Jak zapewnić zgodność z dyrektywą NIS2 przy użyciu zarządzanych urządzeń USB?

Kto jest objęty dyrektywą NIS2?

Dyrektywa NIS2 (ang. Network and Information Systems) to zaktualizowana wersja dyrektywy NIS z 2016 roku, która była pierwszym aktem prawnym UE dotyczącym bezpieczeństwa cybernetycznego. Dyrektywa NIS2 ma na celu zwiększenie odporności na zagrożenia cybernetyczne, poprawę współpracy między państwami członkowskimi i instytucjami UE oraz zapewnienie usług cyfrowych dla obywateli i przedsiębiorstw na wysokim poziomie. Dyrektywa NIS2 obejmuje szeroki zakres podmiotów, które są odpowiedzialne za bezpieczeństwo sieci i systemów informacyjnych. Tymi podmiotami są:

• Dostawcy usług cyfrowych – firmy oferujące usługi online, takie jak chmura obliczeniowa, platformy internetowe, usługi wyszukiwania lub usługi poczty elektronicznej.
• Operatorzy usług kluczowych – podmioty świadczące usługi niezbędne dla funkcjonowania społeczeństwa i gospodarki, takie jak energia, transport, bankowość, infrastruktura finansowa, sektor zdrowia, gospodarka wodna lub gospodarka odpadami.
• Podmioty świadczące usługi publiczne – organy administracji publicznej lub inne podmioty wykonujące zadania publiczne, takie jak ochrona porządku publicznego, obrona narodowa, edukacja czy kultura.

Dyrektywa NIS2 nakłada na te podmioty szereg obowiązków dotyczących zarządzania ryzykiem cybernetycznym, zgłaszania incydentów związanych z bezpieczeństwem, współpracy z władzami krajowymi i unijnymi oraz stosowania minimalnych standardów bezpieczeństwa. Wśród tych standardów znajduje się wymóg zapewnienia odpowiedniego poziomu ochrony danych przechowywanych i przetwarzanych na urządzeniach przenośnych, takich jak dyski USB.

Dlaczego zarządzane urządzenia USB są tak istotne?

Urządzenia przenośne są często używane przez pracowników lub partnerów biznesowych do transportu lub wymiany danych między różnymi lokalizacjami lub systemami. Jednak urządzenia te mogą być narażone na utratę czy kradzież danych, a także włamanie, co może prowadzić do naruszenia poufności, integralności lub dostępności tych danych. Takie naruszenie może mieć poważne konsekwencje dla organizacji czy jej interesariuszy oraz może spowodować m.in. utratę reputacji, narażenie na kary finansowe lub odpowiedzialność cywilną czy kryminalną.

Aby uniknąć takiego ryzyka i spełnić wymagania dyrektywy NIS2, organizacje powinny stosować zarządzane urządzenia USB. Są to specjalne typy dysków USB, które oferują zaawansowane funkcje bezpieczeństwa i zarządzania, takie jak:

• Szyfrowanie sprzętowe – to technika ochrony danych przed nieautoryzowanym dostępem poprzez zastosowanie algorytmów szyfrujących i kluczy przechowywanych wewnątrz urządzenia. Szyfrowanie sprzętowe jest szybsze i bezpieczniejsze niż szyfrowanie oprogramowania – nie obciąża ono procesora komputera i nie jest podatne na ataki typu malware. Szyfrowanie sprzętowe może być realizowane za pomocą różnych standardów, takich jak AES 256-bit w trybie XTS lub CBC.
• Autoryzacja użytkownika – to proces weryfikacji tożsamości użytkownika przed odblokowaniem urządzenia i uzyskaniem dostępu do danych. Autoryzacja użytkownika może być realizowana za pomocą różnych metod, takich jak hasło, kod PIN, odcisk palca lub token sprzętowy. Autoryzacja zapobiega dostępowi do danych przez osoby nieuprawnione lub niepożądane.
• Zdalne zarządzanie – to możliwość monitorowania, konfigurowania i kontrolowania urządzeń USB za pomocą centralnej platformy administracyjnej. Platforma ta pozwala na wykonywanie takich działań jak: aktualizacja oprogramowania, zmiana ustawień bezpieczeństwa, śledzenie lokalizacji, blokowanie lub wymazywanie urządzeń w razie potrzeby. Zdalne zarządzanie umożliwia organizacjom wdrażanie i egzekwowanie polityk bezpieczeństwa na urządzeniach USB oraz reagowanie na incydenty związane z bezpieczeństwem.

Jakie rozwiązania polecamy?

Jednym z producentów oferujących zarządzane urządzenia USB jest DataLocker, firma specjalizująca się w rozwiązaniach do przechowywania i transportu danych wysokiej wartości. DataLocker oferuje szeroką gamę produktów, które spełniają wymagania dyrektywy NIS2, takie jak:

• DataLocker Sentry K300 – to mikro SSD z klawiaturą alfanumeryczną i wyświetlaczem OLED, który umożliwia wprowadzanie hasła bez użycia komputera. Urządzenie obsługuje szyfrowanie AES 256-bit w trybie XTS i oferuje pojemność do 256 GB.
• DataLocker DL4 FE – to przenośny dysk twardy z klawiaturą numeryczną i funkcją samozniszczenia danych po wielokrotnym wprowadzeniu błędnego hasła. Urządzenie obsługuje szyfrowanie AES 256-bit w trybie XTS i oferuje pojemność do 15,3 TB. Urządzenie jest zgodne z normami FIPS 140-2 Level 3.
• DataLocker PortBlocker – to oprogramowanie do blokowania portów USB na komputerach stacjonarnych i przenośnych. Oprogramowanie pozwala na definiowanie polityk dostępu do portów USB na podstawie roli użytkownika, typu urządzenia lub numeru seryjnego urządzenia. Oprogramowanie zapobiega podłączaniu nieautoryzowanych lub niebezpiecznych urządzeń USB do komputera i rejestruje wszystkie próby podłączenia. Oprogramowanie jest zgodne z normami GDPR i HIPAA.
• DataLocker SafeConsole – to platforma do zarządzania zaszyfrowanymi urządzeniami USB, takimi jak dyski SSD, pendrive i wirtualne foldery. Platforma umożliwia administratorom zdalne wdrażanie, konfigurowanie, monitorowanie i audytowanie floty zaszyfrowanych urządzeń USB, a także odblokowywanie znaczących funkcji bezpieczeństwa dla urządzeń kompatybilnych z SafeConsole.

Jeśli jesteś zainteresowany produktami DataLocker, zapraszamy do kontaktu oraz do odwiedzenia naszej strony: Datalocker – EMS Partner

Aby dowiedzieć się więcej o rozwiązaniach DataLocker i ich zgodności z dyrektywą NIS2, zapraszamy do zapoznania się z białą księgą producenta DataLocker: “Jak zapewnić zgodność z dyrektywą NIS2 przy użyciu zarządzanych urządzeń USB”: https://datalocker.com/wp-content/uploads/flipbook/10/book.html.

Autor:
Ignacy Nowakowski 
Product Manager, EMS Partner