Kiểm tra mở port
Tính dung lượng ghi hình
Tính góc quan sát
Trình tạo và Giải mã QR DMSS
Super Password
Kiểm tra bảo hành
Trắc nghiệm CCTV
Tìm kiếm Facebook
NIS2 và an ninh vật lý: Tác động then chốt mà bạn cần biết
Trong quá trình triển khai Chỉ thị NIS2 của EU, người ta đã chú ý nhiều đến những tác động của nó đối với an ninh mạng. Tuy nhiên, có lẽ, tác động đối với an ninh vật lý và chiến lược kiểm soát ra vào của các tổ chức cũng quan trọng không kém. Trên thực tế, NIS2 mở ra một mức độ tập trung mới vào khả năng phục hồi giữa không gian mạng và vật lý – với các hình phạt tiềm tàng đáng kể cho các tổ chức không tuân thủ các yêu cầu của khuôn khổ này.
NIS2 thay thế Chỉ thị NIS ban đầu năm 2016 về An ninh Mạng và Thông tin. Nó thể hiện một sự thắt chặt đáng kể về mặt lập pháp đối với các yêu cầu tối thiểu về an ninh CNTT trong cơ sở hạ tầng quan trọng và mở rộng chúng để bao gồm một số lĩnh vực mới. Ủy ban Châu Âu ước tính rằng khoảng 160.000 tổ chức sẽ bị ảnh hưởng bởi NIS2 ngay lập tức*.
Sự thay đổi quan trọng nhất mà các nhà quản lý an ninh và cơ sở vật chất cần nắm bắt là sự chuyển đổi sang “cách tiếp cận mọi rủi ro” đối với quy định. Trong thực tế, cách tiếp cận này buộc các tổ chức bị ảnh hưởng phải tăng cường các biện pháp an ninh kỹ thuật số của họ bằng các quy trình và thiết bị bổ sung để bảo vệ an ninh cơ sở hạ tầng kỹ thuật số của họ về mặt vật lý. Do đó, khả năng phục hồi giữa không gian mạng và vật lý – và sự hội tụ ngày càng tăng giữa các hoạt động và mục tiêu của các nhóm an ninh mạng và vật lý – trở thành một yếu tố then chốt trong việc ứng phó với sự gia tăng cả về số lượng và mức độ tinh vi của các cuộc tấn công mạng-vật lý hỗn hợp.
NIS2 và an ninh vật lý: Phạm vi, tuân thủ, hình phạt tài chính
Phạm vi tiềm năng của các quy định NIS2 bao gồm một loạt các tổ chức và lĩnh vực được mở rộng hơn nhiều. Bên cạnh các lĩnh vực hạ tầng điển hình như năng lượng và tiện ích, giao thông vận tải, viễn thông, quản lý chất thải, trung tâm dữ liệu, v.v., là một sự hiểu biết rộng hơn về những gì cấu thành cơ sở hạ tầng quốc gia “quan trọng”: chăm sóc sức khỏe (bao gồm cả nghiên cứu), dịch vụ kỹ thuật số và một loạt các doanh nghiệp sản xuất bao gồm thực phẩm, hóa chất, ô tô, v.v. Các tổ chức hoạt động trong bất kỳ lĩnh vực nào trong số này nên tham khảo chỉ thị để xác định xem họ có phải đối mặt với các nghĩa vụ NIS2 hay không.
Một yếu tố quan trọng của các nghĩa vụ mới là cách tiếp cận mọi rủi ro mở rộng, được tham chiếu ở trên. Theo Điều 21 của chỉ thị, các thực thể phải “thực hiện các biện pháp kỹ thuật, hoạt động và tổ chức phù hợp và tương xứng để quản lý rủi ro đối với an ninh của các hệ thống mạng và thông tin […] và để ngăn chặn hoặc giảm thiểu tác động của các sự cố an ninh đối với người nhận dịch vụ của họ và đối với các dịch vụ khác.” Nói cách khác, bất kỳ khu vực nào của một địa điểm mà các tác nhân độc hại có thể có được quyền truy cập vật lý vào cơ sở hạ tầng kỹ thuật số, cho dù đó là thiết bị IoT, thiết bị đầu cuối quản lý truy cập, máy chủ hay bất kỳ thứ gì khác, giờ đây phải có sự bảo vệ thích hợp chống lại các cuộc tấn công kỹ thuật số, vật lý và hỗn hợp. Các thiết bị và giao thức kiểm soát ra vào phải đáp ứng được nhiệm vụ này.
Các hình phạt tiềm tàng đối với việc không tuân thủ NIS2 có thể rất nghiêm trọng. Theo văn bản của chỉ thị, các tổ chức có thể phải đối mặt với các khoản tiền phạt lên tới 10 triệu euro, hoặc 2% doanh thu hàng năm toàn cầu của họ. Do đó, các hệ thống khóa cũ hơn thể hiện một rủi ro trách nhiệm pháp lý lớn đối với nhiều tổ chức.
Tác động của NIS2 đối với quy trình kiểm soát ra vào
Do đó, những tác động của NIS2 đối với an ninh và quản lý cơ sở vật chất – và các hình phạt tài chính tiềm tàng đối với các tổ chức – là rất đáng kể. Cách tiếp cận mọi rủi ro đặc biệt quan trọng ở đây.
Các biện pháp để thực hiện và giám sát các quy trình tuân thủ “mọi rủi ro” bao gồm tinh chỉnh phân tích rủi ro cho các thiết bị kỹ thuật số tại chỗ; các biện pháp an ninh chuỗi cung ứng bao gồm mua sắm và xử lý dữ liệu an toàn hơn; truy cập vật lý cho nhân viên, bao gồm nhân viên và khách; đào tạo về vệ sinh mạng; lập kế hoạch cho tính liên tục của hoạt động kinh doanh trong trường hợp vi phạm; và hơn thế nữa. Các đội an ninh nên khẩn trương đánh giá khả năng phục hồi giữa không gian mạng và vật lý hiện tại của họ để nhanh chóng xác định các lĩnh vực cần các biện pháp hoặc nâng cấp bổ sung.
Quản lý truy cập là một yếu tố then chốt trong nỗ lực tuân thủ NIS2 của bất kỳ tổ chức nào bị ảnh hưởng. Các giải pháp kiểm soát ra vào thông minh có thể đóng góp vào việc cải thiện khả năng phục hồi giữa không gian mạng và vật lý, ví dụ: với khả năng quản lý danh tính nâng cao, khả năng kiểm tra và kiểm soát tòa nhà từ xa suốt ngày đêm. Các thông tin xác thực yêu cầu xác thực lại thường xuyên và/hoặc tự động hết hạn sẽ giảm đáng kể rủi ro về các khóa trái phép đang lưu hành – một lỗ hổng tiềm ẩn khác đối với cơ sở hạ tầng kỹ thuật số.
Các giải pháp kiểm soát ra vào kỹ thuật số từ ASSA ABLOY cho phép bạn bảo mật mọi lớp và có thể đóng góp đáng kể vào việc đạt được sự tuân thủ Chỉ thị NIS2. Chúng giúp bảo vệ các tổ chức và dữ liệu bằng cách cho phép kiểm soát ai đi đâu và khi nào cho từng người dùng, với khả năng hủy thông tin xác thực bị mất ngay lập tức. Chúng hỗ trợ cả kiểm soát ra vào trực tuyến và ngoại tuyến, cải thiện quy trình làm việc thông qua quản lý linh hoạt – cho dù là từ xa hay tại chỗ. Ưu đãi này bao gồm các hệ thống kiểm soát ra vào kỹ thuật số hoặc phần cứng kiểm soát ra vào để nâng cấp các thiết lập hiện có, cung cấp khả năng kiểm soát có thể mở rộng đối với các điểm truy cập trước đây không thể tiếp cận và bảo vệ các lớp bảo vệ từ 1 đến 4. Các giải pháp không dây rất dễ cài đặt và không yêu cầu đi dây hoặc sửa đổi cấu trúc.
Truy cập vật lý thường được coi là một trong những cửa hậu lớn nhất cho tội phạm mạng trong kỷ nguyên các cuộc tấn công hỗn hợp ngày càng gia tăng. Việc đóng nó bằng các cải tiến kiểm soát ra vào kỹ thuật số sẽ đảm bảo các nghĩa vụ NIS2 được đáp ứng – và giải phóng những người ra quyết định về an ninh khỏi những lo lắng về tuân thủ.
Các chuyên gia của ASSA ABLOY sẵn sàng hướng dẫn bạn thông qua các tính năng và lợi ích cụ thể phù hợp với các yêu cầu của chỉ thị và tăng cường khuôn khổ an ninh mạng-vật lý của tổ chức bạn.
David Moser là Phó Chủ tịch cấp cao và Giám đốc Giải pháp Kỹ thuật số & Kiểm soát ra vào tại ASSA ABLOY Opening Solutions EMEIA.
