Nu mai e un secret pentru nimeni că în anii ce urmează vom fi martori la creșterea și mai accelerată a implementării proceselor digitalizate în instituțiile publice, dar și în ce privește întreprinderile private. Deși digitalizarea devine tot mai populară prin prisma avantajelor ei – economii de timp și bani, reducerea riscurilor de eroare și fraudă etc. – implică și o serie de riscuri care, dacă nu sunt gestionate corect, pot expune companiile la atacuri cibernetice serioase.
Astfel, după implementarea reglementărilor GDPR, începem să facem pași importanți și spre NIS (Directiva UE 2016/1148 a Parlamentului European și a Consiliului aprobată în 2016) – care a fost adoptată și în România prin Legea nr.362/2018.
Obiectivul Directivei NIS este asigurarea unui nivel ridicat de securitate informatică a rețelelor și a sistemelor informatice în cadrul Uniunii Europene. Cu alte cuvinte, companiile care operează servicii esențiale pentru populație (OES) – adică cele din din energie, transporturi, sectorul bancar, pieța financiară, sănătate, sectorul furnizării și distribuirii de apă potabilă, al infrastructurii digitale – precum și cele care furnizează servicii și soluții digitale (DSP) – de exemplu, furnizori de servicii cloud, motoare de căutare și piețe online – sunt obligate să elaboreze și să implementeze soluții mai avansate care să le asigure securitatea cibernetică și să colaboreze cu autoritățile publice în vederea unui eventual răspuns comun în cazul atacurilor informatice.
Practic, implementarea măsurilor în aceste companii din România vizează protejarea infrastructurilor critice și digitale și asigurarea funcționării sistemelor care sunt fundamentale pentru societate.
În același timp, implementarea unor soluții de securitate adecvate va întări încrederea generală a organizațiilor într-o piață digitală unică.
Potrivit raportului ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică), în urma unui studiu efectuat în 5 state membre, nivelul de adoptare a Directivei NIS este: Germania (70,6%), Franța (66.7%), Italia (64%), Spania (48%) și Polonia (42,9%).
Ce măsuri trebuie să implementeze companiile și de când?
Din articolele esențiale ale legii aflăm că operatorilor de servicii esențiale le revin anumite obligații în scopul asigurării securității rețelelor și sistemelor informatice în domenii precum guvernanța de securitate, protecția rețelelor și sistemelor informatice, apărarea cibernetică și reziliența serviciilor.
Ca să fie înregistrate în Registrul operatorilor de servicii esențiale, companiile din România au avut obligația de a efectua o autoevaluare și de a notifica CERT-RO până în data de 17 decembrie 2020. Ulterior acestei date, înregistrările vor fi efectuate doar în baza unui audit efectuat de către un auditor de securitate NIS, atestat de către CERT-RO. Pentru intrarea în conformitate cu legea, operatorii și furnizorii au la dispoziție șase luni de la publicarea normelor tehnice pentru a se conforma, care a avut loc în data de 26 noiembrie 2020.
Pentru a îndeplini obiectivele de prevenire și minimizare a impactului incidentelor, legea instituie obligația ca persoanele juridice cărora li se aplică legea să constituie echipe proprii specializate în securitate sau să achiziționeze astfel servicii de specialitate de la un terț.
Indiferent de forma de organizare a echipei, acestea trebuie să îndeplinească următoarele criterii:
- să fie autorizate de CERT-RO
- să asigure compatibilitatea și interoperabilitatea sistemelor, procedurilor și metodelor utilizate cu cele ale echipei CSIRT CERT-RO
- să furnizeze cel puțin setul minim de servicii de tip CSIRT necesar asigurării protecției operatorilor / furnizorilor conform legii
- să utilizeze în cadrul echipelor un număr corespunzător de persoane calificate în conformitate cu prezenta lege
- să se interconecteze la serviciul de alertă, monitorizare și cooperare al CERT-RO și să asigure un răspuns prompt la alertele și solicitările transmise
Operaționalizarea unui centru de tip CSIRT astfel încât acesta sa îndeplinească criteriile legii va presupune trei tipuri de costuri, legate de angajarea personalului calificat, dedicat pentru activitatea de CSIRT, achiziția tehnologiei adecvate și investiții în dezvoltarea proceselor de afaceri specifice prestării la un nivel minim a cel puțin următoarelor servicii:
- Monitorizarea rețelelor și sistemelor informatice
- Managementul vulnerabilităților și alertelor de securitate
- Detectarea evenimentelor de securitate și înregistrarea acestora
- Jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice
- Răspunsul la incidente de securitate
- Raportare incidente
- Comunicarea cu ANSRSI și CERT-RO
Din punct de vedere tehnologic, legea obligă la implementarea următoarelor tipuri de sisteme:
- care să monitorizeze evenimente de securitate, să asigure marcarea temporală și arhivarea timp de cel puțin șase luni, dar și corelarea acestor evenimente cu altele petrecute în rețeaua informatică
- care să analizeze fluxurile de date în rețea și să detecteze evenimentele nedorite și anomaliile care ar putea sa fie dăunătoare serviciului esențial
- care să identifice intruziunile la nivel de rețea, bazate pe surse de date actualizate permanent pentru detectarea atacurilor informatice
Pe lângă sistemele evidențiate, pentru realizarea activităților de tip CSIRT vor fi necesare și unele capabile să detecteze vulnerabilități software, dar și sisteme care să poată identifica potențiale amenințări malware, să le izoleze și să permită răspunsul cât mai rapid în vederea remedierii acestora.
În ceea ce privește personalul dedicat, pentru operaționalizarea unui centru CSIRT funcțional 24/7 sunt necesare cel puțin cinci persoane, specializate în monitorizarea sistemelor, investigarea evenimentelor și răspunsul la incidente.
Din punct de vedere operațional, sunt necesare proceduri de lucru și fluxuri de afaceri formalizate, astfel încât la apariția unui eveniment de securitate, acesta să fie de îndată analizat, iar persoanele desemnate în acest sens să cunoască în detaliu acțiunile necesare pentru tratarea acestuia și ulterior pentru raportare.
Legea instituie obligația ca toate centrele CSIRT (interne sau externalizate) să fie autorizate de CERT-RO.
Prin externalizarea acestui serviciu specializat de tip CSIRT, operatorii vor putea eficientiza costul de conformitate prin timp redus de operaționalizare, costuri financiare reduse în comparație cu un centru intern, accesul imediat la expertiză prin personal calificat.
Safetech, de exemplu, deține și operează încă din 2015 un centru CSIRT privat, denumit STI-CERT, prin care furnizează clienților din sectoarele public și privat servicii specializate privind monitorizarea amenințărilor de securitate cibernetică și intervenția în cazul incidentelor de securitate in regim 24/7 sau 8/5.
Centrul CSIRT STI–CERT este construit în jurul oamenilor, proceselor și tehnologiei. În concepția Safetech, aceste elemente sunt parte a unui cadru de lucru numit Applied Cybersecurity Intelligence - un sistem hibrid în care sunt combinate atât inteligența artificială, cât și cea umană, susținând mediul de afaceri din sectorul public sau privat în livrarea serviciilor esențiale în condiții de siguranță.
STI–CERT furnizează o serie de funcționalități precum:
- Răspuns la toate tipurile de evenimente / incidente prin metode centralizate și specializate
- Eliminarea tuturor amenințărilor care pot apărea în zona de securitate a informațiilor, înainte ca sistemele și rețelele organizației dvs. să fie modificate sau deteriorate în mod semnificativ
- Furnizarea de alerte de securitate clienților și părților interesate cum ar fi CERT-RO
- Crearea unui punct de contact central și de încredere pentru clienți și toate instituțiile statului implicate în monitorizarea și prevenirea incidentelor informatice
- Susținerea de sesiuni de instruire și creșterea gradului de conștientizare a securității în rândul utilizatorilor
- Promovarea politicilor de securitate a informațiilor în organizațiile operatorilor de servicii esențiale.
Cât costă implementarea acestor măsuri?
Pentru un operator ce intră sub incidența legii, conformarea implică o serie de costuri asociate atât din punct de vedere financiar, cât și din punct de vedere al timpului și al resurselor umane. Dincolo de specificitatea fiecărei companii, nivelul de maturitate al proceselor de securitate a informației dă măsura efortului de conformare pentru fiecare. Cuantumul acestuia poate fi estimat în urma unei analize a situației existente în contrast cu nivelul solicitat de lege. O astfel de analiză poate fi realizată prin externalizare, beneficiul major fiind elaborarea unui plan de măsuri și costuri pentru atingerea conformității.
Ce riscă companiile care nu implementează aceste măsuri la timp?
Operatorii care nu respectă obligațiile impuse de legislația națională de transpunere a Directivei NIS, pot fi sancționați cu până la 5% din cifra de afaceri. Cu toate acestea, companiile trebuie să rețină că nu amenda este cel mai important aspect.
Lipsa unor măsuri de securitate adecvate și implicit amenințarea unui atac cibernetic iminent pot aduce pierderi mult mai mari atât din punct de vedere financiar cât și la nivel de reputație.
Colaborarea cu un centru specializat de răspuns la incidente de securitate (CSIRT) este cea mai eficienta soluție pe care operatorii o au la dispoziție pentru creșterea rezilienței și conformarea cu Directiva NIS.