W ostatnich latach, wraz z dynamicznym rozwojem technologicznym i rosnącą cyfryzacją gospodarki, kwestie bezpieczeństwa cybernetycznego stały się priorytetem dla rządów i przedsiębiorstw na całym świecie. Polska, w odpowiedzi na te globalne trendy oraz unijną dyrektywę NIS2, przygotowuje się do wprowadzenia nowej Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Jej celem jest zwiększenie odporności krajowej infrastruktury krytycznej na cyberataki oraz stworzenie spójnego i efektywnego systemu zarządzania ryzykiem w cyberprzestrzeni. Projekt nowelizacji ustawy KSC zakłada wprowadzenie szeregu zmian mających na celu dostosowanie polskiego prawa do wymogów dyrektywy NIS2, co wiąże się z nowymi obowiązkami dla wielu sektorów gospodarki. Ustawa KSC ma wejść w życie w najbliższych miesiącach, a jej przepisy będą miały realny wpływ na funkcjonowanie podmiotów kluczowych i ważnych, które będą musiały wdrożyć odpowiednie procedury i mechanizmy bezpieczeństwa.
Jednym z najważniejszych elementów będących podstawą dla procesu implementacji wymogów Ustawy KSC, jest audyt bezpieczeństwa IT. Firmy z różnych branż, które mają zostać objęte nową ustawą, wykazują obecnie ogromne zainteresowanie tematyką zagrożeń w sieciach przemysłowych oraz kwestiami związanymi z bezpieczeństwem cybernetycznym. Świadczą o tym liczne zgłoszenia na webinary poświęcone tej problematyce. Temat Ustawy KSC był również szeroko dyskutowany podczas konferencji CyberGov, skierowanej do administracji publicznej.
Eksperci z firm Stormshield i Dagma Bezpieczeństwo IT podkreślają kluczowe znaczenie audytu, wskazując na jego ważność, najlepszą drogę do jego efektywnego przeprowadzenia oraz uczulają na najczęściej popełniane w jego trakcie błędy.
Audyt bezpieczeństwa IT: pierwszy krok do zgodności z nowym prawodawstwem
Audyt bezpieczeństwa IT to nie tylko formalność, ale przede wszystkim strategiczny krok w kierunku zapewnienia zgodności z nowymi przepisami i wzmocnienia cyberbezpieczeństwa organizacji. To najlepszy sposób na określenie aktualnego poziomu cyberbezpieczeństwa w firmie. Dzięki niemu możliwe jest zidentyfikowanie obszarów wymagających natychmiastowej poprawy.
– NIS2, a w ślad za nią również Ustawa KSC, wymagają podejścia opartego na analizie ryzyka, którego nie da się wykonać bez rzetelnej inwentaryzacji, czyli właśnie audytu. W myśl obowiązujących przepisów pierwszy raz należy go wykonać w ciągu 12 miesięcy, natomiast procedowany projekt nowelizacji zakłada wydłużenie tego okresu do 24 miesięcy, od dnia spełnienia przesłanek uznania podmiot za kluczowy lub ważny – mówi Aleksander Kostuch, inżynier Stormshield.
Jak przeprowadzić audyt, aby przyniósł maksymalny efekt?
Kluczem do skutecznego audytu jest rzetelność i odpowiednie przygotowanie. Przede wszystkim należy zebrać i uporządkować całą posiadaną dokumentację, co pozwoli uniknąć straty czasu na jej poszukiwanie w trakcie trwania procedury. Istotne jest również wyznaczenie osób, które będą odpowiedzialne za wspieranie audytora, udzielanie odpowiedzi na pytania oraz zapewnienie dostępu do niezbędnych zasobów. Nie mniej ważne jest poinformowanie wszystkich pracowników, którzy ze względu na swoje obowiązki będą zaangażowani w proces, aby uniknąć zaskoczenia i zapewnić ich pełne zaangażowanie.
– Dobrym pomysłem jest zorganizowanie spotkania otwierającego przed rozpoczęciem procesu, podczas którego audytor przedstawi, co będzie sprawdzane i w jaki sposób. Całą procedurę najlepiej jest przeprowadzić bezpośrednio w siedzibie organizacji, a nie jedynie w oparciu o udzielone informacje i przedstawione dokumenty. Dzięki temu łatwiej jest zweryfikować rzeczywisty stan zabezpieczeń istotnych z punktu widzenia przepisów – radzi Piotr Piasecki z DAGMA Bezpieczeństwo IT.
Przebieg audytu może się nieco różnić w zależności od wielkości przedsiębiorstwa.
– W MŚP audyty zwykle mają charakter punktowy i skupiają się na kluczowych firewallach brzegowych, serwerach i stacjach roboczych, z naciskiem na podstawową zgodność z wymaganiami regulacyjnymi. System kadrowy czy księgowy formalnie nie wchodzą w zakres obowiązkowego audytu w myśl ustawy KSC. Dlatego w przypadku MŚP procedura opiera się często na standardowych checklistach i dobrych praktykach sugerowanych przez outsourcing. Z kolei w dużych firmach audyt jest bardziej kompleksowy i obejmuje nie tylko firewalle brzegowe czy wewnętrzne (zapewniające segmentację sieci), lecz także centra danych, chmury oraz procedury, dokumentację, testy penetracyjne i socjotechniczne. Audytem objęty jest także system informacyjny – wyjaśnia Aleksander Kostuch.
Firewall jako wsparcie w inwentaryzacji sieci firmowej
W procesie audytu technologia może okazać się niezwykle pomocna. Niektóre firewalle, zwłaszcza te działające w trybie inline, umożliwiają identyfikację hostów funkcjonujących w sieci firmowej. W przypadku przedsiębiorstw wykorzystujących technologię operacyjną, firewall umieszczony na styku systemów IT (Information Technology) i OT (Operational Technology) może skutecznie identyfikować nieautoryzowane hosty z segmentu IT, które próbują komunikować się ze sterownikami PLC (Programmable Logic Controller), a także wykrywać niezidentyfikowane systemy SCADA (Supervisory Control and Data Acquisition) komunikujące się za pomocą protokołu MODBUS.
– Sprzęt pomoże rozpoznać ruch sieciowy, również w opcji z głęboką analizą protokołów, także przemysłowych. Dla przykładu firewalle Stormshield mają możliwość identyfikacji aktywnych hostów na podstawie adresów IP i MAC, fingerprintingu systemów operacyjnych (OS detection) czy identyfikacji aplikacji i usług uruchomionych na danym hoście, na przykład serwerów SMB, HTTP, PLC, SCADA. Ten mechanizm może z powodzeniem wspierać proces inwentaryzacji i na jego podstawie można stworzyć mapę komunikacji między urządzeniami na potrzeby dokumentacji ryzyka i segmentacji sieci. Często znajdują się w tej samej sieci co urządzenia przemysłowe, np. kamery CCTV – wyjaśnia Aleksander Kostuch.
Słownik IT:
- Firewall inline: Firewall działający w trybie transparentnym, który przepuszcza cały ruch sieciowy, analizując go w czasie rzeczywistym i blokując potencjalne zagrożenia.
- IT (Information Technology): Technologia informacyjna, czyli dziedzina związana z przetwarzaniem, przechowywaniem i przesyłaniem informacji za pomocą komputerów i oprogramowania.
- OT (Operational Technology): Technologia operacyjna, czyli dziedzina związana z systemami sterowania i monitorowania procesów przemysłowych, takich jak systemy SCADA, DCS (Distributed Control System) czy PLC.
- PLC (Programmable Logic Controller): Programowalny sterownik logiczny, czyli rodzaj komputera przemysłowego używanego do automatyzacji procesów.
- SCADA (Supervisory Control and Data Acquisition): System nadzoru, kontroli i akwizycji danych, czyli system informatyczny służący do monitorowania i sterowania procesami przemysłowymi na dużą skalę.
- MODBUS: Szeregowy protokół komunikacyjny używany w automatyce przemysłowej do komunikacji między urządzeniami.
- SMB (Server Message Block): Protokół sieciowy używany do udostępniania plików, drukarek i innych zasobów w sieciach lokalnych.
- HTTP (Hypertext Transfer Protocol): Protokół komunikacyjny używany do przesyłania danych w sieci World Wide Web.
Czas trwania i koszty audytu
Audyt bezpieczeństwa IT to proces zazwyczaj trwający około miesiąca i składający się z kilku etapów. Kluczowym elementem jest wizyta w siedzibie klienta, której czas trwania zależy od wielkości podmiotu oraz stopnia rozproszenia lokalizacji wymagających audytu. Ten etap nie powinien zająć więcej niż kilka dni. Po zakończeniu wizytacji audytor sporządza raport podsumowujący zebrane informacje.
– Najczęściej już po wstępnym wywiadzie audytor jest w stanie oszacować czas potrzebny na przeprowadzenie audytu, który w przypadku dużych organizacji, posiadających skomplikowane zaplecze cyfrowe, może być dłuższy. Dlatego wywiad poprzedzający zasadniczą część audytu warto przeprowadzić z wyprzedzeniem, bo ułatwi to zorganizowanie pracy zespołu zaangażowanego w procedurę i całej firmy – wskazuje Piotr Piasecki.
Koszty audytu są zmienną wartością i zależą od wielu czynników, takich jak wielkość i złożoność działalności firmy. Standardowe ceny rynkowe w Polsce wahają się w przedziale od 20 do 45 tysięcy złotych netto.
Ważne jest, aby podczas audytu pamiętać, że audytor nie jest wrogiem, lecz sprzymierzeńcem. Jego rolą jest ocena zgodności z przepisami i standardami, a celem jego działań jest pomoc w poprawie poziomu bezpieczeństwa organizacji.
– Zatajanie informacji czy nieudostępnianie dokumentacji może poważnie zakłócić cały proces, którego sensem jest przecież określenie realnego stanu bezpieczeństwa naszej organizacji. Wszystko jest robione w interesie organizacji, która zaprosiła audytora. Brak otwartości przekłada się na niekompletny efekt, który nie odzwierciedla stanu rzeczywistego – podkreśla Piotr Piasecki.
Wnioski z audytów – najczęstsze zagrożenia i niedociągnięcia
– Nasze doświadczenia pokazują, że podmioty, które poprosiły o przeprowadzanie audytu posiadają całkiem dobrą bazę techniczną, będącą podstawą bezpieczeństwa. Niestety jej potencjał nie jest w pełni wykorzystywany do czego przyczynia się m.in. brak procedur, a w głównej mierze niedobór specjalistów – wskazuje Michał Sroka z Dagma Bezpieczeństwo IT.
Najczęstsze niedociągnięcia w systemach zabezpieczeń wychwytywane przez audyt, to:
Brak agregacji i analizy zdarzeń w sieci firmowej
W wielu przypadkach administratorzy nie są świadomi konieczności agregowania i analizowania logów systemowych. Brakuje centralnych systemów SIEM (Security Information and Event Management), których głównym zadaniem jest gromadzenie, agregowanie i analiza danych pochodzących z różnych źródeł. Systemy SIEM umożliwiają wykrywanie i reagowanie na incydenty w czasie rzeczywistym, co znacząco przyspiesza identyfikację zagrożeń i minimalizuje ich skutki.
Słownik IT:
- Logi systemowe: Zapisy zdarzeń generowane przez systemy informatyczne, które zawierają informacje o działaniach użytkowników, błędach, próbach dostępu itp.
- SIEM (Security Information and Event Management): System zarządzania informacjami i zdarzeniami bezpieczeństwa, który służy do gromadzenia, korelowania i analizowania danych z różnych źródeł w celu wykrywania i reagowania na incydenty bezpieczeństwa.
Niewłaściwa kontrola dostępu
Przykładem może być sytuacja, w której oficjalnie za przydzielanie uprawnień i tworzenie kont odpowiada centralny dział IT, jednak audyt ujawnia, że niektórzy menedżerowie średniego szczebla również mogą tworzyć dostępy ręcznie.
Inny przypadek dotyczy sytuacji, gdy wyłącznie dział IT ma uprawnienia do tworzenia kont, ale brakuje opracowanego cyklu życia tych dostępów, obejmującego przeglądy uprawnień czy nieaktywnych kont, co skutkuje nieregularnym wykonywaniem tych czynności. Dział IT działa wówczas „na zlecenie”, tworząc lub blokując konta na podstawie konkretnych dyspozycji, ale bez szerszej kontroli. Prowadzi to do sytuacji, w której po odejściu pracownika jego uprawnienia pozostają aktywne, co stanowi realne ryzyko dla cyberbezpieczeństwa.
Brak przygotowania do zarządzania podatnościami w organizacji
To niedociągnięcie jest powszechne i zostało stwierdzone u niemal każdego audytowanego klienta. Należy pamiętać, że wykorzystanie podatności, czyli błędów lub luk w oprogramowaniu, stanowi podstawę niemal każdego ataku hakerskiego. Firmom często brakuje zarówno odpowiednich procedur, jak i systemów IT wspierających zarządzanie podatnościami, bazując na ręcznych weryfikacjach i ewentualnych automatycznych aktualizacjach. Częstym problemem jest również nieaktualne i podatne na ataki oprogramowanie.
Słownik IT:
- Podatność (Vulnerability): Wada lub słabość w systemie informatycznym, która może zostać wykorzystana przez atakującego do uzyskania nieuprawnionego dostępu lub zakłócenia działania systemu.
- Zarządzanie podatnościami (Vulnerability Management): Proces identyfikacji, oceny, priorytetyzacji i usuwania podatności w systemach informatycznych.
Błędne przekonanie o wystarczającym zabezpieczeniu pomimo niewłaściwej konfiguracji
W jednym z badanych przypadków audytowany podmiot posiadał zaporę sieciową nowej generacji i był przekonany, że to wystarcza do spełnienia wymogów prawnych w zakresie zabezpieczenia organizacji. Niestety, niewłaściwa konfiguracja znacząco zmniejszała potencjał urządzenia, co w rzeczywistości oznaczało, że sieć organizacji nie była odpowiednio zabezpieczona.
– Przekonanie, iż organizacji brakuje narzędzi, odpowiedzią na co jest wdrażanie nowych systemów, pozostaje w wielu przypadkach błędne. Czasem po prostu wystarczająca jest prawidłowa konfiguracja urządzenia lub systemu, z którego już korzystamy. Pamiętajmy, że obok inwestycji w technologie należy rozwijać świadomość, procedury i kompetencje ludzi – podkreśla Michał Sroka z Dagma Bezpieczeństwo IT.
Podsumowanie
Przygotowywana Ustawa KSC stawia nowe wyzwania przed polskimi przedsiębiorstwami, ale jednocześnie stanowi impuls do zwiększenia świadomości i inwestycji w cyberbezpieczeństwo. Kluczową rolę w tym procesie odgrywa audyt bezpieczeństwa IT zapewniający rzetelną ocenę aktualnego stanu zabezpieczeń i identyfikację obszarów wymagających poprawy. Skuteczne wdrożenie nowych przepisów będzie wymagało nie tylko inwestycji w technologie, ale przede wszystkim rozwoju świadomości, procedur oraz podnoszenia kompetencji kadr odpowiedzialnych za bezpieczeństwo informatyczne. Otwartość i współpraca z audytorami są kluczowe dla osiągnięcia pełnej zgodności z nowymi wymogami i zapewnienia realnego bezpieczeństwa cyfrowego.
źródło: informacja prasowa
Dodaj komentarz