กฎหมาย NIS2 ของเบลเยียมอธิบายเรื่องการรักษาความปลอดภัยของข้อมูลประจำตัว

เบลเยียมเป็นประเทศยุโรปประเทศแรกที่จะแปลง NIS2 ให้เป็นกฎหมายระดับชาติในเดือนเมษายน ผ่านทาง “กฎหมาย NIS2”สิ่งนี้ทำให้พวกเขาแตกต่างในเชิงบวกจากเพื่อนบ้านชาวฝรั่งเศส ดัตช์ และเยอรมนี ซึ่งทั้งหมดอยู่ในช่วงปลายของกระบวนการถ่ายโอนเนื่องจากความไม่มั่นคงทางการเมือง

ในขณะเดียวกัน CCB (ศูนย์ความปลอดภัยทางไซเบอร์เบลเยียม) ซึ่งเป็นหน่วยงานท้องถิ่นที่รับผิดชอบในการบังคับใช้การปฏิบัติตาม NIS2 ได้เผยแพร่ เซฟออนเว็บ@เวิร์ค ความคิดริเริ่ม กำหนดกรอบรายละเอียดและเชิงปฏิบัติสำหรับมาตรการทั้งหมดที่กฎหมายกำหนด โดยพิจารณาจากขนาดขององค์กรและภาคส่วนกิจกรรม

หลังจากอ่านคำแนะนำของ CCB แล้ว โพสต์บล็อกนี้จะวิเคราะห์ข้อกำหนดหลักที่เกี่ยวข้องกับ ความปลอดภัยของข้อมูลประจำตัวซึ่งหน่วยงาน “ที่จำเป็น” และ “สำคัญ” ของเบลเยียมทั้งหมดจะต้องนำไปปฏิบัติ นอกจากนี้ เราจะเน้นย้ำถึงวิธีการ Silverfort สามารถช่วยให้องค์กรเหล่านี้ปฏิบัติตามมาตรการเหล่านี้ได้

แนวทางของ CCB ดึงมาจากส่วนใหญ่ กรอบงาน NIST CSFซึ่งระบุฟังก์ชันหลัก 5 ประการสำหรับการรักษาความปลอดภัยของระบบสารสนเทศ ได้แก่ การระบุ การป้องกัน การตรวจจับ การตอบสนอง และการกู้คืน กฎหมาย NIS2 ในประเทศเบลเยียมกำหนดให้มีการลงทุนในแต่ละฟังก์ชันตามสัดส่วนของขนาดและความสำคัญของแต่ละหน่วยงาน นอกจากนี้ เรายังพบการอ้างอิงมาตรฐาน ISO27001 และ ISO27002 จำนวนมากในกรอบงาน Safeonweb@work ซึ่งกำหนดมาตรการที่มีประสิทธิภาพในการออกแบบและเสริมสร้างความปลอดภัยของระบบสารสนเทศ มาตรฐานเหล่านี้ได้รับการยอมรับทั่วโลกและเป็นพื้นฐานที่มั่นคงที่องค์กรใดๆ ก็สามารถสร้างโปรแกรมรักษาความปลอดภัยทางไซเบอร์ได้

การป้องกัน ข้อกำหนดของ NIS2

ฟังก์ชันทั้ง 5 ฟังก์ชันในกรอบงาน NIST แต่ละฟังก์ชันมีส่วนประกอบของข้อมูลประจำตัว อย่างไรก็ตาม ในคำแนะนำของ CCB บทต่างๆ เกี่ยวกับการป้องกันและการตรวจจับมีความเกี่ยวข้องมากที่สุดอย่างชัดเจน บทแรกยังมีส่วนทั้งหมด (PR.AC) ที่อุทิศให้กับการจัดการข้อมูลประจำตัวอีกด้วย การรับรองและการควบคุมการเข้าถึง ผู้เชี่ยวชาญด้านการระบุตัวตนจะพบว่ามีมาตรการหลักที่เกี่ยวข้องกับการรักษาความปลอดภัยไดเรกทอรีและผู้ใช้

ควรเน้นย้ำข้อเท็จจริงที่ว่าในระดับการรับประกัน "พื้นฐาน" ในภาคผนวก A ของเอกสาร Safeonweb@work ซึ่งใช้กับหน่วยงานทั้งหมดที่อยู่ภายใต้ NIS2 ไม่ว่าจะมีขนาดหรือระดับความสำคัญเท่าใดก็ตาม มาตรการ "สำคัญ" มากกว่าครึ่งหนึ่งมาจากส่วนของ PR.AC โดยตรง ดังนั้น จึงยากที่จะเน้นย้ำถึงขอบเขตที่อัตลักษณ์มีความสำคัญต่อกรอบการทำงานของ CCB สำหรับการรักษาความปลอดภัยระบบข้อมูล

ดังนั้นเราจึงพบมาตรการสำคัญเหล่านี้ที่จำเป็นสำหรับทุกหน่วยงานที่อยู่ภายใต้ NIS2:

• การจัดการที่เหมาะสมสำหรับผู้ใช้และข้อมูลประจำตัว ครอบคลุมการจัดเตรียมและการเพิกถอนสิทธิ์การเข้าถึง การตรวจสอบปกติ และความแข็งแกร่ง การรับรอง ในระบบที่สำคัญ และการตรวจจับพฤติกรรมที่น่าสงสัย (PR.AC-1)
• การรักษาความปลอดภัยการเข้าถึงระยะไกลและแอปพลิเคชัน SaaS ด้วย MFA ได้ทุกที่ (ป.อ.ส.-3).
• การดำเนินการ สิทธิพิเศษน้อยที่สุด ในสิทธิในการเข้าถึง โดยเฉพาะระบบที่มีความละเอียดอ่อนหรือสำคัญ และการแยกบัญชีส่วนบุคคลและบัญชีการบริหาร (PR.AC-4)
• ความปลอดภัยของเครือข่ายและการแบ่งส่วนระบบที่สำคัญ (PR.AC-5)

นอกจากนี้ ยังมีการบังคับใช้มาตรการเพิ่มเติมสำหรับหน่วยงานภายใต้ระดับการรับประกัน "สำคัญ" หรือ "จำเป็น" (ในภาคผนวก B และ C) รวมถึงข้อกำหนดเกี่ยวกับการระบุตัวตนและการกำกับดูแลการเข้าถึงระยะไกล (PR.AC-3) การตรวจสอบที่เข้มงวดยิ่งขึ้นสำหรับการเชื่อมต่อและการสื่อสารรอบขอบเขตภายนอกและภายในที่สำคัญ (PR-AC-5) การประเมินความเสี่ยงที่เป็นเอกสาร และการนำการควบคุมการเข้าถึงที่สมดุลกับความเสี่ยงของแต่ละธุรกรรมมาใช้ (PR.AC-7 ในระดับการรับประกัน "จำเป็น" เท่านั้น)

หากพิจารณาอย่างเฉพาะเจาะจงแล้ว มาตรการเหล่านี้บ่งชี้ถึงอะไร คำตอบจะแตกต่างกันไปขึ้นอยู่กับขนาดและระดับความสำคัญของแต่ละหน่วยงาน แต่โดยรวมแล้ว แนวทางของ CCB เป็นแบบปฏิบัติจริง โดยต้องการเพียงเครื่องมือที่มีอยู่ทั่วไปในสภาพแวดล้อมทางธุรกิจอยู่แล้วเท่านั้น (AMI แพลตฟอร์ม ไฟร์วอลล์ MFA) อาจต้องมีการลงทุนเพิ่มเติมสำหรับเอนทิตีสำคัญที่ดำเนินงานระบบเก่า เนื่องจากระบบเหล่านั้นไม่เข้ากันได้กับผลิตภัณฑ์ด้านความปลอดภัยสมัยใหม่ นอกจากนี้ บริษัทที่ล้าหลังเท่านั้นที่จะต้องซื้อเทคโนโลยีใหม่จากมุมมองด้านความปลอดภัยทางไซเบอร์

นอกเหนือจากส่วน PR.AC แล้ว การควบคุมการเข้าถึงยังปรากฏในมาตรการที่ออกแบบมาเพื่อปกป้องข้อมูลที่ไม่ได้ใช้งาน (PR.DS-1) ป้องกันการสูญหาย การใช้ในทางที่ผิด ความเสียหาย หรือการขโมยทรัพย์สินขององค์กร (PR.DS-3) และการรั่วไหลของข้อมูล (PR.DS-5) นอกจากนี้ ยังแนะนำให้มีการตรวจสอบเป็นประจำด้วย Active Directory กล่าวถึงอย่างชัดเจน (PR.DS-5) – เพื่อตรวจจับการกำหนดค่าสิทธิ์ที่ไม่ถูกต้องซึ่งอาจเปิดเส้นทางการโจมตี

สุดท้าย ข้อกำหนดเกี่ยวกับการรักษาความสมบูรณ์ของระบบที่สำคัญ (PR.DS-6) และการบรรเทาความเสี่ยงที่เกี่ยวข้องกับการบำรุงรักษาระยะไกล (PR.MA-2) อาจบ่งชี้ถึงการบันทึกเซสชันสำหรับการเข้าถึงที่มีสิทธิพิเศษ

การตรวจพบ ข้อกำหนดของ NIS2

ฟังก์ชัน “ตรวจจับ” ในโครงการ Safeonweb@work ยังรวมถึงบทความต่างๆ มากมายที่เกี่ยวข้องกับสาขาการระบุตัวตน ไม่น่าแปลกใจที่บทความเหล่านี้สะท้อนคำแนะนำที่ปรากฏในฟังก์ชัน “ป้องกัน” ได้อย่างชัดเจน

การรวบรวมข้อมูลเหตุการณ์ (DE.AE-1 และ 3) ถือเป็นมาตรการสำคัญอันดับแรก โดยให้ความสำคัญเป็นพิเศษกับระบบที่สำคัญ ข้อมูลนี้ควรมาจากหลายแหล่ง รวมถึงการเข้าถึงทางกายภาพและรายงานของผู้ใช้/ผู้ดูแลระบบ

องค์กรต่างๆ ถูกเรียกร้องให้ตรวจสอบระบบสำคัญสำหรับการเชื่อมต่อในพื้นที่ เครือข่าย หรือระยะไกลที่ไม่ได้รับอนุญาต (DE.CM-1) ทั้งจากบุคลากรภายในและผู้ให้บริการภายนอก (DE.CM-3, DE.CM-6 และ DE.CM-7) ความพยายามเหล่านี้หมายความถึงเครื่องมือตรวจสอบในระดับเครือข่ายและจุดสิ้นสุด บางองค์กรอาจแนะนำให้ก้าวไปอีกขั้นด้วยแพลตฟอร์มการป้องกันที่ครอบคลุมซึ่งครอบคลุมจุดเชื่อมต่อและตัวควบคุมโดเมน โดยผสาน EDR เข้ากับ สคท.

โดยรวมแล้วมาตรการเหล่านี้สะท้อนถึงข้อกำหนดที่กำหนดไว้ในฟังก์ชัน “การป้องกัน” ต่อกิจกรรมที่เป็นอันตราย (PR.DM และ PR.MA) ซึ่งออกแบบมาเพื่อบล็อกการรั่วไหลหรือความเสียหายของข้อมูล

ทำอย่างไร Silverfort ขอความช่วยเหลือเกี่ยวกับการปฏิบัติตาม NIS2 หรือไม่?

Silverfort สามารถช่วยปฏิบัติตามข้อกำหนดเหล่านี้ได้มากมาย ในเวลาเพียง 1 เดือน โดยไม่ต้องเปลี่ยนแปลงโครงสร้างพื้นฐานของคุณมากนัก แพลตฟอร์มของเราก็สามารถ:

• ป.ร.ส.-1 :
  • ระบุทั้งหมด บัญชีสิทธิพิเศษ ภายในไดเร็กทอรีต่างๆ ของคุณ
  • ตรวจสอบทั้งหมดของคุณ บัญชีบริการ และบัญชีไฮบริด
  • แยกแยะ ผู้ดูแลระบบเงา
  • ระบุบัญชีที่ใช้ร่วมกัน
  • ระบุบัญชีที่หมดอายุ
  • ระบุบัญชีที่มีรหัสผ่านเก่า
  • ปกป้องการเข้าถึงระบบที่สำคัญ รวมถึงระบบเดิมหรือภายในองค์กรด้วย MFA (เข้ากันได้กับ Microsoft Authenticator, Okta, Ping, Duo, Yubico และอื่นๆ) หรือด้วยนโยบายตามความเสี่ยงแบบไดนามิก

• ป.ร.ส.-3 :
  • แจ้งเตือนหรือบล็อกความพยายามในการเข้าถึงระยะไกลที่น่าสงสัย
  • ป้องกันการเข้าถึงระยะไกล (RDP, SSH), อินเทอร์เฟซบรรทัดคำสั่ง (Powershell, PsExec, WMI) และ SaaS หรือแอปพลิเคชันภายในองค์กรที่มี MFA

• ป.ร.ส.-4 :
  • ระบุและตรวจสอบบัญชีทั่วไปและบัญชีที่ใช้ร่วมกันทั้งหมด
  • ระบุและตรวจสอบการรับรองความถูกต้องทั้งหมดสำหรับการแชร์ไฟล์ เซิร์ฟเวอร์ แอปพลิเคชัน ฐานข้อมูล ฯลฯ แม้ว่าจะอยู่ภายในสถานที่ก็ตาม
  • ระบุและตรวจสอบทั้งหมด บัญชีสิทธิพิเศษรวมถึงผู้ดูแลระบบเงาและผู้ดูแลโดเมน
  • ตรวจจับและ/หรือบล็อกการตรวจสอบสิทธิ์ทั้งหมดที่ละเมิดหลักการแบ่งระดับ (เช่น บัญชีส่วนบุคคลหรืออุปกรณ์สำหรับงานการดูแลระบบหรือในทางกลับกัน)
  • ตรวจจับและ/หรือบล็อกการตรวจสอบสิทธิ์ทั้งหมดที่ละเมิด สิทธิพิเศษน้อยที่สุด
  • กำหนดนโยบายการเข้าถึงแบบมีเงื่อนไขที่ปรับเปลี่ยนได้สำหรับบัญชีและเครื่องมือการดูแลระบบซึ่งคำนึงถึงปัจจัยทางภูมิศาสตร์ เวลา หรือพฤติกรรม
    
    
• ป.ร.ด.ส.-5 :
  • กำหนดนโยบายการเข้าถึงแบบละเอียดสำหรับระบบและแอปพลิเคชันที่สำคัญทั้งหมด แม้แต่ภายในสถานที่
  • ตรวจสอบและบล็อกการเข้าถึงที่เป็นอันตรายทั้งหมดต่อระบบที่สำคัญ รวมถึงภายในสถานที่
  • กรรมการตรวจสอบ Active Directory เพื่อตรวจจับการเพิ่มสิทธิ์และการกำหนดค่าที่ไม่ถูกต้อง

• ป.ร.ด.ส.-7 :
  • บล็อกการตรวจสอบสิทธิ์ที่ละเมิดความสมบูรณ์ของสภาพแวดล้อมการผลิตหรือการทดสอบ
  • จำกัดสิทธิ์ของบัญชีผู้ดูแลระบบให้เฉพาะกับสภาพแวดล้อมหรือแอพพลิเคชั่นที่เฉพาะเจาะจง

• ป.ม.2 :
  • ตรวจสอบและจำกัดสิทธิ์การเข้าถึงของผู้ให้บริการภายนอกไปยังสภาพแวดล้อมหรือแอปพลิเคชันเฉพาะ
  • ปกป้องการเข้าถึงระยะไกลจากผู้ให้บริการภายนอกหรือพันธมิตรด้วย MFA ได้ทุกที่
  • บล็อกความพยายามทั้งหมดในการแฮ็กบัญชีผู้ให้บริการภายนอกหรือพันธมิตรหรือพฤติกรรมที่ผิดปกติใดๆ

• ดี.เออี-1 :
  • บันทึกทั้งหมด Active Directory การรับรองความถูกต้อง รวมถึงแหล่งที่มา ปลายทาง โปรโตคอล และวันที่และเวลา
  • คำนวณคะแนนความเสี่ยงแบบไดนามิกสำหรับทั้งหมด Active Directory บัญชีและการรับรองความถูกต้อง

• ด.ว.ม.1 :
  • ตรวจจับและบล็อกการตรวจสอบสิทธิ์ที่ไม่ได้รับอนุญาตใน Active Directory หรือในไดเร็กทอรีอื่นที่เข้ากันได้ (PAM, รัศมี, Entra ID, โอเคตะ ปิง…).
  • ตรวจจับและแจ้งเตือนเมื่อมีมนุษย์หรือ บัญชีบริการ แสดงพฤติกรรมที่ผิดปกติ
    
    
• ด.ว.ม.7 :
  • ตรวจจับและบล็อกการเข้าถึงระบบสำคัญของบุคลากรที่ไม่ได้รับอนุญาต
  • ตรวจจับและบล็อกการเข้าถึงซอฟต์แวร์ที่ไม่ได้รับอนุญาตไปยังระบบที่สำคัญ

คุ้มที่จะเกินความคาดหวังหรือเปล่า?

บ่อยครั้ง โครงการ Safeonweb@work เสนอมาตรการเพิ่มเติมที่จะช่วยรักษาความปลอดภัยของระบบข้อมูล (ผ่านการใช้คำว่า “พิจารณา”) เป็นประจำ โดยไม่จำเป็นต้องบังคับให้ใช้ นอกจากนี้ โครงการดังกล่าวยังละเว้นมาตรการด้านสุขอนามัยทั่วไปที่หน่วยงานอื่น เช่น ANSSI ในประเทศฝรั่งเศสได้ยืนกรานอย่างแข็งกร้าวยิ่งขึ้น

ในหมวดหมู่นี้ เราสามารถพูดถึงการแบ่งระดับของระบบหรือผู้ใช้ที่สำคัญได้ CCB กำหนดให้ใช้บัญชีแยกกันสำหรับงานส่วนตัวและงานดูแลระบบ (PR.AC-4) เช่นเดียวกับการแบ่งส่วนเครือข่าย (PR.AC-5) แต่ไม่ได้กำหนดให้มีเวิร์กสเตชันเฉพาะ (PAW) หรือระบบปฏิบัติการสำหรับการดำเนินการดูแลระบบ ซึ่งจะช่วยหลีกเลี่ยงการโจมตีบางประเภท เช่น Pass-the-Hash

ตัวอย่างอื่น: CCB แนะนำให้ใช้บัญชีบริการสำหรับกระบวนการอัตโนมัติ (PR.AC-1) อย่างไรก็ตาม ไม่ได้ห้ามผู้ดูแลระบบไม่ให้เรียกใช้งานอัตโนมัติโดยใช้บัญชีของตนเอง และไม่ได้ห้ามใช้บัญชีบริการสำหรับการดำเนินการที่เบี่ยงเบนไปจากจุดประสงค์ที่ตั้งใจไว้

โอกาสเหล่านี้อาจเป็นโอกาสที่พลาดไปสำหรับองค์กรของเบลเยียม โดยเฉพาะอย่างยิ่งหน่วยงาน "ที่จำเป็น" ภายใต้ NIS2 ซึ่งผู้โจมตีในอนาคตอาจใช้ประโยชน์ได้สำเร็จ CCB พยายามชั่งน้ำหนักประโยชน์ด้านความปลอดภัยอย่างชัดเจน และ ทางการเงิน หรือต้นทุนการดำเนินงานที่เกี่ยวข้องกับการตัดสินใจแต่ละครั้งที่ทำ ผลลัพธ์ที่ได้ยังคงแข็งแกร่งและชัดเจนว่าได้ยกระดับมาตรฐานสำหรับองค์กรในท้องถิ่นหลายแห่งซึ่งเคยละเลยมาตรการรักษาความปลอดภัยของตนมาโดยตลอด อย่างไรก็ตาม สิ่งนี้จะไม่ช่วยให้ประเทศปลอดภัยจากการโจมตีทางไซเบอร์ที่ซับซ้อนยิ่งขึ้นซึ่งทวีคูณขึ้นในช่วงไม่กี่ปีที่ผ่านมา

ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการ Silverfort สามารถช่วยคุณจัดการประเด็นด้านความปลอดภัยของข้อมูลประจำตัวของ NIS2 ได้หรือไม่  กำหนดเวลาการโทร กับผู้เชี่ยวชาญของเราหรือกรอกแบบฟอร์มนี้เพื่อ ใบเสนอราคา.