NIS2 – zasady zarządzania hasłami, tożsamością, dostępem oraz kontrolą aplikacji

Zapisy unijnej dyrektywy 2022/2555, znanej jako NIS2, mają na celu usankcjonowanie ochrony wszystkich głównych sektorów europejskiej gospodarki przed cyberzagrożeniami. Obejmują one środki zapewniające wysoki, wspólny poziom cyberbezpieczeństwa sieci i systemów informatycznych w całej UE.

NIS2 określa wymogi, które państwa członkowskie i przedsiębiorstwa funkcjonujące na ich terenie muszą przyjąć w ramach swoich strategii cyberbezpieczeństwa przed 17 października 2024 roku. Biorąc pod uwagę czas na zaplanowanie, wdrożenie i przetestowanie nowych narzędzi, zasad i procedur, ważne jest, aby zacząć ten proces od razu.

Wymagania dotyczące cyberbezpieczeństwa

Aby spełnić wymogi dyrektywy, organizacje powinny posiadać aktywną strategię ochrony cybernetycznej, która obejmuje zapobieganie, wykrywanie, monitorowanie, analizę i łagodzenie skutków, w tym przede wszystkim:

• Polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informatycznych,
• Obsługa incydentów,
• Ciągłość działania,
• Bezpieczeństwo łańcucha dostaw,
• Bezpieczeństwo nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie z lukami w zabezpieczeniach i ich ujawnianie,
• Zasady i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
• Praktyki higieny cybernetycznej i szkolenia w zakresie cyberbezpieczeństwa,
• Kryptografia,
• Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie zasobami,
• Korzystanie z uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania, zabezpieczonej komunikacji głosowej, wideo i tekstowej oraz zabezpieczonych systemów komunikacji awaryjnej w organizacji, w stosownych przypadkach.

Jak przygotować się na NIS2? Zasady zarządzania hasłami, tożsamością, dostępem oraz kontrolą aplikacji

W ciągu ostatnich kilku lat kraje europejskie doświadczyły gwałtownego wzrostu liczby ataków ransomware i złośliwego oprogramowania. Bez aktywnej strategii i wdrożenia odpowiednich polityk cyberbezpieczeństwa, firmy działające w krytycznych sektorach pozostaną podatne na zagrożenia. NIS2 wymaga od nich przyjęcia zasad zarządzania hasłami, tożsamością i dostępem oraz kontrolą aplikacji.

Takie polityki mogą być objęte kompleksowymi, nowoczesnymi rozwiązaniami Privileged Access Management (PAM), które mogą w znacznym stopniu pomóc w spełnieniu wielu nadchodzących wymagań.

Automatyzacja

Rozwiązania Delinea pozwalają na automatyzację roli administratorów IT, zapewniając scentralizowaną kontrolę i zarządzanie uprzywilejowanym dostępem w całej organizacji. Administratorzy mogą ustanowić zasady i reguły dostępu oraz zautomatyzować egzekwowanie tych zasad m.in. w zakresie automatycznej rotacji haseł lub podnoszenia uprawnień do określonych aplikacji i poleceń. Ponadto możliwe są: zautomatyzowanie raportowania, funkcje audytu i nagrywania sesji, śledzenie i monitorowanie aktywności użytkowników.

Zarządzanie dostępem

Uwierzytelnianie wieloskładnikowe (MFA) Delinea zapewnia dodatkowe potwierdzenie, że człowiek znajduje się przy klawiaturze i jest prawowitym właścicielem danych uwierzytelniających. Dzięki MFA, nawet jeśli cyberprzestępca uzyskałby dostęp do hasła, nie byłby w stanie uzyskać dostępu do wrażliwych zasobów.

Zarządzanie aplikacjami

Delinea Privilege Manager i Server PAM upraszczają zarządzanie aplikacjami poprzez ustanawianie reguł i polityk, a także umożliwiają administratorom dostęp just-in-time.

Oferują funkcje raportowania, audytu i nagrywania sesji w celu monitorowania aktywności użytkowników. Dzięki Privilege Manager można kontrolować znane aplikacje za pomocą list zezwoleń i odmów oraz badać nieznane aplikacje.

Zarządzanie hasłami

Delinea PAM automatycznie lub na żądanie rotuje hasła, dzięki czemu każdy, kto ma dostęp do starszych danych uwierzytelniających, zostanie zablokowany.

Bezpiecznie przechowuje również zarządzane hasła w zaszyfrowanym sejfie. W przypadku kontrolowania dostępu do serwerów połączonych z domeną Active Directory, Delinea może wykorzystywać natywne zasady bezpieczeństwa AD do zarządzania poświadczeniami.

Wdrażanie i egzekwowanie zasady najniższych uprawnień

Wykorzystanie rozwiązań Delinea pozwala na eliminację nadmiernych uprawnień i stałą kontrolę nad przynależnością kont do grup lokalnych (unikalne poświadczenia i usuwanie współdzielonych kont uprzywilejowanych, które są przechowywane wyłącznie w celu uzyskania dostępu awaryjnego).

Delinea umożliwia także łatwe zarządzanie zasadami dostępu dla wszystkich typów kont uprzywilejowanych.