| |
Top

Czy Twoja firma jest gotowa na dyrektywe NIS2?

          Rozwojowi społeczeństwa informacyjnego, połączonemu z rozszerzaniem zasięgu internetu, towarzyszy przenikanie kolejnych aspektów ludzkiej działalności do cyberprzestrzeni. Sytuacja ta sprawia, że elementy swojej codziennej aktywności coraz więcej podmiotów (rządów, instytucji i firm), a także indywidualnych osób decyduje się przenosić do świata cyfrowego. Postępująca cyfryzacja jest obecnie jednym z podstawowych narzędzi niezbędnych do funkcjonowania i rozwoju przedsiębiorstw.

          W momencie, gdy cyberprzestrzeń zaczyna odzwierciedlać rzeczywistość fizyczną przedostają się do niej również negatywne formy ludzkiej działalności. W związku z tym zarówno częstotliwość, jak i wyrafinowanie cyberataków ciągle rośnie. Ataki hakerskie stanowią spore zagrożenie nie tylko dla dużych firm, ale też dla średnich czy małych przedsiębiorstw.

          Największy strach w wymiarze tych ataków budzi ich oddziaływanie na infrastrukturę krytyczną, czyli systemy niezbędne do minimalnego funkcjonowania gospodarki i państwa. W tym przypadku zasadniczym centrum zainteresowania cyberprzestępców są sys­temy zarządzania elektrowniami, stacjami wodociągowymi, zasobami paliwowymi, bankami i centralami teleinformatycznymi. Przykładem tego typu działań jest włamanie do sieci wodociągów na Florydzie na początku 2021 r. – sprawcy udało się zdalnie ponad 100-krotnie podnieść w wodzie poziom wodorotlenku sodu (silnie żrącej substancji, stosowanej m.in. do udrażniania rur).

          Kolejnym istotnym elementem stanowiącym poważne zagrożenie jest możliwy atak na operatorów usług kluczowych. Mowa tu o produkcji krytycznych produktów (farmaceutyki, urządzenia medyczne, chemikalia, żywność), a także centrach danych, usługach pocztowych czy administracji publicznej. I tu przykładem może być kryzys służby zdrowia Irlandii w maju 2021 r., która została zaatakowana złośliwym oprogramowaniem szyfrującym dla okupu (ransomware).

          Zagrożenie dla infrastruktury krytycznej, a także operatorów usług kluczowych nie musi wynikać z bezpośredniego ataku na ich infrastrukturę IT. Ataki te mogą być i często są przeprowadzane za pomocą aplikacji webowych tych podmiotów, a także poczty e-mail. Faktem bowiem jest to, że do tej pory najsłabszym elementem cyberobrony pozostaje czynnik ludzki. Dlatego, tak istotne jest zapewnienie ochrony cybernetycznej, która jest w stanie zabezpieczyć dostęp do infrastruktury oraz jej danych wyłapując błędy w działaniu jej użytkowników i blokując dalsze postępowanie infekcji w system IT.

          Ochrona cyberprzestrzeni stała się jednym z najczęściej podejmowanych tematów dotyczących bezpieczeństwa. Państwa, organizacje międzynarodowe i inne niepaństwowe podmioty zrozumiały, że stabilność funkcjonowania i rozwój globalnego społeczeństwa informacyjnego jest uzależniony od otwartej i – przede wszystkim – bezpiecznej cyberprzestrzeni. Wobec tego w 2016 roku Unia Europejska wydała dyrektywę NIS (Network and Information Systems Directive), która zobowiązywała państwa członkowskie do wprowadzenia w ustawodawstwie krajowym odpowiednich środków i mechanizmów dążących do zapewnienia bezpieczeństwa cyfrowego sieci i systemów informatycznych. Dyrektywa ta dała jednak państwom członkowskim dość sporą dowolność w zakresie sposobu jej implementacji, a co za tym idzie państwom członkowskim pozostawiono decyzję co do m.in.:

– kwestii ustalenia kryteriów identyfikacji operatorów usług krytycznych,

– środków technicznych i organizacyjnych niezbędnych do podjęcia przez operatorów usług krytycznych i dostawców usług cyfrowych dla zarządzania ryzykiem,

– sposobu raportowania incydentów bezpieczeństwa,

– środków nadzorczych i kontrolnych przysługujących organom państwowym.

          Pod koniec 2020 roku UE dokonała rewizji ustawy NIS i przedstawiła propozycję nowej, kompleksowej regulacji zwanej NIS2. Dyrektywa NIS2 zobowiązuje państwa członkowskie UE do wprowadzenia rozwiązań, które zapewnią nowy, wyższy poziom zgodności, rozszerza też podmiotowy zakres infrastruktury cyfrowej, która ma podlegać jej regulacjom o wspomnianych wcześniej operatorów usług kluczowych. Ponadto, na podmioty objęte dyrektywą zostają nałożone większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, obsługi incydentów, czy efektywnego wykorzystania szyfrowania w komunikacji, analizy ryzyka, a także procesów testowania i audytu. Co ważne odpowiedzialność za wdrożenie tych regulacji i przystosowanie do nich podmiotów spoczywa na kierownictwie firm.

          Arkanet jako firma z 20 letnim doświadczeniem w dziedzinie bezpieczeństwa cyfrowego przyjęła za priorytet pomoc podmiotom objętym dyrektywą NIS2 we wdrożeniu wszystkich wymagań z nią związanych. Od roku 2002 przynosimy porady i usługi w szeroko pojętej dziedzinie sieci informatycznych oraz automatyki przemysłowej, a naszą ofertę ukształtowała wieloletnia współpraca z rzetelnymi, godnymi polecenia oraz globalnymi partnerami i producentami. Działamy z klientami od fazy rozeznania rzeczywistych potrzeb przez zakup, projekty pilotażowe po wdrożenia i szkolenia z zakresu oferowanych systemów bezpieczeństwa. Dzięki temu wieloletniemu doświadczeniu wiemy, że aby infrastruktura cyfrowa firmy była bezpieczna potrzebne jest uzupełnianie się nawzajem 3 elementów: narzędzi organizacji, ludzi oraz procedur. Te elementy są też rozwiązaniem dla spełniania wymogów dyrektywy UE. Co istotne, w każdym z tych aspektów Arkanet jest w stanie pomóc organizacji poprzez dobór odpowiednich narzędzi, szkolenie zasobów ludzkich, a także określenie procedur bezpieczeństwa.

          Wiemy też, że podstawą cyberbezpieczeństwa jest unifikacja – rozumiejące się elementy układu składające się na cyberbezpieczeństo wpływają na efektywność, a dzięki temu ograniczony zespół ludzki może lepiej zajmować się incydentami bezpieczeństwa. Dlatego silnie współpracujemy z ekspertami np. firmą Fortinet – światowym liderem produkującym zintegrowane sprzętowo systemy zarządzania zagrożeniami, który dostarcza na rynek szeroką gamę produktów do cyberobrony. Wśród nich są rozwiązania klasy NGFW (Next Generation Firewall) – Fortigate czyli zabezpieczenie styku sieci firmowej oraz sieci lokalnej, które chronią zarówno sieci informatyczne jak i przemysłowe. Rozwinięciem tego rozwiązania jest segmentacja poprzez wydzielenie osobno sieci przemysłowej i lokalnej z jednoczesnym odseparowaniem serwerów za pomocą FortiSwitchy, które to są linią produktów Fortinet stworzoną do zastosowania w centrach danych, w sieci szkieletowej oraz w oddziałach większych przedsiębiorstw.

          Wektorem ataku bywa też sieć Wi-Fi – za jej bezpieczeństwo odpowiadają AccesPointy, czyli urządzenia zapewniające hostom dostęp do sieci komputerowej za pomocą bezprzewodowego nośnika transmisyjnego. AccesPointy FotiAP wraz z trybem FortiLink pozwolą nam zaimplementować prosty sieciowy NAC. W większych sieciach możemy wdrożyć komercyjny system polskiego producenta NACVIEW albo FortiNAC, dzięki któremu będziemy mieli pełną kontrolę urządzeń firm trzecich podłączanych do systemu. Wdrożenie kontroli dzięki segmentacji i mikrosegementacji, pomiędzy sieciami przemysłowymi i informatycznymi, pomiędzy każdą aplikacją, serwerem, czy grupą komputerów w przypadku ataku pozwoli nam znacząco ograniczyć straty i zapewnić ciągłość działania biznesowego. Mówiąc jeszcze o bezpieczeństwie serwerów oraz urządzeń końcowych i mobilnych nie możemy zapomnieć o rozwiązaniach EDR i XDR takich producentów jak Fortinet, WithSecure (F-Secure) czy Eset, które poza ochroną antywirusową już na wczesnym etapie wykrywają celowane ataki hakerskie w sieć firmową.

          W ramach dyrektywy NIS oraz przepisów GDPR musimy pamiętać o raportowaniu i przechowywaniu logów – tu doskonale sprawdzi się FortiAnalyzer, którego rozwinięciem kiedy potrzebujemy raportów z całego naszego środowiska będzie oprogramowanie WhatsupGold. Natomiast jeżeli naszych urządzeń jest więcej, i należą one do rodziny produktów Fortinet, by ułatwić zarządzanie nimi warto skorzystać z jednej wspólnej konsoli w postaci FortiManagera.

          W celu silnego uwierzytelnienia dostępu do zasobów firmowych oraz w momencie, kiedy firma posiada sporą rzesze pracowników zdalnych niezbędne mogą okazać się rozwiązania firm: Wallix, Senhasegura czy Fortinet. Fortinet udostępnia w tym celu FortiClient VPN/EMS wraz z uwierzytelnieniem dwupoziomowym poprzez Fortitoken, dodatkowo aby zautomatyzować logowanie na różnych urządzeniach, na różnych systemach warto zaimplementować też FortAuthenticator – urządzenie do zarządzania tożsamością użytkowników. Natomiast jeśli potrzebujemy umożliwić dostęp do zasobów firmowych w prosty sposób, z każdego miejsca na świecie, to niezawodnym rozwiązaniem będzie Wallix Trustelem lub Senhasegura. Nie zapomnijmy również o zabezpieczeniu poczty firmowej, gdyż ta szczególnie narażona jest na ataki. Nie ma znaczenia czy pocztę posiadamy u operatora zewnętrznego, w chmurze Amazon, Azure, czy na własnym serwerze pocztowym zabezpieczyć możemy ją odpowiednim rozwiązaniem FortiMail. Jeśli natomiast nasza firmowa poczta opiera się na Miscrosoft365 to zabezpieczyć możemy ją także rozwiązaniami Eset, WithSecure(F-Secure). Omawiając ochronę poczty nie możemy zapomnieć o jej archiwizacji, do której posłużyć nam może oprogramowanie Mailstore.

          Elementem, który również należy chronić są strony internetowe oraz aplikacje wstawiane do sieci, np. portale b2b dla partnerów biznesowych. Jest to konieczne – z jednej strony by nie utracić ciągłości biznesowej, zaś z drugiej reputacji wizerunkowej, a tu idealnym rozwiązaniem jest kolejny produkt firmy Fortinet – FortiWeb, który zapewnia bezpieczeństwo aplikacji internetowych i XML firewall w celu ochrony, zachowania równowagi i przyspieszenia aplikacji internetowych, baz danych
i wymiany informacji między nimi.

          Istotna z perspektywy dyrektywy NIS2 jest ponadto kontrola dostępu uprzywilejowanego, w skrócie z języka angielskiego PAM (Privileged Access Management) – czyli monitorowania i nagrywania sesji, podczas których administratorzy i firmy zewnętrzne serwisują nasze serwery, aplikacje i maszyny produkcyjne. Do tego celu posłużyć może rozwiązanie Senhasegura lub Wallix Bastion z password managerem oraz autentykatorem.

          Ostatnim również bardzo ważnym elementem bezpieczeństwa dla operatorów usług krytycznych/kluczowych, który pozwoli im prowadzić działania w momencie np. ataku typu ransomware (jak we wspomnianym przykładzie służby zdrowia Irlandii) jest backup serwerów, zarówno fizycznych jak i wirtualnych oraz stacji roboczych. Możliwość dokonywania backupu danych w prosty i przystępny, ale także skuteczny sposób można znaleźć wśród produktów firm: XOPERO, NAKIVO, Storware, czy Acronis.

          Jak widać aby spełnić wymogi dyrektywy NIS2, na zabezpieczenia sieci należy patrzeć holistycznie, wykorzystując szerokie spektrum produktów cyberochrony i korzystając z wiedzy fachowców jakich można znaleźć w Arkanet.

          W przypadku jakichkolwiek pytań lub wątpliwości czy Twoja firma musi spełniać (i w jaki sposób) wytyczne dyrektywny NIS2 zapraszamy do kontakty z naszymi specjalistami: Przemysławem Leśniakiem – lesniak.p@arkanet.pl oraz Bartoszem Zającem – zajac.b@arkanet.pl.

          Ponadto wszystkich, którzy chcą poszerzyć swoją wiedzę z zakresu zabezpieczeń określonych dyrektywą NIS2 zapraszamy na cykl bezpłatnych webinariów dotyczący produktów, które wytyczne dyrektywy spełniają wraz z uzupełnieniem o kwestie prawne jej przepisów w kontekście zapisów ustawa o krajowym systemie cyberbezpieczeństwa.

Pierwszy webinar odbył się w dniu 29.04.2022 r. i przybliżał w praktyce działania protokołu FortiLink w urządzeniu Fortigate. Nagranie z webinaru można zobaczyć tuDrugi webinar o systemie kontroli dostępu odpowiedzialnego za sprawdzanie czy urządzenia mogą łączyć się z siecią, czyli NAC (Network Access Control) można obejrzeć tu. Trzeci webinar traktujący o uniwersalnym rozwiązaniu do zabezpieczania poczty firmowej – FortiMail, który miał miejsce 08.06.2022 r. zobaczycie tu. Czwarty z serii nagranie dotyczyło WithSecure Elements Vulnerability Management (RADAR) i można zobaczyć je tu.

          Obecnie czeka na Was już kolejny webinar: Ochrona Office 365, czyli rozwiązania firmy WitthSecure oraz Storware pozwalające chonić zbiór aplikacji i usług działających w chmurze firmy Microsoft – 05.07.2022 r., godzin 10.00 – ZAPISZ SIĘ

O kolejnych wydarzeniach z serii webinarów dotyczących europejskiej dyrektywy NIS2 będziemy informować na bieżąco.