NIS2 direktiva: Kako Backup i Disaster Recovery strategija pomaže na putu ka usklađenosti

Uvođenje NIS2 direktive donelo je značajne promene kada je u pitanju sajber bezbednost u Evropskoj uniji. Za razliku od prethodne, nova verzija NIS-a obuhvata širi opseg organizacija iz najrazličitijih industrija (digitalni provajderi, poštanske usluge, državna administracija, proizvodnja itd). NI2 takođe pooštrava zahteve po pitanju sajber bezbednosti, te donosi zakonske posledice po menadžment timove kompanija. Da stvar bude gora, organizacije koje ne poštuju regulativu mogu da dobiju još strože kazne, koje idu i do 10 miliona eura ili 2% globalnog godišnjeg prihoda. 

Nema nikakve dileme da je usklađivanje sa NIS2 propisima ključno za sve koji, delimično ili sasvim, posluju u EU. Na tom putu čekaju ih ključna pitanja pitanja poput kako držati rizik pod kontrolom i obezbediti kontinuitet poslovanja čak i tokom neplaniranih incidenata?

NIS2 i kontinuitet poslovanja 

Na stranici NIS2 direktive navedene su zahtevi i obaveze u četiri oblasti, među kojima je kontinuitet poslovanja. Kako je navedeno, kompanije su u obavezi da isplaniraju kako će osigurati neometano poslovanje u slučaju većih sajber incidenata. Ovaj plan trebalo bi da uključuje oporavak sistema, hitne procedure i uspostavljanje tima za odgovor na krizu. Povrh izlistanih zahteva, NIS2 nalaže da esencijalni i važni entiteti implementiraju sigurnosne mehanizme kojima će adresirati konkretne sajber pretnje. Jedan od njih je plan za upravljanje poslovnim operacijama, kao i plan za osiguravanje pristupa IT sistemima i njihovim operativnim funkcijama tokom i nakon bezbednosnog incidenta. 

Usklađivanje sa NIS2: uloga Backup i Disaster Recovery rešenja 

Kada je reč o kontinuitetu poslovanja, priprema je pola posla. Tu na scenu stupaju Backup i Disaster Recovery (DR) strategija i rešenja, čija uloga je da omoguće brz i pouzdan oporavak kritičnih sistema i podataka.  Uz efikasan Backup i DR, organizacije mogu da: 

• Svedu downtime na minimum: Brz failover na sekundarnu lokaciju pomaže da se minimizuje prekid usluga, osiguravajući dostupnost business-critical sistema. 
• Zaštite svoje podatake – mehanizmi poput napredne enkripcije podataka su neophodni za održavanje njihove bezbednosti i usklađenost sa NIS2 zahtevima. 
• Obezbede operativnu rezilijentnost – Sveobuhvatni Disaster Recovery plan adresira najrazličitije scenarije, od ransomware napada preko ljudske greške do prirodnih nepogoda, te pruža sposobnost da organizacija funkcioniše u nepredviđenim okolnostima. 

Ispunjavanje NIS2 zahteva prevazilazi implementaciju pojedinačnih rešenja i iziskuje pažljivo planiranje, kontrolu i evaluaciju rizika na nivou čitave kompanije. To, između ostalog, podrameva: 

• Backup strategiju – Preporučuje se primena 3-2-1 Backup pravila – čuvanje tri kopije podataka na dva različita medija, pri čemu se jedna kopija čuva offsite. 
• Kompletan pregled backup rešenja – uključujujući redovno testiranje i verifikaciju integriteta backupa, detekciju promena u backup konfiguraciji, kao i validaciju da je backup zaštićen od neautorizovanog pristupa. 
• Strateško planiranje okruženja za oporavak – Planiranje i korišćenje odvojenog, bezbednog okružanja za oporavak je ključno obzirom da je često nemoguće obezbediti ga na lokaciji koja je pogođena incidentom. 

Odakle početi? 

Svako poslovanje zahteva drugačiji Disaster Recovery plan, prilagođen specifičnim zahtevima. Kako biste definisali optimalan pristup za vašu kompaniju, potrebno je da izvagate kritičnost sistema, aplikacija i podataka prema potencijalnim rizicima. Obzirom da DR plan podrazumeva adekvatan razvoj, ažuriranje i testiranje, najbolja praksa je uspostavljanje dedikovanog Disaster Recovery tima ili saradnju sa eksternim partnerom koji će vam pružiti specijalizovanu ekspertizu u ovim oblastima. 

Još jedan prioritetan aspekat je restartovanje operacija nakon napada. Nova verzija NIS regulative čini temeljnu prioremu za brz opravak neophodnom, te zahteva da se planovi ne samo kreiraju već i testiranju kroz role-play scenarije i simulacije sajber napada. U ovom kontekstu, kompanije bi trebalo da procene i bezbednosne (recovery) kapacitete svojih partnera koji pružaju kritične servise, te da ih pažljivo biraju. 

Fokus na smanjenju rizika 

Sve propisane mere imaju za cilj da osnaže sajber bezbednost i stoga im treba pristupati strateški, kao inicijativama koje pomažu da vaša kompanije neometano posluje u svetu sve većih i kompleksnijih pretnji. S tim u vezi, implementacija naprednih Backup i Disaster Recovery rešenja nije magični štapić za usklađivanje sa NIS2 regulativom, ali jeste važan korak na putovanju za smanjenje poslovnog rizika.