A Modern Alarm megvizsgálja, miért életbevágó olyan gyártót választani, aki komolyan veszi a kibervédelmet
Felkészülés a CRA-ra és a NIS2-re
- Biztonságtechnika
- /
- 2023-12-15
A kiberbiztonság napjainkban gyakori probléma az üzleti vezetők számára, tehát nem meglepő, hogy az Európai Unió azon dolgozik, hogy csökkentse a cégeket, szervezeteket érő kibertámadások kockázatát. Ennek az erőfeszítésnek az eredménye két jogszabály, a Kiberbiztonsági Jogszabály (Cyber Resilience Act, CRA) és a Hálózat és Információbiztonsági Irányelv második kiadása (Network and Information Security Directive 2, NIS2). Az üzleti vezetők jelenleg azt vizsgálják, hogy megfelelnek-e majd az előírásoknak. Az olyan gyártók, mint a Hanwha Vision, akik elkötelezettek a kiberbiztonság mellett, közel vannak ahhoz, hogy megfeleljenek a NIS2-nek és a CRA-nak.
Az Európai Parlament és az Európa Tanács régóta éberen őrködik az adatok, így a személyes adatok védelme felett. Azonban a kiberbűnözés egyre növekszik és a rosszszándékú egyéneknek egyre több lehetőségük van arra, hogy kihasználják a hálózatok és az eszközök sérülékenységeit, mivel a rendszerek mérete exponenciálisan növekszik. A törvényhozók erősíteni kívánják az EU tagállamok és az államokban működő szervezetek, cégek kibervédelmi képességeit.
Az Európai Unió Kiberbiztonsági Ügynöksége (European Union Agency for Cybersecurity, ENISA) arra figyelmeztet, hogy folyamatosan új kiberbiztonsági veszélyek jelennek meg, mivel növekszik az eszközök által gyűjtött adatok mennyisége, fejlődik a mesterséges intelligencia, ami komplexebbé és skálázhatóbbá teszi a kibertámadásokat; az ellátási láncok kerülnek a támadások célpontjába (amíg 2020-ban még csak a behatolások 1%-a, addig 2021-ben már a behatolások 17%-a származott harmadik féltől).
Az Internet of Things (IoT) eszközöket bejutási pontként használják a kiterjedt támadásokhoz. Ezekre a jelenségre reagálva alkották meg az új CRA-t, felváltva az eredeti NIS direktívát, az új fenyegetéseknek megfelelően.
A NIS2-ről
A NIS2 direktívát 2020. decemberében fogadta el az Európai Parlament. A tagállamoknak 2024 októberéig kell átültetniük a NIS2 követelményeit a nemzeti jogba. A direktíva célja, hogy a hálózatok és információsrendszerek kiberbiztonságát növelje az EU-ban.
A direktíva az alapvető, kritikus szolgáltatást működtetőkre (Operators of Essential Services, OES) és a digitális tartalomszolgáltatókra (Digital Service Providers, DSP) vonatkozik – eltérő kötelezettségek vonatkoznak a két területre. Az alapvető kritikus szolgáltatást (OES) nyújtók közé tartoznak az energetikai cégek, a közlekedés, a bankok és az egészégügy. A digitális tartalomszolgáltatók (DSP) online szolgáltatást nyújtanak nagyszámú felhasználóknak, beleértve a keresési szolgáltatásokat, szociális média platformoka és online áruházakat. A Hanwha Vision, mint videómegfigyelő termékek gyártója, szintén DSP-nek minősül.
Az első NIS az alapvető kritikus szolgáltatást működtetőkre (OES) vonatkozott, de a digitális szolgáltatások elterjedésével egy új gyenge láncszem jelent meg, amit a rosszindulatú szereplők kihasználhatnak, ezért a NIS2 már a DSP-kre is vonatkozik. A NIS2 biztosítja, hogy a DSP-k megtegyék a szükséges intézkedéseket, hogy elhárítsák a hálózataikra és információsrendszereikre leselkedő veszélyeket.
A DSP-kre az alábbi követelmények vonatkoznak:
A NIS2 pozitív lépés a videomegfigyelő szektor számra, mivel biztosítja, hogy minden az EU tagállamokban terméket eladó gyártó megfeleljen az elvárásoknak. A hálózat biztonságához – mivel a hálózat különféle eszközöket és szolgáltatásokat tartalmaz – szükség van a teljes beszállítói lánc aktív részvételére is. A NIS2 segítségével ezt könnyebb elérni.
A kamerák kiemelt kockázatot jelenthetnek, amennyiben nem egy megbízható gyártótól származnak, nem csak a kamera által közvetített kép miatt (ami érzékeny vagy személyes adatot is rejthet), de bejutási pontként használható egy kiterjedt támadáshoz. Ahogy a hálózatok nagyobbakká és komplexebbekké vállnak, részben azért, mert egyre több okosváros jön létre, a hatékony kibervédelem biztosítása kritikus a beszállítási lánc minden terméke esetében.
Felkészülés a NIS2-re
Jelenleg a legjobb mód arra, hogy biztosítsuk egy szervezet jövőállóságát, hogy kizárólag olyan gyártókkal dolgozzunk együtt, akik bizonyítani tudják a NIS2 megfelelőségüket azáltal, hogy régóta bizonyítottan a legjobb kibervédelmi technológiákat használják. Bár a pontos követelményeket még nem fogadta el az EU, de biztosak lehetünk abban, hogy a CRA megfelelősséggel rendelkező gyártók a NIS2-nek is meg fognak felelni.
CRA megfelelősség
Mivel egyre több okoseszköz található a cégeknél és az otthonokban is, ezért az Európai Bizottság biztosítani kívánja a megfelelő szintű kibervédelmet minden, a tagállamokban használt informatikai eszköz esetében, beleértve a rendszeres biztonsági frissítéseket a termék teljes életciklusa alatt. Hogy a fogyasztók és az iparági vezetők tudhassák, hogy melyek a CRA kompatibilis termékek, ezért azok a termékek vagy szoftverek, amelyek megfelelnek a feltételeknek, CE jelölést fognak kapni. A CRA vonatkozik minden internethez csatlakoztatott termékre, beleértve az okostévéket, WiFi routereket, okoshűtőgépeket és videókamerákat.
Az Európai Parlament és a Tanács kezdeményezte jogszabály feltehetőleg legkorábban 2024-ben léphet életbe, azonban a Hanwha Vision máris követi a CRA irányelveit, beleérve az előírt széleskörű kibervédelmi eljárásokat is.
A gyártóknak bizonyítaniuk kell, hogy rendszeres kockázatfelmérést folytatnak, hogy azonosítsák, értékeljék és enyhítsék a hálózatokra leselkedő kockázatokat. A Hanwha Vision Biztonsági Számítógépes Vészhelyzetelhárító Csoport (Security-Computer Emergency Response Team, S-CERT) rendszeresen végez ilyen kockázatfelmérést, beleértve a sérülékenységi teszteket és biztonsági ellenőrzéseket.
A Hanwha Vision termékeket a biztonságot szem előtt tartva tervezik és fejlesztik.
A Wisenet 7, fejlett, egylapkás rendszer (System On Chip, SoC) például UL CAP minősítéssel rendelkezik. A biztonság további növelése érdekében, a Hanwha Vision rendszeresen publikálja a lehetséges veszélyeket és sérülékenységeket, nyílt közzétételi politikája részeként, és informálja a felhasználókat a termékei biztonsági funkcióiról és ezen funkciók használati módjairól.
A kiberbiztonsági jéghegy csúcsa
Az EU legújabb jogi lépései a széleskörű kibervédelmi erőfeszítésnek részei, amely törvényhozási lépesekben, innovációs támogatásban, stb. nyilvánul meg. Az Európai Bizottság eltökélt abban, hogy biztonságosabbá tegye a termékeket és szolgáltatásokat a kibertámadásokkal szemben, már a termékfejlesztés kezdeténél, ami segíti a szervezetek jövőálló működését Európában.
Ezért lényeges, hogy a felhasználók olyan videomegfigyelő-rendszer gyártót válasszanak, amely az elvárhatónál többet tesz meg a termékek és szoftverek biztonságáért.
A kibervédelem nem az a terület, ahol az „éppen elegendő” elégséges! Az adatszivárgás kockázata és költsége túl magas ahhoz, hogy olyan kamerákat vegyünk, amelynek nem rendelkezik a szükséges kiberbiztonsági szinttel.
Célszerű olyan gyártót választani, amelyik folyamatosan figyeli a megjelenő új fenyegetéseket és sérülékenységeket, ezáltal biztosítva, hogy egy lépéssel a hackerek előtt járjon.
A tanúsítványok és eljárások fontossága
Ha nyugodtak szeretnénk lenni abban, hogy a videorendszer kiberbiztonsága a lehető legjobb, akkor a gyártó kiválasztása során mindig szükséges figyelnünk azokra a tanúsítványokra, amelyek alapján megbízhatunk az adott gyártóban. Meg kell bizonyosodni arról, hogy a gyártó elkötelezett a kiberbiztonság terén, nem csak a termékfejlesztés során, de a cég működésében, kultúrájában vagy akár a cégvezetésében is. A biztonsági eljárások, beleértve a sérülékenységekre adott válaszok, az incidensek kezelése, jelentése alapvető követelmények.
Az UL CAP (UL Cybersecurity Assurance Program, UL Kiberbiztonsági Megbízhatósági Program) és az NDAA (National Defense Authorization Act, Nemzeti Védelmi Felhatalmazási Törvény) megfelelőség további biztonságot nyújthatnak. Például azért, mert az NDAA megfelelőséghez szükség van arra, hogy a gyártó ne gyártasson fekete listán szereplő országban, illetve ne használjon fekete listán szereplő országból származó chippeket vagy egyéb alkatrészeket, ez szintén fontos jelzés lehet a gyártó beszállítói láncának kiberellenállóságára.
Végezetül, a tudás- és erőforrásmegosztás, valamint a részvétel a CVE sérülékenységi adatbázisában [A Hanwha Vision a CVE (Common Vulnerabilities and Exposures) partnere], mutatják a Hanwha Vision, a kiberbiztonság javítása melletti hosszútávú elköteleződését. A Hanwha Vision büszke arra, hogy egyre fejleszti a kiberbiztonsági intézkedéseit és hozzájárul ahhoz, hogy Európában és az Egyesült Királyságban közreműködik a kiberbiztonsági informatikai kultúra javításához.
A megbízhatóság logója
Az NDAA megfelelőséghez hasonlóan, a CRA és a NIS2 egy újabb pont lesznek, aminek a segítségéve a döntéshozók eldönthetik, hogy egy gyártó elkötelezett-e a kiberbiztonság iránt. Azok a gyártók, akik proaktív és sokoldalú stratégiát alkalmaznak a termékeik biztonságának növelésére, hosszú távú előnyre tehetnek szert, ahogyan a kibertámadások egyre gyakoribbá, komplexebbé és költségesebbé válnak. Előnyt jelent a cégek, szervezetek számára a legjobb védelmet nyújtó CCTV megoldások használata egy potenciálisan gyenge láncszemet jelentő kamerarendszernél.
További információkért, konkrét ajánlatért kérjük, a Modern Alarm Kft., CCTV terméktámogató kollégáit keresse:
Tóth István: +36 30 791 3335
toth.istvan@modernalarm.hu
Waldmann Tamás: +36 30 791 3336
waldmann.tamas@modernalarm.hu
Tagek: IT biztonság
Cikkek hasonló témában
A WiFi „fényes” jövője?
- 2023-08-01
- /
- Biztonságtechnika
Forradalom a CCTV kiberbiztonságban
- 2023-06-05
- /
- Biztonságtechnika
