Indenfor kort tid ventes EU at vedtage det sidste af de to nye direktiver, som tilsammen vil have omfattende og særdeles konkrete konsekvenser for mange europæiske og danske koncerner, der løser opgaver af samfundskritisk karaktér.
Nemlig NIS2 og DORA, der står for henholdsvis Network & Information Security version 2 samt Digital Operational Resiliency Act. Fra datoen for hver af direktivernes vedtagelse har de berørte organisationer to år til at efterleve dem. Ellers risikerer ledelsen personligt at skulle svare bøder i millionklassen.
Jørgen Floes, Distinguished Engineer - Security and Resiliency Engineering Leader hos Kyndryl.
Ifølge Jørgen Floes, Distinguished Engineer - Security and Resiliency Engineering Leader hos Kyndryl, vil et stort antal virksomheder få travlt med at kunne leve op til de nye skærpede krav.
”Vi driver IT-systemerne for mange virksomheder, der bliver omfattet af de nye regler. De vil alle have behov for at revurdere deres løsninger med henblik på at sikre fuld compliance med både NIS2 og DORA,” siger Jørgen Floes.
De nye regler vil på længere sigt gøre det nemmere for både Kyndryl og andre aktører at hjælpe virksomhederne hurtigere og mere effektivt i cyberforsvarsmæssig henseende. Samt med at sikre, at de kommer hurtigere igen efter de ødelæggende og ekstremt kostbare angreb, som – alle gode tiltag til trods – undertiden sker.
NIS2 stiller krav til langt flere virksomheder
”Det oprindelige NIS-direktiv stiller krav til cybersikkerheden hos centrale statsinstitutioner og samfundskritiske virksomheder indenfor blandt andet energiforsyning og finans. Men NIS2 kaster nettet bredere ud og omfatter desuden virksomheder indenfor bl.a. renovation, flydrift, logistik, transport og fødevareproduktion,” siger Jørgen Floes.
DORA udvider på sin side de gældende krav til den finansielle sektor. Blandt andet om langt hurtigere end i dag at kunne genoprette driften af samfundskritiske finansielle services efter et omfattende cyberangreb.
Med det overordnede tekniske ansvar for Kyndryls security- og resiliencyløsninger i 57 lande – herunder Norden – har Jørgen Floes fulgt nøje med i det omfattende lovforberedende arbejde og har dybt kendskab til, hvilke krav de nye direktiver kommer til at stille til virksomhederne.
Behov for stærkt øget overvågning af sikkerhedshændelser
”Med NIS2 skal eksempelvis dagligvarekoncerner og transportvirksomheder af en vis størrelse optimere overvågning og cyberbeskyttelse på et niveau, hvor de færreste er i dag. De skal også indberette angreb og hændelser samt dokumentere deres cybersikkerhedsindsats,” forklarer han.
”Det betyder i praksis blandt andet, at de enten selv skal etablere en SOC-funktion (Security Operations Center) eller have adgang til dén service fra en ekstern partner. Samt at de med mellemrum skal gennemgå et simuleret angreb, der kortlægger svagheder i infrastrukturen og lukke de huller, man finder,” tilføjer Jørgen Floes.
Han bemærker, at de fleste koncerner, der omfattes af NIS2, allerede har et cybersikkerhedsberedskab. Men fuld compliance med NIS2 kræver, at langt de fleste opgraderer markant på både overvågnings-, beskyttelses- og dokumentationsfronten.
”Eksempelvis har store dagligvarekæder eller fødevarekoncerner ofte rimeligt godt styr på firewalls og antivirus. Det tager mange angreb i opløbet. Men begrænset eller ikke-eksisterende overvågning gør, at de derimod sjældent opdager angreb, der faktisk går ind, før det er for sent. Ligesom de heller ikke er i stand til løbende at analysere på og lære af potentielt kritiske hændelser,” forklarer Jørgen Floes.
”Men dét kræver NIS2, at de er i stand til i fremtiden. Det er blandt andet her, at en SOC kommer ind i billedet,” bemærker han.
Finanssektoren skal kunne komme langt hurtigere i drift
DORA går skridtet videre ved at udvide kravene til samfundskritiske finansielle virksomheder såsom storbanker og forsikringsselskaber, der allerede skal leve op til kravene i det gældende NIS-direktiv.
Direktivet er fostret på grundlag af erfaringer fra omfattende angreb – som mod eksempelvis Maersk og ISS – hvor det selv med en omfattende og ekstremt kostbar indsats let kan tage fire til seks uger at genetablere kritiske dele af forretningsdriften.
Den lange tidshorisont skyldes blandt andet, at det gerne tager flere uger at rense den samlede infrastruktur for skadelig kode, før man kan indlede en den mindst lige så tidskrævende reetablering af driften.
”Det vurderer man fra EU's side er helt utilstrækkeligt ved angreb mod eksempelvis en storbank, og det giver faktisk god mening. For tænk, hvis millioner af borgere ikke kan betale regninger eller hæve penge i over en måned. Eller hvis hackerne – i værste fald – sletter samtlige informationer om lån, værdipapirer eller konti. Konsekvenserne vil jo være uoverskuelige for de berørte samfund,” konstaterer Jørgen Floes.
Behov for digitale bokse til hurtig reetablering af drift
Derfor kræver DORA, at de finansielle virksomheder kan genetablere både kundedata og kritiske dele af forretningssystemerne på højest en uge. Ligesom man også hvert 3. år skal kunne bestå en ”eksamen” på tilfredsstillende vis.
I praksis indebærer DORA, at finansielle institutioner skal etablere en parallel data ”bankboks” baseret på såkaldt immutable storage, der ikke kan ændres eller slettes. Disse ”bankbokse” skal bl.a. indeholde parallelle kopier af driftsklare kernesystemer samt opdaterede data, man hurtigt kan falde tilbage på i tilfælde af et ødelæggende angreb.
”Det har bankerne ikke i dag, og de bliver ofte chokerede, når de opdager hvor sårbare de egentlig er. I England er man lidt foran på netop dette felt, og her har vi i Kyndryl været med til at gennemføre tests af, hvor hurtigt man kan genetablere driften efter tab af kernesystemerne. Det har været en øjenåbner for samtlige involverede, hvis man skal udtrykke det diplomatisk,” konstaterer han.
”Et meget vigtigt skridt i den rigtige retning”
”Derfor er DORA et meget vigtigt skridt i den rigtige retning mod en reel sikring af, at både cybersikkerhed, beredskab og evnen til at sikre kontinuitet er til stede på alle niveauer i den finansielle sektor. Både organisatorisk og løsningsmæssigt,” siger Jørgen Floes.
Så selv om både NIS2 og DORA med sikkerhed vil opleves som en stor byrde for de virksomheder, der skal leve op til kravene, så vurderer han at de i sidste ende vil komme dem til gavn.
”Direktiverne er et meget vigtigt skridt i den rigtige retning. De sætter helt basalt den nødvendige beskyttelse og resiliens i system, som virksomhederne har en meget klar interesse i at have på plads under alle omstændigheder. Tænk blot på, at det kostede Maersk 280 millioner dollar at rydde op efter Petya-angrebet i 2017; det ville mange andre have svært ved at overleve,” konstaterer Jørgen Floes.
Du kan læse mere om Kyndryl’s løsninger på sikkerhed og resiliency her