Polska ma wdrożyć regulacje zawarte w dyrektywie NIS 2 do swojego porządku prawnego do 17 października br. Przedsiębiorstwa działające w branżach objętych regulacjami muszą m.in. prowadzić analizę ryzyka wystąpienia incydentów naruszenia bezpieczeństwa oraz odpowiednio reagować na nie. Jak wskazują eksperci Sophos, nowe regulacje są konieczne, ponieważ branże zaliczone w dyrektywie do kluczowych dla funkcjonowania państwa wciąż są atakowane z użyciem oprogramowania ransomware.
NIS 2 rozszerza przepisy obowiązującej od 2016 roku dyrektywy NIS, która powstała w celu ujednolicenia zasad zapewniania cyberbezpieczeństwa w Unii Europejskiej. Nowy akt zwiększa liczbę podmiotów, które mają mu podlegać i wprowadza klasyfikację na branże kluczowe oraz ważne dla funkcjonowania państwa. W pierwszej grupie znajdują się m.in. energetyka, transport, bankowość, ochrona zdrowia czy administracja publiczna. Podmioty o niższym stopniu krytyczności to m.in. firmy zarządzające odpadami, produkcyjne, dostawcy usług cyfrowych, pocztowych i kurierskich. Zgodnie z szacunkami, NIS 2 w Polsce obejmie nawet kilkanaście tysięcy przedsiębiorstw.
– Stosowanie przepisów NIS 2 ma poprawić bezpieczeństwo przedsiębiorstw kluczowych dla funkcjonowania państwa. Jak wskazują badania, podmioty z branż podlegających przepisom NIS 2, w tym administracji publicznej, ochrony zdrowia czy usług finansowych, wciąż są atakowane przy użyciu ransomware. Dlatego zmiany, które wprowadza nowa dyrektywa, są krokiem w dobrą stronę, ponieważ jednostki objęte nowymi przepisami potrzebują lepszej i ujednoliconej ochrony – tłumaczy Chester Wisniewski, dyrektor ds. technologii w Sophos.
Administracja publiczna może czuć się bezpiecznie?
Jedną z branż uznanych w dyrektywie NIS 2 za kluczową jest administracja publiczna. Z raportu Sophos wynika, że podmioty te w skali globalnej zgłosiły najniższy wskaźnik (34 proc.) ataków ransomware spośród wszystkich badanych przez Sophos branż w 2023 roku.
Prawie wszystkie (99 proc.) podmioty z tej branży dotknięte atakiem ransomware w 2023 roku stwierdziły, że cyberprzestępcy próbowali naruszyć ich kopie zapasowe. Spośród tych prób nieco ponad połowa (51 proc.) zakończyła się powodzeniem – jest to jeden z najniższych wskaźników naruszenia bezpieczeństwa backupu we wszystkich branżach badanych przez Sophos.
Mimo że odsetek przypadków naruszenia backupu w podmiotach administracji publicznej był niski, to na przeciwnym biegunie znalazł się odsetek dotyczący udanego zaszyfrowania danych. W 2023 roku cyberprzestępcy zaszyfrowali dane w aż 98 proc. ataków na podmioty z tej branży. Jest to najwyższy poziom spośród wszystkich obszarów badanych w 2023 roku. Jednocześnie stanowi to znaczny wzrost w porównaniu z 76 proc. odnotowanymi w 2022 roku.
(Cyber)ochrona zdrowia choruje
W porównaniu z administracją publiczną, podmioty ochrony zdrowia były prawie dwukrotnie częściej atakowane z użyciem ransomware w 2023 roku. Incydent taki zgłosiło 67 proc. placówek na świecie – wynik ten stanowi niewielki wzrost w porównaniu z 60 proc. w 2022 roku. Patrząc na dane z 2021 r., gdy ofiarą ransomware padło 34 proc. jednostek ochrony zdrowia, można jednak zauważyć niepokojący trend wzrostowy.
– Cyberprzestępcy wiedzą, że w placówkach ochrony zdrowia przechowywane są wrażliwe dane pacjentów, w tym ich imiona, nazwiska, adresy, numery telefonu czy numery PESEL i jego odpowiedniki w innych krajach. Jeśli te informacje trafią w ręce oszustów, mogą zostać wykorzystane do kolejnych niebezpiecznych działań, w tym nawet do kradzieży tożsamości. Dyrektywa NIS 2 uznaje ochronę zdrowia za obszar kluczowy, co pokazuje wagę odpowiedniego zabezpieczania danych w tej branży – wskazuje Chester Wisniewski.
Odsetek podmiotów ochrony zdrowia dotkniętych ransomware, w których cyberprzestępcy próbowali naruszyć kopie zapasowe podczas ataku, również był wysoki i wyniósł aż 95 proc. w 2023 roku. Spośród tych prób dwie trzecie (66 proc.) zakończyło się sukcesem. Jest to jeden z najwyższych wskaźników naruszeń kopii zapasowych, ustępujący jedynie branżom usług użyteczności publicznej oraz edukacji.
Branża finansowa powstrzymuje szyfrowanie danych
Branża bankowości oraz infrastruktury rynków finansowych również została uznana za kluczową w przepisach dyrektywy NIS 2. Jak wynika z raportu Sophos, ponad 2/3 instytucji finansowych na świecie zostało zaatakowanych z użyciem oprogramowania ransomware w 2023 roku. Jednocześnie branża ta uzyskała jeden z najniższych wskaźników naruszeń kopii zapasowych we wszystkich badanych obszarach – mniej niż połowa prób uszkodzenia backupu zakończyła się sukcesem.
– Dobrą wiadomością dla instytucji finansowych jest fakt, że odnotowały one najniższy odsetek przypadków szyfrowania danych spośród wszystkich badanych przez nas branż. Może to oznaczać, że banki i inne podmioty finansowe uczą się walki z cyberprzestępczością, a w ramach tego procesu wdrażają narzędzia i metody wczesnego wykrywania zagrożeń oraz reagowania na nie. Jednak podmioty te nie powinny spoczywać na laurach, gdyż są częstym celem przestępców – aż 65 proc. z nich padło ofiarą ransomware w 2023 roku – podkreśla Chester Wisniewski.
Wskaźniki ataków ransomware w kluczowych branżach pozostają na wysokim poziomie. Aby przeciwdziałać tym naruszeniom, na podmioty objęte dyrektywą zostaną nałożone obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów. W razie ich niedopełnienia członkowie organów zarządzających podmiotami objętymi dyrektywą będą mogli zostać pociągnięci do odpowiedzialności.
Podmioty kluczowe i ważne będą także zobowiązane informować w terminach ściśle określonych przez dyrektywę NIS 2 właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) lub inny organ o zaistnieniu poważnego incydentu. Unia Europejska przewiduje kary dla podmiotów niestosujących się do przepisów dyrektywy – mogą one sięgać nawet 10 milionów euro lub 2 proc. światowych obrotów dla podmiotów kluczowych i 7 milionów euro lub 1,4 proc. obrotów dla podmiotów z branż uznanych za ważne.
O raporcie „State of Ransomware 2024”
Dane z raportu „State of Ransomware 2024” pochodzą z badania przeprowadzonego wśród 5 tys. liderów cyberbezpieczeństwa w okresie od stycznia do lutego 2024 roku. Respondenci pochodzili z 14 krajów z obu Ameryk, Europy, Azji i rejonu Pacyfiku. Badane firmy zatrudniały od 100 do 5 tys. pracowników, a ich roczne przychody wahały się od mniej niż 10 milionów dolarów do ponad 5 miliardów dolarów.