Consolidarea securitatii organizatiilor prin implementarea Directivei NIS 2 – sustinuta de ELKO Romania si Axis Communications
Bucuresti, 4 October 2023 – ELKO Romania, parte a ELKO Group, urmareste si isi sustine canalul de parteneri pentru a fi la zi cu ultimele standarde in securitatea cibernetica. Din al doilea trimestru al 2024, operatorii de servicii esentiale si furnizorii de servicii digitale vor trebui sa transpuna in practica noile directive NIS 2. Sistemele de securitate fizica moderne pot fi subiectul unor vulnerabilitati care se pot dovedi critice pentru organizatie, iar ELKO Romania, in calitate de partener Axis Communications, se bazeaza pe un set extins de caracteristici incluse in solutiile dezvoltate de producatorul suedez pentru a construi sisteme care se conformeaza noilor cerinte.
Ce este Directiva NIS 2?
Directiva NIS, cunoscuta si sub denumirea de Directiva (UE) 2016/1148, este o directiva a Uniunii Europene care stabileste cerinte de securitate cibernetica pentru operatorii de servicii esentiale si furnizorii de servicii digitale din Uniunea Europeana. Directiva NIS urmareste sa asigure un nivel ridicat de securitate a retelelor si a informatiilor in intreaga Uniune si sa se asigure ca operatorii de servicii esentiale si furnizorii de servicii digitale iau masuri adecvate pentru a gestiona riscul reprezentat de retelele si sistemele lor de informatii.
La 10 noiembrie 2022, Parlamentul European a adoptat Directiva NIS 2, care inlocuieste si abroga Directiva NIS. NIS 2 va imbunatati gestionarea riscului de securitate cibernetica si va introduce obligatii de raportare in sectoare precum: energia, transporturile, sanatatea si infrastructura digitala. Statelor membre li s-au pus la dispozitie 21 de luni de la data intrarii in vigoare a directivei pentru a incorpora aceasta directiva in legislatia lor nationala.
NIS 2 are ca principale obiective cresterea rezistentei cibernetice a unei game largi de organizatii cu sediul in Uniunea Europeana, reducerea inconsecventelor de rezilienta prin unificarea capacitatilor de securitate cibernetica si consolidarea capacitatii colective de a planifica si de a raspunde prin norme si proceduri in cazul unui incident sau criza la scara larga.
Cum va afecta NIS 2 organizatiile?
Directiva NIS cere OES (Operators of Essential Services – operatori de servicii esentiale) si DSP (Digital Service Providers – furnizori de servicii digitale) sa isi securizeze activele critice pentru a minimiza riscurile pe care le va prezenta un incident de securitate pentru furnizarea serviciului lor. In teorie, fiecare organizatie stie ce este important pentru a-si furniza serviciul si a-si conduce afacerea. S-ar putea argumenta ca tehnologiile, cum ar fi o camera de supraveghere in retea, nu sunt clasificate drept active critice. Cu toate acestea, este important sa se ia in considerare o abordare holistica atunci cand se stabileste domeniul. Unele sisteme pot prezenta un risc chiar daca sunt in afara domeniului de aplicare. De exemplu, desi o camera de supraveghere ar putea sa nu fie esentiala pentru serviciu, aceasta poate contine vulnerabilitati prin care un factor extern ar putea lansa un atac asupra activelor critice. Prin urmare, este esential ca OES si DSP sa aiba in vedere astfel de riscuri in timpul evaluarii Directivei NIS.
Sustinerea conformitatii
Cu un accent mai mare pe securitatea lantului de aprovizionare, este de asteptat ca organizatiile sa se conformeze NIS 2, urmand a evalua mai atent partenerii furnizori de tehnologie. Ca parte a acestui proces de evaluare si auditare a riscurilor furnizorului, este de asteptat ca politicile si procesele sa joace un rol mai important.
Demonstrarea maturitatii cibernetice
Securizarea unei retele, a dispozitivelor acesteia si a serviciilor pe care le suporta, necesita participarea activa a tuturor furnizorilor de pe lantul de aprovizionare, precum si a organizatiei client. Axis ofera instrumente, documentatie si instruire pentru a ajuta la diminuarea riscurilor si pentru a mentine produsele si serviciile Axis la zi si protejate. Axis are o lista extinsa de politici si procese in vigoare, precum si certificari de la terti:
- Certificare pentru ISO/IEC 27001 pentru sistemul de management al securitatii informatiilor (Information Security Management System – ISMS)
- Cyber Essentials Plus
- Building Security in Maturity Model (BSIMM)
- Axis Security Development Model (ASDM) – un cadru care defineste procesul si instrumentele utilizate de Axis pentru a construi software cu securitate incorporata pe tot parcursul ciclului de viata, de la inceput pana la dezafectare
- Axis este CVE Numbering Authority (CNA) in domeniul MITRE
- Politica de management al vulnerabilitatilor
- Notificari de consiliere de securitate
Ce caracteristici ale produselor pot ajuta la diminuarea amenintarilor si la protejarea impotriva atacurilor?
Firmware semnat – Firmware-ul semnat este implementat de furnizorul de software si implica semnarea imaginii firmware cu o cheie privata. Cand firmware-ul are aceasta semnatura atasata, un dispozitiv va valida pachetul software inainte de a accepta instalarea. Daca dispozitivul detecteaza ca integritatea este compromisa, actualizarea va fi respinsa.
Secure boot – Secure boot este un proces de initializare care consta dintr-un lant neintrerupt de software validat criptografic, pornind de la memoria imuabila (boot ROM). Pe baza utilizarii firmware-ului semnat, initializarea securizata asigura ca un dispozitiv poate porni numai cu sistemul de operare autorizat.
Axis Edge Vault – Axis Edge Vault este un modul de calcul securizat care poate fi utilizat pentru operatiuni de stocare a certificatelor in siguranta, securizandu-le prin chei criptografice. Edge Vault ofera stocare protejata impotriva falsificarii, permitand fiecarui dispozitiv sa-si protejeze datele vulnerabile Acesta stabileste o baza pentru implementarea in siguranta a functiilor de securitate avansate.
ID-ul dispozitivului Axis – ID-ul dispozitivului Axis functioneaza ca un pasaport digital si este unic pentru fiecare dispozitiv in parte. Este stocat in siguranta si permanent in Edge Vault ca un certificat, semnat de certificatul root Axis. ID-ul dispozitivului Axis este conceput pentru a dovedi originea dispozitivului, autorizand un nou nivel de incredere pe parcursul ciclului de viata al produsului.
Stocare sigura a cheilor cu un modul de platforma de incredere (TPM) – Un modul de platforma de incredere (Trusted Platform Module – TPM) este o componenta care ofera un anumit set de caracteristici criptografice adecvate pentru protejarea informatiilor impotriva accesului neautorizat. Cheia privata este stocata definitiv in componenta hardware TPM. Toate operatiunile criptografice care necesita utilizarea cheii private sunt trimise catre TPM pentru a fi procesate. Acest lucru asigura ca partea vulnerabila a certificatului nu paraseste niciodata mediul securizat din cadrul TPM si ramane in siguranta, chiar si in cazul unei brese de securitate.
Flux video semnat – Fluxul video semnat asigura ca dovezile video pot fi verificate ca nemodificate, fara a fi necesar sa se urmareasca lantul de custodie al fisierului video. Fiecare camera utilizeaza ID-ul sau unic de dispozitiv Axis, pastrat in siguranta in Axis Edge Vault sau in TPM, pentru a adauga o semnatura in fluxul video. Cand clipul este redat, playerul de fisiere arata daca videoclipul este intact. Fluxul video semnat face posibila urmarirea verificarii si validarii datelor. In cazul oricarei tentative de sabotaj ori alterare a continutului video functionalitatea va permite detectarea fiecarui proces asociat acestei initiative.
Activare HTTPS – Protocolul de comunicare HTTPS este activat implicit cu un certificat autosemnat incepand cu sistemul de operare AXIS v. 7.20. Acest lucru permite setarea in siguranta a parolei dispozitivului. In sistemul de operare AXIS v. 10.10 si versiunile ulterioare, certificatul autosemnat a fost inlocuit cu certificatul de identificare a dispozitivului securizat IEEE 802.1AR.
Instrumentele si ghidurile oferite de Axis pentru a sprijini procesul de instalare, punere in functiune si intretinere sunt enumerate mai jos:
Ghidul de sporire a securitatii – Hardening Guide
Ca mijloc de structurare a recomandarilor in contextul unui cadru de securitate cibernetica, Axis a ales sa urmeze metodele prezentate in CIS Controls versiunea 8, lansata de Center for Internet Security (CIS). Cunoscute anterior ca SANS Top 20 Critical Security Controls, controalele CIS ofera 18 categorii de Critical Security Controls (CSC) axate pe abordarea celor mai frecvente categorii de risc de securitate cibernetica cu care se confrunta o organizatie. Aceste informatii pot fi gasite in ghidul Axis Hardening.
AXIS Device Manager
AXIS Device Manager este instrumentul de baza pentru instalarea si configurarea rapida si usoara a dispozitivelor noi. Ofera instalatorilor de securitate si administratorilor de sistem un instrument extrem de eficient pentru a gestiona toate sarcinile majore de instalare, securitate si intretinere, una cate una sau in loturi. Acesta este cel mai eficient mod de a urmari dispozitivele Axis intr-o retea, de a implementa politici de securitate pe toate dispozitivele si de a efectua toate actualizarile de firmware intr-un mod rapid si eficient.
O viziune completa la 360 de grade
Desi este foarte putin probabil ca sistemele de securitate fizica sa fie clasificate ca un activ critic, este important ca OES si DSP sa ia in considerare o abordare holistica in timpul stabilirii domeniului. Aceasta inseamna ca tehnologiile de securitate fizica trebuie sa fie evaluate detaliat ca parte a implementarii Directivei NIS 2 pentru a evidentia orice riscuri potentiale.
Axis are o viziune completa la 360 de grade cu privire la oferta sa de securitate cibernetica. Produsele sunt proiectate cu functii incorporate pentru a aborda problemele de securitate cibernetica, in timp ce o lista extinsa de politici si procese, instrumente, documentatie si instruire va ajuta la diminuarea riscurilor pentru a mentine clientii protejati.