A Kingston tanácsai a NIS2-kompatibilis adatvédelemhez
Többmillió eurós bírsággal is járhat, ha egy szervezet nem tesz eleget a nemrég hatályba lépett NIS2 feltételeinek. A szabályozás összetett és számos területre kiterjed, az érintetteknek pedig már nincs sok idejük megtenni a szükséges lépéseket. A Kingston szakértői szerint jelentősen megkönnyíti az adatvédelemhez kapcsolódó előírások teljesítését, ha a vállalatok hardveres titkosítással minimalizálják az adataikat érintő kiberbiztonsági kockázatokat.
Tavaly lépett hatályba az új európai uniós kiberbiztonsági irányelv, a NIS2. Magyarországon a „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről” szabályozza, hogyan kell megfelelniük a hazai szervezeteknek a direktíva követelményeinek. Ha nem teljesítik az előírásokat, a bírság összege bizonyos vállalatok esetében elérheti a 10 millió eurót, vagy ha ez magasabb, akkor a szervezet éves árbevételének 2 százalékát.
Több ezer cégnek kellett már lépnie
A szabályozás több ezer hazai vállalatra vonatkozik a kiemelten kritikus és az egyéb kritikus ágazatokban. Az előbbi kategóriába tartozik az energia, a szállítás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, az ivóvíz, a szennyvíz, a digitális infrastruktúra, az IKT-szolgáltatások irányítása (vállalkozások között), valamint az űripar. Az egyéb kritikus területek között szerepelnek a postai és futárszolgáltatások, a hulladékgazdálkodás, a vegyszerek gyártása, előállítása és forgalmazása, az élelmiszer-termelés, -feldolgozás és -forgalmazás, a gyártás, a digitális szolgáltatók és a kutatás.
A szervezetek nem kaptak hivatalos értesítést arról, hogy érinti-e őket a szabályozás. Maguknak kellett lefuttatniuk egy önellenőrzési folyamatot azzal kapcsolatban, hogy nekik is meg kell-e tenniük a szükséges lépéseket. Az első határidő már le is járt: a vállalatoknak június 30-ig kellett nyilvántartásba vetetniük magukat a Szabályozott Tevékenységek Felügyeleti Hatósága rendszerében. Ezzel együtt egy érintettségi kérdőívet is ki kellett tölteniük, illetve ki kellett nevezniük egy szakembert, aki a cég elektronikus információs rendszerek biztonságáért felel.
A következő lépés egy jól működő, a kockázatokkal arányos információbiztonsági irányítási keretrendszer kialakítása. Ezt 2024. október 18-ig kell megtenniük, és egy független auditorral is szerződniük kell, akinek a következő év végéig bezárólag ellenőriznie kell minden feltétel teljesülését.
Hardveres titkosítással a szigorú előírások teljesítéséhez
A kiberfenyegetések óriási károkat okozhatnak, és a kritikus ágazatokban tevékenykedő cégeknek ezzel arányos módon kell gondoskodniuk az elektronikus információs rendszereik biztonságáról. Ez számos teendőt foglal magában, többek között az adatvédelem terén is szigorú követelményeket fogalmaz meg. A Kingston szakértői szerint a legújabb előírások teljesítéséhez elengedhetetlen, hogy a szervezetek hardveres titkosítást kínáló megoldásokat vegyenek igénybe – ugyanúgy, ahogyan a GDPR vagy az USA-ban alkalmazott HIPAA szabályozások esetében is.
A Kingston IronKey külső SSD- és USB-meghajtókat például kifejezetten úgy tervezték, hogy ellenálljanak a kibertámadásoknak és az adatlopási kísérleteknek. Fejlett védelemmel rendelkeznek az olyan módszerek ellen, mint a brute force jelszótámadások, és nagyobb biztonságot garantálnak a szoftveres opciókhoz képest. A megoldás számolja a jelszókísérleteket, és megadott számú, sikertelen próbálkozás után kriptográfiai törlést végez a meghajtón, megakadályozva, hogy illetéktelenek hozzáférhessenek a bizalmas információkhoz.
A szoftveres titkosítás ugyan olcsóbb és könnyebben hozzáférhető, hiszen nem szükséges hozzá speciális hardver megvásárlása, ám ez a módszer sebezhető bizonyos algoritmusokat alkalmazó támadásokkal szemben. A hardveres titkosítást egy külön mikroprocesszor végzi, amely felügyeli a felhasználói hitelesítést és az adatok titkosítását. Ez nagyobb biztonságot nyújt, mivel a titkosítási folyamatok elkülönülnek a számítógép többi részétől, így nehezebb feltörni a jelszót.
A Kingston Ironkey megoldások egyúttal a biztonságos adatmentési és -helyreállítási eljárásokhoz is nagyszerű kiindulópontot biztosítanak az érzékeny operatív adatokhoz, amelyek szintén szerepelnek a NIS2 előírásai között. A Kingston szakértői szerint az adatkezelési stratégia alapelemei között szerepelnie kell a megbízható biztonsági mentésnek is, amely a "3-2-1" szabályt követi. Eszerint három másolatot érdemes készíteni a fontos adatokról: két példányt két különböző eszközön érdemes tárolni (akár felhőben, akár egy külső eszközön), egy harmadikat pedig el kell különíteni egy széfben vagy egy külső helyszínen. Ez segít megvédeni az adatokat a kiberbiztonsági incidensektől, és egy támadás után pedig gyorsan helyre lehet azokat állítani.
Ezek az intézkedések fontos szerepet játszanak abban, hogy a vállalatok igazolhassák: megfelelnek a sok területre kiterjedő irányelvnek. Ha ezt elmulasztják, az bírságot von maga után, és a szervezet hírnevének is árthat. A hardveres titkosítást alkalmazó külső SSD-k és USB-k, illetve a fenti technikák plusz biztonsági réteget nyújtanak egy támadás esetén.
Kapcsolódó cikkek
- Kingston: Kiemelkedő teljesítmény és megfizethető frissítés nagy kapacitással
- Egy speciális Viber chatbot hasznos tippekkel és a legjobb gyakorlatokkal segíti a felhasználókat
- A Kingston XS1000 külső SSD-je már piros színben is elérhető
- A Kingston adatközpontokhoz szánt, üzleti besorolású NVMe SSD-t mutatott be
- NIS2 kiberbiztonsági szabályozás – jobb későn, mint soha
- Napokon belül lejár a NIS2 regisztráció határideje – sok céget érhet kellemetlen meglepetés
- K&H: Adatvédelem szintjén csak kevesen értenek az AI-hoz
- A nyaralás információbiztonsági és adatvédelmi veszélyei – Social média megosztások
- Ez védheti meg a magyar cégek adatvagyonát a kiberbűnözőktől
- Mennyire vannak biztonságban a jelszóval védett adataink?
Biztonság ROVAT TOVÁBBI HÍREI
A karácsony 12 (kiber)fenyegetése
Az ünnepek előtti készülődést sokféleképpen töltik az emberek. Van, aki hal után futkos, esetleg maga fogja a halászlébe valót, mások viszont a lehetőséget látják benne, hogy adatot halásszanak, és ne csak csokit, hanem mást is kicsaljanak tőlünk. Mire figyeljünk, hogy az ünnep ne váljon kiber-rémálommá? Ehhez ad nekünk tizenkét megszívlelendő tanácsot a KPMG.