NIS 2 será desafio substancial para infraestruturas críticas

Um estudo da Nozomi e da Exclusive Networks mostra que a diretiva NIS 2 será um desafio substancial para as empresas, nomeadamente para as que operam em indústrias com infraestruturas críticas. As coimas por incumprimento podem ascender a dez milhões de euros ou 2% do volume de negócios global para entidades essenciais, e sete milhões de euros ou 1,4% do volume de negócios global para as entidades importantes.

A nova legislação entrará em vigor em outubro de 2024, aumentando a resiliência coletiva das infraestruturas críticas europeias através da aplicação de sete requisitos de segurança abrangentes. A NIS 2 não aborda explicitamente os ativos e redes OT e IoT, mas inclui-os implicitamente nos seus muitos requisitos.

Criado para avaliar o grau de preparação do alinhamento da segurança OT e IoT com a Diretiva NIS 2, o estudo “Driving Cyber Resilience: The Impact of the NIS 2 Directive”, sublinha que, apesar das prioridades competitivas, é necessário colocar uma tónica especial na gestão do risco para além das TI, de modo a incluir a tecnologia operacional (TO) Uma maior visibilidade de todos os ativos e redes é crucial - não só ajudando as organizações a protegerem-se melhor, mas também a garantir o cumprimento da legislação fundamental.

Cada vez mais, os líderes de TI são enviados para avaliar os requisitos de conetividade e segurança de OT e IoT para proteger seus negócios contra acesso não autorizado, manipulação e paralisações inesperadas causadas por ataques que atingem ou contornam os ativos de OT e IoT. A maioria das organizações espera que a responsabilidade pela cibersegurança OT passe dos diretores e gestores para os CISO nos próximos 12 meses. 

O estudo revela que, embora pouco mais de um terço das organizações atribua a responsabilidade final ao CISO (35%), muitas outras confiam no departamento de TI como um todo (24%) e/ou na tecnologia operacional (18%), entre outros. Estas respostas mostram até onde os líderes têm de ir para transferir esta responsabilidade para os CISO. Entretanto, os inquiridos também indicaram que a formação e a educação são as áreas de política menos maduras nas suas empresas, seguidas da gestão de vulnerabilidades.

Em conjunto, as perspetivas de controlo da cibersegurança de OT e IoT têm cada vez mais espaço para crescer em termos de responsabilidade, formação, sensibilização e ação. De acordo com os líderes de TI inquiridos, “a responsabilidade pela segurança da tecnologia operacional (TO) e dos dispositivos e redes IoT é partilhada entre as partes interessadas internas e terceiros externos”.

As respostas das organizações e dos decisores ao inquérito revelaram uma grande dependência de fornecedores externos de managed services para consultoria, threat intelligence e resposta a incidentes. De acordo com o estudo, para endereçar violações, é mais provável que os responsáveis pela segurança das TI contactem um consultor de TI (60%) ou um fornecedor de soluções de (56%), o que mostra o papel fundamental que terceiros externos desempenham quando se trata de cibersegurança.

Quando questionados se as suas organizações realizam e atualizam regularmente análises de risco relacionadas com sistemas de informação críticos (CIS), 50% seguem um calendário quando se trata de realizar e atualizar uma análise de risco relacionada com os seus CIS. 34% realizam/atualizam a análise de risco do CIS numa base ad hoc. Surpreendentemente, 15% não efetuam atualmente qualquer análise de risco.

A maioria das organizações continua a sofrer ataques de malware, phishing e engenharia social, e ransomware direcionado tanto para TI como para OT. No inquérito dirigido pela Nozomi Networks, 81% dos líderes de TI indicaram que as suas organizações têm mais falta de programas associados à identificação de ativos e à gestão de inventários, 80% também mencionam falta de mapeamento de vulnerabilidades e deteção de ameaças, e 75% falta de consciência situacional e capacidades de análise de dados.

Estas tendências indicam que os profissionais de segurança podem não estar preparados para identificar e remediar com êxito os eventos de segurança que conduzem a incidentes catastróficos. É impraticável proteger o que se ignora, e é cada vez mais difícil efetuar uma análise da causa principal e rever até mesmo eventos e atividades benignos sem visibilidade do tráfego dos ativos e da rede.

Finalmente, de acordo com dados da McKinsey and Company, aproximadamente 96% dos líderes empresariais indicam a necessidade de investir na cibersegurança das OT, e aproximadamente 70% dos que investiram nela estão a enfrentar desafios de implementação. A chave para a monitorização eficaz da rede e para a gestão do risco reside na utilização de informações para obter uma visão precisa do risco.