NIS指令计划展示英国是关于解决网络威胁的认真
关于网络和信息系统(NIS)指令的政府谘询文件概述的措施受到了网络安全和法律社区的代表的欢迎。
未能实施有效网络安全措施的基本服务提供者可根据政府审议的措施,超过1700万英镑或4%的全球营业额。
“非常相当大的罚款呼应了欧盟一般数据保护条例(GDPR)所载的严重违规处罚,该法律律师事务所的技术合作伙伴律师事务所的技术合作伙伴所说的英国已采取的欧盟一般的数据保护法规(GDPR)。
“他们反映了政府承诺应对网络犯罪的承诺以及对犯罪分子和流氓国家在越来越联系的世界中提出的国家安全的真正威胁,”他说。
IT行业Body Techuk表示期待着回应谘询文件。“为了保护英国的数字经济,我们同意,必须对越来越多的网络威胁需要努力努力,”Techuk的网络计划负责人。
“这包括建立有效的安全措施,如安全监测和员工培训,以及制定对网络事件的回应政策,”他说。
然而,拉杰布表示,措施所涵盖的“基本服务”的范围仍然存在于“基本服务”的范围,以及公司预计公司将报告事件的时间表。
他说,Techuk将咨询其会员资格,了解这些措施将如何影响数字服务提供者,并将提供给政府的反馈。
安全公司Zonefox的首席执行官Jamie Graves表示,作为游戏更换者的“一年的一年的一年的一年进行”一年的一年“,和NIS指令没有任何不同。
“该指令为关键基础设施提供了明确的指示和反应 - 一个重要地区,以防止网络犯罪,”他说。
2017年5月的全球vandacry赎金软件攻击是坟墓,是针对NIS指令的需求的清晰证据。
然而,他说,企业需要保护自己的方式与国家电网的电话商店没有什么不同。
“数据是难题的关键块,或者更具体地,对数据的认识。确保您具有信息的网络可见性 - 以及访问它的网络 - 在存储的情况下,在移动或脱离网络上是对任何攻击或潜在攻击的第一行防线,“他说。
“通过一个报告系统耦合,可以尽快提醒必要的当局,并且强大的备份将是必要的服务在线保存并处于更强大的位置以保护自己。”
James Chappell,CTO和安全公司数字阴影联合创始人表示,当英国投票离开欧盟(欧盟)时,网络安全行业的关切之一是它会选择不制定监管承诺国家真的需要加强其网络防御。
“事实上,恰恰相反。英国对NIS指令的解释提出了GDPR授权的等效罚款,今天与欧盟指令下的欧盟有关的宣布涉及欧盟的宣布,“他说。
Chappel指出,英国的批评国家基础设施是一个公共和私营资产的混合,这既是一种力量和弱点。
“这种普遍性是一种力量,因为它完整地把它脱落更加艰难,但它也是一个弱点,因为它是一个弱势和更难地在不同的系统和团队中强制执行统一标准,”他说。
Chappel表示,虽然希望大笔罚款的威胁永远不需要执行,但他认为它将有助于合并思考,并确保CNI提供者在思考网络安全措施时,CNI提供者在大众中应对股东以及公众应对。
“拟议的罚款规模表明,英国政府认真对待批评国家基础设施的网络安全性,”他说。
Jens Monrad是Fireeye的高级情报分析师表示,很多CNI建在脆弱的基础设施的基础上,并且在许多情况下,最初旨在连接到互联网。
“许多组织都使用了解决方案,将这些系统拓宽到公司基础设施,以便更容易维护或直接连接到互联网以进行远程支持和第三方访问权限,”他说。
在许多情况下,蒙德拉德表示,网络防御角度尚未优先考虑,要么是缺乏理解或缺乏资源。
“这变得令人担忧的是CNI,因为我们在乌克兰见证了,而且最近与Petya / Notpetya更加目的,网络攻击可能对公民和企业具有现实生活和经济后果,具体取决于致命结果的严重程度, “ 他说。
据蒙德拉德介绍,许多组织没有足够的资源来优先考虑安全性,建立足够监测关键资产或培训经营CNI的人员在网络安全中的人员进行拓展。
“但随时与企业证明他们的策略,这需要改变。今天,最大的一个挑战是缺乏对这一基础设施的洞察力,“他说。
“在工业控制系统[ICS]上建立的关键基础设施需要不同的技能集,因为这是一个典型的IT操作,因为这,ICS有时不会被安全人员录制和监控。”
为了在CNI公司建立有效的网络防御计划,蒙德拉德表示,由于设计了许多系统的性质,他们首先需要解决缺乏可见性和缺乏数据。
他说,当他们解决这两个挑战时,他说,CNI提供商应进入建立一个可以解决和回答这三个问题的计划:
IC是公司中网络安全例程的部分以及如何/他们如何检测ICS网络中的威胁?他们是否有足够的计划来响应ICS环境中的网络威胁,攻击和违规?它们是否包含威胁,隔离和修复它,同时确保它们仍然是运作的?