Πως η NIS2 Διασφαλίζει την Ασφάλεια των Κρίσιμων Τομέων;

 

Nάντια Λιάπη
Director IT Services/Governance, Risk & Compliance Services
Space Hellas
www.space.gr

 

 

 

Το 2021, μια πλημμύρα από επιθέσεις ransomware έπληξε εκατοντάδες εταιρείες σε όλο τον κόσμο. Μια αλυσίδα παντοπωλείων, ένας δημόσιος ραδιοτηλεοπτικός φορέας, σχολεία και ένα εθνικό σιδηροδρομικό σύστημα χτυπήθηκαν από το κακόβουλο λογισμικό κρυπτογράφησης αρχείων, προκαλώντας αναστάτωση και αναγκάζοντας εκατοντάδες επιχειρήσεις να μην μπορούν να λειτουργήσουν.

Τα θύματα είχαν κάτι κοινό: ένα βασικό κομμάτι του λογισμικού διαχείρισης δικτύου αναπτύχθηκε από την εταιρεία τεχνολογίας Kaseya. Η εταιρεία αναπτύσσει λογισμικό, που χρησιμοποιείται για την απομακρυσμένη διαχείριση του δικτύου και των συσκευών πληροφορικής ενός οργανισμού. Αυτό το λογισμικό πωλείται σε παρόχους υπηρεσιών οι οποίοι στη συνέχεια το χρησιμοποιούν για τη διαχείριση των πληροφοριακών συστημάτων των πελατών τους.

Η Kaseya προειδοποίησε τους πελάτες της να κλείσουν “ΑΜΕΣΑ” τους servers τους, ενώ η υπηρεσία cloud της αποσύρθηκε εκτός σύνδεσης, ως προληπτικό μέτρο.

Μία από τις μεγαλύτερες απειλές που αντιμετωπίζουν σήμερα οι οργανισμοί είναι οι επιθέσεις στην αλυσίδα εφοδιασμού. Ακόμη και αν η εσωτερική ασφάλεια ενός οργανισμού είναι αυστηρή, ένα τρίτο μέρος μπορεί μην ανταποκρίνεται στις απαιτήσεις ασφαλείας, ανοίγοντας μια διαδρομή για εκμετάλλευση, από τους εγκληματίες του κυβερνοχώρου.

Σύμφωνα με την Οδηγία NIS2, οι οργανισμοί πρέπει να εφαρμόσουν μέτρα για την ελαχιστοποίηση των κινδύνων, συμπεριλαμβανομένων εκείνων που σχετίζονται με τις αλυσίδες εφοδιασμού και τις σχέσεις με εξωτερικούς συνεργάτες, όπως οι άμεσοι προμηθευτές. Συγκεκριμένα, η Οδηγία τονίζει τα ακόλουθα:

  1. Ενίσχυση της Ασφάλειας της Αλυσίδας Εφοδιασμού – Οι οργανισμοί πρέπει να υιοθετήσουν αυστηρότερες πρακτικές ασφαλείας στις αλυσίδες εφοδιασμού τους. Αυτό περιλαμβάνει βελτιωμένα μέτρα για τη διαχείριση περιστατικών, την ασφάλεια δικτύου, τον έλεγχο πρόσβασης και την κρυπτογράφηση.

Πιο συγκεκριμένα:

  • Βελτιωμένα Μέτρα Ασφαλείας: Η οδηγία NIS2 απαιτεί από τις οργανώσεις να υιοθετήσουν αυστηρά μέτρα κυβερνοασφάλειας. Αυτό βοηθά στην προστασία των αλυσίδων εφοδιασμού από απειλές, όπως παραβιάσεις δεδομένων ή χακινγκ, διασφαλίζοντας την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των πληροφοριών της αλυσίδας εφοδιασμού.
  • Διαχείριση Κινδύνων: Η οδηγία τονίζει τη σημασία των πρακτικών διαχείρισης κινδύνων. Αυτό σημαίνει ότι οι εταιρείες στην αλυσίδα εφοδιασμού πρέπει να εντοπίσουν, να αξιολογήσουν και να μετριάσουν τους κινδύνους στην κυβερνοασφάλεια, οδηγώντας σε πιο ανθεκτικές λειτουργίες.
  • Αναφορά Περιστατικών: Η οδηγία NIS2 επιβάλλει την έγκαιρη αναφορά περιστατικών κυβερνοασφάλειας. Αυτό επιτρέπει ταχύτερη ανταπόκριση και ανάκτηση, μειώνοντας τον αντίκτυπο τέτοιων περιστατικών στις λειτουργίες της αλυσίδας εφοδιασμού.
  • Κοινοποίηση Πληροφοριών: Η οδηγία ενθαρρύνει την κοινοποίηση πληροφοριών σχετικά με απειλές και ευπάθειες κυβερνοασφάλειας μεταξύ των οργανισμών. Αυτή η συνεργατική προσέγγιση μπορεί να βοηθήσει τις αλυσίδες εφοδιασμού να είναι καλύτερα προετοιμασμένες και να ανταποκρίνονται πι ο αποτελεσματικά σε κυβερνοαπειλές.
  • Συμμόρφωση και Πρότυπα: Συμμορφούμενες με την NIS2, οι οντότητες της αλυσίδας εφοδιασμού ακολουθούν τυποποιημένες πρακτικές κυβερνοασφάλειας. Αυτή η ενιαία προσέγγιση μπορεί να διευκολύνει πιο ομαλές αλληλεπιδράσεις και ολοκληρώσεις μεταξύ διαφορετικών μερών στην αλυσίδα εφοδιασμού.
  • Ενισχυμένη Εμπιστοσύνη: Καθώς όλα τα μέρη στην αλυσίδα εφοδιασμού τηρούν υψηλά πρότυπα κυβερνοασφάλειας, αυτό χτίζει εμπιστοσύνη μεταξύ τους. Αυτό είναι ουσιαστικό για την ομαλή λειτουργία των αλυσίδων εφοδιασμού, ιδιαίτερα σε τομείς όπως οι χρηματοπιστωτικές υπηρεσίες, η υγεία και οι απαραίτητες υπηρεσίες.
  • Επιχειρησιακή Συνέχεια: Διασφαλίζοντας την κυβερνοασφάλεια, η NIS2 βοηθά στη διατήρηση της συνέχειας των επιχειρησιακών λειτουργιών εντός της αλυσίδας εφοδιασμού. Αυτό είναι ζωτικό για τη σταθερότητα και την αξιοπιστία των διαδικασιών της αλυσίδας εφοδιασμού.
  1. Ασφάλεια σε Σχέση με τους Προμηθευτές – Επιπλέον, αναγνωρίζοντας ότι οι απειλές στον κυβερνοχώρο μπορούν να προέρχονται από τρίτους παρόχους ή υπεργολάβους, η οδηγία απαιτεί από τους οργανισμούς να διασφαλίζουν ότι οι προμηθευτές τους ακολουθούν τα κατάλληλα πρότυπα και πρακτικές ασφαλείας και παρακολουθούν τακτικά την απόδοση και τη συμμόρφωσή τους.

Οι εταιρείες πρέπει να επιλέξουν μέτρα ασφαλείας που είναι κατάλληλα για τις ευπάθειες κάθε άμεσου προμηθευτή. Επιπλέον, πρέπει να αξιολογήσουν το συνολικό επίπεδο ασφαλείας όλων των προμηθευτών τους, διασφαλίζοντας έτσι μια ολοκληρωμένη προσέγγιση στη διαχείριση των κινδύνων της αλυσίδας εφοδιασμού.

Αυτές οι απαιτήσεις τονίζουν τη δέσμευση της Οδηγίας NIS2 στην ενίσχυση της κυβερνοασφάλειας σε όλες τις πτυχές της λειτουργίας ενός οργανισμού, ιδίως στο πλαίσιο της διαχείρισης της αλυσίδας εφοδιασμού και της εμπλοκής τους με τους εξωτερικούς συνεργάτες.

Προκλήσεις ασφάλειας εφοδιαστικής αλυσίδας

Ορισμένες πιθανές προκλήσεις που ενδέχεται να αντιμετωπίσουν οι Οργανισμοί για την ασφάλεια της αλυσίδας εφοδιασμού είναι:

  • Η έλλειψη ελέγχου ή διαφάνειας στις πρακτικές, τις πολιτικές ή τα περιστατικά ασφαλείας των προμηθευτών.
  • Η έλλειψη εμπιστοσύνης ή συνεργασίας μεταξύ των προμηθευτών και του οργανισμού
  • Η έλλειψη συνέπειας ή ευθυγράμμισης στα πρότυπα, τις απαιτήσεις ή τις προσδοκίες ασφαλείας στο σύνολο της αλυσίδας εφοδιασμού.
  • Η έλλειψη πόρων ή δυνατοτήτων για την παρακολούθηση, τον έλεγχο ή την επαλήθευση της απόδοσης ασφάλειας ή της συμμόρφωσης των προμηθευτών.
  • Η έλλειψη σχεδίων έκτακτης ανάγκης ή εφεδρικών λύσεων για τον μετριασμό ή την ανάκαμψη από τυχόν διαταραχές της αλυσίδας εφοδιασμού σας.

Τι μέτρα θα μπορούσε να λάβει ένας οργανισμός για να ανταποκριθεί στις απαιτήσεις, για τους προμηθευτές;

  • Η σύναψη σαφών συμβάσεων με τους προμηθευτές που καθορίζουν τις υποχρεώσεις και τις ευθύνες που αφορούν στην ασφάλεια και τι συμμόρφωση με τις οδηγίες και τα διεθνή πρότυπα.
  • Η ανάπτυξη κοινών κριτηρίων ασφάλειας, κατευθυντήριων γραμμών ή πλαισίων, που ισχύουν για όλους τους προμηθευτές στην αλυσίδα εφοδιασμού και ευθυγραμμίζονται με τις απαιτήσεις της οδηγίας.
  • Η συχνή εφαρμογή ελέγχων ασφαλείας, στις δραστηριότητες και την κατάσταση συμμόρφωσης των προμηθευτών.
  • Η δημιουργία κοινών ομάδων ασφαλείας, που διευκολύνουν την ανταλλαγή πληροφοριών, τη συνεργασία και τον συντονισμό μεταξύ των προμηθευτών και του οργανισμού.
  • Η δημιουργία εμπιστοσύνης και αμοιβαίας κατανόησης με τους προμηθευτές μέσω τακτικής επικοινωνίας και ανατροφοδότησης.

Η ασφάλεια της εφοδιαστικής αλυσίδας είναι ένα σύνθετο και δύσκολο ζήτημα που περιλαμβάνει πολλαπλούς παράγοντες, εξαρτήσεις και διασυνδέσεις — και δεν μπορεί να επιτευχθεί εν μία νυκτί. Η συμμόρφωση με την οδηγία NIS2, θα βοηθήσει ιδιαίτερα τους οργανισμούς, να ενισχύσουν την ασφάλεια τους, διασφαλίζοντας ότι η αλυσίδα εφοδιασμού είναι ασφαλής και ανθεκτική.