.png)
EU の NIS2 および DORA セキュリティ指令:知っておくべきこと
ザの 金銭的 そして 必要不可欠なサービス 2022年のランサムウェアの最大の標的はセクターでした。
これらの業界の組織は大きなプレッシャーにさらされています。効率を高めるためには、可用性とセキュリティを維持しながら、変革とデジタル化を迅速に行う必要があります。
同時に、ランサムウェア攻撃者は金融機関や必要不可欠なサービスの運営者を意図的に標的にしています。これらの業界にはダウンタイムを許すわけにはいかないこと、ひいては身代金を支払う可能性が最も高いことを彼らは知っています。
昨年、数え切れないほどのサイバーセキュリティインシデントが発生しました 銀行および金融サービス そして エッセンシャル・サービス・セクター エネルギー、水、輸送を含みます。これらの攻撃は巨額の経済的損失をもたらし、経済、基盤となるインフラ、消費者の安全に多大な損害を与える可能性があります。
金融サービスと必要不可欠なサービスにサイバーレジリエンスが必要な理由
毎年、新しいビジネスバズワードが主役になっています。
今年の?レジリエンス。それには正当な理由があります。
過去12か月間で、企業がサイバーリスクを管理する方法に大きな変化がありました。サイバー攻撃は、単にデータを盗むだけのものから、ビジネスの可用性に影響を及ぼすものへと進化しました。データ漏えいによる平均的な被害額を考えると 現在435万ドル、もはや攻撃に対応するだけでは十分ではありません。攻撃を生き延びることが重要です。
レジリエンスが重要である理由を学びましょう 銀行セクターの最優先事項 今すぐ。
この問題は、攻撃を受けたときの組織の回復力に対するビジネスリーダーの信頼の欠如によってさらに悪化します。によると 最近の研究 Enterprise Strategy Groupによると、自社の組織がサイバー攻撃の影響に対処する準備ができていると感じているビジネスリーダーは、わずか19%でした。また、半数以上が、攻撃はビジネスに壊滅的な影響をもたらすと考えています。
イルミオ・ゼロトラスト・セグメンテーションがサイバー・レジリエンスをどのように実現するかを学ぶ ここに。
サイバーレジリエンスに対する欧州連合の対応-NIS2 と DORA
欧州全域でのレジリエンスとインシデント対応能力を強化するため、欧州連合(EU)は最近、以下の重要サービスに関するネットワークおよび情報システム(NIS)指令の更新を承認しました。 NIS2、これは今後数年間で発効する予定です。
英国はもはやEUに加盟していませんが、NIS指令を採用し、今後も更新を行うことを確認しています。この改正により、英国の必要不可欠なサービスやデジタルサービスが、ますます高度化し頻発するサイバー攻撃から確実に保護されるよう、既存の指令が強化されます。
さらに、EUは、銀行および金融サービス機関がセキュリティインシデントに耐え、対応し、復旧できるようにすることを目的としたデジタル・オペレーショナル・レジリエンス法(DORA)を制定しました。
指令が公開されると、組織には24か月の実施期間が与えられます。しかし、事後対応型の消防訓練よりも、積極的な変更のほうが常に優れています。ビジネスリーダーは、コンプライアンスを達成するために今すぐ始めることを推奨しています。
NIS2 とはどのようなものですか?
新しいNIS2指令の主な目的は、エネルギー、輸送、銀行、医療などの必要不可欠なサービスによる知識の共有を改善し、侵害後の対応を強化することです。これは、ネットワークと情報システムのセキュリティに関する法的措置を概説していた当初の NIS 指令を進化させたものです。
NIS2 指令草案にアクセスする ここに。
NIS2 が不可欠サービスにとって重要な理由
この指令の目標は、公共部門と民間部門の両方、およびEU全体のレジリエンスとインシデント対応能力を向上させることです。
しかし、これはより広範なトレンド、つまり侵害が発生することが受け入れられていることの表れでもあります。この指令は重要な IT 資産の保護に役立つ一方で、必要不可欠なサービスプロバイダーに新たなコンプライアンス上の課題を抱えることにもなります。
ドーラって何?
NIS2は指令の一部として銀行および金融サービス機関を含んでいますが、DORAは特に金融セクターを対象としています。
今後の ドーラ この指令は、企業が侵害に耐え、対応し、違反から回復できるようにすることを目的としています。銀行セクターは世界経済を支えており、強力なサイバーセキュリティ対策を講じなければ、侵害はすぐに壊滅的なものになる可能性があります。DORAは銀行に対し、サイバー・レジリエンスを強化し、顧客データを保護し、セキュリティ侵害が発生した場合でも事業継続性を確保することを求めています。
2023年初頭までに発効し、2025年までに施行される予定のDORAは、金融サービス業界のゲームチェンジャーとなるでしょう。
DORA 指令にアクセスする ここに。
DORAが銀行や金融サービスにとって重要な理由
長年にわたり、業界はビジネスとセキュリティの成果を結びつけることに懸命に取り組んできました。DORA は、金融機関のレジリエンスを向上させるだけでなく、セキュリティ能力と業務上のレジリエンスの関係をより明確にします。
対象となる企業は、リスクを迅速に管理し対処できなければなりません。実際、DORAの第2章セクションIIでは、組織がセキュリティリスクに迅速、効率的、包括的に対処し、高いレベルのデジタル運用レジリエンスを確保するための適切なリスク管理フレームワークを開発することが義務付けられています。
しかし、これは簡単なことではありません。組織は今すぐ基盤を築き始めなければなりません。さもないと、遅れをとるリスクがあります。
イルミオゼロトラストセグメンテーションがNIS2およびDORAコンプライアンスの達成に役立つ3つの方法
レジリエンスを構築し、NIS2とDORAに準拠するためには、組織はすぐに何をすべきでしょうか?まずは以下から始めましょう。 ゼロトラストセグメンテーション (ZTS)。
1。アプリケーションとワークロードの通信を可視化
最初のステップとして、組織の現在のセキュリティイニシアチブとリスクを NIS2 や DORA の要件と比較するギャップ分析を行うことが重要です。
このプロセスの重要なツールは アプリケーション依存関係マッピング によって提供される イルミオ ZTS プラットフォーム。ハイブリッドアタックサーフェス全体にわたるアプリケーションとワークロードのトラフィックと通信を迅速かつわかりやすく可視化できます。たとえば、どのサーバーがビジネスクリティカルな資産と通信しているか、どのアプリケーションがインターネットにオープン回線で接続されているかを確認できます。これにより、攻撃者は組織のネットワークに簡単にアクセスできるようになります。
この可視性により、セキュリティチームは NIS2 と DORA のコンプライアンスに向けた作業の優先順位を決めることができます。組織がすでにコンプライアンスを遵守している箇所と、より適切なセキュリティ管理を実施する必要がある箇所を把握できます。
2。柔軟できめ細かなセグメンテーションポリシーを設定
ハイブリッドネットワークを可視化できたら、サイバーレジリエンスを高め、NIS2とDORAのコンプライアンスを達成するのに役立つ、情報に基づいたセキュリティポリシーの設定を優先する準備が整いました。
Illumio ZTSでは、ワークロードとデバイス間の通信を制御する柔軟できめ細かなセグメンテーションポリシーを自動的に設定できます。これにより、必要なものや必要なものだけが許可されます。たとえば、通信をサーバーからアプリへ、開発から製品へ、または IT と OT の通信を制限できます。
セグメンテーションポリシーの設定は、ゼロトラストアーキテクチャ (NIS2 および DORA 指令に暗黙的に組み込まれたセキュリティモデル) を構築するための重要なステップです。
3。資産を積極的に隔離するか、侵害の拡大を事後対応的に封じ込める
Illumio ZTSを使用してネットワークをセグメント化することで、避けられない侵害に対する事前対応型と事後対応型のセキュリティの両方が提供され、NIS2指令とDORA指令の攻撃に対する耐障害性という中核的な目標を達成できます。
価値の高い資産を積極的に分離し、重要かつ必要な資産のみへのアクセスを制限します。つまり、ランサムウェアやその他の侵害がこれらの資産に広がったり、事業が停止したり、壊滅的な損害が発生したりすることがないという安心感が得られます。
攻撃が活発に行われている間は、侵害の拡大を事後対応的に阻止し、数分でネットワークのごく一部に限定します。実際には、 最近のビショップ・フォックスのサイバー攻撃エミュレーション Illumio ZTSは10分以内に侵害の拡大を阻止できることがわかりました。これは、エンドポイントの検知と対応 (EDR) ソリューションだけの場合の 4 倍の速さです。
についてもっと読む イルミオが既存のNIS指令にどのように対応しているか、今後発表される NIS2 指令の基礎。
イルミオ ZTS を使用して NIS2 および DORA コンプライアンスを達成する準備はできていますか? 今すぐお問い合わせ 相談とデモのため。
