Odpowiedź Kingston na dyrektywę NIS2 – tworzenie szyfrowanych kopii zapasowych

avlab.pl 5 miesięcy temu
Zdjęcie: Odpowiedź Kingston na dyrektywę NIS2 – tworzenie szyfrowanych kopii zapasowych


Jeszcze raz warto przypomnieć, iż w październiku 2024 r. w życie wchodzi unijna dyrektywa NIS2, która będzie miała szczególne znaczenie dla firm z branży finansowej czy energetycznej, a także dla podmiotów publicznych. Regulacje nakładają nowe obowiązki w zakresie zapewnienia bezpieczeństwa systemów teleinformatycznych oraz zabezpieczenia przechowywanych danych. Niestosowanie się do wskazanych przepisów może skutkować nałożeniem wielomilionowych kar finansowych.

Instytucje z sektora publicznego przechowują ogromne ilości informacji, w tym danych zwykłych i szczególnych kategorii, co czyni je atrakcyjnym celem dla cyberprzestępców. Od kilku lat podejmowane są działania w kierunku wzmacniania ich ochrony, m.in. w formie wsparcia finansowego. W 2023 r. wniosek o dofinansowanie w ramach programu „Cyberbezpieczny Samorząd” na kwotę 1,5 mld zł złożyło 90% uprawnionych instytucji. Wciąż jednak jest to kropla w morzu potrzeb, zwłaszcza w obszarze zabezpieczenia przechowywania danych.

Mimo programów i dofinansowań poziom bezpieczeństwa sektora publicznego jest niski, zwłaszcza w samorządach. Kontrole Najwyższej Izby Kontroli w 2023 roku wykazały, iż wiele jednostek administracji publicznej korzysta z nieaktualnego oprogramowania, nie monitoruje go, a choćby używa nieautoryzowanych programów.

Problemy pojawiają się również m.in. w związku z przetwarzaniem danych osobowych, przestarzałym sprzętem i oprogramowaniem, efektywnym wzmacnianiem świadomości pracowników na temat istniejących zagrożeń czy znalezieniem odpowiednich specjalistów IT.

Znaczna część jednostek publicznych nie wdrożyła jeszcze w pełni wszystkich istniejących przepisów dot. ochrony danych osobowych i cyberbezpieczeństwa, takich jak ustawa o Krajowym Systemie Bezpieczeństwa z 2018 r. czy rozporządzenie regulujące Krajowe Ramy Interoperacyjności. Do tego dochodzą kolejne regulacje – NIS2 i związane z nim obowiązki.

Co istotne, nie wystarczy jedynie stworzenie instrukcji i wytycznych, które będą zgodne z nowymi przepisami. Bez odpowiednich środków technicznych i organizacyjnych choćby najlepiej opracowane procedury nie będą wystarczające.

Niestety spora część jednostek samorządowych przez cały czas korzysta z przestarzałych, niewspieranych już systemów operacyjnych jak Windows 7, nie posiada należytego systemu wspierającego czy odpowiednich szyfrowanych dysków do zabezpieczenia danych.

Tomasz SurdykInspektor ochrony danych, koordynator ds. bezpieczeństwa IT i ekspert ds. cyberbezpieczeństwa w Kingston Technology

Podsumowując, aby spełnić podstawowe zasady bezpieczeństwa, należy nie tylko wdrożyć nową dyrektywę. Konieczne będzie też znalezienie środków na inwestycje w technologie i zakup nowoczesnego sprzętu oraz oprogramowania, które zapewni odpowiednią ochronę przechowywanych danych. Kluczem do sukcesu jest także inwestowanie w rozwój specjalistów IT, zwłaszcza w samorządach i państwowych placówkach oświatowych takich jak przedszkola czy szkoły podstawowe.

Potrzebna weryfikacja zabezpieczeń i szyfrowanie danych

NIS2 nakłada pod groźbą kar finansowych nowe obowiązki na sektor publiczny. Dotyczą one ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa, zapewnienia bezpiecznego przechowywania wrażliwych danych czy ich szybkiego odzyskiwania w razie awarii.

Jednostki administracji powinny rozważyć m.in. zakup rozwiązań szyfrujących dane, również te przechowywane i przenoszone na dyskach oraz zewnętrznych nośnikach m.in. pendrive’ach.

Jednym z podstawowych elementów zarządzania danymi jest tworzenie bezpiecznych kopii zapasowych. Zarówno firmy, jak i samorządy obowiązuje tu ta sama zasada „3-2-1”: należy posiadać trzy kopie zasobów, na dwóch różnych nośnikach, w różnych lokalizacjach, z których jedna powinna być odizolowana oraz przechowywana poza siedzibą organizacji. Pozwoli to ochronić dane przed incydentami i nieuprawnionym dostępem, a w razie ataku gwałtownie je przywrócić.

Idź do oryginalnego materiału