Chúng tôi nhận thấy bạn hiện đang truy cập trang web của Vương quốc Anh. Thay vào đó, bạn có muốn truy cập trang web chính của chúng tôi không?

Một doanh nhân đang sử dụng laptop, phía trước có biểu tượng ổ khóa và các biểu tượng mạng Internet như giao diện hiển thị

NIS2, DORA và tầm quan trọng của thiết bị lưu trữ được mã hóa – Thông tin chuyên sâu từ chuyên gia

Khi các tổ chức đối phó với số lượng cuộc tấn công mạng ngày càng gia tăng, việc hiểu và tuân thủ các quy định mới nhất là vô cùng quan trọng.

Trước đó, chúng tôi đã phỏng vấn David Clarke, một chuyên gia an ninh mạng dày dạn kinh nghiệm, để thảo luận về những thay đổi trong hành vi liên quan đến thiết bị lưu trữ được mã hóa. Lần này, chúng tôi đã mời David chia sẻ suy nghĩ về Chỉ thị NIS2 và Đạo luật về Khả năng phục hồi hoạt động số (DORA) cùng những tác động của 2 quy định này.

Clarke có kinh nghiệm chuyên sâu trong quản lý bảo mật cho các mạng lưới giao dịch tư nhân lớn nhất thế giới và điều hành một trong những trung tâm hoạt động bảo mật lớn nhất châu Âu. Dưới đây là những thông tin chuyên sâu nổi bật, cùng với video đầy đủ từ buổi phỏng vấn này.

Tổng quan về Chỉ thị NIS2

Chỉ thị NIS2 nhằm mục đích tăng cường khả năng phục hồi an ninh mạng của cơ sở hạ tầng quan trọng trên toàn EU. Clarke giải thích rằng chỉ thị này nhắm đến các lĩnh vực mà trong trường hợp xảy ra xâm phạm, có thể gây ảnh hưởng đáng kể đến một phần lớn dân số. Các lĩnh vực bao gồm: hàng không, vận tải biển, nông nghiệp, các chuỗi bán lẻ lớn, và nhiều ngành khác. Ngoài ra, NIS2 hiện cũng được áp dụng cho các nhà cung cấp dịch vụ CNTT được quản lý, vì nếu bị xâm phạm, họ có thể gây ảnh hưởng đến nhiều khách hàng.

Chỉ thị nhấn mạnh tầm quan trọng của khả năng phục hồi an ninh mạng và quản lý bên thứ ba. Các công ty cũng phải chứng minh rằng họ đang quản lý hiệu quả các nhà cung cấp dịch vụ CNTT của mình nhằm đáp ứng các tiêu chuẩn an ninh mạng bắt buộc. Việc không tuân thủ có thể dẫn đến khoản phạt lên đến 2% doanh thu toàn cầu (hoặc 10 triệu Euro, tùy theo mức nào cao hơn). Ngay cả khi không xảy ra vi phạm, các công ty vẫn có thể bị phạt nếu không cung cấp đầy đủ bằng chứng về việc tuân thủ.

Nắm rõ về Quy định DORA

Ngược lại, DORA (Đạo luật về Khả năng phục hồi hoạt động số) chỉ tập trung vào lĩnh vực tài chính. DORA có hiệu lực từ tháng 01 năm 2025, yêu cầu các biện pháp an ninh mạng nghiêm ngặt nhằm đảm bảo khả năng phục hồi hoạt động của các tổ chức tài chính.

Clarke nhấn mạnh rằng các khoản phạt theo DORA có thể lên tới 1% doanh thu toàn cầu. Tổ chức có khả năng bị phạt hàng ngày nếu không kịp thời khắc phục các vấn đề. DORA yêu cầu các tổ chức tài chính tiến hành kiểm tra thâm nhập dựa trên mối đe dọa và đảm bảo rằng không có điểm yếu đơn lẻ nào trong hệ thống của họ.

Báo cáo sự cố và truyền dữ liệu quốc tế

Cả NIS2 và DORA đều yêu cầu báo cáo chi tiết sự cố đến các cơ quan quản lý có thẩm quyền. Clarke lưu ý rằng DORA quy định thời gian báo cáo là 72 giờ, kèm theo hướng dẫn rõ ràng về những thông tin cần được cung cấp, chẳng hạn như số lượng khách hàng bị ảnh hưởng và bản chất của các rủi ro.

Khi nhắc đến truyền dữ liệu quốc tế, Clarke nhấn mạnh rằng việc áp dụng các phương pháp bảo mật là vô cùng quan trọng. Chẳng hạn: DORA yêu cầu các doanh nghiệp kiểm tra kế hoạch duy trì hoạt động kinh doanh của họ và cung cấp bằng chứng về mức độ hiệu quả của những kế hoạch này. Điều này đảm bảo rằng các công ty có thể xử lý sự cố và chứng minh được sự chuẩn bị của mình.

Biến tuân thủ thành cơ hội kinh doanh

Clarke tin rằng việc tuân thủ quy định có thể là một cơ hội kinh doanh đáng kể. Việc chứng minh được doanh nghiệp có các tiêu chuẩn an ninh mạng và bảo mật dữ liệu phù hợp có thể mở ra cơ hội ký kết hợp đồng với chính phủ và quan hệ đối tác với các công ty lớn hơn. Các tổ chức này thường yêu cầu các công ty nhỏ cung cấp bằng chứng về các biện pháp an ninh mạng của họ để giảm thiểu rủi ro về trách nhiệm.

Ưu điểm của mã hóa dựa trên phần cứng

Để tuân thủ NIS2 và DORA, các ổ đĩa USB phải có tính năng bảo mật mạnh mẽ. Clarke chỉ ra tầm quan trọng của mã hóa dựa trên phần cứng, giải pháp có một số lợi thế so với các giải pháp dựa trên phần mềm. Mã hóa dựa trên phần cứng là một hệ sinh thái khép kín, cung cấp bảo mật mạnh mẽ và bảo vệ chống lại các cuộc tấn công.

Trong khi đó, mã hóa phần mềm trên thiết bị lưu trữ di động có thể dễ dàng bị xóa thông qua việc định dạng lại, làm giảm khả năng tuân thủ và tăng nguy cơ rò rỉ dữ liệu. Ngoài ra, các tệp được bảo vệ bằng mật khẩu và mã hóa phần mềm có thể bị xâm nhập bằng các công cụ đoán mật khẩu mà có thể dễ dàng tìm thấy trên Internet.

Khi được hỏi liệu các tổ chức có nên hướng tới chứng nhận FIPS của NIST như là “tiêu chuẩn vàng” hay không. “Tất nhiên rồi”. Clarke khẳng định: “Có khá nhiều trường hợp mọi người tuyên bố rằng họ có bảo mật và mã hóa tốt hơn nhưng thực tế thì không phải như vậy, chúng đã bị xâm phạm”.

Các ổ đĩa Kingston IronKey D500SKeypad 200 mang đến chứng nhận FIPS 140-3 Cấp 3 (đang chờ cấp), giúp các tổ chức yên tâm rằng dữ liệu nhạy cảm được bảo vệ với một trong những giải pháp mã hóa cấp quân sự mạnh mẽ nhất hiện có trên thị trường. Còn đối với mục đích lưu trữ dung lượng cao, các ổ SSD ngoài IronKey Vault Privacy 80 được chứng nhận FIPS 197 có dung lượng lên đến 8 TB, cho phép sao lưu dữ liệu quan trọng mà không kết nối với mạng.

Kết luận

Các mối đe dọa an ninh mạng tiếp tục gia tăng và lan rộng, và đó là lý do tại sao các chỉ thị và quy định như NIS2 và DORA đóng vai trò quan trọng trong việc đảm bảo khả năng phục hồi của cơ sở hạ tầng quan trọng và các tổ chức tài chính. Thông tin chuyên sâu của Clarke nhấn mạnh tầm quan trọng của việc tuân thủ, báo cáo sự cố hiệu quả, các biện pháp bảo mật mạnh mẽ và việc sử dụng thiết bị lưu trữ được mã hóa phần cứng. Bằng cách chấp nhận những quy định này, các tổ chức không chỉ có thể nâng cao khả năng bảo mật của mình mà còn có được lợi thế cạnh tranh thông qua việc biến việc tuân thủ thành lợi thế kinh doanh.

Xem toàn bộ video

#KingstonIronKey

Thông tin này có hữu ích không?

Biểu tượng Hỏi chuyên gia của Kingston trên chipset bo mạch

Hỏi Chuyên gia

Lên kế hoạch cho giải pháp phù hợp yêu cầu phải có sự hiểu biết về các mục tiêu bảo mật của dự án. Hãy để các chuyên gia của Kingston hướng dẫn cho bạn.

Các bài báo về Kingston IronKey

Bài viết liên quan