SIEM ja NIS2
Matias Louanto, Tietoturvaratkaisut, Kaita Finland
Miten lokienhallinta auttaa noudattamaan NIS 2 -direktiiviä?
NIS2 -direktiivi pyrkii parantamaan jäsenmaiden kyberturvallisuutta yhtenäistämällä kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita tärkeillä ja keskeisillä toimialoilla.
NIS2-direktiivi on tärkeä askel kohti turvallisempaa digitaalista ympäristöä Euroopassa. Suomessa NIS2-direktiivi viedään osaksi lainsäädäntöä syksyllä 2024.
NIS2 kasvattaa direktiivin piiriin kuuluvien organisaatioiden määrää kahdella tavalla
Toimitusketjut ovat tiiviisti mukana NIS2 piirissä. Vaikka yritys ei varsinaisesti kuuluisi NIS2 alaisiin toimialoihin, toimitusketjujen turvaaminen ja NIS2 vaatimukset ”valuvat” toimitusketjussa alaspäin sillä vastuuta tietoturvan hallinnasta ei voi täysin ulkoistaa. On välttämätöntä, että organisaatiot huolehtivat oman tietoturvansa lisäksi myös koko toimitusketjunsa turvallisuudesta.
NIS2-direktiivi laajentaa NIS1:n velvoittamien “kriittisten toimialojen” joukkoa velvoittaen jatkossa myös “tärkeiden toimialojen” organisaatioita.
Kriittiset toimialat: energia, kuljetus, pankki- ja finanssimarkkinat, terveydenhuolto, juomavesi ja jätevesi, digitaalinen infrastruktuuri, ICT-palveluiden hallinta, julkishallinto & avaruusteollisuus. | Tärkeät toimialat: posti- ja muut kuljetuspalvelut, jätehuolto, valmistava teollisuus, kemianteollisuus ja –jakelu, ruoantuotanto, -prosessointi ja –jakelu, digitaaliset palvelut ja niiden tuotanto & tutkimuslaitokset. |
SIEM eli lokienhallinta on jatkossa välttämättömyys
SIEM:llä on keskeinen rooli NIS 2 -direktiivin noudattamisessa. Se mahdollistaa tapahtumien havaitsemisen, reagoinnin, forensiikan ja vaatimustenmukaisuusraportoinnin.
Direktiivin artikla 21, Kyberturvallisuuden riskinhallintatoimenpiteet, velvoittaa organisaatioita erilaisiin toimenpiteisiin.
Tapahtuman havaitseminen ja reagointi. Tietoturvahäiriöt on havaittava ja niihin on reagoitava nopeasti. Lokienhallinta kerää ja analysoi lokeja tunnistaakseen epäilyttävät toiminnot. Tämä mahdollistaa nopean reagoinnin tietoturvahäiriöihin.
Forensiikka-analyysi. Tietoturvahäiriöiden vaikutukset on arvioitava ja syyt tunnistettava. Lokienhallinta tarjoaa yksityiskohtaiset lokit rikosteknistä analysointia varten. Tämä auttaa tapausten tutkinnassa ja reagoinnissa.
Vaatimustenmukaisuusraportointi. Lokienhallinta kerää ja tallentaa lokeja kirjausketjuja ja viranomaisraportointia varten, mikä osoittaa asianmukaista huolellisuutta kyberturvallisuusriskien hallinnassa. Yhteisöjen on osoitettava noudattavansa kyberturvallisuuden riskinhallintatoimenpiteitä.
Käyttäjien toiminnan seuranta. Käyttäjien toimintaa on valvottava, jotta voidaan havaita sisäpiiriuhat ja käytäntörikkomukset. Lokienhallinta seuraa käyttäjien käyttäytymistä lokien avulla.
Anomalian havaitseminen. Epänormaalit mallit tai poikkeamat normaalista käyttäytymisestä on tunnistettava ennakoivasti. Lokienhallinta käyttää poikkeamien havaitsemista mahdollisten tietoturvauhkien havaitsemiseen ja niiden vaikutuksen minimoimiseen.
Kulunvalvonta ja etuoikeutettujen käyttäjien valvonta. Lokienhallinta valvoo pääsytapahtumia ja etuoikeutettujen käyttäjien toimintoja, noudattaa vähiten etuoikeuksia koskevia periaatteita ja vähentää tietoturvariskejä.
Konfiguroinnin ja muutosten hallinta. Lokienhallinta seuraa kokoonpanomuutoksia ja poikkeamia, varmistaa suojauskäytäntöjen noudattamisen ja vähentää luvattomiin muutoksiin liittyviä riskejä valvoen IT- infrastruktuurin eheyttä ja turvallisuutta.
Direktiivin noudattamatta jättämisestä on myös seuraamuksia
Sekä ei-rahallisia, taloudellisia että rikosoikeudellisia. Ei-rahallisia seuraamuksia ovat mm. määräykset sekä ohjeistukset, hallinnolliset sakot ovat jopa 1,4-2% liikevaihdosta.
NIS2-direktiivi tulee osaksi lainsäädäntöä 18.10.2024
Lokakuussa 2024 toiminnan tulee olla direktiivin asettamien vaatimusten tasolla. Nopea aikataulu ja laajeneminen koskemaan huomattavasti suurempaa määrää organisaatiota tulee todennäköisesti yllättämään monet.
On hyvä muistaa, että NIS2-direktiivi ei koske pelkästään suuria yrityksiä, vaan myös pienempien organisaatioiden on otettava se huomioon.
Valmistautuminen kannattaa siis aloittaa heti.
Voimme auttaa tarkastelemaan, miten edellä mainitut velvoitteet saatetaan vaaditulle tasolle.
Kaita SIEM ja SOC Palveluista lisää täällä >>
Lisätietoja: matias.louanto@kaita.fi.