NIS2: Πως η οδηγία επηρεάζει τις υποδομές IT των επιχειρήσεων και την επιλογή λογισμικού

Τον Δεκέμβριο του 2022 η Ευρωπαϊκή Ένωση ενέκρινε την οδηγία NIS2 με τις επιμέρους χώρες να είναι υποχρεωμένες να την εφαρμόσουν έως τις 18 Οκτωβρίου 2024. Στην πράξη, ωστόσο, δεν έχει ακόμη ενσωματωθεί στη νομοθεσία πολλών κρατών μελών της ΕΕ, μεταξύ των οποίων και η Ελλάδα.

Ποιους επηρεάζει η οδηγία NIS2

Η νέα νομοθεσία θα καλύψει δεκάδες χιλιάδες επιχειρήσεις σε ολόκληρη την Ευρωπαϊκή Ένωση, επιφέροντας σημαντικές αλλαγές στον τρόπο διαχείρισης της κυβερνοασφάλειας τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα. Σε αντίθεση με την προκάτοχό της, η ονδηγία NIS2 καλύπτει, μεταξύ άλλων, τη δημόσια διοίκηση, τον τομέα των τροφίμων, τη βιομηχανία και τη διαχείριση αποβλήτων.

Η οδηγία διακρίνει δύο τύπους οντοτήτων:

• Τις βασικές οντότητες με ένα ευρύτερο φάσμα αρμοδιοτήτων
• Τις σημαντικές οντότητες, που πρέπει να πληρούν λιγότερες αυστηρές απαιτήσεις, αλλά εξακολουθούν να υπόκεινται στη ρύθμιση.

Γενικότερα, ως «βασικές» και «σημαντικές» μπορούν να θεωρηθούν οντότητες από τους τομείς που απαριθμούνται στα παραρτήματα Ι και ΙΙ της οδηγίας, οι οποίες είναι τουλάχιστον μεσαίες επιχειρήσεις (απασχολούν τουλάχιστον 50 άτομα ή έχουν ετήσιο κύκλο εργασιών που υπερβαίνει τα 10 εκατ. ευρώ). Επίσης, περιλαμβάνονται και άλλες οντότητες που ορίζονται από την Οδηγία NIS2, π.χ. οντότητες δημόσιας διοίκησης, οντότητες που προσδιορίζονται ως «κρίσιμες» σύμφωνα με την οδηγία (ΕΕ) 2022/2557, πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή υπηρεσιών ηλεκτρονικών επικοινωνιών που είναι διαθέσιμες στο κοινό. Παράλληλα, σε αυτές τις οντότητες περιλαμβάνονται αναγνωρισμένοι πάροχοι υπηρεσιών εμπιστοσύνης (trust services) και μητρώα τομέα ανωτάτου επιπέδου (domain name registries), καθώς και πάροχοι υπηρεσιών DNS, ανεξάρτητα από το μέγεθός τους. Επιπλέον, κάθε κράτος μέλος μπορεί να προσθέσει και άλλες οντότητες, σύμφωνα με τη νομοθεσία του.

Μέχρι τις 17 Απριλίου 2025, όλα τα κράτη μέλη πρέπει να δημιουργήσουν καταλόγους των προαναφερόμενων οντοτήτων που θα καλύπτονται από τους νέους κανονισμούς. Ωστόσο, η οδηγία περιλαμβάνει αρκετές εξαιρέσεις.

Οι επαγγελματίες που ασχολούνται με την ασφάλεια στον κυβερνοχώρο, πρέπει να συνδυάσουν αυτή την οδηγία με την εφαρμογή ενός συστήματος διαχείρισης κυβερνοασφάλειας και οφείλουν να έχουν υπόψη:

• τον βαθμό κινδύνου
• τη σοβαρότητα των πιθανών συνεπειών
• τον διαθέσιμο προϋπολογισμό
• την καταλληλότητα.

NIS2 vs δευτερογενές λογισμικό

Όταν μία επιχείρηση επιλέγει ένα δευτερογενές λογισμικό, το οποίο συχνά επιτρέπει εξοικονόμηση έως και 70% σε σχέση με μία αγορά λογισμικού απευθείας από τον κατασκευαστή, υπάρχουν διάφοροι παράγοντες για την ασφάλεια στον κυβερνοχώρο που πρέπει να έχει αξιολογήσει.

Η σωστή αξιολόγηση θα αποδειχθεί χρήσιμη στο πλαίσιο της εφαρμογής των διατάξεων της Οδηγίας NIS2, αλλά και γενικότερα στην ασφαλή διαχείριση των υποδομών IT του οργανισμού.

Ο πιο σημαντικός παράγοντας που πρέπει να λαμβάνεται υπόψη, είναι το να μην έχει λήξει ο κύκλος ζωής του προϊόντος. Αυτό σημαίνει ότι θα πρέπει να χρησιμοποιούνται προϊόντα για τα οποία ο κατασκευαστής εξακολουθεί να παρέχει τις πιο πρόσφατες ενημερώσεις που επηρεάζουν, μεταξύ άλλων, την αναβάθμιση της κυβερνοασφάλειας.

Ο κύκλος ζωής ενός λογισμικού

Ο κύκλος ζωής ενός λογισμικού μπορεί να διαρκέσει έως και δώδεκα χρόνια, αλλά είναι πολύ χρήσιμο για τους οργανισμούς να ζητούν λεπτομέρειες και επαγγελματική βοήθεια από έναν εξειδικευμένο μεσίτη. Θα είναι ακόμα πιο ωφέλιμο εάν ο επιλεγμένος μεσίτης προσφέρει μια εκτεταμένη σειρά υποστήριξης, συμπεριλαμβανομένων τεχνικών, αδειοδότησης, συμμόρφωσης και νομικών υπηρεσιών – μια προσέγγιση που αντικατοπτρίζεται στο χαρτοφυλάκιο αξιόπιστων εταιρειών, όπως η Forscope.

Ο κύκλος ζωής ενός λογισμικού περιλαμβάνει συνήθως τέσσερις φάσεις:

• Η πρώτη είναι η πλήρης υποστήριξη, κατά την οποία το λογισμικό λαμβάνει όλες τις ενημερώσεις -που καλύπτουν τόσο θέματα ασφάλειας όσο και άλλους τομείς- και επιτρέπει την υποβολή αιτημάτων για αλλαγές στο προϊόν ή στις λειτουργίες του από τον κατασκευαστή.
• Η δεύτερη είναι η εκτεταμένη υποστήριξη. Διαφέρει από την πρώτη κυρίως επειδή δεν είναι πλέον δυνατό να ζητηθούν αλλαγές στο προϊόν ή στη λειτουργικότητα, καθώς δεν είναι πλέον διαθέσιμες ενημερώσεις που δεν αφορούν την κυβερνοασφάλεια. Άλλα στοιχεία, όπως οι ενημερώσεις κυβερνοασφάλειας και η πρόσβαση στην υποστήριξη, παραμένουν ίδια.
• Η τρίτη είναι η φάση μετά την υποστήριξη. Σε αυτό το σημείο, εξακολουθεί να είναι δυνατή η χρήση ενημερώσεων από τον τομέα της κυβερνοασφάλειας για κάποιο χρονικό διάστημα, αλλά μόνο έναντι πρόσθετης αμοιβής. Είναι η τελευταία στιγμή για εύρεση νεότερου λογισμικού.
• Έπειτα, το λογισμικό δεν υποστηρίζεται.

Μια εναλλακτική λύση στις φάσεις τρία και τέσσερα θα μπορούσε να περιλαμβάνει τη χρήση ειδικών λύσεων για την ενίσχυση της κυβερνοασφάλειας του λογισμικού που δεν υποστηρίζεται πλέον από τον κατασκευαστή. Οι λύσεις αυτές μπορούν επίσης να συνιστώνται και να παρέχονται από μεσίτες λογισμικού.

Συνεπώς, όσοι διαχειρίζονται τις υποδομές IT ενός οργανισμού θα πρέπει να εγκαθιστούν τακτικά διορθώσεις και ενημερώσεις που μπορούν να συμβάλουν στην προστασία των συστημάτων από πιθανές κυβερνοεπιθέσεις.

Οι ίδιοι επαγγελματίες πρέπει να είναι πάντοτε βέβαιοι ότι χρησιμοποιούν επαληθευμένο λογισμικό που παρέχεται από κάποιον αξιόπιστο μεσίτη. Αυτό είναι απαραίτητο, διότι στην αγορά υπάρχουν παραπλανητικές επιλογές από πολλούς δόλιους παρόχους που προσφέρουν, για παράδειγμα, μόνο κλειδιά προϊόντων χωρίς τα κατάλληλα τεκμήρια. Η παράνομη αγορά τέτοιου λογισμικού αυξάνει τον κίνδυνο νομικών επιπτώσεων, την ευθύνη για αποζημίωση λόγω παραβίασης των δικαιωμάτων πνευματικής ιδιοκτησίας και -σε περίπτωση εγκατάστασης από άγνωστα αρχεία- τον κίνδυνο εγκατάστασης κακόβουλου λογισμικού. Ως εκ τούτου, η επιλογή ενός αξιόπιστου προμηθευτή είναι ζωτικής σημασίας για τους οργανισμούς.

Κωδικοί πρόσβασης, εκπαίδευση προσωπικού και άλλα ζητήματα

Θα πρέπει φυσικά, να λαμβάνονται υπόψη και άλλα ζητήματα, που ισχύουν σε κάθε τύπο λογισμικού. Η χρήση απλών, επαναλαμβανόμενων κωδικών πρόσβασης πρέπει να αποφεύγεται, καθώς οι επιτιθέμενοι μπορούν να τους «σπάσουν» με μεγάλη ευκολία. Παρά τις ευρέως διαδεδομένες συμβουλές για την επιλογή ενός κωδικού πρόσβασης με τουλάχιστον 8 χαρακτήρες (συμπεριλαμβανομένων κεφαλαίων και πεζών γραμμάτων, ειδικών χαρακτήρων και αριθμών) είναι πολύ καλύτερη η επιλογή μίας καλά απομνημονεύσιμης φράσης ως κωδικός πρόσβασης. Άλλωστε, μία σημαντική αύξηση του μήκους του κωδικού πρόσβασης αυξάνει τον συνολικό αριθμό των πιθανών συνδυασμών, ενώ η εύκολη απομνημόνευση μειώνει τον κίνδυνο ο χρήστης να τον καταγράψει κάπου. Ο συγκεκριμένος παράγοντας υπογραμμίζει και τη σημασία της τακτικής εκπαίδευσης των εργαζομένων σχετικά με τους κινδύνους στον κυβερνοχώρο και τα μέτρα που απαιτούνται.

Επίσης, η τακτική δημιουργία αντιγράφων ασφαλείας είναι απαραίτητη για την αποφυγή πιθανής απώλειας μεγάλου όγκου δεδομένων, που σε περίπτωση συμβάντος μπορεί να είναι μη αναστρέψιμη.

Η φυσική ασφάλεια της υποδομής πρέπει επίσης να αποτελεί προτεραιότητα. Οι managers πρέπει να διασφαλίζουν ότι η πρόσβαση στους χώρους που στεγάζουν συστήματα IT ελέγχεται αυστηρά και ότι ολόκληρη η υποδομή IT προστατεύεται από περιπτώσεις κλοπής και δολιοφθοράς.

Τέλος, θα πρέπει όλες οι επιχειρήσεις να θυμούνται ότι η ασφάλεια στον κυβερνοχώρο δεν αφορά μόνο την πληροφορική, αλλά και τη φυσική ασφάλεια και την εκπαίδευση. Τα κονδύλια που μπορούν να εξοικονομηθούν από εναλλακτικά μοντέλα λογισμικού και αδειών χρήσης, μπορούν να αξιοποιηθούν για την ενίσχυση της φυσικής ασφάλειας, την εκπαίδευση των χρηστών ή την πραγματοποίηση άλλων επενδύσεων στην κυβερνοασφάλεια.

Από τον Michal Baudys, Public Sector Strategy Leader της Forscope για αγορές της Ε.Ε.