-
08/10/2013
-
401
-
989 bài viết
Tuân thủ NIS2 cho các mạng công nghiệp: Bạn đã sẵn sàng chưa?
Trong bài viết năm 2023, mình đã đưa thông tin về NIS2 - Chỉ thị về an ninh mạng mới của Châu Âu. Đến thời điểm này, NIS2 hiện đang ở đầu danh sách ưu tiên của hầu hết các Giám đốc An ninh Thông tin (CISO) của châu Âu. Tuy nhiên câu hỏi đặt ra là liệu bạn có nên quan tâm không? Bài viết này thông tin thêm về NIS2 để bạn có thể trả lời câu hỏi trên.
Phiên bản ban đầu của NIS được thông qua vào năm 2016 chỉ ảnh hưởng đến một số tổ chức châu Âu quan trọng. Phiên bản thứ hai này là một vấn đề hoàn toàn khác biệt. Gần như tất cả các tổ chức hoạt động trong hầu hết các ngành công nghiệp phải tuân thủ. Và nếu bạn bị vi phạm, các cơ quan quản lý thuộc các quốc gia thành viên có thể áp đặt các hình phạt tài chính rất nặng, thậm chí bổ nhiệm các quan sát viên để giám sát chiến lược an ninh mạng của bạn. Để biết thông tin chi tiết về các tổ chức phải tuân thủ và sẽ bị phạt như nào nếu vi phạm, bạn đọc thêm ở đây.
Tuân thủ NIS2
Nếu bạn làm việc cho một tổ chức thuộc một ngành công nghiệp được liệt kê trong Chỉ thị NIS2, hoặc là một nhà cung cấp cho bất kỳ một trong những tổ chức này, bạn cần chú ý quy định NIS2. Nó được thiết kế để buộc các ngành công nghiệp trên khắp Liên minh châu Âu phải tăng cường các quy tắc an ninh mạng và đảm bảo các nhà cung cấp dịch vụ của họ sẽ không đối mặt với bất kỳ rủi ro nào về an ninh mạng.Phiên bản ban đầu của NIS được thông qua vào năm 2016 chỉ ảnh hưởng đến một số tổ chức châu Âu quan trọng. Phiên bản thứ hai này là một vấn đề hoàn toàn khác biệt. Gần như tất cả các tổ chức hoạt động trong hầu hết các ngành công nghiệp phải tuân thủ. Và nếu bạn bị vi phạm, các cơ quan quản lý thuộc các quốc gia thành viên có thể áp đặt các hình phạt tài chính rất nặng, thậm chí bổ nhiệm các quan sát viên để giám sát chiến lược an ninh mạng của bạn. Để biết thông tin chi tiết về các tổ chức phải tuân thủ và sẽ bị phạt như nào nếu vi phạm, bạn đọc thêm ở đây.
Bạn cần làm gì?
Mặc dù bạn cần phải tham khảo thông tin ở link trên, tuy nhiên nó rất dài và chi tiết. Để tổng quát, những việc bạn cần làm đó là:- Các phần tử kết nối mạng OT cần được chứng nhận an toàn: các tiêu chuẩn ISA/IEC 62443 Phần 4-1 và Phần 4-2 ghi rõ một tài sản OT an toàn là gì. Vì vậy khi bạn mua các thiết bị, hãy yêu cầu nhà cung cấp chứng minh sản phẩm của họ tuân thủ theo tiêu chuẩn trên.
- Đánh giá và xếp loại ưu tiên các rủi ro mạng OT: Nhiều tổ chức vẫn chưa có một danh sách chi tiết về những gì đang được kết nối với mạng công nghiệp của họ. NIS2 yêu cầu bạn có khả năng "nhìn xuyên thấu" vào hệ thống OT, từ đó áp dụng các quy tắc thực tiễn tốt nhất để đảm bảo an ninh.
- Triển khai Zero-trust: Hầu hết các mạng công nghiệp đã phát triển thành các mạng lớn và phẳng ở layer 2. Lưu lượng độc hại có thể dễ dàng lan truyền và chiếm quyền kiểm soát toàn bộ hoạt động của bạn. ISA/IEC 62443 Phần 3-3 yêu cầu phân đoạn mạng thành các vùng có phạm vi nhỏ. Trong mỗi vùng, các tài sản chỉ có thể giao tiếp với những thiết bị cần thiết, để có thể chạy theo quy trình công nghiệp sẵn có. Đây chính là cách tiếp cận tối thiểu (Least Privillige) của an ninh mạng.
- Triển khai Zero-trust remote access: thay vì sử dụng các kết nối từ xa truyền thống tới mạng IT (VPN, remote desktop...), hãy sử dụng ZTNA ( Zero-Trust Network Access) với cơ chế phân quyền truy cập theo người dùng, theo thời gian, theo thiết bị, xác thực đa yếu tố, và cơ chế theo dõi hoạt động của kết nối đó trong suốt phiên truy cập.
- Phát hiện và báo cáo sự cố: NIS2 cũng yêu cầu có các công cụ để nhanh chóng phát hiện các sự cố và có thể thực hiện hành động phản ứng tức thời với các vi phạm an ninh.
Tham khảo
Cisco Industry Blog
Cisco Industry Blog
Chỉnh sửa lần cuối bởi người điều hành: