

Значок "Спросите специалиста" от Kingston на чипсете печатной платы

Спросите специалиста

Планирование правильного решения требует понимания целей безопасности вашего проекта. Позвольте специалистам Kingston помочь вам.

Спросите специалиста

Статьи об Kingston IronKey

Связанные статьи