NIS2 i AWS — Nowa Era Cyberbezpieczeństwa w Europie
ENG version here
W obliczu rosnących wyzwań w dziedzinie cyberbezpieczeństwa, Unia Europejska wprowadziła dyrektywę NIS2, mającą na celu wzmocnienie odporności i zdolności do reagowania na incydenty w sektorach publicznym i prywatnym. Dokument “NIS2 Considerations for AWS Customers” rzuca światło na kluczowe aspekty, które, jako użytkownicy usług Amazon Web Services (AWS), powinniśmy rozważyć w kontekście tych nowych regulacji.
Co to jest NIS2?
Dyrektywa NIS2, będąca następcą Dyrektywy NIS z 2016 roku, wprowadza szereg zaostrzonych wymagań dotyczących bezpieczeństwa oraz zgłaszania incydentów cybernetycznych. Skupia się na kluczowych sektorach, takich jak energetyka, transport, zdrowie, bankowość czy infrastruktura cyfrowa. Celem NIS2 jest ujednolicenie praktyk w zakresie cyberbezpieczeństwa w krajach członkowskich i poprawę odporności oraz zdolności do reagowania na incydenty w sektorach ważnych i istotnych (zobacz Załączniki I i II NIS2). Państwa członkowskie mają 21 miesięcy (do 17 października 2024) na wdrożenie przepisów NIS2 do prawa krajowego.
Model Współodpowiedzialności AWS i NIS2
Model współodpowiedzialności AWS podkreśla, że bezpieczeństwo w chmurze jest wspólnym zadaniem AWS i jego klientów. AWS zapewnia bezpieczeństwo infrastruktury chmurowej, natomiast klienci są odpowiedzialni za ochronę swoich danych i aplikacji. W kontekście NIS2, współpraca ta staje się jeszcze ważniejsza.
Dostosowanie do NIS2
Dokument wskazuje, że AWS oferuje szereg usług i narzędzi, które wspierają klientów w dostosowaniu się do wymogów NIS2. Obejmuje to między innymi zarządzanie ryzykiem cybernetycznym, obsługę incydentów bezpieczeństwa, ciągłość działania i zarządzanie kryzysowe, a także zabezpieczenie łańcucha dostaw.
Kluczowe Obszary Wsparcia AWS:
- Narzędzia do klasyfikacji kontroli jako prewencyjne, detekcyjne lub korygujące. Przykłady obejmują AWS IAM do zarządzania autoryzacją, zapewniając kontrolę nad dostępem do zasobów i operacji. AWS CloudTrail do śledzenia działań użytkowników i zdarzeń API oraz AWS Config umożliwiający monitorowanie zmian konfiguracji, co jest kluczowe dla skutecznego zarządzania ryzykiem.
- Customer Incident Response Team (CIRT) zapewnia wsparcie 24/7 podczas aktywnych zdarzeń bezpieczeństwa. Narzędzia takie jak AWS CloudTrail rejestrują wywołania API, umożliwiając analizę i reakcję na incydenty. AWS Security Hub integruje różne źródła danych bezpieczeństwa, dostarczając jednolity widok stanu bezpieczeństwa w środowisku AWS klienta.
- Odporność operacyjna zapewniona poprzez redundancję i izolację awarii w infrastrukturze globalnej. Klienci AWS mogą korzystać z wielu stref dostępności (Availability Zones) i regionów, co zwiększa odporność na awarie lokalne i zapewnia ciągłość działania usług.
- Istnieje możliwość zarządzania podwykonawcami i dostawcami poprzez AWS Data Processing Addendum (AWS DPA), który oferuje transparentność i kontrole bezpieczeństwa w całym łańcuchu dostaw.
- Bezpieczne środowisko do rozwijania i utrzymania aplikacji i usług w chmurze obejmuje zarządzanie patchami, kontrolę konfiguracji oraz wykorzystanie bezpiecznych obrazów maszyn wirtualnych i kontenerów.
- Usługi i narzędzia kryptograficzne, w tym AWS Key Management Service (KMS) do zarządzania kluczami kryptograficznymi i szyfrowania danych w spoczynku, a także opcje szyfrowania danych w transmisji, takie jak TLS.
- Programy szkoleniowe i zasoby edukacyjne pomagające zwiększyć świadomość i umiejętności użytkowników w zakresie cyberbezpieczeństwa. To obejmuje AWS Security Awareness Training, AWS re/Start, AWS Skill Builder, a także różne przewodniki i dokumenty jak whitepapers.
Dyrektywa NIS2 stanowi istotne wyzwanie dla użytkowników AWS,
ale jednocześnie oferuje możliwość wzmocnienia ich systemów bezpieczeństwa i odporności. AWS, jako czołowy dostawca usług chmurowych, dostarcza narzędzia i wsparcie, które pomagają klientom w dostosowaniu się do nowych wymogów, jednocześnie podkreślając ich własną odpowiedzialność za ochronę danych i aplikacji. Współpraca między nimi w kontekście NIS2 ma kluczowe znaczenie dla zwiększenia ogólnego poziomu cyberbezpieczeństwa w Europie.
