Ustawa o bezpieczeństwie IT - zobowiązanie do kompleksowego zabezpieczenia Technologii Informatycznej
Druga ustawa o zwiększeniu bezpieczeństwa systemów technologii informatycznych obowiązuje w Niemczech od niemal roku. Znana jest również pod nazwą IT-SiG 2.0. Stanowi uzupełnienie pierwszej ustawy o bezpieczeństwie IT, która weszła w życie w 2015 roku – już wtedy Federalny Urząd Bezpieczeństwa Informacji (BSI) sformułował nadrzędny cel, aby ustawa przyczyniła się do „uczynienia niemieckich systemów IT i infrastruktury cyfrowej najbezpieczniejszymi na świecie“.
IT-SiG 2.0 nie zastępuje w żaden sposób dotychczasowych regulacji, ale m.in. rozszerza zarówno kompetencje BSI, obejmuje zakres rozporządzenia o infrastrukturze krytycznej (CRITIS) oraz obowiązki dla jej operatorów.
W Niemczech za infrastrukturę krytyczną uznawane są następujące sektory:
- Energia (energia elektryczna, elektrownie jądrowe, olej mineralny, gaz);
- Finanse (banki, firmy ubezpieczeniowe, dostawcy usług finansowych, giełdy);
- Substancje niebezpieczne (substancje chemiczne i biologiczne, transport towarów niebezpiecznych, przemysł obronny);
- Technologie informacyjne i telekomunikacja;
- Instytucje rządowe (władze publiczne, administracja i sądownictwo);
- Transport (lotnictwo, żegluga morska, kolej, transport masowy, żegluga śródlądowa, drogi, usługi pocztowe);
- Usługi publiczne (zdrowie, służby ratownicze, zarządzanie kryzysowe, zaopatrzenie w żywność i wodę, usuwanie odpadów);
- Inne (media, główne obiekty badawcze, a także budynki ważne lub symboliczne, dobra kultury).
Prawny obowiązek zgłaszania incydentów bezpieczeństwa IT
Jeszcze w wersji 1.0 ustawy pojawiła się jedna z ważniejszych nowelizacji – obowiązek zgłaszania incydentów dotyczących bezpieczeństwa IT. W Niemczech wówczas istniała możliwość dobrowolnego zawiadomienia o tego typu incydencie w ramach Alliance for Cyber Security, ale dopiero po wprowadzeniu ustawy stało się to wymogiem prawnym.
Ponadto firmy należące do sektora CRITIS zostały zobowiązane do zwiększenia ochrony swoich systemów IT przed atakami cyfrowymi. Jednak ich działanie jest możliwe wyłącznie przy zastosowaniu kompleksowych rozwiązań. Wdrożenie jedynie firewalla, skanerów antywirusowych i innych rozwiązań zabezpieczających nie wystarczy, aby spełnić surowe wymagania obecnych przepisów dotyczących bezpieczeństwa informatycznego. Firmy muszą zapewnić, że całe ich środowisko IT jest regularnie aktualizowane - poprzez stosowanie łatek, hotfixów i ważnych aktualizacji. Dodatkowo przedsiębiorstwa muszą wyczulić swoich pracowników w temacie bezpieczeństwa IT i ochrony przed zewnętrznymi cyberatakami. Przede wszystkim prawo wymusza na firmach będących częścią krytycznej infrastruktury rzeczywiste uwzględnienie wszystkich aspektów w swojej strategii bezpieczeństwa informatycznego.
Automatyzacja zadań związanych z bezpieczeństwem za pomocą UEM
Kompleksowa ochrona środowiska informatycznego jest również priorytetem firmy baramundi. Pakiet baramundi Management Suite został opracowany w celu optymalnego zarządzania infrastrukturą IT: Każde stanowisko pracy w firmie wymaga odpowiedniego zabezpieczenia, aby nie ograniczać produktywności pracowników. Rozwiązanie UEM (Unified Endpoint Management), takie jak bMS, w ramach administracyjnego procesu umożliwia przygotowanie sprzętu nowych pracowników, jak również przeprowadzenie offboardingu. Ujednolicone zarządzanie punktami końcowymi (UEM) może być również wykorzystane do szczegółowego monitorowania nowo wdrożonego oprogramowania, dzięki czemu administratorzy zawsze dokładnie wiedzą, która wersja oprogramowania jest uruchomiona na jakim systemie i u jakich klientów.
Przejrzystość od A do Z dla bezpieczeństwa zgodnego z wytycznymi
Dzięki rozwiązaniom UEM oprócz inwentaryzacji można łatwo zautomatyzować rutynowe zadania, jak dystrybucja nowego oprogramowania oraz implementacja poszczególnych jego pakietów dla konkretnych użytkowników lub działów.
Zespoły IT dzięki dokładnej i przejrzystej platformie do zarządzania urządzeniami zawsze wiedzą, kiedy należy zainstalować aktualizacje na poszczególnych systemach w celu usunięcia nowo odkrytej luki w zabezpieczeniach. Automatyzacja pomaga określić administratorom, kiedy te aktualizacje powinny zostać przeprowadzone. Jeżeli luka jest krytyczna, może być konieczne, aby hotfix został zainstalowany natychmiast po uruchomieniu komputera. Dział IT ma możliwość elastycznego ustalenia ram czasowych np. 24 godziny do momentu atomatycznego zainstalowania aktualizacji.
To pokazuje, jak ważne jest kompleksowe podejście podczas wdrażania strategii bezpieczeństwa IT, niezależnie czy firma świadczy usługi w ramach infratruktury krytycznej. W końcu każda, nawet najmniejsza luka w zabezpieczeniach może stanowić furtkę dla cyberprzestępców i zagrażać informatycznemu bezpieczeństwu przedsiębiorstwa, a nawet jego dalszej działalności.