24. září 2024

Jak být v souladu s NIS2? Začněte s těmito 3 technickými opatřeními pro kyberbezpečnost

Odhadovaná doba čtení 4 minuty

S postupnou digitalizací a automatizací organizací pomocí informačních technologií rostou i nároky na kybernetickou bezpečnost. Jaká základní technická opatření můžete ve své firmě zavést už teď, abyste splnili požadavky evropské směrnice NIS2?

Evropská směrnice NIS (Network and Information Security) je v byznysovém prostředí často skloňovaným tématem. Některé z velkých organizací v Česku už řízení kyberbezpečnosti do svých procesů zapracovaly a z velké části požadavky nové regulace naplňují. NIS2 a s tím související nový kybernetický zákon však tyto požadavky rozšiřují i na menší organizace. Důvodem jsou mimo jiné stále častější útoky na malé a střední podniky, které jsou snazším cílem kvůli své (často) nedostatečné ochraně. Z posledních průzkumů vyplývá, že se na ně zaměřuje až 54 % kyberútoků. Cílem nové legislativy tedy rozhodně není zahltit organizace administrativou, ale přimět je zapnout si pomyslný bezpečnostní pás (jinými slovy zajistit minimální úroveň bezpečnostních opatření) a připravit je na nečekané situace.

VÍTE, ŽE...

Směrnice NIS2 udává minimální požadavky na kybernetickou bezpečnost organizací s cílem zvýšit úroveň bezpečnosti v EU. Společně s NIS2 bylo přijato evropské nařízení DORA (Digital Operation Resilience Act), které se zaměřuje na odolnost finančního sektoru, a směrnice CER (Critical Entities Resilience), která poskytuje návod na posílení odolnosti subjektů napříč odvětvími a pomáhá čelit všudypřítomným rostoucím hrozbám.

Ještě jste kyberbezpečnost ve firmě neřešili? Teď je čas začít

Pokud jste se dosud kybernetickou bezpečností moc nezabývali, teď je ta správná doba to změnit. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) doporučuje zavést systém řízení kybernetické bezpečnosti – to znamená, že je třeba přizpůsobit vnitřní fungování firmy novým bezpečnostním požadavkům.

Zjistěte, jak na tom jste. Podívejte se, jaká bezpečnostní opatření už máte v porovnání s tím, co vyžaduje nový kybernetický zákon.
Vyhodnoťte rizika. Udělejte analýzu, která vám pomůže zjistit, jaké by byly dopady na firmu, kdyby se něco pokazilo (např. došlo k narušení dostupnosti systému nebo únik dat).
Naplánujte, co zlepšit. Udělejte si plán, jak postupně zavést nová bezpečnostní opatření.
Implementujte vhodná bezpečnostní opatření, abyste pokryli identifikovaná rizika.
Zapojte vedení organizace, aby aktivně podporovalo posilování kybernetické bezpečnosti a zajistilo potřebné zdroje.
Proškolte lidi. Zajistěte, aby zaměstnanci, kterých se to týká, věděli, co mají dělat a jak se chovat (naplánujte edukativní workshopy, spusťte phishingové kampaně apod.)

V rámci firmy je důležité také zavádět bezpečnostní opatření, která vám pomohou například s identifikací a hlášením případných kyberútoků. Bohužel vzhledem k jedinečnosti každé organizace jedno univerzální řešení nebo jednotný návod, jak naplnit NIS2, neexistuje. Můžeme vám však doporučit některá ze základních technických opatření.

TIP

Potřebujete ve firmě zavést digitální bezpečnostní opatření? Obraťte se na nás. Ve Vodafone Business pro vás najdeme to nejlepší řešení kyberbezpečnosti.

Základní technická opatření pro kyberbezpečnost v souladu s požadavky NIS2

1. Firewall

Firmy musejí být online, v dnešní době je to prakticky neodmyslitelná součást řady procesů. Ruku v ruce s efektivitou přichází ale i nebezpečí, která v online prostoru číhají. Firewall je nezbytným standardem ochrany pro připojení se k datové síti. Jedná se o jakýsi filtr, který chrání firmu před závadným obsahem na internetu. Firewall může být buď předdefinovaný stavový, nebo tzv. NGFW (next-generation firewall). Ve druhém případě se jedná o firewall nové generace, který průběžně inovuje a aktualizuje databázi škodlivého obsahu, a je tak vhodnější pro dnešní dynamickou dobu. Tímto opatřením naplníte požadavek na ověření a kontrolu přenášených dat na perimetru komunikační sítě včetně blokování nežádoucí komunikace.

2. Antiviry a sofistikovanější detekce hrozeb

Ze statistik vyplývá, že největší počet úspěšných kyberútoků se uskutečňuje přes koncová zařízení uživatelů. Škodlivý obsah se do firmy dostane e-mailem, přílohou v něm, aplikací nebo přímo z webového prohlížeče. Není však nic jednoduššího než ochránit zařízení používaná pro práci kvalitním antivirovým softwarem. Pro lepší přehled nad všemi zařízeními a možnost dohledání příčin i následků útoku je pak nejlepší kombinace softwaru pro ochranu koncových zařízení (EDR) a automatické detekce hrozeb (XDR). Díky tomu bude trackování i hlášení incidentů mnohem jednodušší. Implementací těchto nástrojů zajistíte nepřetržitou a automatickou ochranu před škodlivým kódem na jednotlivých serverech a koncových zařízeních.

3. Pravidelná aktualizace a zálohování zařízení

Nezapomínejte na pravidelnou údržbu a aktualizace softwaru všech zařízení. Jedině tak budete mít jistotu, že jsou v nejlepší kondici a že útočníkům nenabízíte skulinky pro útok. Tuto pravidelnou údržbu lze začlenit do celého přístupu ke kyberbezpečnosti a také na dálku spravovat například díky službám Mobile Device Management. Vytváření zálohy informací a dat je nezbytné zejména v po kybernetického incidentu pro obnovu služeb a řízení kontinuity činností.

Další důležité informace o obsahu NIS2 a nového kybernetického zákona, praktických dopadech na váš byznys i možnostech řešení pro vás shrnujeme v jednotlivých článcích naší NIS2 série.