Nadchodzi NIS2: jak zadbać o infrastrukturę sieciową

Zbliża się termin wejścia w życie postanowień nowej europejskiej dyrektywy regulującej zasady cyberbezpieczeństwa i odporności organizacji i przedsiębiorstw. W jaki sposób wpływają one na konieczność modernizacji elementów sieci IT?

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU: JAKIE SĄ NAJWAŻNIEJSZE ELEMENTY PRZYGOTOWANIA ORGANIZACJI DO NOWYCH REGULACJI? CO NOWE WYMOGI OZNACZAJĄ DLA DZIAŁÓW IT? KTÓRE ROZWIĄZANIA POZWOLĄ NA ZWIĘKSZENIE BEZPIECZEŃSTWA SIECI I OGRANICZĄ NEGATYWNE SKUTKI EWENTUALNYCH ATAKÓW? CO W TYM OBSZARZE MOŻNA ZROBIĆ JUŻ TERAZ I BEZ ZNACZĄCYCH DODATKOWYCH KOSZTÓW?

Dyrektywa NIS2 to najpoważniejsze obecnie wyzwanie dla menedżerów zajmujących się bezpieczeństwem danych oraz infrastrukturą IT. Nie tylko wprowadza ona nowe, bardziej wymagające, zasady zarządzania siecią i reagowania na incydenty bezpieczeństwa, ale też znacznie poszerza katalog organizacji, które muszą te zasady stosować[1].

W Strefie Wiedzy o NIS2 pisaliśmy wielokrotnie. Najważniejsze informacje o nadchodzących zmianach można znaleźć w materiałach o zapisach dyrektywy oraz o wymaganiach technicznych.

Cyberbezpieczeństwo na nowo

Spójrzmy zatem, co powinni zrobić menedżerowie, aby nie dać się nieprzyjemnie zaskoczyć nadchodzącymi zmianami.

Przygotowanie organizacji do wymagań UE musi obejmować cztery główne obszary. Pierwszym, oczywiście, jest analiza ryzyka, stanu bezpieczeństwa informatycznego organizacji oraz audyt infrastruktury sieciowej. Na tym etapie należy zidentyfikować słabe punktu w łańcuchu zabezpieczeń – mogą to być przestarzałe urządzenia, systemy pozbawione wsparcia producenta i aktualizacji, a także rozwiązania techniczne, których konstrukcja i zasady działania uniemożliwiają zapewnienie wysokiego poziomu bezpieczeństwa danych.

Prawidłowo przeprowadzona analiza na tym etapie powinna również obejmować zidentyfikowanie najbardziej cennych danych oraz potencjalnego ryzyka dla tych zasobów, a także stworzenie zasad dostępu do tych informacji.

Drugim obszarem, którym organizacja będzie musiała się zająć w efekcie wdrożenia regulacji NIS2 to bezpieczeństwo łańcucha dostaw. Wynika to z faktu, że coraz częściej ataki – i to te najbardziej skuteczne i przynoszące największe straty – prowadzone są nie przez własną sieć ofiary, ale przez usługi i urządzenia dostawców i partnerów biznesowych[2]. W świetle przepisów NIS2 przygotowanie organizacji w dziedzinie cyberbezpieczeństwa powinno obejmować całą sieć i systemy teleinformatyczne – również te jej elementy, które są dostarczane lub udostępniane przez inne organizacje. To niezwykle skomplikowane wyzwanie, które zmusza do uwzględnienia takich elementów, jak cyberodporność dostawców, bezpieczeństwo rozwiązań open source, czy kodu tworzonego przez zewnętrznych deweloperów.

Kolejnym krokiem winno być przygotowanie planu zarządzania incydentami bezpieczeństwa. Tu regulacje NIS2 są bardzo konkretne i dość szczegółowo opisują, co i w jakim czasie powinno się wydarzyć w razie wystąpienia ataku lub awarii. Wprowadzają również obowiązek dokumentowania takich zdarzeń i dzielenia się informacjami z innymi.

I wreszcie to, co łączy się z planem zarządzania incydentami, czyli zapewnienie ciągłości działania. Organizacje, które są objęte regulacjami NIS2 muszą dysponować strategią utrzymania ciągłości operacji – np. po awarii systemów IT, utracie części danych, odcięciu od serwerowni czy chmury.

Jak te ogólne zasady przekładają się na obowiązki działów IT i cyberbezpieczeństwa w odniesieniu do zarządzania infrastrukturą sieciową?

Aktualizacja i właściwa konfiguracja urządzeń

Dyrektywa NIS2 wprost wymaga działań gwarantujących aktualność oprogramowania sterującego urządzeniami. W wielu organizacjach, zwłaszcza takich, które nie dysponują własnym zespołem IT i korzystają z usług mniejszych dostawców, to poważne wyzwanie. Z kolei w firmach, korzystających ze zintegrowanych usług zarządzania infrastrukturą lub w takich, gdzie funkcjonują działy IT to zadanie najprostsze do wykonania i praktycznie pozbawione dodatkowych kosztów.

Ale aktualizacja oprogramowania to nie wszystko. Administratorzy powinni również wyłączyć nieużywane usługi oraz zmienić domyślne hasła na silne i unikalne dla każdego urządzenia. Regularna aktualizacja oprogramowania routerów, przełączników czy firewalli, instalowanie łatek powinno być jednym z rutynowych działań. Nawet jeżeli dotąd tak się nie działo, NIS2 takie działania wymusi.

NIS2 nakłada również obowiązek monitorowania ruchu sieciowego, konieczne może się okazać uruchomienie systemów wykrywania zagrożeń i analizowania logów systemowych.

Kontrola dostępu

Network Access Control (NAC) to zestaw technologii i polityk, które zapewniają kontrolę dostępu do sieci komputerowej przez urządzenia i użytkowników. Tworząc takie zasady, możemy określić kto i do jakich zasobów ma dostęp – niezależnie od tego, w jakim miejscu się znajduje i z jakich urządzeń korzysta. To szczególnie istotne w czasach pracy zdalnej i hybrydowej – użytkownik może bowiem używać zarówno urządzeń typu PC, jak i mobilnych do uzyskiwania dostępu do zasobów przedsiębiorstwa.

Tego rodzaju wdrożenia pozwalają również monitorować ruch sieciowy i wykrywać niestandardowe – czyli podejrzane – zachowania użytkowników. Umożliwiają one również, jeśli zajdzie taka potrzeba, odcięcie zainfekowanego urządzenia od sieci lub zablokowanie dostępu do zasobów „podejrzanemu” użytkownikowi. Ich częścią może być ochrona przed złośliwym oprogramowaniem, moduł kontrolujący zawartość urządzeń użytkowników czy pozwalający na wymianę danych z innymi narzędziami cyberbezpieczeństwa, takimi jak systemy SIEM i IDS/ISP[3].

Rozwiązania tego typu oferuje wiele firm i, mimo że rynek jest bardzo konkurencyjny, nie są to platformy tanie. Rozważając koszty wdrożenia systemów kontroli dostępu, warto jednak pomyśleć również o potencjalnych kosztach ataku oraz o karach za niespełnienie wymogów przewidzianych przez NIS2.

Nie sposób nie wspomnieć tu o fundamentalnej zasadzie przewidzianej przez NIS2, która powinna zostać wdrożona we wszystkich organizacjach. To wieloskładnikowa weryfikacja tożsamości (MFA), co zwykle oznacza, że aby zalogować się do systemu użytkownik musi zademonstrować „coś, co wie” (zwykle mocne hasło) oraz „coś, co ma” (zwykle inne urządzenie lub klucz sprzętowy). To kolejne stosunkowo proste rozwiązanie pozwalające znacząco podnieść bezpieczeństwo infrastruktury IT przez praktyczne wyeliminowanie skutków wykradzenia lub wycieku nazw użytkowników i ich haseł dostępu[4].

Zerowe zaufanie

Technologicznym rozwiązaniom zwiększającym bezpieczeństwo sieci i wprowadzającym udoskonalone mechanizmy kontroli dostępu towarzyszy nowa filozofia przyznawania uprawnień użytkownikom i urządzeniom w sieci. Zasada zerowego zaufania (Zero Trust Network Access, ZTNA) zakłada, że żaden użytkownik i żadne urządzenie, nawet jeśli znajduje się wewnątrz firmowej sieci, nie jest godne zaufania. Dostęp do zasobów jest kontrolowany za każdym razem – a nie tylko raz, na początku, jak w konwencjonalnych rozwiązaniach[5].

Decyzje o przyznaniu dostępu mogą zależeć nie tylko od weryfikacji tożsamości, ale również od kontekstu – lokalizacji użytkownika, stanu urządzenia czy rodzaju aplikacji i danych. ZTNA wprowadza tym samym istotną różnicę np. w porównaniu z sieciami VPN. Łącząc się z zewnątrz przez VPN, użytkownik otrzymuje dostęp raz i do całej sieci. Sieci oparte na zasadzie zerowego zaufania kontrolują dostęp na bieżąco – i mogą ten dostęp zablokować w razie wykrycia podejrzanej aktywności.

Tu trzeba jednak powiedzieć wprost, że wdrożenie sieci ZTNA wymaga nie tylko inwestycji w infrastrukturę, ale również w zmianę kultury organizacyjnej i przekonanie użytkowników do zalet takiego rozwiązania. Oznacza to prowadzenie szkoleń z zakresu cyberbezpieczeństwa dla pracowników – szkolenia takie są zresztą również przewidziane w dyrektywie NIS2.

Segmentacja sieci

Podzielenie sieci na mniejsze części (coraz częściej mówi się obecnie o mikrosegmentacji) to kluczowy element dbałości o bezpieczeństwo danych. Odizolowanie części sieci pozwala na lepszą kontrolę dostępu do niej. Co więcej, umożliwia to minimalizowanie skutków potencjalnych awarii oraz ataków. Nieprawidłowości sprzętowe w jednym miejscu sieci nie będą dzięki temu skutkować zaburzeniami w przepływie danych w innym segmencie.

Jeszcze większe znaczenie segmentacja ma w przypadku zapobiegania poważnym skutkom ataków. W razie przedostania się atakujących do jednej części sieci, ich działania łatwiej ograniczyć, odcinając zainfekowany obszar.

Nie ma jednak róży bez kolców: segmentacja sieci oznacza, że administrator musi zadbać o sprawny przepływ danych między sektorami w sieci.

Najważniejsze wnioski

Październikowy termin implementacji całości dyrektywy NIS2 to polskiego systemu prawnego niemal na pewno nie zostanie dotrzymany. Obecny plan prac Ministerstwa Cyfryzacji zakłada realne wejście w życie tych regulacji w połowie 2025 roku. Nie oznacza to jednak, że organizacje i ich działy IT oraz cyberbezpieczeństwa mają dużo czasu na działanie. Jest wręcz odwrotnie – wdrożenie niezbędnych rozwiązań oraz ewentualny zakup systemów i usług na pewno potrwa. Kary za niestosowanie się do zasad przewidzianych w NIS2 są natomiast bardzo wysokie[6]. Jeszcze wyższe mogą okazać się finansowe skutki udanego ataku na nieprzygotowaną organizację.

[1] https://pti.org.pl/wp-content/uploads/2024/06/6_NIS2.pdf

[2] https://www.fortinet.com/resources/cyberglossary/supply-chain-attacks

[3] https://www.politykabezpieczenstwa.pl/pl/a/co-to-jest-network-access-control-nac

[4] https://jumpcloud.com/blog/multi-factor-authentication-statistics

[5] https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna-

[6] https://dyrektywa-nis2.eu/kary-za-naruszenia-nis2/