Jak dostosować firmowy program cyberbezpieczeństwa do wymogów dyrektywy NIS

Dyrektywa NIS została zaprezentowana w 2013 r. Po trwających trzy lata negocjacjach przyjęto ją jako pierwsze europejskie prawo w zakresie cyberbezpieczeństwa. Nakłada ono na kraje członkowskie zobowiązanie do wypracowania narodowej strategii bezpieczeństwa systemów sieciowych i informatycznych, ustanowienie jednostek CSIRT (Computer Security Incident Response Team) czyli Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego, stworzenie warunków do współpracy w tym obszarze i zapewnienie, że incydenty są właściwie oceniane oraz raportowane. W Polsce dyrektywa NIS została zaimplementowana w Ustawie o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 r.

Ze względu na dynamiczny rozwój technologiczny, cyfryzację biznesu i życia społecznego, a zarazem zmieniający się charakter zagrożeń, ale także duże różnice we wdrożeniach NIS w poszczególnych krajach członkowskich, Komisja Europejska stosunkowo szybko postanowiła dokonać rewizji przyjętych zapisów i doprecyzować te, które budziły wątpliwości, a przy okazji dostosować je do ciągle zmieniających się wyzwań. Zaowocowało to przedstawieniem w grudniu ubiegłego roku NIS 2, czyli drugiej wersji dyrektywy. Rozszerza ona m.in. listę podmiotów kluczowych objętych dyrektywą m.in. z przemysłu, sektora żywności, infrastruktury cyfrowej i administracji publicznej, stawia większe wymagania np. w zakresie analizy ryzyka, obsługi incydentów czy zabezpieczania łańcucha dostaw, a przy tym podnosi kary za jej naruszenia.

Każda organizacja prowadząca działalność na terenie kraju członkowskiego EU, a także Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) są zobowiązane do współpracy z organami właściwymi w danym państwie. W związku z tym każda firma powinna ustalić i nawiązać takie relacje z organami na poziomie krajowym lub międzynarodowym. Poniżej przedstawiamy kluczowe kroki, które należy wykonać, żeby przekonać się czy organizacja spełnia wymogi dyrektywy, a także przedstawiamy, w jaki sposób platforma Fortinet Security Fabric odpowiada na wyzwania stawiane przez NIS.

NIS krok po kroku

Jak zostało powiedziane wcześniej, każda organizacja powinna samodzielnie określić, czy jest zobowiązana do współpracy z właściwymi organami, a jeśli tak, to musi nawiązać takie relacje - na poziomie krajowym lub międzynarodowym. Identyfikacji odpowiedniego organu należy dokonać w oparciu o to, do jakiego sektora i branży określonej przez dyrektywę NIS zalicza się organizacja. NIS wprowadza podział organizacji na operatorów usług kluczowych i dostawców usług cyfrowych, a ponadto podział sektorowy i branżowy. Przykładowo w sektorze energii mamy: energię elektryczną, ropę i gaz. NIS 2 dodatkowo rozszerza tę listę o: centralne ogrzewanie i chłodzenie oraz wodór.

Kiedy nawiązane zostaną już relacje, należy przejść do kwestii samego cyberbezpieczeństwa. Na marginesie, warto wykorzystać wskazówki Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), które np. w przypadku organizacji działających w branży Energii elektrycznej określają standardy bezpieczeństwa: IEEE Standard 1402-2000, NERC CIP Series CIP-002 – CIP-011, ISO 27019 oraz NIST SP800-82.

Jednym z pierwszych zadań na naszej liście kontrolnej będzie identyfikowanie krytycznych zasobów i sieci. Poprawna realizacja tego zadania dostarczy nam pełnego obrazu środowiska, który jest fundamentem wszelkich działań w obszarze cyberbezpieczeństwa i zwiększy naszą skuteczność w ograniczaniu ryzyka. Dyrektywa NIS stwierdza, że podstawowym warunkiem poprawnej obsługi i raportowania incydentów jest wykrywanie i właściwa ich ocena. To z kolei jest możliwe tylko wówczas, jeśli wiemy kiedy i gdzie miały one miejsce.

W kolejnym kroku należy dokonać oceny obecnego stanu cyberbezpieczeństwa organizacji. Trzeba określić, czy istnieją jakieś luki w środowisku oraz czy można je wyeliminować w prosty sposób, a może wymagają one wdrożenia nowego rozwiązania. Niezwykle ważne jest przy tym holistyczne podejście do bezpieczeństwa. Stosowanie punktowych rozwiązań może powodować niepotrzebną nadmiarowość lub tworzyć powstawanie martwych pól, które nie będą odpowiednio monitorowane.

Właśnie dlatego warto stosować kompleksowe, zintegrowane rozwiązania oferujące wszystkie funkcje cyberbezpieczeństwa niezbędne danej organizacji. To tym ważniejsze, że NIS stawia wysoko poprzeczkę jeśli chodzi o obsługę incydentów i reagowanie. Jakiej odpowiedzi udzielimy na pytanie: czy jesteśmy w stanie neutralizować incydenty szybko i efektywnie? Odpowiedź będzie twierdząca tylko pod warunkiem, że mamy kompletny ogląd sytuacji, a jednocześnie mamy wszystkie narzędzia potrzebne, żeby spełnić wymogi stawiane przez organy.

Jednym z takich nieodzownych narzędzi są rozwiązania z kategorii threat intelligence. Wiedza na temat najważniejszych w danym momencie zagrożeń i grup przestępczych pozwala bardziej precyzyjnie rozwijać swoje możliwości w zakresie obrony. Warto przy tym zwrócić uwagę, że platforma taka nie może być zamknięta. Powinna umożliwiać wzbogacanie i integrowanie różnych danych pochodzących z wielu źródeł, np. pochodzących z jednostek CSIRT albo innych organizacji. Na tym bowiem buduje się współpracę, transparentność i raportowanie, czyli fundamenty dobrze działającego systemu bezpieczeństwa na wszystkich poziomach: organizacyjnym, sektorowym, państwowym i ogólnoeuropejskim.

Ostatnim istotnym krokiem związanym z zapewnieniem zgodności z NIS jest planowanie reagowania na incydenty i wypracowanie metryk bezpieczeństwa, które pozwolą na mierzenie poziomu ograniczania ryzyka.

Łatwiejsza zgodność

Kiedy przeszliśmy już przez naszą listę kontrolną, trzeba zastanowić się, czy na rynku dostępne są narzędzia, które pomogą nam zrealizować poszczególne punkty na liście wymogów. Odpowiedź jest oczywiście twierdząca. Jedna z dostępnych propozycji to Fortinet Security Fabric, niezwykle rozbudowana, zintegrowana, a przy tym zautomatyzowana platforma cyberbezpieczeństwa. Co więcej jest ona dostępna w różnych modelach konsumpcyjnych: od gotowych do użycia urządzeń dedykowanych przez maszyny wirtualne, chmurę i usługi SaaS (Security-as-a-Service), po czyste oprogramowanie.

W skład platformy wchodzi ponad 20 różnych produktów, które uzupełniają usługi FortiGuard Services, a także ponad 360 rozwiązań wypracowanych przez największy w branży cyberbezpieczeństwa ekosystem partnerski. Tak szerokie spektrum funkcji oferowanych przez Fortinet Security Fabric sprawia, że pokrywa ona całą cyfrową powierzchnię ataku i w konsekwencji umożliwia lepsze zarządzanie ryzykiem. Natomiast dzięki zaangażowaniu sztucznej inteligencji przyspiesza ona szybkość nie tylko bieżących operacji, ale także reagowania na incydenty.

Nie sposób w tym miejscu omówić wszystkich produktów wchodzących w skład Fortinet Security Fabric. Warto natomiast wspomnieć o wspólnym elemencie integrującym wszystkie elementy platformy: to FortiManager, nowoczesna konsola, która z poziomu jednego ekranu zapewnia dostęp do wszystkich funkcji oraz informacji istotnych z punktu widzenia zapewniania zgodności z dyrektywą NIS. Umożliwia ona centralne zarządzanie tysiącami urządzeń, polityk, obiektów we wszystkich lokalizacjach składających się na firmowe środowisko a wszystko to przy wykorzystaniu gotowych szablonów i mechanizmów automatyzacji przepływów pracy, które znacznie przyspieszają działania i ograniczają błędy.

Platforma Fortinet Security Fabric opracowana i rozwijana przez Fortinet, wiodącego dostawcę rozwiązań cyberbezpieczeństwa na globalnym rynku, znacznie ułatwia zapewnienie zgodności z NIS a w przyszłości także NIS 2, ponieważ zapewnia ochronę dla wszystkich elementów infrastruktury, a dzięki temu szeroko otwiera drzwi do innowacji i cyfrowej transformacji.