34 ИНФРАБИЛД 1'2025 В дигиталните системи на ВиК дружествата, където информационни и оперативни технологии все повече се преплитат, днес е нужна безупречна защита от кибератаки. Тези организации разполагат с много лични данни поради големия си брой клиенти, а в същото време отговарят за социално значима услуга, от която гражданите и бизнесите са зависими. Редом с енергийните дружества, преработвателите и дистрибуторите на горива и държавната администрация, ВиК организациите са сред най-привлекателните мишени за кибернападателите. Една успешена кибератака може да доведе до сериозни последствия — от прекъсване на водоснабдяването до изтичане на чувствителна информация и финансова загуба. За да се защитят, тези организации внедряват съвременни платформени решения за киберзащита, които предлагатпроактивни мерки за откриване и предотвратяване на заплахите. Настоящата статия разглежда основните предизвикателстваитехнологичнитерешения, които играят ключова роля за сигурността на ВиК инфраструктурата. Новата, по-висока летва с МИС-2 От октомври 2024г. влизат в сила новите изисквания на европейската Директива за мрежова и информационна сигурност, известна катоNIS-2илиМИС-2. Нейните критерииобхващат всички организации, които поддържат и управляват големи инфраструктури, особено такива, които са критични за обществото – включително ВиК. Директивата определя водния сектор като основен в своята класификация на субектите. Въвеждането на политики за анализ на риска и сигурност на информационната система е една от стъпките, които са задължителни. Трябва да бъде предвиден план за обработка и докладване на инциденти, свързани със сигурността. Задължително е наличието на ясни и отработени планове за действие по време на кибератака и след нея, гарантиращи непрекъсваемост на услугата. Директивата задължава операторите на инфраструктури да наложат изисквания за сигурност и на своите партньори – доставчици, подизпълнителиидр. Специалновнимание следва да бъде посветено на осведомеността и грамотността на служителите. Необходимо е провеждането на периодични обучения по киберзащита и безопасно поведение при работа с ИТ системите и основни практики за киберхигиена. Така е, защото пробив в ИТ инфраструктуратаможеда сеполучикактопри злонамерени действия, така и отнеумишлени стъпки от страна на служители или изпълнители с достъп до критичните системи. Много внимание, според директивата, се отделя на докладването в случай на инцидент. Засегнатата организация разполага с 24 часа за първото докладване, считано отмомента, в който за пръв път се е разбрало за пробива. Дружеството следва да подаде известие до националното звено зареагиранеприинциденти с информационната сигурност. Това позволява организацията да потърси помощ - насоки или оперативни съвети относно прилагането на възможнимерки за смекчаване на последиците. Следва второ докладване, коетотрябва да се подаде в рамките на 72 часа от узнаването за инцидента. Накрая се подава окончателен доклад не по-късно от един месец след случая. Заимствайки модела на санкции от GDPR, новата директива предвижда големи глоби в случай на пробив. Те могат да бъдат 7млн. евро или 1,4% от цялостния годишен приход, наред с отстраняване на ръководството на организацията. Съвременни платформени решения за киберзащита За борба с модерните заплахи са разработени различни инструменти и решения, включително EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), SIEM (Security Information and Event Management), MDR (Managed Detection and Response) и SOAR (Security orchestration, automation and response). Всекиоттезиинструментиима уникаленнабор отвъзможности и е предназначен да адресира различни аспекти на киберсигурността. Откриване на заплахи при крайните устройства и реагиране EDR е инструмент, който открива заплахи у крайните устройства – компютри, лаптопи, сървъри. EDR (съкращение от Endpoint Detection and Response) работи върху крайните устройства подобно на DVR, като записва всичко случващо се. За разлика отостарелите антивирусни програми, EDR следи не за късове зловреден код, а за подозрително поведение у машините. Когато„види“ съмнителни събития, известява отговорниците по сигурността и импредлага действия, които да предприемат. Инструментътможе да осигури и автоматична реакция, например изолиране на машината. Организациите, коитоизползватEDR, имат цялостна видимост на всичко, което се случва в техните устройства и което може да има отношение към сигурността. Регистрира мрежови връзки, стартирания на процеси, зареждане на драйвери, промени в регистъра,
RkJQdWJsaXNoZXIy MTEyMTYwMw==