Ako sa budú riešiť bezpečnostné incidenty podľa novej smernice NIS2 a akú úlohu hrá CSIRT pri ich riešení?
Na úvod je potrebné si zadefinovať tri základné pojmy podľa NIS2 – incident, bezpečnostný incident a tzv. CSIRT.
- Podľa návrhu smernice NIS2 je incident akákoľvek udalosť, ktorá ohrozuje dostupnosť, autentickosť, integritu alebo dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb ponúkaných sieťovými a informačnými systémami alebo prístupných prostredníctvom nich.
- Riešenie incidentu znamená všetky činnosti a postupy zamerané na odhalenie, analýzu, kontrolu a reakciu na incident.
- Skratkou CSIRT sa označujú tímy reakcie na počítačové bezpečnostné incidenty (z anglického Computer security incident response teams).
CSIRT je skupina IT profesionálov, ktorí poskytujú organizácii služby a podporu v súvislosti s hodnotením, riadením a prevenciou núdzových situácií súvisiacich s kybernetickou bezpečnosťou, ako aj koordináciou úsilia v oblasti reakcie na incidenty. Hlavným cieľom CSIRT je rýchlo a efektívne reagovať na bezpečnostné incidenty počítačov, a tak znovu získať kontrolu a minimalizovať škody. CSIRT máme už pár rokov aj na Slovensku.
Smernica NIS 2 hovorí, že organizácie patriace do jedného z dvoch režimov (základný a dôležitý) sú povinné hlásiť také incidenty, ktoré majú na subjekt významný vplyv, pričom uvádza základné body, ako významný incident spoznať:
- incident spôsobil alebo môže spôsobiť vážne prevádzkové narušenie služby alebo finančné straty pre príslušný subjekt, alebo
- incident ovplyvnil alebo môže ovplyvniť iné fyzické alebo právnické osoby, spôsobuje značné materiálne i nemateriálne straty.
Povinnosť oznámiť kybernetické a bezpečnostné incidenty je zadefinovaná aj v NIS2. Smernica požaduje, aby všetky subjekty, bez ohľadu na to, či patria do režimu „essential“ alebo „important“, povinne oznamovali stanovenému tímu CSIRT incident bez zbytočného omeškania, najneskôr do 24 hodín od jeho zistenia. Okrem povinných hlásení počíta smernica NIS2 s dobrovoľným hlásením nielen incidentov, ale aj kybernetických bezpečnostných udalostí a významných kybernetických hrozieb. Incidentom a ich riešeniu incidentov má subjektom - prevádzkovateľom - významne pomôcť funkcia manažéra kybernetickej bezpečnosti, ktorý je podľa aktuálne platnej Smernice (NIS) povinnou funkciou len pre prevádzkovateľov základnej služby. Zatiaľ nevieme, či bude funkcia manažéra kybernetickej bezpečnosti povinná aj v NIS2 a v oboch režimoch, avšak vzhľadom na dostupné informácie to môžeme očakávať.
