Европейската директива NIS 2 - пътят към един по-сигурен дигитален свят

Нарастващата свързаност между индустриалните и IT мрежи и използването на Интернет на нещата носят множество ползи за производствените компании, включително цифровизирани процеси и междуфирмено сътрудничество в екосистеми. В същото време те също така увеличават риска от киберзаплахи.

И ако преди двайсетина години, когато се появиха първите изисквания за киберсигурност в оперативните технологии (OT) в резултат на първоначалното свързване в мрежа на отделни системи, киберсигурността бе смятана за екстра, днес това далеч не e така.

Началният „гръм“ дойде през 2010 г., когато беше извършена първата атака срещу индустриални системи за управление. Зловреден софтуер, наречен Stuxnet, манипулира тези системи и причини огромни щети. Тази атака подейства като сигнал за събуждане за цялата индустрия, защото ясно показа колко уязвими и изложени на опасност са системите за индустриална автоматизация.

“За киберсигурността в индустрията Stuxnet представлява нещо като началото на нова ера”, казва инж. Никола Петков, мениджър продажби Процесна автоматизация в направление Дигитални индустрии на Siemens България. Рисковете нарастват непрекъснато оттогава: “Преди десет години една машина фрезоваше или пробиваше дупки в метала напълно самостоятелно, управлявана само от контролния си панел. Днес много машини и цели фабрики са онлайн и са свързани помежду си, за да се възползват от възможностите за повишаване на ефективността или новите бизнес модели, създадени от цифровизацията, включително предсказваща поддръжка”.

Пробивите в киберсигурността са изключително скъпи. Според IBM средната “цена” на пробив в данните през 2022 г. е била 4,35 млн. долара. Но нещата може да излязат още по-скъпи специално за производствените компании.

Производителите често са изправени пред по-големи загуби както в операциите, така и в приходите поради кибератаки, които налагат затварянето на един или повече заводи, докато щетите бъдат овладени. В допълнение към тези затваряния, кибератака срещу производител може също да доведе до изтичане на чувствителни данни, неизпълнение на поръчки или кражба на интелектуална собственост.

В отговор на нарастващите заплахи, ЕС въведе ново законодателство за киберсигурност, наречено Директива за мрежова и информационна сигурност 2 (NIS 2). Директивата, която ще влезе в сила от 17 октомври 2024 г., представлява значително подобрение на съществуващата директива, задължавайки държавите членки на ЕС да приемат и стриктно да прилагат по-строги разпоредби за киберсигурност.

Снимка: GettyImages

NIS2: Стъпка напред към по-сигурен дигитален свят

Директива NIS2 е продължение на първата версия на документа, въведена през 2016 г., и представлява обновената стратегия на Европейския съюз за подобряване на киберсигурността в държавите членки на общността. „Основните разлики между NIS и NIS2 включват разширяване на обхвата на отраслите, попадащи под директивата, по-строги изисквания за докладване на инциденти и по-високи стандарти за физическа и киберсигурност“, обобщава инж. Никола Петков.

Обхватът на NIS 2 включва всички организации, включително дружества и доставчици, които играят решаваща роля за поддържането на европейската икономика и общество, като предоставят основни или важни услуги. Това включва секторите транспорт, енергия, инфраструктура на банковия и финансовия пазар, здравеопазване, водоснабдяване, публична администрация (централно и регионално ниво), управление на отпадъците, пощенски и куриерски услуги, хранителна промишленост, производство на медицински изделия, химико-фармацевтично производство, авио-космическия сектор, цифрова инфраструктура и доставчици на цифрови услуги. Ако вашата организация попада в някоя от тези категории и отговаря на критериите за наличие на повече от 50 служители и оборот над 10 млн. евро, спазването на директивата NIS 2 става задължително.

Цялостна промяна

С влизането на директива NIS 2, предприятията се сблъскват с нови и сериозни предизвикателства в областта на киберсигурността. „Подготовката за директива NIS 2 изисква задълбочен и обмислен подход. Не е достатъчно просто да маркирате в списъка няколко „квадратчетата“, споделя инж. Димитър Пашкуров, експерт по индустриална комуникация и киберсигурност към направление Дигитални индустрии на Siemens България: „Вместо това, се изисква цялостна промяна в начина на мислене, обхващаща всички аспекти на организацията.”

По думите на експерта първото нещо, което производствените компании трябва да направят, е да оценят текущата ситуация, включително чрез проверка на наличните мерки за киберсигурност и процедури: “Установете къде сте силни и къде има потенциал за подобрение в системата. Следва да определете кои са вътрешните и външните рискове - всеки бизнес има свои уникални предизвикателства. Разберете какви заплахи могат да засегнат вашата индустрия и в частност конкретното предприятие.”

Следващата стъпка е да се обновят политиките и процедурите за киберсигурност, за да отговорят на изискванията на NIS 2: „Колкото и добри обаче да са на хартия процедурите, те няма да проработят от само себе си, ако нямате подходящо обучен персонал. Така че компаниите трябва да приоритизират обученията и подобряването на знанията на служителите относно новите процедури и най-добрите практики в областта на киберсигурността, за да се гарантира достигането на поставените цели”.

След обучението на персонала идва ред на инвестицията в съвременни решения за киберсигурност като тези, предлагани от Siemens, за да гарантирате, че сте защитени от най-новите заплахи. “Тествайте индустриалните си системите редовно, провеждайки симулации на атаки, за да проверите тяхната устойчивост. Съгласно най-новите изисквания ще бъде изключително важно да се докладва и да се осигурява прозрачност, затова установете механизми за бързо и ефективно рапортуване на киберинциденти. Погрижете се за постоянен надзор чрез системи за мониторинг, които да наблюдават вашите мрежи 24/7”, съветва още експертът по киберсигурност.

Същевременно компаниите трябва да разработят план за реагиране при инциденти в случай на кибератака, включително възстановяване на данните и комуникация с клиенти: “За да сте сигурни, че всичко изредено до момента ще работи, редовно преразглеждайте и актуализирайте вашите практики за киберсигурност в отговор на новите заплахи и технологично развитие“, завършва инж. Пашкуров.

Инвестициите в киберсигурността се отплащат

Но освен за да отговорят на изискванията на новата директива, компаниите в индустриалния сектор трябва да се фокусират върху киберсигурността и за свое собствено добро. По данни на Statista през 2022 г. производството има най-висок дял на кибератаки сред водещите индустрии в света. През разглежданата година кибератаките в производствени компании представляват близо 25 процента от общия брой.

Siemens предлага широко портфолио от услуги и продукти, специализирани в индустриалната киберсигурност, насочени към защита на мрежовите и информационните системи. Комбинацията от ноу-хау, хардуер и софтуерни решения осигуряват комплексна подготовка и реакция на предприятията срещу киберзаплахите.

„За да защити както собствените си съоръжения, така и своите клиенти, Siemens разработи своята концепция за киберзащита в дълбочина (Defense-in-Depth), която включва целия хардуер, софтуер и услуги, от които се нуждаете, за да защитите вашата производителност и ноу-хау. Компанията ни е и сред основателите на т.нар. Харта на доверието (Charter of Trust), която цели по-сигурен дигитален свят“, разказва инж. Никола Петков.

Концепцията Defense-in-Depth, насочена към производствата, е базирана на 3 основни принципа: сигурност на заводите, сигурност на мрежата и цялостна сигурност на интегрираните системи.

Защитата започва още на етап разработка и производство на даден продукт. Това означава, че уязвимостите в сигурността се избягват от самото начало и настройките за сигурност вече могат да бъдат конфигурирани или зададени фабрично. Най-новата информация за киберзаплахите непрекъснато се интегрира в защитата на продуктите. Същевременно компанията използва опита от собствените си производствени съоръжения, за да продължи да подобрява сигурността на своите продукти и решения.

„Индустриалната киберсигурност не е просто една от модерните думи. Тя се превръща в жизненоважна стратегия за всяка компания. С нарастването на броя на заплахите и постоянния риск от кибератаки, предприятията трябва да бъдат подготвени не само да защитят своите системи, но и да гарантират безопасността на своите клиенти и служители“, отбелязва инж. Петков: “С широкото си портфолио и екип от експерти Siemens предлага цялостна киберзащита и възможност за компаниите от най-различни сектори да отговорят на новите регулации и предизвикателства. Комбинирайки над 35-годишен опит в областта на киберсигурността със специфични за индустрията познания, проактивно гарантираме защитата на нашите клиенти и техните съоръжения“.

Повече материали по темата за дигиталната трансформация може да прочетете в блога на Siemens България.