Legile naționale care transpun Directiva UE NIS2 (UE) 2022/2555, ce au ca scop ridicarea nivelului de reziliență cibernetică a infrastructurilor critice din întreaga Europă, vor intra în vigoare pe data de 18 octombrie 2024. NIS2, împreună cu transformările rapide din peisajul digital, impun echipelor de securitate, departamentelor de management al riscurilor și leadershipului organizațional să dispună de informații despre amenintari cibernetice (CTI – Cyber Threat Intelligence) actualizate, pertinente și ușor de aplicat, mai mult ca oricând.
Entitățile afectate de NIS2 se confruntă cu incertitudini. Puține țări din UE vor respecta termenul de 17 octombrie 2024 pentru a transpune Directiva NIS2 în legislația națională. Doar Belgia, Croația, Ungaria și Lituania au adoptat legi de implementare a NIS2. Multe state membre UE au publicat doar proiecte de legi. De exemplu, Germania este așteptată să adopte legile sale la începutul anului 2025, în timp ce Directoratul Național de Securitate Cibernetică (DNSC) din România, autoritatea competentă din domeniu, a publicat proiectul său de implementare NIS2 în luna august a acestui an.
În ciuda acestor întârzieri, entitățile afectate ar trebui să se pregătească pentru NIS2, cea mai importantă legislație europeană de securitate cibernetică din acest deceniu. Centrul pentru Securitate Cibernetică din Belgia a descris NIS2 drept „NIS1 pe steroizi”, făcând referire la Directiva privind securitatea rețelelor și a sistemelor informatice din 2016 (NIS1), deoarece NIS2 are un domeniu mai larg, obligații extinse, o supraveghere mai strictă, cerințe de raportare, sancțiuni mai severe și o acoperire mai mare. Aceasta afectează zeci de mii de organizații mijlocii și mari din domenii cum ar fi energie, transporturi, bancar, sănătate, apă, infrastructură digitală, managementul serviciilor ICT, administrație publică și spațiu.
NIS2 schimbă radical modul în care operatorii de servicii „esențiale” și „importante” gestionează riscurile cibernetice. Entitățile afectate trebuie să se înregistreze la autoritatea competentă din fiecare țară și să demonstreze conformitatea până la data stabilită în legislația națională de implementare a NIS2. Autoritățile competente pot, de asemenea, să emită ordine obligatorii pentru realizarea de audituri, producerea de documentație și remedierea expunerilor la amenintari cibernetice. Organizațiile trebuie să supravegheze implementarea măsurilor de gestionare a riscurilor cibernetice, iar persoanele responsabile pot fi trase la răspundere individual pentru neconformare.
Legătura dintre contextul cibernetic și cel geopolitic impune un management al riscurilor bazat pe CTI
NIS2 intră în vigoare într-un moment în care tot mai mulți lideri de afaceri și tehnologie solicită informații cibernetice și geopolitice pentru a naviga printre amenințările digitale modelate de conflictele regionale, rivalitățile dintre superputeri și atacurile continue de tip ransomware. Noua realitate geopolitică influențează toate sectoarele, impunând un management al riscurilor cibernetice inteligent pentru mediile IT, tehnologiile operaționale (OT) și lanțurile de aprovizionare.
Unele organizații au recunoscut această realitate. Aproape trei sferturi (74%) dintre practicile CTI mature își dezvoltă deja cerințe prioritare de informații (PIRs – Priority Intelligence Requirements) în pregătirea pentru NIS2, conform sondajului 2024 SANS CTI: Gestionarea peisajului de amenințări cibernetice în evoluție. Cu toate acestea, domeniul de acțiune mai larg al NIS2 față de NIS1 înseamnă că multe dintre entitățile afectate nu au programe mature de CTI, fapt ce ar putea juca un rol esențial în modelarea managementului riscurilor cibernetice conform cerințelor NIS2.
Practicile mature de CTI rafinează cerințele prioritare de informații (PIR) pentru a alinia strategia de gestionare a riscurilor la mediul de amenințări curente, inclusiv riscurile și impactul incidentelor cibernetice semnificative asupra sistemelor IT și OT. Întrucât NIS2 nu este prescriptiv, CTI joacă un rol crucial în determinarea măsurilor de gestionare a riscurilor, pentru a „asigura un nivel de securitate a rețelelor și sistemelor informatice adecvat riscurilor.”
Pentru a reduce riscurile, entitățile ar trebui să colaboreze cu partenerii lor de CTI pentru a crea rapoarte care să sporească gradul de conștientizare la nivel executiv cu privire la riscurile cibernetice. Partenerii CTI pot ajuta entitățile să implementeze raportarea controlată a incidentelor pentru a partaja cu autoritățile informații despre cauzele probabile ale unei breșe de securitate și indicatorii de compromitere, fără a dezvălui date confidențiale sau proprietare.
Colaborarea cu un furnizor de CTI de încredere pentru maturitatea NIS2
Cele mai mari organizații din lume din domeniul infrastructurii critice aleg Intel 471 ca „ochii și urechile” dincolo de limitele digitale. Cercetătorii Intel 471 sunt specializați în culegerea de informații cibernetice de la surse umane (HUMINT), bazată pe relații directe cu actorii principali din sfera criminalității cibernetice, relații care au fost dezvoltate pe parcursul mai multor ani. Acest efort oferă organizațiilor o înțelegere fără precedent a activităților curente ale atacatorilor ,a tacticilor, tehnicilor și procedurilor (TTPs- Tactics, Techniques and Procedures) în evoluție ale adversarilor, oferind astfel informații acționabile în timp real despre amenințările care contează pentru ei.
Iată câteva modalități prin care operatorii de infrastructură critică colaborează cu Intel 471 pentru a-și reduce suprafața de atac cibernetic:
• Accesează rapoartele Intel 471 privind informațiile cibernetice geopolitice pentru a obține perspective privind modul în care evenimentele politice semnificative din Rusia, Orientul Mijlociu și Asia influențează riscurile cibernetice pentru organizațiile din Europa și NATO. Se informeaza despre cum statele ostile utilizează spionajul, războiul informațional și malware-ul pentru a perturba infrastructura critică. O echipă combinată de experți geopolitici și CTI prevede cele mai probabile scenarii pentru atacuri cibernetice, cine și cum va fi cel mai afectat, și oferă scenarii ipotetice pentru a testa măsurile de gestionare a riscurilor.
• Utilizează Attack Surface Intelligence pentru a monitoriza continuu activele digitale externe, inclusiv resursele cloud, pentru vulnerabilități noi și pentru a prioritiza remedierea pe baza amenințărilor.
• Adoptă metodologia Intel 471 pentru cerințele generale de informații (GIRs-General Intelligence Requirements) pentru clasificarea, urmărirea și cercetarea amenințărilor. Utilizeaza GIRs pentru a mapa amenințările emergente la activele organizației, pentru o apărare proactivă, căutarea amenințărilor cibernetice și răspunsul la incidente.
• Gestionează riscurile cu informatii de natura cibernetica culese de la surse umane și rapoarte de expertiză disponibile prin soluțiile Intel 471 pentru Adversary Intelligence, Malware Intelligence, Vulnerability Intelligence, Identity Intelligence și Fraud & Abuse Intelligence.
• Identifică și elimină amenințările avansate care sunt omise de metodele reactive de detecție. Echipele de securitate folosesc platforma Intel 471 (HUNTER471) pentru a coordona căutările de amenințări bazate pe informații, identificând comportamente malițioase în mediul lor și închizând golurile de vizibilitate în solutiile de securitate.
Pentru a afla mai multe despre cum poate folosi organizația ta CTI și identificarea amenințărilor cibernetice bazată pe informatii și pentru a-ți maturiza programul NIS2, vizitează echipa Intel 471 la Conferința ProVision Security Day, în București, România, pe 6 noiembrie 2024.
