重要なインフラへの攻撃は、一般的に北朝鮮やロシアに起因するWannaCryやNotPetyaなどの最近のサイバー攻撃から見てきたように、産業生産に甚大な影響を及ぼし、四半期ごとの利益に甚大な影響を及ぼし、 ドルの
さらに、 大規模なサイバー物理システムを脅かすTRITONのようなサイバー攻撃 – 石油化学混合タンク、タービン、高炉など – は、壊滅的な安全の失敗、環境の損傷、人命の喪失さえ引き起こす可能性があります。 (TRITONは一般的にイランに帰属します)。
重要インフラストラクチャに対する悪意のあるサイバー攻撃の数と高度化により、欧州連合(EU)議員はネットワークと情報セキュリティ(NIS)指令(NISD)を採択しました。 新しい指令では、重要なインフラストラクチャ部門の企業は、ネットワークや情報システムに対する脅威を管理するための特定の技術的および組織的措置を採用する必要があります。
EUの 一般データ保護規制 (GDPR)は、個人データを収集する組織に焦点を当てたプライバシー指令です。 NIS指令 重要なインフラストラクチャサービスの提供者の回復力を強化することに重点を置いています。 特に、NISDは、エネルギー、輸送、銀行・金融、水道、保健セクター、デジタルインフラストラクチャー(ISP、DNSプロバイダーなど)などの重要なインフラストラクチャー部門で「必須サービス」を提供する組織に適用されます。
EU加盟国は、GDPRが発効する数週間前に、今年の5月9日までに指令を国の法律に組み込む必要があり、11月9日までに必須サービスの運営者を特定する必要があります。 まだプロバイダーに対しては、年末までに新しい法律の影響を見ることができます。
GDPRと同様に、NISDは違反に対して相当の金銭的罰則を課す。 例えば、英国では、非遵守企業は1,700万ポンド(GDPRなど)の4%の罰金を科せられます。 オランダの法案によれば、罰金は500万ユーロに達する可能性があります。 他のEU加盟国間でも厳しい罰則が課される可能性が高い 。
NIS指令は、すべてのEU加盟国に適用されます。 各加盟国は罰則と期日を決定する。 さらに、これらのルールは、EU加盟国で事業を行っているEU外の企業にも影響を及ぼします。
興味深いことに、GDPRは、おそらくEUの消費者がオンラインプライバシーを激しく守っているため、NISDよりも多くの宣伝を得ました。 NISDは、電気、水、輸送など、毎日のように重要なインフラストラクチャサービスに対応しているため、NISDは電子メールアドレスや電話番号などの個人情報を保護するよりも、社会の適切な機能にとってはるかに重要です。
米国企業の潜在的な影響
これはEUの指令ですが、米国内の多くの企業が世界中の工場でグローバルな事業を展開しているため、影響を受けることになります。
さらに、この指令は、重要なインフラストラクチャ保護のための「最低限の注意義務基準」を最初に定義したものであり、世界の主要な安全または環境事故の場合、組織は過失および財産的責任を負う可能性があります。 それを避けるための最小限の手順をとっていない。
NIS指令は、米国企業が指令の要件に法的に拘束されていなくても、自発的に検討するべき魅力的な先例を設定します。
重要インフラに対する攻撃が数と重大性を増すにつれて、米国政府が同様の法律を採択する可能性が高まる。 米国の企業は、現在、NIS指令の要件を遵守することによって、新しい規制の混乱を防ぎ、生産資産を保護することができます。
主な技術要件
NIS指令では、影響を受ける必須サービス事業者(OES)とデジタルサービスプロバイダ(DSP)が、他の要件の中でも適切な位置にあることが規定されています。
- アセットの理解と未知のデバイスを識別するメカニズム
- 成熟した脆弱性管理プログラム
- 成熟した脅威検出システム(検知、識別、報告機能を含む)
- 検出から72時間以内にインシデントを記録および報告するシステムを含む効果的なインシデント報告メカニズム
- 成熟したインシデント管理
- 対応計画と復旧計画
重要な組織要件
ガバナンス :組織は、ネットワークと情報システムのセキュリティへのアプローチを管理する適切な管理方針とプロセスを備えていなければなりません。
リスク管理プロセス: 企業は、リスク管理の全体的な組織的アプローチを含む、重要なサービスの提供に関連して、ネットワークおよび情報システムのセキュリティリスクを特定、評価、理解するための適切な措置を講じる必要があります。
サプライチェーン 企業は、第三者サービスが使用される場合に適切な措置が講じられるようにすることを含め、外部サプライヤーに依存するために生じる重要なサービスの提供をサポートするネットワークおよび情報システムのセキュリティリスクを理解し、管理する必要があります。
スタッフの意識と訓練 :従業員とスタッフは、サービスの提供を支援するネットワークや情報システムのセキュリティに関連している場合、適切な意識、知識、スキルを効果的に発揮する必要があります。
結論
NIS指令の完全準拠を達成するには時間がかかるものの、企業が長期的には組織を保護しながら適切な道を歩む時期があります。 NIS指令に対処するには、OT資産管理、脆弱性管理、脅威モデリング、行動異常検出などの最新のセキュリティ管理を組み込んだ多層的なアクティブサイバー防衛戦略が必要です。
Phil Nerayは、産業サイバーセキュリティのVPです サイバーX 。 彼は南アメリカの石油リグでSchlumbergerのエンジニアとして、そしてHydro-Quebecでエンジニアとしてキャリアをスタートさせました。 CyberXより前は、IBM Security / Q1 Labs、Veracode、Symantec、Guardiumなどのエンタープライズ・セキュリティ・リーダーで執行役員を務めました。 彼はクラウドセキュリティ(CCSK)で認定され、アメリカ柔術に第1学位の黒帯を持っています。