Jak dostosować firmowy program cyberbezpieczeństwa do wymogów dyrektywy NIS

Materiał promocyjny Nie tak dawno temu, w połowie 2018 r. część średnich i dużych polskich firm zajmujących się tzw. usługami krytycznymi zostało objętych wymogami europejskiej dyrektywy NIS dotyczącej zarządzania ryzykiem i raportowania incydentów cyberbezpieczeństwa. Tymczasem najprawdopodobniej już w przyszłym roku można spodziewać się wejścia w życie jej nowej wersji, która rozszerzy listę podmiotów zobowiązanych do stosowania się do jej zapisów, zwiększy wymagania, a przy tym wprowadzi wyższe kary za naruszenia. Dowiedz się, jak skutecznie dostosować swój program bezpieczeństwa do wymogów obecnej, jak i przyszłej wersji dyrektywy przy wykorzystaniu technologii Fortinet.

Dyrektywa NIS została zaprezentowana w 2013 r. Po trwających trzy lata negocjacjach przyjęto ją jako pierwsze europejskie prawo w zakresie cyberbezpieczeństwa. Nakłada ono na kraje członkowskie zobowiązanie do wypracowania narodowej strategii bezpieczeństwa systemów sieciowych i informatycznych, ustanowienie jednostek CSIRT (Computer Security Incident Response Team) czyli Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego, stworzenie warunków do współpracy w tym obszarze i zapewnienie, że incydenty są właściwie oceniane oraz raportowane. W Polsce dyrektywa NIS została zaimplementowana w Ustawie o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 r.

Ze względu na dynamiczny rozwój technologiczny, cyfryzację biznesu i życia społecznego, a zarazem zmieniający się charakter zagrożeń, ale także duże różnice we wdrożeniach NIS w poszczególnych krajach członkowskich, Komisja Europejska stosunkowo szybko postanowiła dokonać rewizji przyjętych zapisów i doprecyzować te, które budziły wątpliwości, a przy okazji dostosować je do ciągle zmieniających się wyzwań. Zaowocowało to przedstawieniem w grudniu ubiegłego roku NIS 2, czyli drugiej wersji dyrektywy. Rozszerza ona m.in. listę podmiotów kluczowych objętych dyrektywą m.in. z przemysłu, sektora żywności, infrastruktury cyfrowej i administracji publicznej, stawia większe wymagania np. w zakresie analizy ryzyka, obsługi incydentów czy zabezpieczania łańcucha dostaw, a przy tym podnosi kary za jej naruszenia.

Każda organizacja prowadząca działalność na terenie kraju członkowskiego EU, a także Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) są zobowiązane do współpracy z organami właściwymi w danym państwie. W związku z tym każda firma powinna ustalić i nawiązać takie relacje z organami na poziomie krajowym lub międzynarodowym. Poniżej przedstawiamy kluczowe kroki, które należy wykonać, żeby przekonać się czy organizacja spełnia wymogi dyrektywy, a także przedstawiamy, w jaki sposób platforma Fortinet Security Fabric odpowiada na wyzwania stawiane przez NIS.

NIS krok po kroku

Jak zostało powiedziane wcześniej, każda organizacja powinna samodzielnie określić, czy jest zobowiązana do współpracy z właściwymi organami, a jeśli tak, to musi nawiązać takie relacje - na poziomie krajowym lub międzynarodowym. Identyfikacji odpowiedniego organu należy dokonać w oparciu o to, do jakiego sektora i branży określonej przez dyrektywę NIS zalicza się organizacja. NIS wprowadza podział organizacji na operatorów usług kluczowych i dostawców usług cyfrowych, a ponadto podział sektorowy i branżowy. Przykładowo w sektorze energii mamy: energię elektryczną, ropę i gaz. NIS 2 dodatkowo rozszerza tę listę o: centralne ogrzewanie i chłodzenie oraz wodór.

Kiedy nawiązane zostaną już relacje, należy przejść do kwestii samego cyberbezpieczeństwa. Na marginesie, warto wykorzystać wskazówki Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), które np. w przypadku organizacji działających w branży Energii elektrycznej określają standardy bezpieczeństwa: IEEE Standard 1402-2000, NERC CIP Series CIP-002 – CIP-011, ISO 27019 oraz NIST SP800-82.

Jednym z pierwszych zadań na naszej liście kontrolnej będzie identyfikowanie krytycznych zasobów i sieci. Poprawna realizacja tego zadania dostarczy nam pełnego obrazu środowiska, który jest fundamentem wszelkich działań w obszarze cyberbezpieczeństwa i zwiększy naszą skuteczność w ograniczaniu ryzyka. Dyrektywa NIS stwierdza, że podstawowym warunkiem poprawnej obsługi i raportowania incydentów jest wykrywanie i właściwa ich ocena. To z kolei jest możliwe tylko wówczas, jeśli wiemy kiedy i gdzie miały one miejsce.

W kolejnym kroku należy dokonać oceny obecnego stanu cyberbezpieczeństwa organizacji. Trzeba określić, czy istnieją jakieś luki w środowisku oraz czy można je wyeliminować w prosty sposób, a może wymagają one wdrożenia nowego rozwiązania. Niezwykle ważne jest przy tym holistyczne podejście do bezpieczeństwa. Stosowanie punktowych rozwiązań może powodować niepotrzebną nadmiarowość lub tworzyć powstawanie martwych pól, które nie będą odpowiednio monitorowane.

Właśnie dlatego warto stosować kompleksowe, zintegrowane rozwiązania oferujące wszystkie funkcje cyberbezpieczeństwa niezbędne danej organizacji. To tym ważniejsze, że NIS stawia wysoko poprzeczkę jeśli chodzi o obsługę incydentów i reagowanie. Jakiej odpowiedzi udzielimy na pytanie: czy jesteśmy w stanie neutralizować incydenty szybko i efektywnie? Odpowiedź będzie twierdząca tylko pod warunkiem, że mamy kompletny ogląd sytuacji, a jednocześnie mamy wszystkie narzędzia potrzebne, żeby spełnić wymogi stawiane przez organy.

Jednym z takich nieodzownych narzędzi są rozwiązania z kategorii threat intelligence. Wiedza na temat najważniejszych w danym momencie zagrożeń i grup przestępczych pozwala bardziej precyzyjnie rozwijać swoje możliwości w zakresie obrony. Warto przy tym zwrócić uwagę, że platforma taka nie może być zamknięta. Powinna umożliwiać wzbogacanie i integrowanie różnych danych pochodzących z wielu źródeł, np. pochodzących z jednostek CSIRT albo innych organizacji. Na tym bowiem buduje się współpracę, transparentność i raportowanie, czyli fundamenty dobrze działającego systemu bezpieczeństwa na wszystkich poziomach: organizacyjnym, sektorowym, państwowym i ogólnoeuropejskim.

Ostatnim istotnym krokiem związanym z zapewnieniem zgodności z NIS jest planowanie reagowania na incydenty i wypracowanie metryk bezpieczeństwa, które pozwolą na mierzenie poziomu ograniczania ryzyka.

Łatwiejsza zgodność

Kiedy przeszliśmy już przez naszą listę kontrolną, trzeba zastanowić się, czy na rynku dostępne są narzędzia, które pomogą nam zrealizować poszczególne punkty na liście wymogów. Odpowiedź jest oczywiście twierdząca. Jedna z dostępnych propozycji to Fortinet Security Fabric, niezwykle rozbudowana, zintegrowana, a przy tym zautomatyzowana platforma cyberbezpieczeństwa. Co więcej jest ona dostępna w różnych modelach konsumpcyjnych: od gotowych do użycia urządzeń dedykowanych przez maszyny wirtualne, chmurę i usługi SaaS (Security-as-a-Service), po czyste oprogramowanie.

W skład platformy wchodzi ponad 20 różnych produktów, które uzupełniają usługi FortiGuard Services, a także ponad 360 rozwiązań wypracowanych przez największy w branży cyberbezpieczeństwa ekosystem partnerski. Tak szerokie spektrum funkcji oferowanych przez Fortinet Security Fabric sprawia, że pokrywa ona całą cyfrową powierzchnię ataku i w konsekwencji umożliwia lepsze zarządzanie ryzykiem. Natomiast dzięki zaangażowaniu sztucznej inteligencji przyspiesza ona szybkość nie tylko bieżących operacji, ale także reagowania na incydenty.

Nie sposób w tym miejscu omówić wszystkich produktów wchodzących w skład Fortinet Security Fabric. Warto natomiast wspomnieć o wspólnym elemencie integrującym wszystkie elementy platformy: to FortiManager, nowoczesna konsola, która z poziomu jednego ekranu zapewnia dostęp do wszystkich funkcji oraz informacji istotnych z punktu widzenia zapewniania zgodności z dyrektywą NIS. Umożliwia ona centralne zarządzanie tysiącami urządzeń, polityk, obiektów we wszystkich lokalizacjach składających się na firmowe środowisko a wszystko to przy wykorzystaniu gotowych szablonów i mechanizmów automatyzacji przepływów pracy, które znacznie przyspieszają działania i ograniczają błędy.

Platforma Fortinet Security Fabric opracowana i rozwijana przez Fortinet, wiodącego dostawcę rozwiązań cyberbezpieczeństwa na globalnym rynku, znacznie ułatwia zapewnienie zgodności z NIS a w przyszłości także NIS 2, ponieważ zapewnia ochronę dla wszystkich elementów infrastruktury, a dzięki temu szeroko otwiera drzwi do innowacji i cyfrowej transformacji.

Sprawdź, czy Twoja organizacja spełnia wymogi NIS w 6 krokach i poznaj nasze rekomendacje

1. Jako organizacja działająca w państwie członkowskim lub jako zespół CSIRT państwa członkowskiego trzeba współpracować z odpowiednimi organami.

Rekomendacja: Dokonaj identyfikacji organów właściwych i nawiąż relacje z odpowiednimi zespołami krajowymi i/lub międzynarodowymi.

2. Czy Twoja organizacja zalicza się do podmiotów wskazywanych przez NIS?

Rekomendacja: Klasyfikacja NIS dostarcza szczegółowych wytycznych dla danego sektora. Należy określić organ właściwy, który nadzoruje zgodność z NIS w Twoim sektorze.

3. Sprawdź swój obecny stan bezpieczeństwa. Czy istnieją luki w obrazie całego środowiska? Czy można je szybko naprawić? Czy potrzebne są nowe rozwiązania?

Rekomendacja: Punktowe czy etapowe implementowanie rozwiązań może tworzyć niepotrzebną redundancję albo luki w widoczności. Trzeba wykorzystywać kompleksowe rozwiązania bezpieczeństwa.

4. Kontynuacją kroku 3 jest sprawdzenie czy posiadane narzędzia oferują obsługę incydentów i umożliwiają reagowanie? Czy można łatwo i szybko wykryć oraz zneutralizować incydent?

Rekomendacja: Zwiększona widoczność wymaga skutecznego wykrywania i reagowania. Sprawdź, jakie możliwości oferują posiadane narzędzia. Czy pomagają one w skutecznym wypełnieniu wymagań określonych przez organy właściwe?

5. Czy Twoja organizacja korzysta obecnie z rozwiązań threat intelligence i/lub wzbogacania danych? Wiedza o bieżących zagrożeniach i grupach cyberprzestępczych ma kluczowe znaczenie dla rozwoju systemu bezpieczeństwa.

Rekomendacja: Warto wybrać platformę lub dodatkowe rozwiązanie, które umożliwi łatwą integrację i wzbogacanie danych. Potencjalne źródła to CSIRT-y oraz firmy specjalizujące się w usługach cyberbezpieczeństwa.

6. Czy Twoja organizacja posiada plan reagowania na incydenty i odpowiednie metryki bezpieczeństwa? Jak dzisiaj zareagowałby Twój zespół na incydent? Czy udałoby się spełnić wymagania stawiane przez NIS?

Rekomendacja: Dokonaj oceny aktualnego stanu cyberbezpieczeństwa i ograniczania ryzyka. Weź pod uwagę, jakie środki, pozatechnologiczne, są wykorzystywane do skutecznego wykrywania, reagowania i zgłaszania incydentów.