AB’nin NIS2 Direktifi, kuruluşların siber güvenliği ciddiye almalarını sağlamak amacıyla erişim yönetimini tekrar gözden geçirmelerini talep ediyor. Eğer NIS2 kapsamına giren bir şirkette güvenlikten sorumluysanız, şunları merak ediyor olabilirsiniz: Parolalar ve kimlik doğrulama konusunda ne yapmalıyım?
NIS2 Nedir ve Kimler Uymalıdır?
NIS2 (Ağ ve Bilgi Güvenliği Direktifi), Ocak 2023’te mevcut NIS Direktifi’nin yerini aldı. AB üye devletleri, bu direktifi Ekim 2024’te ulusal yasaya dönüştürmek zorundadır. Direktif, enerji, ulaşım, bankacılık, sağlık hizmetleri, dijital altyapı ve kamu yönetimi gibi 18 kritik sektördeki orta ve büyük ölçekli kuruluşlara uygulanmaktadır.
Bu sektörlerde 50’den fazla çalışanı olan veya yıllık geliri 10 milyon Euro’yu aşan bir organizasyona sahipseniz, NIS2’ye uyum sağlamanız gerekmektedir. Uyumsuzluk durumunda uygulanabilecek cezalar oldukça ağırdır; temel kuruluşlar için 10 milyon Euro veya küresel yıllık cirosunun %2’si, önemli kuruluşlar için ise 7 milyon Euro veya %1.4’ü oranında ceza söz konusu olabilir.
Temel ve Önemli Kuruluşlar
NIS2, kuruluşları iki kategoriye ayırmaktadır:
- Temel kuruluşlar: Yüksek kritiklikteki sektörlerdeki büyük kuruluşlardır. Bu kuruluşlar, düzenli denetimlerle ve maksimum 10 milyon Euro veya global yıllık cirolarının %2’si tutarındaki cezalarla karşılaşabilir.
- Önemli kuruluşlar: Posta hizmetleri, atık yönetimi ve gıda üretimi gibi diğer kritik sektörlerdeki kuruluşlardır. Bu kuruluşlar yalnızca ihlalin rapor edilmesi durumunda denetim altında olacak ve maksimum 7 milyon Euro veya %1.4 oranında ceza ile karşılaşabilirler.
NIS2 Kapsamındaki Kimlik ve Erişim Kontrollerinin Önemi
NIS2, kimlik ve erişim yönetimini temel güvenlik önlemleri arasında saymaktadır. Zayıf kimlik doğrulamanın kabul edilemeyeceği vurgulanmaktadır.
Siber tehditler göz önüne alındığında, bu durum daha da anlam kazanıyor. 2024 Verizon Veri İhlali Raporu’na göre, ihlallerin %80’inde ele geçirilmiş kimlik bilgileri kullanılmıştır. Eğer saldırganlar, parolalarını çalabilirse, diğer güvenlik önlemleri pek bir anlam taşımaz.
Doğru Parola Politikasını Oluşturmak
Güçlü bir parola politikası, güvenliğin ilk savunma hattıdır. Ancak “güçlü” ne anlama geliyor?
Uzunluk ve Karmaşıklık
Kullanıcıların “P@ssw0rd123!” gibi parolalar oluşturmaya zorlandığı eski model artık geçerli değil. NIST ilkeleri, karmaşıklıktan ziyade uzunluğa öncelik verilmesini önermektedir. “coffee-mountain-bicycle-sky” gibi 15 karakterlik bir parolayı hatırlamak, karmaşık ve kısa bir paroladan çok daha kolaydır.
NIS2 için temel gereksinimler arasında:
- Minimum 15 karakterlik parola uzunluğu
- Bilinmiş ihlal veritabanlarına karşı parolaları kontrol etme
- Yaygın desenlerin ve sözlük kelimelerinin engellenmesi
- Kritik sistemler arasında parola tekrarının yasaklanması
Parola Değiştirme Gerekliliği
Zorunlu parola değiştirme uygulaması artık geçerli değil. Kullanıcıları düzenli olarak parola değiştirmeye zorlamak, çoğunlukla tahmin edilebilir değişikliklere yol açmaktadır.
Günümüzün en iyi uygulaması: Bir ihlal kanıtı olmadan zorunlu değiştirme yapmaktan kaçınmaktır. Bunun yerine, ihlal izleme sistemlerine yatırım yaparak, kullanıcıların parolalarının herhangi bir veri ihlalinde göründüğünde değiştirmesini önermelisiniz.
İnsan Faktörü
Teknik kontrollerin yalnızca kullanıcıların onları takip edebilmesi durumunda işe yaradığını unutmayın. Çok katı politikalar, kullanıcıları basit ve tahmin edilebilir parolalar kullanmaya yönlendirebilir.
MFA: Zorunlu Hale Geliyor
NIS2’de çok faktörlü kimlik doğrulama (MFA) doğrudan belirtilmese de, ulusal uygulamalar bunun zorunlu olduğunu belirtmektedir. MFA, ele geçirilen kimlik bilgilerinin varlığında bile ikinci bir güvenlik katmanı oluşturur.
NIS2 Uyum Yol Haritası
Kimlik doğrulama kontrollerinizi NIS2 ile uyumlu hale getirmek için pratik bir kontrol listesi:
- Mevcut parola politikalarınızı denetleyin ve güncellemeler yapın
- Uzunluk ve karmaşıklık gereksinimlerini uygulayan bir parola yönetim çözümü benimseyin
- Yetkili hesaplar için düzenli erişim gözden geçirmeleri gerçekleştirin
Doğru Araçlarla Uygulama
NIS2 uyumu, piyasada bulunan her güvenlik ürününü satın almak demek değildir; güvenliği artıran akıllı seçimler yapmak için bir çerçeve sunmaktadır. Parola politikaları ile başlayarak, phishing’e karşı dirençli MFA ekleyebilirsiniz.
Kuruluşunuzun benzersiz zorluklarıyla başa çıkmak için destek almak isterseniz, Specops uzmanlarıyla iletişime geçebilirsiniz.
