Z nadejściem października duży odsetek polskich firm w wielu branż m.in. produkcyjnej, energetycznej, medycznej, spożywczej, logistycznej, wojskowej czy cały sektor publiczny będzie zmuszona zmierzyć się z wyzwaniem jakie przynosi dyrektywa zwana potocznie NIS2.
Co znajdziesz w tym artykule ?
- Czy NIS2 wskazuje jak się zabezpieczyć ?
- Proces identyfikacji i oceny ryzyka
- Normy i dobre praktyki pozwalające spełniać NIS2
- Potencjalne zagrożenia i kary
Części firm, może się obecnie wydawać, że wymogi NIS2 nie będą ich obowiązywać, gdyż nie są częścią branż wskazanych jako kluczowe lub ważne lub też nie zatrudniają wskazanej liczby min 50 pracowników. Rzeczywistość jest jednak zgoła inna. Podmioty objęte NIS2, pozostaną pod rygorem ustalonych przez ustawodawcę kar, będą więc dążyć do minimalizacji ryzyka w tym ryzyka wynikającego z współpracy z podmiotami zewnętrznymi – „podwykonawcami” .
„Podmioty kluczowe i ważne należy w szczególności zachęcać, aby włączały środki zarządzania ryzykiem w cyberbezpieczeństwie do ustaleń umownych z bezpośrednimi dostawcami i usługodawcami. Podmioty te mogłyby rozważyć ryzyko pochodzące od dostawców i usługodawców z innych poziomów.”
Najprostszą metodą stosowaną obecnie np. przez banki czy sektor energetyczny jest wymaganie od podwykonawców takich samych standardów bezpieczeństwa jak obowiązuje ich samach.
Tym samym, może się okazać, że głębokość penetracji rynku przez NIS2 rozumiana jako zakres podmiotów które obejmuje znacząco wykroczy poza wskazane w samej dyrektywie sektory i wielkości podmiotów.
Zastanówmy się jednak nad samą Dyrektywą i jej wymogami. Ne ma ona charakteru wytycznych szczegółowych a raczej dokumentu ideowego. Wskazuje cele, które należy osiągnąć oraz obowiązki, które należy spełnić – zwłaszcza te biurokratyczne, nie podaje jednak rozwiązań tj. sposobów dojścia do celu. Bardzo podobną sytuacje mamy w przypadku RODO, gdzie wprost nie są wskazane żadne technologie może z wyłączeniem szyfrowania.
Różnica pomiędzy RODO a NIS jest jednak istotna jakościowo, RODO dotyczy wąskiego zakresu danych NIS2 zaś całości firmy i wszystkich obszarów jej działalności.
W Internecie można obecnie znaleźć, wiele informacji dot. NIS2, ale większość z nich ma charakter komentarza prawnego. Opisuje jakie podmioty dyrektywa będzie obowiązywać czy jakiego typu obowiązki administracyjne, dokumenty czy procedury firmy będą zmuszone przygotować.
Niewiele znajdziemy zaś informacji, jakie czynności, technologie, rozwiązania należy wdrożyć, aby wypełnić założenia dyrektywy, które w skrócie można parafrazować” „firma ma być bezpieczna – zabezpieczona przez cyberzagrożeniami”
Posłużmy się przykładami z samej Dyrektywy:
„Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Przy uwzględnieniu najnowszego stanu wiedzy oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, a także kosztów wdrożenia środki, o których mowa w akapicie pierwszym, zapewniają poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka.”
Jednym słowem należy wdrożyć takie zabezpieczenia, aby były adekwatne do ryzyka i zabezpieczały jak najlepiej zgodnie z najnowszą wiedzą i z zachowaniem efektywności kosztowej.
W żargonie prawnym ww. sformułowania brzmią zapewne bardzo sensownie i jasno jednak dla realnego poziomu bezpieczeństwa nie wnoszą zupełnie nic.
Czym jest bowiem „środek adekwatny do ryzyka” ? Należy najpierw zidentyfikować ryzyko co już samo w sobie bez zaawansowanej wiedzy jest bardzo trudne. Następnie należy nadać temu ryzyku wagę tj. określić prawdopodobieństwo materializacji a na koniec dobrać odpowiednie środki zaradcze.
Sam proces identyfikacji i ważenia ryzyka jest w swoim rdzeniu nie aksjomatyczny, zależy od indywidualnego kontekstu oraz poziomu akceptacji ryzyka oceniającego, czy też przyjętych danych porównawczych. Już na tym etapie można popełnić wiele błędów często prowadzących np. do niedoszacowania ryzyka.
Załóżmy jednak, że przebrnęliśmy przez proces analizy ryzyka. W tym miejscu musimy dobrać odpowiednie zabezpieczenia. Znów wymaga to szerokiej wiedzy z wielu obszarów technologii IT jak i działalności firmy. Stawia nas przed wyborem spośród setek możliwych technologii i tysięcy permutacji ich konfiguracji. Na koniec pozostaje jeszcze implementacja i stajemy przed pytaniem –
Czy teraz moja firma jest bezpieczna, czy spełniamy wymogi NIS2 ?
Najczęściej odpowiedź na tak postawione pytanie poza apriorycznym przyjęciem, że NIE, przychodzi wraz z pojawieniem się incydentu i koniecznością zmierzenia się z jego skutkami.
Wtedy niestety okazuje się, że regulator, podmiot wyznaczony do kontroli jak np. Urząd Ochrony Danych, Klient, czy na końcu Sąd, mogą zarzucić nam np. niedoszacowanie ryzyka do zagrożenia, nie przyjęcie adekwatnych środków zabezpieczających, zbytnie kierowanie się efektywnością kosztową etc.
Sam regulator stawia sankcję na wysokiej pozycji jako metody osiągniecia celu jakim jest wprowadzenie w firmach jak najwyższych standardów bezpieczeństwa.
„Aby jeszcze bardziej wzmocnić skuteczność i odstraszający charakter środków egzekwowania przepisów mających zastosowanie do naruszeń niniejszej dyrektywy, właściwe organy powinny być uprawnione do tymczasowego zawieszenia certyfikacji lub zezwolenia dotyczących części lub całości odpowiednich usług świadczonych przez podmiot niezbędny lub prowadzonej przezeń działalności oraz do żądania nałożenia tymczasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną wykonującą obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego.”
„Aby wzmocnić uprawnienia i środki nadzorcze, które pomagają zapewnić faktyczną zgodność z przepisami, w niniejszej dyrektywie należy przewidzieć minimalny wykaz działań i środków nadzorczych, za pomocą których właściwe organy mogą sprawować nadzór nad podmiotami kluczowymi i ważnymi.”
Oczywiście mamy rozróżnienie na podmioty kluczowe i ważne i na nadzór ex ante i ex post oraz wskazanie stosowania najwyższego wymiaru sankcji jako ostateczności. Nie zmienia to jednak faktu, że potencjalne kary za naruszenia poza prostymi karami finansowymi mogą być bardzo znaczące. Nie ulega również wątpliwości, że aparat nadzoru zwłaszcza ex ante będzie bardzo restrykcyjny, co pokazuje np. praktyka aparatu nadzoru w zakresie prawa podatkowego.
Czy zatem firmy pozostawione są same sobie i nawet stosując w ich mniemaniu najlepsze zabezpieczenia są potencjalnie zagrożone podważeniem ich skuteczności, niedoszacowaniem etc.? Czy realnie nie wiemy, jak powinniśmy się zabezpieczać ?
Wydaje się, że spraw nie jest do końca stracona. Mamy na rynku szereg norm i wytycznych dot. bezpieczeństwa, które są powszechnie uznawane za restrykcyjne i potwierdzające dbanie o bezpieczeństwo Mowa tu m.in. o ISO 270001, PCI DSS, CIS, STIG etc.
Sam regulator zabiera również w tej sprawie głos w Dyrektywie kopiując w pewien sposób obszary obejmowane przez wskazane normy:
„Środki, o których mowa w ust. 1, bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, i obejmują co najmniej następujące elementy:
a) politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
b) obsługę incydentu;
c) ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
d) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
f) polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
g) podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
h) polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
i) bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
j) w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.”
„Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie sieci i systemy informatyczne lub administrują nimi, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności. Ponieważ podatności często są wykrywane i ujawniane przez osoby trzecie, producent lub dostawca produktów ICT lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29147 zawierają wskazówki odnoszące się do postępowania w przypadku podatności i do ujawniania podatności.”
„Ponieważ zagrożenia bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, środki zarządzania ryzykiem w cyberbezpieczeństwie powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia, mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed zdarzeniami takimi jak kradzież, pożar, powódź, awaria telekomunikacyjna bądź awaria zasilania lub nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji należącej do podmiotu kluczowego lub ważnego, jej uszkodzenie i ingerencja w nią, które to zdarzenia mogłyby naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub też usług oferowanych przez sieci i systemy informatyczne lub dostępnych za pośrednictwem sieci i systemów informatycznych. Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny zatem dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi, zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000. W związku z tym w ramach swoich środków zarządzania ryzykiem w cyberbezpieczeństwie podmioty kluczowe i ważne powinny zająć się również bezpieczeństwem zasobów ludzkich i prowadzić odpowiednią politykę kontroli dostępu.”
Jak widać mamy wskazane pewne obszary funkcjonalne takie jak bezpieczeństwa przesyłu danych i ich przechowywania, dostępność, kopie zapasowe i zdarzenia katastroficzne, najniższe możliwe zaufanie, kontrola dostępu, wieloskładniowe uwierzytelnienie, zarządzanie podatnościami etc.
Jednym słowem wszystkie, znane obszary wykorzystania technologii informatycznych. Regulator jak wspomniałem nie podaje technologii i sposobu ich implementacji, ale wskazuje m.in. na normę ISO 27001, której niestety załącznik A również wymaga mapowania na stos technologiczny. Mamy także odwołanie do najlepszych praktyk rynkowych i tu możemy posłużyć się wytycznymi szczegółowymi jak CIS czy STIG, które wprowadzają bardzo wysoki poziom bezpieczeństwa, ale wymagają niestety specjalistycznej wiedzy i czasochłonnej implementacji.
Reasumując, NIS2 z jednej strony idzie w dobrym kierunku w pewien sposób przymuszając podmioty do dbania o bezpieczeństwo w dzisiejszym coraz bardziej cybernetycznym a jednocześnie niespokojnym świecie.
Z drugiej strony rządzący nie stawiają przed firmami łatwego zadania. Bezpieczeństwo jest procesem holistycznym, trudnym wymagającym specjalistycznej wiedzy często kosztownym. Tym trudniejszym im bardziej złożona jest organizacji. Brak jasnych i klarownych wytycznych co i w jaki sposób należy wdrożyć (poniekąd uzasadniony zważywszy na mnogość rodzajów biznesu i technologii), nie ułatwia sprawy i kładzie jeszcze większą odpowiedzialność na ręce osób zarządzających, w szczególności odpowiedzialność w zakresie wyboru trajektorii działań czy zaufaniu odpowiedniemu doradcy.
Zamów bezpłatny e-book :
Jak zabezpieczyć swoją firmę zgodnie z
ISO 27001 i dyrektywą NIS2 ?
Odpowiednio przygotowana i zaimplementowana strategia bezpieczeństwa pozwala firmie spać spokojnie, widocznie minimalizując ryzyka:
- niedostępność systemów,
- wycieku danych,
- przestoju w pracy firmy,
- problemów wydajnościowych mających wpływ na pracę użytkowników pracę użytkowników
Profesjonalny dokument, przygotowany przez eksperta, pełen konkretów na temat:
- zabezpieczeń poszczególnych warstw sieciowych
- zabezpieczeń użytkowników, stacji roboczych i aplikacji
- kontroli dostępów, kopii bezpieczeństwa , zarządzania pojemnością i podatnościami, kryptografii
- rekomendowanych stosów technologicznych
Michał Kaźmierczyk
CTO w Grupie Enteo/ Certyfikowany instruktor w Arrow ESC/ Dziennikarz w IT Professional/ Autor projektu cloudpoint.pl
Praktyk, trener i pasjonat wysokiej klasy rozwiązań informatycznych związanych z szeroko rozumianym obszarem bezpieczeństwa sieci i infrastruktury IT, technologii wirtualizacji i przetwarzania w chmurze.
Jako lider techniczny nadzoruje, projektuje i bierze udział w procesie integracji projektów z różnych dziedzin, takich jak cyberbezpieczeństwo, chmura, wirtualizacja i sieci.
Jako certyfikowany instruktor Vmware prowadzi profesjonalne kursy Vmware z NSX i Data Center Virtualization Tracks.
To również może Cię zainteresować:
Obecny czas pandemiczny jak w soczewce ujawnia wiele z niedociągnięć i problemów,
Rozpowszechnienie technologii wirtualizacji serwerów wymusiło szereg zmian w zakresie projektowania i implementacji
„Każda firma publikująca swoje zasoby w Internecie może stać się ofiara ataku
