نظرة عامة على توجيه NIS من الاتحاد الأوروبي لزيادة أمن الشبكات وأنظمة المعلومات

أدى تطور وتزايد عدد الهجمات الإلكترونية الخبيثة على قطاعات البنية التحتية الحيوية إلى اعتماد المشرّعين في الاتحاد الأوروبي لتوجيه جديد يُسمى توجيه أمن الشبكات وأنظمة المعلومات NISD وهو اختصارًا لـ Network and Information Security Directive. حيث يتطلب هذا التوجيه من شركات قطاعات البنية التحتية الحيوية اعتماد إجراءات فنية وتنظيمية محددة لإدارة التهديدات لشبكاتها وأنظمة أمن المعلومات الخاصة بها.

وتسببت الهجمات الإلكترونية الأخيرة التي تعرضت لها العديد من مؤسسات البنية التحتية الحيوية مثل هجوم واناكراي WannaCry وهجوم  NotPetya – والتي تنسب بشكل عام إلى كوريا الشمالية وروسيا على التوالي – في إحداث تأثير مدمر على الإنتاج الصناعي وبالتالي على الأرباح الفصلية، مع خسائر تقدر بمليارات الدولارات.

بالإضافة إلى ذلك فإن الهجمات الإلكترونية المستهدفة مثل TRITON التي تهدد الأنظمة الفيزيائية الإلكترونية على نطاق واسع – مثل: خزانات الخلط البتروكيماوي، والتوربينات، والأفران العالية – يمكن أن تسبب أعطالًا كارثية في السلامة، وأضرارًا بيئية، وحتى خسائر في الأرواح.

يعد توجيه NIS أول جزء من تشريعات الاتحاد الأوروبي حول الأمن الإلكتروني. ويوفر تدابير قانونية لتعزيز المستوى العام للأمن الإلكتروني في الاتحاد الأوروبي.

اعتمد البرلمان الأوروبي التوجيه الخاص بأمن الشبكات وأنظمة المعلومات NIS في 6 يوليو 2016، وكان على الدول الأعضاء في الاتحاد الأوروبي أن تدرج التوجيه في قوانينها الوطنية بحلول 9 مايو الماضي – أي قبل أسبوعين من دخول لائحة حماية البيانات GDPR حيز التنفيذ – كما أن دول الاتحاد الأوروبي مطالبة بتحديد مشغلي الخدمات الأساسية بحلول 9 نوفمبر القادم. حتى الآن لم نشهد أي إجراءات ضد مقدمي الخدمات، ولكن يمكن أن نبدأ في رؤية تأثيرات هذا التوجيه بحلول نهاية العام الحالي.

تُركز لائحة حماية البيانات العامة للاتحاد الأوروبي GDPR، وهي قانون خصوصية صادر عن الاتحاد الأوروبي لمنح المواطنين القدرة على التحكم في بياناتهم الشخصية التي تجمعها عنهم المؤسسات والشركات وقد دخلت حيز التنفيذ في شهر مايو/أيار الماضي، بينما يركز توجيه NIS على دعم مزودي خدمات البنية التحتية الحيوية. وعلى وجه الخصوص ينطبق على المنظمات التي تقدم الخدمات الأساسية في قطاعات البنية التحتية الحيوية مثل الطاقة، والنقل، والخدمات المصرفية والمالية، والمياه، والصحة، والبنية التحتية الرقمية (مزودي خدمة الإنترنت ISPs، وأسماء النطاقات DNS، وما إلى ذلك).

يفرض توجيه NIS عقوبات مالية كبيرة لعدم الامتثال لقوانينه مثلما جاء في لائحة حماية البيانات GDPR، ففي المملكة المتحدة على سبيل المثال يمكن تغريم الشركات غير الممتثلة بمبلغ يصل إلى 17 مليون جنيه إسترليني، أو 4% من من قيمة المبيعات السنوية في جميع أنحاء العالم. ووفقاً قانون هولندي، فإن الغرامات قد تصل إلى 5 ملايين يورو – ومن المحتمل أن يتم فرض عقوبات صارمة عبر الدول الأخرى الأعضاء في الاتحاد الأوروبي أيضًا.

ينطبق توجيه NIS على جميع الدول الأعضاء في الاتحاد الأوروبي، وستقرر كل دولة عضو في الاتحاد  العقوبات والمواعيد النهائية. بالإضافة إلى ذلك فإن هذه القواعد ستؤثر على الشركات خارج الاتحاد الأوروبي التي لديها عمليات في الدول الأعضاء في الاتحاد الأوروبي.

من المثير للاهتمام أن لائحة حماية البيانات GDPR حصلت على الكثير من الدعاية أكثر من توجيه NIS ربما لأن المستهلكين في الاتحاد الأوروبي يسعون بشدة لحماية خصوصية الإنترنت الخاصة بهم. ولكن المفارقة هي أن توجيه NIS ربما يكون أكثر أهمية بالنسبة لأداء المجتمع بشكل سليم من حماية المعلومات الشخصية -مثل عناوين البريد الإلكتروني وأرقام الهواتف- لأنه يعالج خدمات البنية التحتية الحيوية التي نعتمد عليها جميعًا كل يوم، مثل الكهرباء والماء والنقل والصحة.

الآثار المحتملة على الشركات الأمريكية:

على الرغم من أن هذا الأمر يعد تشريعًا من الاتحاد الأوروبي للدول الأعضاء، الإ أن العديد من الشركات في جميع أنحاء الولايات المتحدة ستتأثر أيضًا نظرًا لأن العديد منها لديه عمليات عالمية مع مؤسسات البنى التحتية في جميع أنحاء العالم، بالإضافة إلى ذلك فإن هذا التوجيه هو الأول الذي يقرر الحد الأدنى من معايير الرعاية الواجبة لحماية البنية التحتية الحيوية، مما يعني أنه في حالة وقوع حادث كبير يتعلق بالسلامة في أي مكان في العالم، قد تكون المنظمة مسؤولة عن إهمالها ومسؤولة ماليًا لعدم اتخاذها الحد الأدنى من الخطوات لتجنب حدوث ذلك، لذلك يحدد توجيه NIS سابقة جديدة ينبغي على الشركات الأمريكية أن تفكر في اتباعها طواعية، حتى إذا لم تكن ملزمة قانونًيا حاليًا بمتطلبات التشريع

ومع ارتفاع عدد الهجمات على البنية التحتية الحيوية من حيث العدد وقوة التأثير، تزداد احتمالية تبني حكومة الولايات المتحدة لتشريع مماثل. يمكن للكيانات الأمريكية أن تمنع تعطيل الأنظمة الجديدة وتحمي أصولها الإنتاجية بالالتزام بمتطلبات توجيه NIS الآن..

المتطلبات التقنية الرئيسية:

ينص توجيه NIS على أن مشغلي الخدمات الأساسية المتأثرين OESs ومقدمي الخدمات الرقمية DSPs يجب أن تتوافر لديهم عدة متطلبات من بنيها:

• فهم الأصول ووضع آلية لتحديد الأجهزة غير المعروفة
• برنامج متكامل لإدارة الثغرات
• أنظمة للكشف عن التهديدات المتطورة، بما في ذلك قدرات الكشف والتعرف والإبلاغ
• آليات الإبلاغ عن الحوادث الفعالة، بما في ذلك أنظمة لتسجيل الأحداث والإبلاغ عنها خلال 72 ساعة من الكشف
• إدارة الحوادث المتطورة
• خطط الاستجابة والاستعداد

المتطلبات التنظيمية الرئيسية:

1- الحوكمة: يجب أن تكون لدى المنظمات سياسات وعمليات إدارية ملائمة تحكم نهجها لأمن الشبكات وأنظمة المعلومات.

2- عملية إدارة المخاطر: يجب على الشركات اتخاذ الخطوات المناسبة لتحديد وتقييم وفهم المخاطر الأمنية على الشبكات وأنظمة المعلومات فيما يتعلق بتقديم الخدمات الأساسية، بما في ذلك النهج التنظيمي الشامل لإدارة المخاطر.

3- سلسلة التوريد: يجب على الشركات فهم وإدارة المخاطر الأمنية على الشبكات وأنظمة المعلومات التي تدعم تقديم الخدمات الأساسية التي تنشأ بسبب الاعتماد على الموردين الخارجيين، بما في ذلك ضمان استخدام التدابير المناسبة عند استخدام خدمات الطرف الثالث.

4- توعية الموظفين وتدريبهم: يجب أن يكون لدى الموظفين وهيئة العمل وعي ومعرفة ومهارات مناسبة للقيام بأدوارهم بفعالية عندما يتعلق الأمر بأمن الشبكة وأنظمة المعلومات الداعمة لتقديم الخدمات.

في حين أن الأمر سيستغرق بعض الوقت لتحقيق الامتثال الكامل لتوجيه الاتحاد الأوروبي NIS، لا يزال هناك وقت للشركات والمؤسسات للبدء في المسار الصحيح لحماية أنفسهم على المدى الطويل. سيتطلب التعامل مع توجيه NIS استراتيجية دفاعية نشطة متعددة الطبقات تتضمن ضوابط أمنية حديثة مثل برنامج التقنية التشغيلية (OT) لإدارة الأصول -وهي الأجهزة والبرامج المخصصة للكشف عن التغيرات في العمليات الفيزيائية أو السبب فيها من خلال المراقبة المباشرة أو التحكم في الأجهزة المادية-، وبرامج لإدارة الضعف، ونماذج لكشف التهديدات الأمنية.