IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Rozhovor s Alexandrou Rusňákovou na téma NIS2 a kybernetická bezpečnost

AXENTA NIS2 SOC rozhovor

Na otázky na téma kybernetické bezpečnosti a směrnice NIS2 odpovídala Alexandra Rusňáková ze společnosti AXENTA a.s.

Otázka na úvod. Kdybyste měla vyzvednout nějakou novinku v NIS2. Co by to bylo?

Asi audit by to byl, audit souladu s NIS2.

Novelizace zákona s nástupem směrnice NIS2 přináší do prostředí českého světa kybernetické bezpečnosti novinku, kterou je audit.

Naši sousedé na Slovensku však již od roku 2018 v zákoně uvádějí povinnosti auditování takzvaných „Provozovatelů základních služeb“.

Co to znamená?

Že každý subjekt, který byl zařazen do seznamu provozovatelů základní služby, po přechodném období, čekala v roce 2020 povinnost provést externí audit certifikovaným auditorem kybernetické bezpečnosti.

Během let 2020-2022 byly Národním bezpečnostním úřadem zveřejňovány zprávy o stavu kybernetické bezpečnosti v České republice. Tato zpráva byla sumářem všech závěrečných zpráv, které byly provozovateli základní služby předány úřadu.

Na základě závěrečných zpráv z auditů byl úřad schopen sepsat největší mezery a problémy, se kterými se provozovatelé a jednotlivé sektory v oblasti kybernetické bezpečnosti během roku 2022 popasovali. Obsahuje také informace, které úřad sesbíral díky své činnosti v této oblasti.

Mohu se zeptat, jak si společnosti při těchto auditech vedly, a co byly nejčastější hrozby a nálezy?

AxentaNejvýznamnější hrozby v roce 2022 představovaly:

• Sociální inženýrství – stále převládá phishing, ale také vishing a různé pyramidové koncepty
• Nedostupnost služby, DDoS útoky
• Škodlivý kód – nárůst aktivity malwaru Emotet
• Zranitelnosti a pokusy o průnik do systému
• Úniky dat

Je možné konstatovat, že stav kybernetické bezpečnosti se výrazně liší v závislosti na sektoru. Sektor bankovnictví vykazuje kontinuálně skvělé výsledky v oblasti kybernetické bezpečnosti. V sektoru Zdravotnictví Slovensko zaznamenalo zlepšení ve vnímání problematiky kybernetické bezpečnosti. Stále však zaostávají sektory jako Veřejná správa, sektor Energetika, ale hlavně jeho podsektor Tepelná energetika vykazuje nízké hodnoty souladu s požadavky ze zákona.

CyberSOC AxentaNejčastěji auditní nálezy za rok 2022 představovaly:

• Neexistující strategie a s ní spojená nedostatečná podpora nejvyššího vedení
• Nedostatky v řízení rizik, hrozeb a aktiv
• Nedostatečná, chybějící a neaktuální dokumentace
• Chybějící vzdělávání v oblasti kybernetické bezpečnosti
• Smlouvy s dodavateli neobsahují ustanovení o kybernetické bezpečnosti
• Pravidla popsaná v politikách nejsou zavedena v praxi
• Chybějící topologie, segmentace, seznamy portů
• Neexistující záložní komunikace
• Není implementována politika řízení přístupů
• Neexistující proces řízení kontinuity
• Neexistující ochrana pomocí šifrování
• Vzdálený přístup není zajištěn (týká se zaměstnanců, ale hlavně dodavatelů)
• Atd.

Vyjmenované problémy jsou jen částí problémů, se kterými provozovatelé základních služeb bojují. Nejsou to novinky pro společnosti, které se v problematice kybernetické bezpečnosti orientují a pohybují už nějakou dobu, avšak pro nové subjekty, kterým s NIS2 přibydou povinnosti, to bude představovat nemalý tlak. Nevíte-li si rady s otázkou povinností vyplývajícími z NIS2 AXENTA vám ráda poradí a nasměruje vás. Ať už díky provedení rozdílové analýzy nebo zajištění splnění více požadavků ze směrnice díky svému Security Operation Centru. Nejste v tom sami, nechte si poradit, ať nemusíte tápat.

konference Future Cyber Defence 12. 10. 2023
security

Future Cyber Defence

Jako mediální partneři Vás zveme na panelovou diskusi Future Cyber Defence, která navazuje na konferenci SCADA SECURITY a předchází konferencím připravovaným na rok 2024. Jednotlivá

ČÍST DÁLE »