A Kingston szakértői szerint a vállalatok számára jelentős könnyebbséget jelenthet a kiberbiztonsági kockázatok minimalizálása, ha hardveres titkosítást alkalmaznak adatvédelmi kötelezettségeik teljesítése során.
Mint ismeretes, az európai uniós NIS2 irányelv tavaly lépett hatályba, Magyarországon a "2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről" határozza meg, hogyan kell a hazai szervezeteknek megfelelniük a követelményeknek. Az előírások be nem tartása komoly pénzügyi szankciókat vonhat maga után, egyes vállalatok esetében a bírság akár 10 millió euró is lehet, vagy ha ez nagyobb, a cég éves árbevételének 2 százaléka.
Több ezer cégnek kellett már lépnie
A szabályozás több ezer hazai vállalatra vonatkozik a kiemelten kritikus és az egyéb kritikus ágazatokban. Az előbbi kategóriába tartozik az energia, a szállítás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, az ivóvíz, a szennyvíz, a digitális infrastruktúra, az IKT-szolgáltatások irányítása (vállalkozások között), valamint az űripar. Az egyéb kritikus területek között szerepelnek a postai és futárszolgáltatások, a hulladékgazdálkodás, a vegyszerek gyártása, előállítása és forgalmazása, az élelmiszer-termelés, -feldolgozás és -forgalmazás, a gyártás, a digitális szolgáltatók és a kutatás.
A szervezetek nem kaptak hivatalos értesítést arról, hogy érinti-e őket a szabályozás. Maguknak kellett lefuttatniuk egy önellenőrzési folyamatot azzal kapcsolatban, hogy nekik is meg kell-e tenniük a szükséges lépéseket. Az első határidő már le is járt: a vállalatoknak június 30-ig kellett nyilvántartásba vetetniük magukat a Szabályozott Tevékenységek Felügyeleti Hatósága rendszerében. Ezzel együtt egy érintettségi kérdőívet is ki kellett tölteniük, illetve ki kellett nevezniük egy szakembert, aki a cég elektronikus információs rendszerek biztonságáért felel.
A következő lépés egy jól működő, a kockázatokkal arányos információbiztonsági irányítási keretrendszer kialakítása. Ezt 2024. október 18-ig kell megtenniük, és egy független auditorral is szerződniük kell, akinek a következő év végéig bezárólag ellenőriznie kell minden feltétel teljesülését.
Hardveres titkosítással a szigorú előírások teljesítéséhez
A kiberfenyegetések óriási károkat okozhatnak, és a kritikus ágazatokban tevékenykedő cégeknek ezzel arányos módon kell gondoskodniuk az elektronikus információs rendszereik biztonságáról. Ez számos teendőt foglal magában, többek között az adatvédelem terén is szigorú követelményeket fogalmaz meg. A Kingston szakértői szerint a legújabb előírások teljesítéséhez elengedhetetlen, hogy a szervezetek hardveres titkosítást kínáló megoldásokat vegyenek igénybe - ugyanúgy, ahogyan a GDPR vagy az USA-ban alkalmazott HIPAA szabályozások esetében is.
A Kingston IronKey külső SSD- és USB-meghajtókat például kifejezetten úgy tervezték, hogy ellenálljanak a kibertámadásoknak és az adatlopási kísérleteknek. Fejlett védelemmel rendelkeznek az olyan módszerek ellen, mint a brute force jelszótámadások, és nagyobb biztonságot garantálnak a szoftveres opciókhoz képest. A megoldás számolja a jelszókísérleteket, és megadott számú, sikertelen próbálkozás után kriptográfiai törlést végez a meghajtón, megakadályozva, hogy illetéktelenek hozzáférhessenek a bizalmas információkhoz.
A szoftveres titkosítás ugyan olcsóbb és könnyebben hozzáférhető, hiszen nem szükséges hozzá speciális hardver megvásárlása, ám ez a módszer sebezhető bizonyos algoritmusokat alkalmazó támadásokkal szemben. A hardveres titkosítást egy külön mikroprocesszor végzi, amely felügyeli a felhasználói hitelesítést és az adatok titkosítását. Ez nagyobb biztonságot nyújt, mivel a titkosítási folyamatok elkülönülnek a számítógép többi részétől, így nehezebb feltörni a jelszót.
A Kingston Ironkey megoldások egyúttal a biztonságos adatmentési és -helyreállítási eljárásokhoz is nagyszerű kiindulópontot biztosítanak az érzékeny operatív adatokhoz, amelyek szintén szerepelnek a NIS2 előírásai között. A Kingston szakértői szerint az adatkezelési stratégia alapelemei között szerepelnie kell a megbízható biztonsági mentésnek is, amely a "3-2-1" szabályt követi. Eszerint három másolatot érdemes készíteni a fontos adatokról: két példányt két különböző eszközön érdemes tárolni (akár felhőben, akár egy külső eszközön), egy harmadikat pedig el kell különíteni egy széfben vagy egy külső helyszínen. Ez segít megvédeni az adatokat a kiberbiztonsági incidensektől, és egy támadás után pedig gyorsan helyre lehet azokat állítani.
Ezek az intézkedések fontos szerepet játszanak abban, hogy a vállalatok igazolhassák: megfelelnek a sok területre kiterjedő irányelvnek. Ha ezt elmulasztják, az bírságot von maga után, és a szervezet hírnevének is árthat. A hardveres titkosítást alkalmazó külső SSD-k és USB-k, illetve a fenti technikák plusz biztonsági réteget nyújtanak egy támadás esetén.