W poprzednim artykule skupiliśmy się na terminie wdrożenia dyrektywy NIS2, podmiotach, które zostały objęte przepisami oraz obowiązkami wynikającymi z nowelizacji. Tym razem skupimy się na metodach podniesienia bezpieczeństwa cybernetycznego w świetle NIS2. Podpowiemy kilka dobrych praktyk oraz dorzucimy coś ekstra – ISO 27001.
Zgodność z NIS2 – od czego zacząć?
Zapewne wielu przedsiębiorców zadaje sobie to pytanie. Na szczęście 24 kwietnia tego roku Ministerstwo Cyfryzacji przedstawiło projekt nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa, która uwzględnia przepisy unijnej dyrektywy NIS2. Jak będzie wyglądała adaptacja przepisów na polskim podwórku?
Zwiększenie bezpieczeństwa cybernetycznego w świetle NIS2
Polska interpretacja nowelizacji przewiduje zapewnienie cyberbezpieczeństwa na poziomie krajowym, a w szczególności niezakłóconego świadczenia usług kluczowych i cyfrowych. Przepisy zobowiązują także do osiągnięcia odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych koniecznych do świadczenia tych usług.
W porządku, ale w jaki sposób można osiągnąć odpowiednio wysoki poziom zabezpieczeń? Jako eksperci z długoletnim stażem w cyberbezpieczeństwie przypomnimy parę standardów.
Polityki bezpieczeństwa jako punkt wyjściowy
Polityki bezpieczeństwa cybernetycznego stanowią zespół zasad i procedur wdrażane po to, aby organizacje mogły chronić swoje systemy i dane. Przykładami takich polityk mogą być:
- Polityka zarządzania dostępem – to ogólna strategia lub zestaw reguł, które opisują, kto ma dostęp do określonych zasobów w systemie informatycznym oraz w jaki sposób ten dostęp jest kontrolowany. Przykładem narzędzia używanym do wdrażania polityki zarządzania dostępem jest Access Control List (ACL), czyli lista reguł określających, które jednostki mają dostęp do określonych zasobów sieciowych oraz jakie działania mogą na tych zasobach wykonywać. Inną przydatną techniką będzie też Role-Based Access Control (RBAC) polegający na przydzielaniu dostępu na podstawie pełnionych ról w organizacji. Można też rozważyć mikrosegmentację sieci, która polega na podziale sieci komputerowej na mniejsze, izolowane fragmenty z własnymi zasadami dostępu i kontroli;
- Polityka tworzenia haseł – dotyczy wymagań związanych z tworzeniem, zmianą i przechowywaniem haseł na kontach wszystkich pracowników. Administratorom sieci przyda się Windows LAPS, o którym pisaliśmy w tym artykule. Narzędzie wspomaga tworzenie silnych, unikalnych i losowych haseł na lokalnych kontach;
- Polityka bezpieczeństwa sieci – opisuje zasady zarządzania i ochrony sieci organizacji. Może obejmować zasady konfiguracji firewalla, VPN, detekcji intruzów i monitoringu sieci. Przykładami technik wykorzystywanych w tym obszarze są Intrusion Detection System oraz Intrusion Prevention System, które monitorują ruch sieciowy, poszukują niepożądanych zachowań lub wykrywają próby ataku (IDS) oraz podejmują działania mające na celu zatrzymanie lub blokowanie ataków (IPS).
Higiena pracy
Jednym z kluczowych elementów podnoszenia bezpieczeństwa cybernetycznego organizacji może być wprowadzenie lub poprawa higieny pracy. Składają się na nią między innymi:
- Edukacja i szkolenia – przeprowadzane regularnie mogą zwiększyć świadomość pracowników na temat zagrożeń, takich jak phishing, malware lub inżyniera społeczna;
- Wdrożenie autoryzacji dwuetapowej (2FA) lub wieloetapowej (MFA) – znacząco zwiększają poziom bezpieczeństwa, ponieważ wymagają od pracowników dodatkowego potwierdzenia oprócz samego hasła, np. w postaci kodu generowanego przez aplikację mobilną lub SMS-a. W tym obszarze pomogą narzędzia od WatchGuard takie jak AuthPoint MFA;
- Regularne aktualizacje oprogramowania i systemów – zapewniają ochronę przed znanymi lukami i exploitami. Mogą obejmować regularne harmonogramy aktualizacji, procedury testowania i wdrażania patchy oraz zarządzanie wersjami.
Wykorzystanie EDR oraz XDR w zwiększaniu poziomu cyberbezpieczeństwa
Endpoint Detection and Response (EDR) to rozwiązanie monitorujące działania na urządzeniach końcowych (komputery, laptopy, smartfony, itp.). Narzędzie tego typu gromadzi dane o zachowaniach użytkowników czy ruchu sieciowym oraz szybko identyfikuje podejrzane aktywności i złośliwe oprogramowanie, aby następnie podjąć odpowiednie działanie. EDR wykrywa także nieznane i niestandardowe ataki.
Extended Detection and Response (XDR) rozszerza zakres detekcji i reakcji na różne warstwy infrastruktury IT, obejmując, m. in. urządzenia końcowe, sieć, chmurę czy aplikacje. XDR pozwala na holistyczne podejście do bezpieczeństwa, identyfikując i analizując zagrożenia na kilku frontach jednocześnie. Zgromadzenie danych z różnych źródeł dostarcza bardziej kompleksową analizę zagrożeń. Prowadzi to do skuteczniejszej reakcji na incydenty i szybszego wykrywania ataków.
Audyty bezpieczeństwa jako narzędzie do weryfikacji skuteczności
Audyt bezpieczeństwa może okazać się skutecznym narzędziem do sprawdzenia czy wdrożone metody rzeczywiście pełnią swoje role. Wyniki pomogą zidentyfikować słabe punkty i potrzeby oraz dostarczą informacji na temat ewentualnych luk w zabezpieczeniach oraz sposobów ich naprawy. Na audyt mogą składać się takie czynności jak:
- Ocena zgodności z politykami bezpieczeństwa – pomaga w sprawdzeniu czy organizacja przestrzega ustalonych wewnętrznych polityk i procedur bezpieczeństwa;
- Analiza incydentów i zdarzeń – przeprowadzana w celu ocenienia czy zastosowane metody skutecznie zapobiegają, wykrywają i reagują na potencjalne zagrożenia;
- Testowanie skuteczności kontroli dostępu – poprzez, np. testy penetracyjne, aby ocenić czy zastosowane metody takie jak autoryzacja dwuetapowa czy izolacja segmentów sieci są skuteczne;
- Ocena zgodności z wymogami regulacyjnymi – aby sprawdzić, czy organizacja przestrzega konkretnych przepisów dotyczących bezpieczeństwa danych;
- Analiza wydajności systemów zabezpieczeń – obejmująca firewalle, systemy detekcji intruzów czy rozwiązania antywirusowe.
NIS2 a norma ISO 27001
Normy ISO nadal odgrywają fundamentalną rolę w świecie współczesnego biznesu. Wyznaczają standardy i najlepsze praktyki w wielu dziedzinach. Norma ISO/IEC 27001 wykazuje duży stopień pokrycia w zakresie wymagań stawianych przez NIS2. Wdrożenie ISO 27001 może nie tylko ułatwić dostawcom usług kluczowych i ważnych osiągnięcie zgodności z NIS2, ale również szereg innych korzyści takich jak wzrost zaufania klientów i poprawa reputacji.
Jakie są punkty wspólne dla ISO 27001 i NIS2?
- ISO 27001oraz NIS2 dotyczą bezpieczeństwa informacji, określają wymagania dla organizacji. Co więcej, w obu obszarach kładzie się nacisk na rolę kierownictwa w obszarze zarządzania;
- ISO 27001 opisuje kompleksowe podejście do zarządzania ryzykiem, które przewiduje identyfikację, ocenę, akceptację i kontrolę ryzyka. Te same procesy można wykorzystać do oceny ryzyka związanego z bezpieczeństwem sieci i informacji przewidzianych w NIS2;
- Opracowanie i wdrożenie polityk oraz procedur bezpieczeństwa informacji obejmujących zarządzanie dostępem, zarządzanie hasłami, zarządzanie incydentami, itp. również są częścią ISO 27001. Te same polityki i procedury mogą zostać dostosowane lub rozszerzone zgodnie z wymogami NIS2;
- ISO 27001 wymaga stworzenia procesu audytu bezpieczeństwa informacji, który może służyć do regularnej oceny skuteczności środków bezpieczeństwa oraz zgodności z wymaganiami dyrektywy NIS2;
- Zarządzanie incydentami obejmujące szybką identyfikację, raportowanie, analizę i reakcję na incydenty bezpieczeństwa informacji są także czynnościami przewidzianymi w normie ISO 27001. Wdrożenie tych procesów także pomoże sprostać wymaganiom NIS2 pod kątem konieczności raportowania incydentów;
- ISO 27001 kładzie także nacisk na podnoszenie świadomości oraz szkolenie pracowników w zakresie bezpieczeństwa informacji. Ta kwestia również zawiera się w przepisach NIS2;
- Regularnie monitorowanie i ocena skuteczności środków bezpieczeństwa informacji także są wymagane przez ISO 27001. Ten sam proces może okazać się użyteczny w kontekście NIS2.
Co prawda ISO 27001 oraz NIS2 są komplementarne, ale wdrożenie normy nie gwarantuje automatycznej zgodności z przepisami dyrektywy. Po więcej informacji zapraszamy do kontaktu z naszym działem handlowym, który rozwieje wszelkie wątpliwości i pomoże uzyskać kompleksowe wsparcie w procesie wdrażania.
Redaktorka Net Complex Blog