ELKO Romania, parte a ELKO Group, urmărește și își susține canalul de parteneri pentru a fi la zi cu ultimele standarde în securitatea cibernetică. Din al doilea trimestru al 2024, operatorii de servicii esențiale și furnizorii de servicii digitale vor trebui să transpună în practică noile directive NIS 2.
Sistemele de securitate fizică moderne pot fi subiectul unor vulnerabilități care se pot dovedi critice pentru organizație, iar ELKO România, în calitate de partener Axis Communications, se bazează pe un set extins de caracteristici incluse în soluțiile dezvoltate de producătorul suedez pentru a construi sisteme care se conformează noilor cerințe.
Ce este Directiva NIS 2?
Directiva NIS, cunoscută și sub denumirea de Directiva (UE) 2016/1148, este o directivă a Uniunii Europene care stabilește cerințe de securitate cibernetică pentru operatorii de servicii esențiale și furnizorii de servicii digitale din Uniunea Europeană. Directiva NIS urmărește să asigure un nivel ridicat de securitate a rețelelor și a informațiilor în întreaga Uniune și să se asigure că operatorii de servicii esențiale și furnizorii de servicii digitale iau măsuri adecvate pentru a gestiona riscul reprezentat de rețelele și sistemele lor de informații.
La 10 noiembrie 2022, Parlamentul European a adoptat Directiva NIS 2, care înlocuiește și abrogă Directiva NIS. NIS 2 va îmbunătăți gestionarea riscului de securitate cibernetică și va introduce obligații de raportare în sectoare precum: energia, transporturile, sănătatea și infrastructura digitală. Statelor membre li s-au pus la dispoziție 21 de luni de la data intrării în vigoare a directivei pentru a încorpora această directivă în legislația lor națională.
NIS 2 are ca principale obiective creșterea rezistenței cibernetice a unei game largi de organizații cu sediul în Uniunea Europeană, reducerea inconsecvențelor de reziliență prin unificarea capacităților de securitate cibernetică și consolidarea capacității colective de a planifica și de a răspunde prin norme și proceduri în cazul unui incident sau criză la scară largă.
Cum va afecta NIS 2 organizațiile?
Directiva NIS cere OES (Operators of Essential Services – operatori de servicii esențiale) și DSP (Digital Service Providers – furnizori de servicii digitale) să își securizeze activele critice pentru a minimiza riscurile pe care le va prezenta un incident de securitate pentru furnizarea serviciului lor. În teorie, fiecare organizație știe ce este important pentru a-și furniza serviciul și a-și conduce afacerea. S-ar putea argumenta că tehnologiile, cum ar fi o cameră de supraveghere în rețea, nu sunt clasificate drept active critice. Cu toate acestea, este important să se ia în considerare o abordare holistică atunci când se stabilește domeniul. Unele sisteme pot prezenta un risc chiar dacă sunt în afara domeniului de aplicare.
De exemplu, deși o cameră de supraveghere ar putea să nu fie esențială pentru serviciu, aceasta poate conține vulnerabilități prin care un factor extern ar putea lansa un atac asupra activelor critice. Prin urmare, este esențial ca OES și DSP să aibă în vedere astfel de riscuri în timpul evaluării Directivei NIS.
Susținerea conformității
Cu un accent mai mare pe securitatea lanțului de aprovizionare, este de așteptat ca organizațiile să se conformeze NIS 2, urmând a evalua mai atent partenerii furnizori de tehnologie. Ca parte a acestui proces de evaluare și auditare a riscurilor furnizorului, este de așteptat ca politicile și procesele să joace un rol mai important.
Demonstrarea maturității cibernetice
Securizarea unei rețele, a dispozitivelor acesteia și a serviciilor pe care le suportă, necesită participarea activă a tuturor furnizorilor de pe lanțul de aprovizionare, precum și a organizației client. Axis oferă instrumente, documentație și instruire pentru a ajuta la diminuarea riscurilor și pentru a menține produsele și serviciile Axis la zi și protejate. Axis are o listă extinsă de politici și procese în vigoare, precum și certificări de la terți:
• Certificare pentru ISO/IEC 27001 pentru sistemul de management al securității informațiilor (Information Security Management System – ISMS)
• Cyber Essentials Plus
• Building Security in Maturity Model (BSIMM)
• Axis Security Development Model (ASDM) – un cadru care definește procesul și instrumentele utilizate de Axis pentru a construi software cu securitate încorporată pe tot parcursul ciclului de viață, de la început până la dezafectare
• Axis este CVE Numbering Authority (CNA) în domeniul MITRE
• Politica de management al vulnerabilităților
• Notificări de consiliere de securitate.
Ce caracteristici ale produselor pot ajuta la diminuarea amenințărilor și la protejarea împotriva atacurilor?
Firmware semnat – Firmware-ul semnat este implementat de furnizorul de software și implică semnarea imaginii firmware cu o cheie privată. Când firmware-ul are această semnătură atașată, un dispozitiv va valida pachetul software înainte de a accepta instalarea. Dacă dispozitivul detectează că integritatea este compromisă, actualizarea va fi respinsă.
Secure boot – Secure boot este un proces de inițializare care constă dintr-un lanț neîntrerupt de software validat criptografic, pornind de la memoria imuabilă (boot ROM). Pe baza utilizării firmware-ului semnat, inițializarea securizată asigură că un dispozitiv poate porni numai cu sistemul de operare autorizat.
Axis Edge Vault – Axis Edge Vault este un modul de calcul securizat care poate fi utilizat pentru operațiuni de stocare a certificatelor în siguranță, securizându-le prin chei criptografice. Edge Vault oferă stocare protejată împotriva falsificării, permițând fiecărui dispozitiv să-și protejeze datele vulnerabile Acesta stabilește o bază pentru implementarea în siguranță a funcțiilor de securitate avansate.
ID-ul dispozitivului Axis – ID-ul dispozitivului Axis funcționează ca un pașaport digital și este unic pentru fiecare dispozitiv în parte. Este stocat în siguranță și permanent în Edge Vault ca un certificat, semnat de certificatul root Axis. ID-ul dispozitivului Axis este conceput pentru a dovedi originea dispozitivului, autorizând un nou nivel de încredere pe parcursul ciclului de viață al produsului.
Stocare sigură a cheilor cu un modul de platformă de încredere (TPM) – Un modul de platformă de încredere (Trusted Platform Module – TPM) este o componentă care oferă un anumit set de caracteristici criptografice adecvate pentru protejarea informațiilor împotriva accesului neautorizat. Cheia privată este stocată definitiv în componenta hardware TPM. Toate operațiunile criptografice care necesită utilizarea cheii private sunt trimise către TPM pentru a fi procesate. Acest lucru asigură că partea vulnerabilă a certificatului nu părăsește niciodată mediul securizat din cadrul TPM și rămâne în siguranță, chiar și în cazul unei breșe de securitate.
Flux video semnat – Fluxul video semnat asigură că dovezile video pot fi verificate ca nemodificate, fără a fi necesar să se urmărească lanțul de custodie al fișierului video. Fiecare cameră utilizează ID-ul său unic de dispozitiv Axis, păstrat în siguranță în Axis Edge Vault sau în TPM, pentru a adăuga o semnătură în fluxul video. Când clipul este redat, playerul de fișiere arată dacă videoclipul este intact. Fluxul video semnat face posibilă urmărirea verificării și validării datelor. În cazul oricărei tentative de sabotaj ori alterare a conținutului video funcționalitatea va permite detectarea fiecărui proces asociat acestei inițiative.
Activare HTTPS – Protocolul de comunicare HTTPS este activat implicit cu un certificat autosemnat începând cu sistemul de operare AXIS v. 7.20. Acest lucru permite setarea în siguranță a parolei dispozitivului. În sistemul de operare AXIS v. 10.10 și versiunile ulterioare, certificatul autosemnat a fost înlocuit cu certificatul de identificare a dispozitivului securizat IEEE 802.1AR.
Instrumentele și ghidurile oferite de Axis pentru a sprijini procesul de instalare, punere în funcțiune și întreținere sunt enumerate mai jos:
Ghidul de sporire a securității – Hardening Guide
Ca mijloc de structurare a recomandărilor în contextul unui cadru de securitate cibernetică, Axis a ales să urmeze metodele prezentate în CIS Controls versiunea 8, lansată de Center for Internet Security (CIS). Cunoscute anterior ca SANS Top 20 Critical Security Controls, controalele CIS oferă 18 categorii de Critical Security Controls (CSC) axate pe abordarea celor mai frecvente categorii de risc de securitate cibernetică cu care se confruntă o organizație. Aceste informații pot fi găsite în ghidul Axis Hardening.
AXIS Device Manager
AXIS Device Manager este instrumentul de bază pentru instalarea și configurarea rapidă și ușoară a dispozitivelor noi. Oferă instalatorilor de securitate și administratorilor de sistem un instrument extrem de eficient pentru a gestiona toate sarcinile majore de instalare, securitate și întreținere, una câte una sau în loturi. Acesta este cel mai eficient mod de a urmări dispozitivele Axis într-o rețea, de a implementa politici de securitate pe toate dispozitivele și de a efectua toate actualizările de firmware într-un mod rapid și eficient.
O viziune completă la 360 de grade
Deși este foarte puțin probabil ca sistemele de securitate fizică să fie clasificate ca un activ critic, este important ca OES și DSP să ia în considerare o abordare holistică în timpul stabilirii domeniului. Aceasta înseamnă că tehnologiile de securitate fizică trebuie să fie evaluate detaliat ca parte a implementării Directivei NIS 2 pentru a evidenția orice riscuri potențiale.
Axis are o viziune completă la 360 de grade cu privire la oferta sa de securitate cibernetică. Produsele sunt proiectate cu funcții încorporate pentru a aborda problemele de securitate cibernetică, în timp ce o listă extinsă de politici și procese, instrumente, documentație și instruire va ajuta la diminuarea riscurilor pentru a menține clienții protejați.
