SIEM jako nástroj nejen ke splnění legislativních požadavků NIS2 a ZoKB

Směrnice NIS2 nahrazuje původní směrnici NIS z roku 2016, přináší řadu nových požadavků a povinností pro organizace, včetně poskytovatelů regulovaných služeb.

O NIS2 se začalo významněji mluvit už v první polovině minulého roku a její finální znění bylo schváleno Radou EU 27. prosince 2022. V České republice je zavedení nových povinností plánováno nejpozději na 16. října 2024.

Nařízení se týká středních a větších podniků, tzn. těch s 50 a více zaměstnanci, nebo ročním obratem minimálně 10 milionů eur, nebo bilanční sumou roční rozvahy alespoň 10 milionů eur. Má se za to, že požadavky související s implementací NIS2 se v první fázi dotknou nejméně 6 000 firem, v dalších vlnách může jít až o desítky tisíc společností.

V době stále se zvětšujících kybernetických hrozeb představují opatření kybernetické bezpečnosti klíčový aspekt pro organizace všech velikostí a typů. V úsilí o zajištění kybernetické bezpečnosti se stává stále důležitějším nástrojem management bezpečnostních informací a událostí - Security Information and Event Management - SIEM.

SIEM představuje klíčový nástroj pro zajištění bezpečnosti IT infrastruktury organizací. Díky schopnosti analyzovat bezpečnostní upozornění v reálném čase a zpracovávat logy z různých zdrojů, jako jsou servery, firewally, aplikace, databáze či koncová zařízení, umožňuje efektivně detekovat potenciální hrozby a reagovat na ně. Navíc poskytuje automaticky generované statistiky a reporty, které usnadňují správu a optimalizaci firemní IT infrastruktury.

V souvislosti s NIS2 se význam SIEM ještě zvýrazňuje. Směrnice klade na organizace vyšší požadavky v oblasti správy a kontroly jejich kybernetické bezpečnosti, zejména pokud jde o subjekty, které jsou označeny jako „základní – essential“ nebo „důležité – important“. Tyto organizace jsou nyní povinny provádět preventivní kroky k posílení své kybernetické bezpečnosti a reagovat na incidenty, což je oblast, v níž SIEM doslova exceluje.

Kromě toho, že patří mezi klíčové nástroje kybernetické bezpečnosti, protože umožňuje automatické monitorování, korelaci a vyhodnocování bezpečnostních událostí v reálném čase a vytváření reportů, poskytuje SIEM také centrální přehled nad celou IT infrastrukturou organizace, což usnadňuje včasnou detekci a eliminaci rizik i minimalizaci jejich dopadu na chod subjektu.

„Díky automatizovanému sledování a reportování známých incidentů a anomálií lze rychle reagovat a prioritizovat řešení jednotlivých incidentů. Tato časová úspora umožňuje proaktivní identifikaci potenciálních hrozeb a posilování pružnosti IT infrastruktury,“ uvedl Aleš Teska, spoluzakladatel a CEO české technologické a vývojářské firmy TeskaLabs.

Kybernetické útoky představují stále závažnější hrozbu pro firmy i jednotlivce. Robustní ochrana by dnes měla být naprostou samozřejmostí pro všechny organizace, které nakládají s citlivými daty, ať už jde o osobní údaje, finanční informace či výrobní postupy. Tato problematika se pak netýká pouze oblasti kritické infrastruktury. „Nedostatečné zabezpečení může vést k ztrátě zásadních dat společností, ať už jde o výrobní, finanční dokumentaci, klientské databáze či další citlivé informace. Toto může mít za následek nejen odchod zákazníků, ale i značné ekonomické škody. Nová pravidla bezpečnosti by měla být vnímána především jako přínos pro organizace i jejich zákazníky, nikoli jako další byrokratická a ekonomická zátěž,“ doplnil Teska.

Implementace a správné využití SIEM můžeme vnímat jako jednu z klíčových součástí strategie kybernetické bezpečnosti také ve směrnici NIS2. SIEM totiž nejen pomáhá organizacím splnit její požadavky, ale poskytuje i proaktivní nástroje pro zvyšování celkové úrovně kybernetické bezpečnosti, což je v souladu s jejími cíli.

Jak přispívá SIEM ke splnění požadavků směrnice NIS2 (soulad s legislativou):

SIEM efektivně snižuje rizika spojená s kybernetickými hrozbami tím, že nabízí nástroje pro detekci, analýzu a adekvátní reakci na potenciální hrozby. V souladu s požadavky NIS2, aby dotčené subjekty disponovaly adekvátními bezpečnostními opatřeními a schopností reagovat na incidenty, přispívá k tomuto cíli poskytováním nástrojů pro monitorování a reakci na hrozby.

SIEM také automaticky generuje hlášení o bezpečnostních incidentech, čímž naplňuje nároky NIS2 na existenci adekvátních procesů pro hlášení těchto událostí. Díky rychlé detekci a reakci na incidenty, které umožňuje, pomáhá minimalizovat dopady bezpečnostních incidentů a tím splnit požadavky NIS2 na řízení a minimalizaci rizik.

V souladu s požadavky NIS2 na pravidelné hodnocení rizik poskytuje SIEM data a analýzy potřebné pro efektivní hodnocení rizik, stejně jako centralizovaný přehled o celé IT infrastruktuře organizace. To umožňuje lepší koordinaci a komunikaci mezi různými odděleními a týmy, což napomáhá splnění požadavků NIS2 na efektivní řízení kybernetické bezpečnosti na úrovni celé organizace. Usnadňuje i splnění požadavků NIS2 na prevenci a odolnost proti kybernetickým hrozbám tím, že zajišťuje kontinuální sledování IT infrastruktury a detekci anomálií. To umožňuje včasné identifikování slabých míst a potenciálních hrozeb.

SIEM pomáhá splnit požadavek NIS2 na vytváření a udržování aktualizovaných bezpečnostních politik a postupů tak, že poskytuje důležitá data a informace o bezpečnostních incidentech, která mohou být použita pro zlepšení stávajících bezpečnostních opatření. Podporuje spolupráci mezi organizacemi a národními i mezinárodními orgány, která je vyžadována směrnicí NIS2 tím, že poskytuje platformu pro sdílení informací o hrozbách a incidentech, což zlepšuje celkovou kybernetickou bezpečnost a odolnost. „SIEM rovněž usnadňuje splnění požadavků NIS2 na pravidelné školení a osvětu v oblasti kybernetické bezpečnosti, protože poskytuje užitečné informace a analýzy, které mohou být začleněny do školicích programů a osvětových aktivit zaměřených na zvyšování povědomí o kybernetických hrozbách a nejlepších postupech pro jejich řešení,“ uzavřel Aleš Teska.