นักธุรกิจคนหนึ่งกำลังใช้โน้ตบุ๊ก จอแสดงผลด้านหน้าแสดงไอคอนแม่กุญแจและไอคอนเครือข่ายอินเทอร์เน็ต

NIS2, DORA และบทบาทสำคัญของไดรฟ์จัดเก็บข้อมูลแบบเข้ารหัส – ข้อมูลเชิงลึกจากผู้เชี่ยวชาญ

รับชมวิดีโอ
ต.ค. 2024
หน้าแรกของบล็อก

องค์กรจำเป็นต้องทำความเข้าใจและปฏิบัติตามระเบียบข้อบังคับล่าสุดเพื่อรับมือกับการโจมตีระบบรักษาความปลอดภัยทางไซเบอร์ที่เพิ่มจำนวนมากขึ้นเรื่อย ๆ

ก่อนหน้านี้ เราได้สัมภาษณ์คุณ David Clarke ผู้เชี่ยวชาญมากประสบการณ์ด้านการรักษาความปลอดภัยทางไซเบอร์ และพูดคุยกันถึงเทรนด์การเปลี่ยนมาเก็บข้อมูลแบบเข้ารหัส ในครั้งนี้ เราได้สัมภาษณ์คุณ David และขอความคิดเห็นเกี่ยวกับคำสั่ง NIS2 และกฎหมาย Digital Operational Resilience Act หรือ DORA รวมทั้งผลกระทบที่ตามมาของกฎหมายและระเบียบข้อบังคับเหล่านี้

คุณ Clarke สั่งสมประสบการณ์มาอย่างยาวนาน ทั้งด้านการจัดการระบบรักษาความปลอดภัยให้กับเครือข่ายซื้อขายหลักทรัพย์เอกชนที่ใหญ่ที่สุดในโลก รวมไปถึงการดูแลหนึ่งในศูนย์ปฏิบัติงานด้านการรักษาความปลอดภัยที่ใหญ่ที่สุดในยุโรป โปรดดูข้อมูลเชิงลึกในประเด็นที่สำคัญ ๆ พร้อมวิดีโอเวอร์ชันเต็มจากการสัมภาษณ์ด้านล่าง

ภาพรวมของคำสั่ง NIS2

วัตถุประสงค์ของคำสั่ง NIS2 คือการทำให้โครงสร้างพื้นฐานสำคัญทั่วทั้งสหภาพยุโรปมีความแข็งแกร่งมากขึ้นในแง่ของการรักษาความปลอดภัยทางไซเบอร์ คุณ David Clarke อธิบายว่าคำสั่งนี้มีเป้าหมายอยู่ที่ภาคธุรกิจต่าง ๆ ที่หากถูกโจมตีก็จะส่งผลกระทบต่อประชากรจำนวนมาก ตัวอย่างเช่น อุตสาหกรรมการบิน การขนส่งทางเรือ การเกษตร เครือร้านค้าปลีกขนาดใหญ่ และอื่น ๆ อีกมากมาย นอกจากนั้นแล้ว ปัจจุบันคำสั่ง NIS2 ยังครอบคลุมไปถึงภาคธุรกิจผู้ให้บริการด้านไอทีที่อยู่ภายใต้การจัดการด้วย เนื่องจากอุตสาหกรรมนี้อาจจะส่งผลกระทบต่อลูกค้าจำนวนมากหากถูกโจมตี

คำสั่ง NIS2 เน้นให้ความสำคัญกับความแข็งแกร่งทางไซเบอร์และการจัดการบุคคลที่สาม โดยบริษัทต้องแสดงให้เห็นว่าสามารถจัดการซัพพลายเออร์ด้านไอทีของตนได้เป็นอย่างดีตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์ที่กำหนดไว้ และหากไม่ปฏิบัติตามข้อกำหนดดังกล่าว บริษัทอาจจะต้องเสียค่าปรับเป็นมูลค่าสูงถึง 2% ของรายรับทั่วโลก (หรือ 10 ล้านยูโร แล้วแต่ว่าจำนวนใดจะสูงกว่ากัน) แม้ว่าจะยังไม่มีการละเมิดเกิดขึ้น แต่บริษัทก็อาจจะยังต้องเสียค่าปรับเช่นกัน หากไม่มีหลักฐานเพียงพอว่าได้ปฏิบัติตามกฎระเบียบอย่างครบถ้วน

ทำความเข้าใจระเบียบ DORA

ในทางตรงกันข้าม DORA (Digital Operational Resilience Act) เน้นเฉพาะภาคอุตสาหกรรมการเงินเท่านั้น กฎหมายฉบับนี้จะเริ่มบังคับใช้ในเดือนมกราคม 2025 โดยกำหนดมาตรการรักษาความปลอดภัยทางไซเบอร์อย่างรัดกุม โดยมุ่งหมายให้สถาบันการเงินดำเนินงานได้อย่างแข็งแกร่ง

David Clarke กล่าวว่าค่าปรับภายใต้กฎหมาย DORA อาจจะสูงถึง 1% ของรายรับจากทั่วโลก และอาจจะเสียค่าปรับเป็นรายวันหากปัญหาไม่ได้รับการแก้ไขอย่างทันท่วงที โดย DORA กำหนดให้สถาบันการเงินต้องดำเนินการทดสอบการเจาะระบบที่ทันต่อภัยคุกคาม และตรวจสอบจนแน่ใจว่าไม่มีข้อบกพร่องใด ๆ ในระบบของตน

การรายงานเหตุการณ์และการถ่ายโอนข้อมูลระหว่างประเทศ

ทั้ง NIS2 และ DORA ต่างก็มีข้อกำหนดให้องค์กรต้องรายงานเหตุการณ์แก่หน่วยงานกำกับดูแลที่เกี่ยวข้องอย่างละเอียด คุณ Clarke ให้ข้อมูลว่า DORA กำหนดให้ต้องรายงานเหตุการณ์ภายใน 72 ชั่วโมง พร้อมระบุอย่างชัดเจนว่าจะต้องแจ้งข้อมูลอะไรบ้าง เช่น จำนวนลูกค้าที่ได้รับผลกระทบและลักษณะของความเสี่ยงที่เกิดขึ้น

ส่วนการถ่ายโอนข้อมูลระหว่างประเทศนั้น คุณ Clarke ได้เน้นย้ำความสำคัญของแนวทางปฏิบัติที่ปลอดภัย ตัวอย่างเช่น DORA กำหนดให้ธุรกิจต้องทดสอบแผนบริหารความต่อเนื่องของธุรกิจและยื่นหลักฐานว่าแผนของตนมีประสิทธิภาพ ทั้งนี้เพื่อรับรองว่าบริษัทรับมือกับเหตุการณ์ต่าง ๆ และมีความพร้อมเป็นอย่างดี

สร้างโอกาสทางธุรกิจจากการปฏิบัติตามกฎระเบียบ

Clarke เชื่อว่าการปฏิบัติตามกฎระเบียบอาจจะกลายเป็นโอกาสทางธุรกิจครั้งใหญ่ เพราะเมื่อพิสูจน์ได้ว่าดำเนินงานสอดคล้องตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูล ธุรกิจจะทำสัญญากับรัฐบาลและร่วมมือกับบริษัทขนาดใหญ่ได้ โดยหน่วยงานเหล่านี้มักจะกำหนดให้บริษัทขนาดเล็กต้องแสดงหลักฐานว่ามีการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ เพื่อบรรเทาความเสี่ยงจากการรับผิดขององค์กร

ข้อดีของการเข้ารหัสเชิงฮาร์ดแวร์

ไดรฟ์ USB ต้องมีคุณสมบัติรักษาความปลอดภัยที่รัดกุมจึงจะช่วยในการปฏิบัติตาม NIS2 และ DORA คุณ Clarke ชี้ให้เห็นความสำคัญของการเข้ารหัสเชิงฮาร์ดแวร์ ซึ่งมีข้อดีมากกว่าการเข้ารหัสเชิงซอฟต์แวร์หลายประการ การเข้ารหัสเชิงฮาร์ดแวร์เป็นระบบนิเวศแบบปิด ซึ่งมีการรักษาความปลอดภัยและป้องกันการโจมตีได้อย่างมีประสิทธิภาพ

ในทางกลับกัน การเข้ารหัสเชิงซอฟต์แวร์ในไดรฟ์จัดเก็บข้อมูลแบบเคลื่อนที่นั้นถอดออกได้ไม่ยาก ซึ่งส่งผลเสียต่อการปฏิบัติตามกฎระเบียบและเสี่ยงต่อการละเมิดข้อมูลได้ ยิ่งไปกว่านั้น ไฟล์ที่ป้องกันด้วยรหัสผ่านและเข้ารหัสเชิงซอฟต์แวร์ยังเจาะข้อมูลได้ง่าย ๆ โดยใช้เครื่องมือเดารหัสผ่านที่หาซื้อได้ทางออนไลน์

เมื่อถามว่าองค์กรต่าง ๆ ควรมองว่าการรับรองมาตรฐานของ NIST เป็น “มาตรฐานแนะนำ” หรือไม่ คำตอบคือ “แน่นอน” คุณ Clarke กล่าวเสริมว่า “มีอยู่สองสามกรณีที่มีการอ้างว่ามีระบบรักษาความปลอดภัยและการเข้ารหัสที่ดีกว่า แต่ก็ไม่ได้เป็นไปตามมาตรฐาน และมีการละเมิดเกิดขึ้น”

ไดรฟ์ Kingston IronKey D500S และ Keypad 200 ผ่านการรับรองมาตรฐาน FIPS 140-3 Level 3 (รอการรับรอง) ดังนั้นองค์กรจึงมั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนจะได้รับการปกป้องด้วยหนึ่งในเทคโนโลยีการปกป้องการเข้ารหัสข้อมูลเกรดเดียวกับที่ใช้ในทางทหารที่รัดกุมที่สุดในตลาดปัจจุบัน และหากต้องการไดรฟ์ความจุสุง ไดรฟ์ SSD แบบต่อพ่วง IronKey Vault Privacy 80 ยังเพิ่มความจุได้ถึง 8TB ช่วยให้คุณสำรองข้อมูลสำคัญไว้นอกเครือข่ายอินเทอร์เน็ตอย่างสบายใจ

สรุป

ภักคุกคามทางไซเบอร์ยังคงทวีความรุนแรงและแพร่ขยายไปในวงกว้าง คำสั่งและระเบียบข้อบังคับอย่าง NIS2 และ DORA จึงมีบทบาทสำคัญในการสร้างความแข็งแกร่งให้กับโครงสร้างพื้นฐานที่มีความสำคัญ ตลอดจนสถาบันทางการเงิน ข้อมูลเชิงลึกของคุณ Clarke ตอกย้ำความสำคัญของการปฏิบัติตามกฎระเบียบ การรายงานเหตุการณ์อย่างมีประสิทธิภาพ มาตรการรักษาความปลอดภัยที่รัดกุม ตลอดจนการใช้ไดรฟ์แบบเข้ารหัสเชิงฮาร์ดแวร์ ซึ่งในการปฏิบัติตามกฎระเบียบเหล่านี้ องค์กรไม่เพียงยกระดับระบบรักษาความปลอดภัยของตัวเองเท่านั้น แต่ยังช่วยสร้างความได้เปรียบด้านการแข่งขันได้เช่นกัน

รับชมวิดีโอเวอร์ชันเต็ม

#KingstonIronKey

ไอคอน Ask an Expert ของ Kingston บนชิปเซ็ตของแผงวงจร

ถามผู้เชี่ยวชาญ

การวางแผนระบบการทำงานที่เหมาะสมต้องอาศัยความเข้าใจเกี่ยวกับวัตถุประสงค์ด้าน IT ของคุณ ให้ผู้เชี่ยวชาญจาก Kingston เสนอคำแนะนำที่เป็นประโยชน์แก่คุณ

ถามผู้เชี่ยวชาญ

วิดีโอที่เกี่ยวข้อง

Trisha กำลังถือแฟลชไดร์ฟ Kingston IKLP50 USB 4:19

คำแนะนำง่าย ๆ ในการสำรองข้อมูล PC

ปัญหาในจากการไม่ใส่ใจสำรองข้อมูลเกิดขึ้นได้แม้กับผู้ที่เชี่ยวชาญด้านเทคโนโลยี เราจะกล่าวถึงเคล็ดลับง่าย ๆ บางส่วนเพื่อให้แน่ใจว่าคุณจะสามารถสำรองข้อมูลได้เป็นประจำโดยไม่ยุ่งยาก

Trisha กำลังถือ IKVP80ES ติดกับรูปโล่ หน้าจอพร้อมรหัสและรูปกุญแจ 5:38

วิธีที่ถูกต้องในการจัดเก็บและเข้าถึงไฟล์ของคุณอย่างปลอดภัย

สำหรับนักสร้างสรรค์ผลงานที่ต้องผลิตงานให้กับลูกค้ารายสำคัญ สื่อบันทึกข้อมูลแบบเข้ารหัสจะช่วยดูแลไฟล์ข้อมูลที่สำคัญเพื่อให้คุณสามารถจัดการมาตรการรักษาความปลอดภัยได้อย่างมั่นใจ

Trisha กำลังถือ SSD ยักษ์ขนาด 2.5" ข้างๆ M.2 SSD พร้อมไอคอนล็อกและ Windows 5:02

การเข้ารหัสฮาร์ดแวร์เทียบกับการเข้ารหัสซอฟต์แวร์

การเข้ารหัสซอฟต์แวร์และการเข้าฮาร์ดแวร์แตกต่างกันอย่างไร

Trisha กำลังมองไปที่หน้าจอด้วยความตกใจและวิตกกังวล โดยมีรูปกะโหลกและกระดูกไขว้พร้อมสามเหลี่ยมแจ้งเตือนปรากฏอยู่บนหน้าจอ 3:59

วิธีรักษาบัญชีผู้ใช้ออนไลน์ของคุณให้ปลอดภัย

วิธียกระดับการรักษาความปลอดภัยให้สูงที่สุดโดยใช้ขั้นตอนต่าง ๆ เพื่อปกป้องตัวตนของคุณ

บทความ Kingston IronKey

บทความที่เกี่ยวข้อง

หน้าแรกของบล็อก