Već neko vrijeme NIS2 direktiva nalazi se pod medijskim povećalom i u središtu je brojnih rasprava u IT svijetu. NIS2 direktiva stupila je na snagu u siječnju 2023. godine s ciljem poboljšanja razine cyber sigurnosti u Europskoj Uniji, nadograđujući postojeću NIS direktivu.
EU zakonodavstvo donošenjem NIS2 direktive traži od država članica implementaciju smjernica direktive u nacionalno zakonodavstvo te obvezu prilagodbe i implementaciju smjernica obuhvaćenih subjekata do 18. listopada 2024. godine. Stoga je u veljači 2024. godine izglasan novi Zakon o kibernetičkoj sigurnosti. Tvrtke obuhvaćene ovim Zakonom/direktivom trebaju implementati procese i politike za bolje upravljanje kibernetičkim rizicima te imaju obvezu pravovremenog i transparentnog obavještavanja javnosti i svih nadležnih institucijama o kibernetičkim napadima i njihovim posljedicama.
U ovom blogu objašnjavamo kako podatkovni centar i cloud usluge mogu pomoći tvrtkama u usklađivanju s NIS2 direktivom i Zakonom o kibernetičkoj sigurnosti.
Izazovi i cyber rizici današnjeg IT-ja
Ubrzana digitalizacija poslovanja i uvođenje sve više novih uređaja u IT sustav za tvrtku stvara nove vektore kibernetičkih napada. Upravljanje takvim sustavom često je složeno i zahtjeva iznimnu pažnju u planiranju kibernetičke otpornosti s ciljem što uspješnijeg sprečavanja kibernetičkih incidenata.
Prema istraživanju tvrtke Veeam, u 2023. godini 85% kompanija doživjelo je napad ransomwarom ili zlonamjernim kodom. Kompanije koje su iskusile takav napad imale su poteškoće s vraćanjem backupa jer je kod 75% kompanija bio zahvaćen backup server i backup repozitorij što je otežalo vraćanje podataka. Od ransomwareom zahvaćenih kompanija njih 82% se nije moglo na vrijeme oporaviti i postići punu operativnost, dok je prosječno vrijeme oporavka do pune operativnosti bilo 3 tjedna.
Statistika pokazuje koliko su zapravo napadači fokusirani na backup datoteke žrtve i onesposobljavanje backupa je prvi korak u takvim vrstama hakerskog napada. Ransomware napadi su ranije bili fokusirani na kriptiranje podataka i traženja otkupnine najčešće u bitcoinu kako bi se isti otključali, dok su današnji napadi ozbiljniji – kriptiranje i eksfiltracija podataka, ucjene C-level managementa objavom incidenta u medije ili nadležnim službama što višestruko podiže mogućnosti za ozbiljnu financijsku i reputacijsku štetu kompaniji.
Spomenuti kibernetički incidenti onemogućuju kompanijama nastavak poslovanja, pa su izazovi uspostavljanja pravilnih backup i disaster recovery politika sve izraženiji. Obveza kompanija o tome definirana je i spomenutim Zakonom o kibernetičkoj sigurnosti i NIS2 direktivom što kompanijama predstavlja dodatni izazov u planiranju troškova za uspostavljanje pričuvnih lokacija za oporavak od katastrofe i kibernetičkih incidenata prema pravilima IT struke.
Podatkovni centar i cloud za usklađenost s NIS2 i Zakonom o kibernetičkoj sigurnosti
Regulativa nalaže mjere upravljanja kibernetičkim sigurnosnim rizicima. Jedna od mjera koje propisuje je kontinuitet poslovanja, kao što je upravljanje sigurnosnim kopijama i oporavak od nesreća, prekida rada i incidenata (Članak 30. st. 1, točka 3. ZKS). To znači da su kompanije dužne implementirati najbolje prakse u izradi backupa, disperzirati backup kopije i imati DR lokaciju za oporavak poslovanja.
Nepredvidivi i visoki kapitalni troškovi za izgradnju i uspostavu DR lokacije, odnosno sekundarnog podatkovnog centra na kojem bi se kompanija mogla oporaviti uslijed incidenta, često su kamen spoticanja mnogih uprava te se takva investicija stavlja u drugi plan. Osim investicije u prostor, opremanje i IT infrastrukturu, potrebno je dodatno educirati postojeće osoblje, koje je često opterećeno tekućim poslovnim aktivnostima i svaka dodatna aktivnost je previše. Druga opcija je zaposliti dodatnog stručnjaka sa specifičnim znanjem koji neće biti efikasno iskorišten do razine da bude isplativ kompaniji.
Imajući na umu ove izazove, cloud i podatkovni centar alternativno su rješenje za potrebe kompanija za usklađivanje s NIS2 direktivom i Zakonom o kibernetičkoj sigurnosti. Cloud usluge u Managed Service modelu i podatkovni centar kompaniji pružaju predvidivost troškova zadovoljavajući sve važne aspekte u sigurnosti i jamči dostupnost servisa.
Kako onda cloud može pomoći u usklađivanju s regulativom?
U cloud možete spremati dodatne ili sve backup kopije vaših podataka ili se oporaviti od ispada IT sustava na vašoj primarnoj lokaciji. Naše preporuke su da jedna backup kopija nije dovoljna kao što je backup na NAS ili vanjski fizički disk, već se treba raditi više kopija na više različitih medija i sustava. U slučaju kompromitacije sustava ili ransomware napada, vrlo vjerojatno ćete ostati bez backupa što su pokazali slučajevi s kompanijama koje su imali praksu jedne kopije backupa.
Preporučamo našim korisnicima da je kod izrade backupa podataka minimalno backup pravilo 3-2-1. Backup pravilo 3-2-1 zahtjeva izradu tri (3) kopije vaših produkcijskih podataka. Dvije (2) kopije su na dva različita medija, a jedna kopija je off-site tj. u cloud. Naprednija varijanta ovog backup pravila je pravilo 3-2-1-1-0 u kojem su zadovoljeni prethodni uvjeti, s tim da je off-site kopija Immutable backup kopija (neizbrisiva i nepromjenjiva) i ima nema grešaka prilikom provjere ispravnosti oporavka iz backupa.
Disaster recovery u cloudu je povoljnija opcija za kompaniju jer ne zahtjeva ulaganje u redundantnu opremu i redundantni podatkovni centar, a svejedno se može postići geo-redundancija, brz oporavak, vraćanje u operativno stanje ako se dogodi katastrofa bilo kojeg tipa te se postiže usklađenost s regulativom i zakonskim propisima. Brzina oporavka može se mjeriti u sekundama ovisno o postavkama sustava i zahtjevima kompanije.
Napredne tehnologije i rješenja štite vaše backup datoteke
Izrada backupa na NAS ili u cloud nije jamstvo da ćete se, ako dođe do ransomware napada, moći bezbrižno oporaviti. Isto vrijedi i za replikaciju servera na DR lokaciju. Napadač može biti i u vašoj backup datoteci ili kopiji imagea virtualnog servera. Time bi se kod vraćanja iz backupa dogodila reinfekcija što je bio jedan od najvećih izazova korisnika s kojima smo se imali prilike susresti nakon preuzimanja upravljanja backup i DR procesima.
Tehnologije koje koristimo kod backupa i replikacije služe nam kako bi spriječili napadača da uslijed oporavka napravi reinfekciju sustava ili obriše backup datoteku.
Neke značajke naših rješenja su:
- kontinuirana zaštita podataka (CDP),
- Proactive Threat Hunting za detekciju kibernetičkih prijetnji u backup datotekama,
- Recovery Orchestration za automatiziran oporavak i testiranje ispravnosti backupa za oporavak bez utjecaja na performanse sustava,
- Monitoring & Analytics koji omogućuje napredne mogućnosti za nadzor i analizu te proaktivnu mitigaciju prijetnji,
- Immutability za zaključavanje backup datoteka protiv brisanja,
- Anti-Malware detekcija za rano otkrivanje malvera u backup datotekama
Isplati li se sigurnost na ovaj način?
Usklađivanje s regulativom obveza je svih kompanija koje spadaju pod kritične i važne subjekte. Sve one kompanije koje su obuhvaćene regulativom će u određenom trenutku dobiti obavijest o kategorizaciji prema Zakonu o kibernetičkoj sigurnosti. Bez obzira na kategorizaciju, tvrtke koje ovaj zakon ne obuhvaća, morat će se u nekom trenutku prilagoditi ako žele biti raditi s tvrtkom koja je obveznik Zakona o kibernetičkoj sigurnosti jer isti zakon propisuje sigurnost dobavnog lanca.
Kazne za kršenje regulative nisu male, kako za kompanije tako i za njihove odgovorne osobe. Stoga je preporuka svima, pa čak i onima koji nisu obveznici i rade s obveznicima o Zakonu o kibernetičkoj sigurnosti, da se na vrijeme počnu baviti politikama zaštitite podataka i poslovnog kontinuiteta. Odgađanje može biti kobno, može vas oštetiti i financijski i reputacijski.
Ako imate dvojbi oko kvalitete vaših backup i DR politika ili nemate kvalitetno napravljen backup i DR plan, nemate educirano osoblje ili ne želite ulagati u novu opremu i prostor za backup/DR, slobodno nas kontaktirajte na sales@comping.hr
