Arahan NIS2 UE mendorong organisasi untuk memperhatikan keamanan siber dengan serius, dan itu berarti memperhatikan dengan cermat cara Anda mengelola akses. Jika Anda bertanggung jawab atas keamanan di perusahaan yang berada di bawah NIS2, Anda mungkin bertanya: apa sebenarnya yang harus saya lakukan tentang kata sandi dan otentikasi?
Mari kita uraikan apa arti NIS2 bagi identitas dan kontrol akses Anda, dan bagaimana membangun peta jalan praktis yang benar-benar berfungsi.
Apa itu NIS2 dan siapa yang harus mematuhinya?
NIS2 (Petunjuk Keamanan Jaringan dan Informasi) menggantikan Petunjuk NIS yang asli pada bulan Januari 2023, dan negara-negara anggota UE diharuskan untuk mengubahnya menjadi undang-undang nasional pada bulan Oktober 2024. Petunjuk ini berlaku untuk organisasi menengah dan besar di 18 sektor penting, termasuk energi, transportasi, perbankan, kesehataninfrastruktur digital, dan administrasi publik.
Jika organisasi Anda memiliki lebih dari 50 karyawan atau pendapatan tahunan melebihi €10 juta di sektor ini, Anda mungkin harus mematuhinya. Hukuman bagi ketidakpatuhan sangat besar: entitas penting akan dikenakan denda hingga €10 juta atau 2% dari omzet tahunan global, sementara entitas penting akan dikenakan denda hingga €7 juta atau 1,4% dari omzet.
Penting vs. Penting: Entitas dijelaskan
NIS2 mengklasifikasikan organisasi menjadi dua kategori:
- Entitas penting: Organisasi besar di sektor dengan tingkat kekritisan tinggi (Lampiran I) seperti energi, perbankan, layanan kesehatan, dan infrastruktur digital. Mereka menghadapi pengawasan proaktif dengan audit rutin dan denda maksimum sebesar €10 juta atau 2% dari omset tahunan global, mana saja yang lebih tinggi.
- Entitas penting: Organisasi di sektor penting lainnya (Lampiran II) seperti layanan pos, pengelolaan limbah, dan produksi pangan. Mereka menghadapi pengawasan ex-post (hanya dipantau setelah ketidakpatuhan dilaporkan) dan denda maksimum sebesar €7 juta atau 1,4% dari omset tahunan global.
Kedua kategori tersebut harus memenuhi persyaratan keamanan siber yang sama. Perbedaannya terletak pada intensitas pengawasan dan besaran sanksi.
Mengapa identitas dan kontrol akses penting dalam NIS2
NIS2 secara eksplisit memanggil manajemen identitas dan akses sebagai langkah keamanan inti. Pasal 21 mewajibkan organisasi untuk menerapkan kebijakan pengendalian akses, sehingga jelas bahwa otentikasi yang lemah tidak lagi dapat diterima.
Hal ini masuk akal ketika Anda mempertimbangkan lanskap ancaman. Menurut Laporan Investigasi Pelanggaran Data Verizon 2024kredensial yang disusupi terlibat dalam 80% pelanggaran. Jika penyerang bisa berjalan melalui pintu depan dengan kata sandi yang dicuritindakan keamanan Anda yang lain tidak terlalu menjadi masalah.
Memperbaiki kebijakan kata sandi dengan benar
Kebijakan kata sandi yang kuat adalah garis pertahanan pertama Anda, tapi apa sebenarnya arti “kuat” saat kita memasuki tahun 2026?
Kompleksitas vs. Panjang
Model lama yang memaksa pengguna membuat “P@ssw0rd123!” sudah ketinggalan jaman. pedoman NIST sekarang merekomendasikan untuk memprioritaskan panjang daripada kompleksitas. A Frasa sandi 15 karakter seperti “kopi-gunung-sepeda-langit” lebih aman dan mudah diingat daripada “Tr0ub4dor&3”.
Untuk kepatuhan NIS2, terapkan persyaratan dasar berikut:
- Panjang kata sandi minimal 15 karakter
- Menyaring kata sandi terhadap basis data pelanggaran yang diketahui
- Blokir pola umum dan kata-kata kamus
- Larang penggunaan kembali kata sandi di seluruh sistem penting
Pertanyaan rotasi kata sandi
Rotasi kata sandi wajib setiap 60-90 hari dulunya merupakan praktik standar. Tidak lagi. Rotasi paksa mendorong pengguna untuk membuat perubahan yang dapat diprediksi (“Password1” menjadi “Password2”) atau tuliskan kata sandi.
Praktik terbaik saat ini: lewati rotasi wajib kecuali Anda memiliki bukti adanya kompromi. Sebaliknya, berinvestasilah dalam pemantauan pelanggaran dan minta pengguna mengubah kata sandi saat mereka melakukan pelanggaran kredensial muncul dalam pelanggaran data yang diketahui.
Faktor manusia dalam keamanan kata sandi
Kontrol teknis hanya berfungsi jika pengguna benar-benar dapat mengikutinya. Jika kebijakan Anda sangat ketat sehingga orang menggunakan “password123” dengan sedikit variasi, Anda belum meningkatkan keamanan; Anda baru saja mencentang sebuah kotak.
MFA: Beralih dari opsional ke esensial
NIS2 tidak secara eksplisit mewajibkan otentikasi multi-faktor dalam teks arahan, namun implementasi nasional dan panduan ENISA perjelas: MFA diharapkan untuk akses istimewa dan sangat disarankan untuk semua pengguna yang mengakses sistem penting.
Logikanya jelas. Sekalipun kredensial dikompromikan, MFA menciptakan penghalang kedua. Microsoft melaporkan hal itu MFA memblokir 99,9% serangan otomatis pada akun pengguna. Namun, tidak semua metode MFA sama: penting untuk memprioritaskan faktor-faktor yang tahan terhadap phishing dan pemboman cepat.
Peta jalan kepatuhan NIS2 Anda
Berikut daftar periksa praktis untuk menyelaraskan kontrol otentikasi Anda dengan NIS2:
Landasan kebijakan
- Audit kebijakan kata sandi Anda saat ini (coba alat baca-saja gratis kami, Auditor Kata Sandi Specops) dan memperbaruinya ke standar modern
- Terapkan solusi manajemen kata sandi yang menerapkan persyaratan panjang dan kompleksitas
- Tetapkan tinjauan akses rutin untuk akun yang memiliki hak istimewa
Pertahanan serangan berbasis kredensial
- Gunakan alat seperti Kebijakan Kata Sandi Specops untuk terus memindai AD Anda terhadap miliaran kata sandi unik yang telah disusupi
- Bangun MFA yang tahan terhadap phishing dimulai dengan pengguna yang memiliki hak istimewa
- Aktifkan kebijakan akses bersyarat yang menyesuaikan persyaratan berdasarkan risiko
Pemberdayaan pengguna
- Ikuti praktik terbaik kapan meluncurkan kebijakan kata sandi baru
- Melatih pengguna tentang praktik terbaik kata sandi (frasa sandi, pengelola kata sandi)
- Komunikasikan “mengapa” di balik persyaratan baru; kepatuhan bekerja lebih baik ketika pengguna memahami risikonya
Operasi kepatuhan yang sedang berlangsung
- Pantau log autentikasi untuk aktivitas mencurigakan
- Tinjau dan perbarui kebijakan setiap tiga bulan
- Uji prosedur respons insiden setiap tahun
- Dokumentasikan semuanya untuk kesiapan audit
Membuatnya berfungsi dengan alat yang tepat
Kepatuhan NIS2 bukan tentang membeli setiap produk keamanan di pasar; ini tentang membuat pilihan cerdas yang meningkatkan keamanan tanpa membebani tim Anda. NIS2 memberi Anda kerangka kerja untuk membangun kontrol otentikasi yang benar-benar melindungi organisasi Anda. Mulailah dengan kebijakan kata sandimenambahkan MFA yang tahan terhadap phishingdan membangun proses yang berskala.
Butuh dukungan untuk memenuhi kepatuhan NIS2? Bicaralah dengan pakar Specops tentang cara menghadapi tantangan unik Anda.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
