Skip To main content
is/en

Hvernig villuveiðigáttir hjálpa þér að uppfylla NIS2

Ný tilskipun Evrópusambandsins um net- og upplýsingaöryggi, NIS2, er yfirvofandi og gerir auknar kröfur til mikilvægra og nauðsynlegra aðila um netöryggi, áhættustýringu og upplýsingagjöf. Fyrirtæki sem falla undir tilskipunina þurfa nú að sýna fram á aukna öryggisvitund, skilvirkari viðbragðsáætlanir og betri stjórn á veikleikum. Ein skynsamleg og hagkvæm leið til að ná þessum markmiðum er með villuveiðigáttum og stefnu um ábyrga upplýsingagjöf öryggisveikleika (e. coordinated vulnerability disclosure).

NIS2 leggur áherslu á stjórnun veikleika

Í NIS2 kemur hugtakið „samræmd upplýsingagjöf um veikleika“ (CVD) fyrir ellefu sinnum í opinberu skjali tilskipunarinnar, sem undirstrikar hversu mikilvæg meðhöndlun veikleika er orðin í opinberri stefnu. Aðildarríki og tilgreindir aðilar bera nú ábyrgð á að skrá, meta og miðla upplýsingum um veikleika á skipulagðan hátt. Þar að auki kveður tilskipunin á um stofnun evrópsks gagnagrunns um veikleika – og setur þannig ramma um kerfisbundna vinnu á þessu sviði.

Villuveiðigáttir og ábyrgar upplýsingaleiðir

Villuveiðigáttir (e. bug bounty platforms) er hugbúnaður sem gera fyrirtækjum kleift að nýta sér sérfræðiþekkingu heiðarlega hakkara til að finna og tilkynna veikleika. Þegar villuveiðigátt er stýrt af sérhæfðu teymi, eins og hjá Defend Iceland, er tryggt að allir tilkynntir veikleikar séu flokkaðir, metnir og nákvæmar skýrslur séu útbúnar ásamt leiðbeiningum um úrbætur. Þetta er í beinu samræmi við NIS2-kröfur um öfluga stjórnun veikleika og sýnir fram á að viðkomandi aðili sé með skýrar verklagsreglur og viðbragðsáætlun.

Styður við áhættustýringu og meðhöndlun atvika

Ein af meginkröfum NIS2 er að aðilar hafi virka áhættustýringu og skýrt verklag fyrir meðhöndlun öryggisatvika. Villuveiðigáttir styðja við þetta með því að:

  • Bera kennsl á veikleika áður en þeir eru nýttir af meinfýsnum netárásar aðilum.

  • Styðja við hraðari viðbrögð með rauntímaupplýsingum.

  • Eiga í samstarfi við ytri sérfræðinga sem styrkja innri teymi fyrirtækja.

Þetta eykur ekki aðeins netöryggisþroska heldur flýtir einnig fyrir samræmi við tilkynningarskyldur NIS2, t.d. innan 24 klst fyrir fyrstu viðvörun og innan 72 klst. fyrir atvikaskýrslu.

Miðlun upplýsinga um ógnir og innri þekkingaruppbygging

Ein af áherslum NIS2 er miðlun upplýsinga um ógnir milli aðila. Villuveiðigáttir safna dýrmætum gögnum sem hægt er að nýta bæði innanhúss til þekkingaruppbyggingar og sameiginlega með CSIRT- eða ISAC-teymum í viðkomandi iðnaði. Þetta skapar sterkara samfélag og dregur úr líkum á alvarlegum atvikum.

Stuðningur við stjórnunar- og skýrslugerð

NIS2 krefst þess að stjórnendur beri aukna ábyrgð á netöryggi fyrirtækisins. Villuveiðigáttir gera stjórnendum kleift að:

  • Sýna hagsmunaaðilum fram á fyrirbyggjandi öryggisstefnu.

  • Framvísa reglubundnum niðurstöðum um veikleikagreiningu og viðbrögð.

  • Uppfylla skýrslugerðar- og skjalaskyldu NIS2 um netógnir og atvik.

Hvernig getur Defend Iceland aðstoðað?

Defend Iceland býður heildstæða öryggisþjónustu sem styður við samræmi við NIS2:

  • Villuveiðigáttir sem eru sérsniðnar fyrir fyrirtæki, með faglegri meðhöndlun tilkynninga, úttektum og tillögum um úrbætur.

  • CVD (Coordinated vulnerability disclosure policy) sem styður við upplýsingamiðlun við birgja og þriðja aðila.

  • Stöðug öryggisprófun sem styður við kröfur um áframhaldandi áhættustýringu.

Við hjálpum fyrirtækjum að byggja upp öruggari stafrænan rekstur og uppfylla kröfur tilskipunarinnar á skilvirkan og hagkvæman hátt.

Hafðu samband við okkur til að kanna hvernig villuveiðigátt Defend Iceland getur stutt við öryggisstefnu þína og tryggt samræmi við NIS2.

Aðrar fréttir

Sjá allar fréttir

404 Villa Happy Hour Fannst ekki!

Defend Iceland býður í Happy Hour með netöryggis- og varnarmála ívafi í samstarfi við miðstöð stafrænnar nýsköpunar (EDIH-IS) og Rannís. Viðburðurinn er opinn öllum sem hafa áhuga en skráning er nauðsynleg.
Lesa meira

Einn færasti hakkari heims heldur námskeið á Íslandi í öryggisveikleika leit (e. Vulnerability hunting)

Jason Haddix, einn færasti hakkari heims og forstjóri Arcanum Security, er væntanlegur til landsins í næstu viku og mun leiða námskeið í öryggisveikleika leit í samstarfi við Defend Iceland dagana 21. - 23. janúar í Háskólanum í Reykjavík. Jason kemur frá Bandaríkjunum og er með yfir 20 ára reynslu í netöryggi auk þess hefur hann hlotið viðurkenningu sem einn af fremstu sérfræðingum á villuveiðigáttum (Bug Bounty Platform). Alþjóðleg fyrirtæki á borð við Apple, Microsoft, Google, KPMG, Deloitte, Amazon, Walmart og fleiri hafa reglulega nýtt sér námskeið og þekkingu Jason Haddix. 
Lesa meira

Spennandi áfangi hjá Defend Iceland

Við fórum í loftið í febrúar á þessu ári og erum stolt af því að vera komin í samstarf við 27 frábæra viðskiptavini. Þessir aðilar spanna öll svið samfélagsins, frá stórum hluta fjármálageirans til lykilaðila í orku- og heilbrigðisgeiranum - og nú Alþingi Íslendinga.
Lesa meira

Defend Iceland gerir samning við Origo til að efla netöryggi

Við hjá Defend Iceland erum stolt af því að taka höndum saman við Origo til að efla netöryggi kerfa þeirra. Netárásir, sem nýta veikleika í hugbúnaði, halda áfram að aukast verulega. Það er mikilvægt að finna þessa veikleika áður en árásarmenn gera það – því í stafræna heimi okkar er heilsa alls vistkerfis hugbúnaðarins nauðsynleg til að halda nauðsynlegri þjónustu gangandi.
Lesa meira

Erindi Tedda á netöryggisráðstefnu Fjarskiptastofu

Í dag var Fjarskiptastofa/ECOI með netöryggisráðstefnu þar sem Theódór Ragnar Gíslason, framkvæmdastjóri okkar og stofnandi, var með erindi þar sem hann varpaði fram eftirfarandi spurningu: Erum við einum veikleika frá game over? Hvaða veikleiki væri svo krítískur á birgðahliðinni að það hefði gríðarleg áhrif ekki aðeins á fyrirtækið þitt heldur líka á samfélagið okkar?
Lesa meira
Tilkynna veikleika

Þessi vefsíða notar vefkökur (e. cookies) til að bæta upplifun notenda af síðunni.