Diegdama naujausią TIS2 (tinklo ir informacijos apsaugos) direktyvą, Europos Sąjunga (ES) siekia sustabdyti kibernetinių grėsmių plitimą, kuris kels grėsmę ne tik verslui ar privačiam vartotojui, bet ir pačioms valstybėms. Mus visus palies šios naujosios ES taisyklės jau nuo 2024 m. spalio mėnesio, kuomet ES vyriausybės, įmonės, institucijos ir piliečiai turės būti visiškai perėję prie naujų saugumo standartų.
Pirmoji TIS direktyvos versija priimta dar 2016 m. Šiandien ji neatitinka naujų realijų, tačiau padėjo pamatus apibrėžiant naujas saugumo taisykles bei sektorius. Svarbiausia tai, kad kibernetinį saugumą ji praplečia ir į fizinės apsaugos sritis, tokias kaip praėjimo kontrolė, perimetro apsauga, vaizdo stebėjimas ir kt.
Naujoji TIS2 direktyva numato:
- Reglamentuojamų sektorių skaičius išaugo nuo 7 iki 18.
- Subjektai skirstomi į kritinius, esminius ir svarbius.
- Kiekvienam saugumo lygiui proporcingus reikalavimus nustato pačios vyriausybės.
- Baudos už reikalavimų nesilaikymą gali siekti iki 2 proc. metinės apyvartos.
- Privalomas tarpvalstybinis kooperavimasis, koordinuojant kibernetinį atsaką ir užtikrinant prevenciją, matavimą, aptikimą ir reagavimą nelaimės atveju visos Europos mastu.
- Fizinės saugos sistemos pirmą kartą tampa kibernetinės saugos dalimi reaguojant į hibridines atakas su fizinio įsilaužimo elementais.
Skirstymas
Kritiniais ir esminiais subjektais laikomos šių sektorių kompanijos, kurių metinė apyvarta viršija 50 mln. Eur:
- Energetika, transportas, bankininkystė, finansų rinkos infrastruktūra, sveikatos priežiūra, vandentvarka, skaitmeninė infrastruktūra, viešasis administravimas, maisto produktų gamyba, perdirbimo ir platinimo kompanijos.
Mažesne apimtimi TIS2 direktyva reguliuos ir kompanijas, kurių darbuotojų skaičius viršys 50, o apyvarta arba turtas – 10 mln. Eur šiuose sektoriuose:
- Informacinių ir ryšių technologijų (IRT) paslaugos verslui, pašto ir kurjerių paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba ir platinimas, skaitmeninės paslaugos, įskaitant e. prekybą, moksliniai tyrimai.
Lietuvoje naujų reikalavimų laikytis privalės apie 22 tūkst. įmonių. Svarbu žinoti, kad kiekviena valstybė gali savarankiškai priskirti vieną ar kitą kompaniją kaip kritinės ar esminės svarbos objektą, nepaisant jo dydžio (įskaitant labai mažas, mažas ir vidutines įmones).
Hibridinės atakos
IT ir telekomunikacijų sistemų saugumo protokolai numato tipinius apsaugos instrumentus, kuriais organizacijose nuolat rūpinasi IT departamentai. Tačiau šiandien vis labiau plinta hibridiniai įsilaužimai, kuomet tinkamai apsaugotą sistemą siekiama apeiti ne su ja susiduriant, o įsilaužiant fiziniu būdu ir siekiant pakenkti organizacijai iš vidaus.
Naujausi įvykiai rodo, kad hibridinių grėsmių daugėja. Įsilaužiama net ir į gerai apsaugotas IT sistemas, nepaisant jų dydžio ar sektoriaus: IT kompanijas, ligonines, energijos gamybos įmones, viešojo transporto tinklus ar net didžiųjų pasaulio valstybių valdžios institucijas.
2021 m. sausio 6 d. įsibrovėliai, patekę į Kapitolijaus pastatą Vašingtone, ne tik jį apgadino, bet ir pažeidė visą informacinę sistemą – buvo pavogti čia dirbusiųjų kompiuteriai, tinkle paskleisti virusai. Po kelių mėnesių nuo incidento, juodojoje rinkoje buvo dalijamasi dideliu kiekiu konfidencialių duomenų. Tokios hibridinės atakos gali nepataisomai pažeisti net ir saugiausią IT sistemą.
Skaitmeninės apsaugos reikalavimai
Pagal naująją TIS2 direktyvą, visos kritinės ir esminės svarbos organizacijos privalo pranešti apie kibernetinio saugumo incidentus kompetentingai institucijai per 24 val. nuo sužinojimo. Nesilaikant šio TIS2 reikalavimo, numatomos didelės piniginės baudos, kuomet organizacijos nukentėtų ne tik finansiškai, tačiau patirtų ir didelį reputacinį smūgį.
Skaitmeniniai sertifikatai ir viešojo rakto infrastruktūra (angl. Public key infrastructure – PKI) tampa privalomais organizacijos saugaus ryšio užtikrinimo komponentais. Jie yra patikimiausias būdas visų vartotojų, įrenginių ir prijungtų „daiktų“ tapatybei nustatyti ir duomenims užšifruoti. Aukšto lygio kriptografinis sertifikavimas būtinas visiems tinklo komponentams – nuo eilinių svetainių ir programinės įrangos, iki „Wi-Fi“ tinklų ir ypatingos svarbos infrastruktūros.
Skaitmeniniai sertifikatai yra svarbiausi tinklų ir IT sistemų saugumo komponentai. Tačiau neužtenka vien išduoti sertifikatus – kiekvienas sertifikatas turi būti tvarkomas visą jo gyvavimo ciklą, siekiant užtikrinti, kad jis išliktų patikimas, galiojantis ir atitiktų įmonės saugumo politiką.
Įsigaliojus TIS2 direktyvai, organizacijos privalo įdiegti išsamią sertifikatų valdymo sistemą, griežtai kontroliuojant skaitmeninių sertifikatų gyvavimą – juos išduodant, atšaukiant ir atnaujinant.
Patikima raktų saugykla: sertifikatai ir skaitmeniniai raktai privalo būti saugomi saugiose, nuo tinklo atskirtose fizinėse laikmenose, išvengiant bet kokios neteisėtos prieigos.
Atsarginės kopijos: reikalaujama įdiegti atsarginių kopijų kūrimo ir atkūrimo procedūras, kad būtų užtikrintas skaitmeninių sertifikatų ir raktų prieinamumas sistemos gedimo ar nelaimės atveju.
Šifravimas: Siekiant užtikrinti konfidencialumą, skaitmeniniai sertifikatai ir raktai užšifruoti perdavimo ir saugojimo metu.
Skaitmeniniai parašai: skaitmeniniams sertifikatams ir pranešimams autentifikuoti privaloma naudoti skaitmeninius parašus.
Saugūs ryšio protokolai: sertifikatams ir raktams perduoti turi būti naudojami tik saugūs ryšio protokolai.
Atitikties ir audito reikalavimai tampa esminiais TIS2 direktyvos komponentais, reikalaujama reguliariai atlikti organizacijos sistemų auditą ir rizikos vertinimą.
Reikalavimai – fizinė apsauga
Pagrindinė direktyvos naujovė – patikima ne tik skaitmeninio, bet ir fizinio lygmens apsauga. Hibridinės atakos gali būti vykdomos ne tik nuotoliniu būdu internetu, bet ir fiziškai – įsibraunant į pačią organizaciją ir jos padalinius. Atsižvelgiant į kiekvieno subjekto svarbą, skiriami keli pagrindiniai fizinės apsaugos lygiai.
Naujoji direktyva TIS2 reglamentuoja šių fizinės saugos priemonių būtinybę:
- Perimetro apsauga, vartų kontrolė, apšvietimas, vaizdo stebėjimas, vaizdo stebėjimas su operatoriumi, apsauginės durys, apsaugos sistemų integracijos sąsaja, signalizacija su operatoriumi, įėjimo kontrolės sistema, aukšto saugumo prieigos kontrolės sistema, apsaugos punktas ir jo darbuotojai.
Kiekvienam iš šių komponentų taikomi specialūs sertifikatai, ypač vaizdo stebėjimo ir prieigos kontrolės sistemoms. Jų komponentai turi atitikti naujus ES standartus ir konkrečius naujausius teisės aktus, pavyzdžiui, būtina atkreipti dėmesį, ar stebėjimo įranga pagaminta draugiškoje Lietuvai šalyje. Šis kriterijus padeda išvengti visų esminių problemų, nes ES, Pietų Korėjoje ar JAV pagaminti saugumo sprendimai visada yra aukščiausio patikimumo lygmens.
Šiemet įsigaliojanti TIS2 direktyva apibrėžia visą Europą apimančią kibernetinio saugumo sistemą. Susidurdami su vis sudėtingesniais hibridiniais įsilaužimais, privalome rūpintis 360 laipsnių apsauga, kuri užtikrina duomenų saugumą visą jų gyvavimo ciklą.
Nors ir gana reiklus bei detalus, naujasis saugumo reguliavimas padės mūsų žemyne sukurti patikimesnę erdvę gyventi, kurti, dirbti, mokytis ir pramogauti. Euopoje ši nauja erdvė jau gavo romantišką pavadinimą – „Europos kibernetinė tvirtovė“. Prie jos statybų turime prisidėti mes visi: valstybės, įmonės, viešasis sektorius ir privatūs vartotojai.