«Легче обмануть человека, чем взломать хорошо настроенную систему». ЕС усиливает кибербезопасность

Обратите внимание: материал опубликован 1 год назад

Кибербезопасность если и не превыше всего, то точно на одном из главных мест по важности в повестке дня Европейского союза. В этом году все страны ЕС должны начать внедрение директивы NIS2. Она выдвигает более суровые требования к кибербезопасности для крупных компаний в ключевых для народного хозяйства отраслях. А также вводит существенные штрафы для тех, кто эти требования не соблюдает. Максимальное наказание для крупных компаний – 10 млн евро. Подробнее о директиве, которая по всему ЕС должна заработать через год, рассказал эксперт по IT технологиям Эгил Рупенхейтс в программе «Новый день».

«Эта директива создана для того, чтобы обеспечить единую и достаточную основу для кибербезопасности в определённых сферах. Например, в энергетике, в секторе транспорта, в банковской отрасли и других. 

Это связано с тем, что в последнее время происходит всё больше и больше кибератак в Латвии и вообще в мире. Директива обязывает организации определить ответственных лиц за безопасность, определить главные принципы кибербезопасности, а также на государственном уровне определяются те структуры, которые смогут проверять исполнение этих правил.

Например – национальный центр кибербезопасности и Бюро по защите Сатверсме. У них будут право обязать устранить нарушения, проводить аудиты и даже приостанавливать деятельность IT-систем и ресурсов», - рассказал Рупенхейтс.

Комментируя основные принципы, которые должны быть введены вместе с директивой, специалист отметил, что во-первых, должен быть ответственный за кибербезопасность. Во-вторых, соблюдение ее минимальных правил, введение плана по управлению рисками и непрерывности деятельности.  И, конечно, необходимость сообщать обо всех киберинцидентах, что станет обязательным условием. До сих пор частные предприятия могут сами выбирать – о каких инцидентах сообщать, о каких нет. Эта директива четко обозначает важные секторы, в которых оповещение об инцидентах будет обязательным.  В противном случае применяются санкции.

«По сути, уже сейчас на предприятиях должно быть ответственное за кибербезопасность лицо. Ну, конечно, если фирма, например, занимается тем, что рубит дрова в лесу, то там не нужен специалист по киберугрозам.

Но если у предприятия есть киберинфраструктура, IT-системы, то и сейчас должен быть специалист. В государственном секторе это уже происходит. В частном – трудно судить. Это выбор каждого отдельного предприятия».

Рупенхейтс привел примеры типов атак, с которыми поможет бороться директива:

«Эта директива поможет предотвратить атаки, а также понять масштаб атаки.  Даже если она не удалась – важно знать о том, что она была. Откуда она была сделана, впервые ли происходит. Государственный сектор чаще всего подвергается DDoS-атакам. Но отдельные люди, в том числе и работники этих предприятий, также подвергаются атакам.

Самый популярный канал – электронная почта. Когда рассылаются документы с вирусами, открыв которые можно заразить компьютеры, работающие в этом предприятии. Вирусы, которые блокируют работу компьютера, и чтобы его разблокировать – нужно платить выкуп. 

Рассылаются письма с попытками получения данных пользователя или с попытками выманить у него деньги. Всегда человек – самое слабое звено. Гораздо легче обмануть человека, чем взломать систему, которая хорошо настроена».

Заметили ошибку? Сообщите нам о ней!

Пожалуйста, выделите в тексте соответствующий фрагмент и нажмите Ctrl+Enter.

Пожалуйста, выделите в тексте соответствующий фрагмент и нажмите Сообщить об ошибке.

По теме

Еще видео

Еще

Самое важное