CyberbezpieczeństwoPREZENTACJA PARTNERA
Na cyberbezpieczeństwo nie da się patrzeć wycinkowo
Executive ViewPoint
Z Krzysztofem Malesą, dyrektorem ds. strategii bezpieczeństwa w polskim oddziale Microsoft, rozmawiamy o niezbędnych zmianach w podejściu do CyberSec, koncepcji bezpieczeństwa opartego na analizie ryzyka i zerowym zaufaniu, roli cyberbezpieczeństwa w zapewnieniu ciągłości biznesu, a także o najważniejszych założeniach dyrektywy NIS2.
Jakich zmian w podejściu do cyberbezpieczeństwa wymagają dzisiejsze realia geopolityczne?
Rzeczywistość pokazuje, że na cyberbezpieczeństwo nie da się patrzeć wycinkowo. Nie ma sensu w tym skomplikowanym łańcuchu procesów, który nas otacza, skupiać się na zabezpieczaniu pojedynczych elementów. W przeszłości zależności gospodarcze były dużo prostsze. Dziś, współzależności pomiędzy systemami, które komunikują się wzajemnie bez udziału człowieka, są tak duże, że awaria w jednym miejscu może wywołać nieoczekiwany skutek w innym. Nie ma czegoś takiego jak liniowe, proste łańcuchy dostaw, które można chronić mechanicznie. Trzeba uruchomić wyobraźnię i przeprowadzić kompleksową analizę ryzyka. Takie podejście jest fundamentem dyrektywy NIS2.
Dlaczego potrzebna była zmiana zasad, które do tej pory obowiązywały podmioty związane z usługami lub infrastrukturą krytyczną?
Ponieważ od momentu opracowania obowiązujących dotychczas przepisów realia gospodarcze, geopolityczne, a także te związane wprost z cyberbezpieczeństwem zmieniły się w ogromnym stopniu. Pamiętajmy, że dyrektywa NIS2 zastępuje poprzedniczkę z 2016 roku. Przez tak długi czas podejście do bezpieczeństwa zmieniło się kompletnie, bo zmienił się modus operandi atakujących. Zwiększyła się również skala zjawiska ataków typu APT czy kampanii sponsorowanych przez wrogie państwa. To ataki, do których całe sztaby ludzi przygotowują się miesiącami po to, aby niezauważenie wejść do środowiska IT konkretnej organizacji i plądrować ją lub szpiegować całymi tygodniami. Są to zagrożenia, których na taką skalę wcześniej nie było.
Stąd też koncepcja bezpieczeństwa opartego na zerowym zaufaniu…
To prawda. Zagrożenia, z którymi mamy dziś do czynienia pokazują, że zgodnie z modelem zero-trust nie ma co przerzucać wszystkich sił na pilnowanie drzwi wejściowych. Zamiast tego trzeba chronić zasoby oraz tożsamość użytkowników, danych, aplikacji, urządzeń, sieci i infrastruktury. Jeśli chcemy chronić tożsamość, to mamy cały pakiet możliwości, który kryje się pod hasłem, takim jak dostęp warunkowy. Takie podejście pozwala nie tylko na proste sprawdzenie uprawnień, ale umożliwia też bieżącą ocenę ryzyka wynikającą z historii każdego użytkownika. Z tego, czy do tej pory zachowywał się odpowiedzialnie, jakie ma kwalifikacje, z jakich rozwiązań korzysta.
Po drugie, podejście zerowego zaufania zakłada, że dajemy użytkownikom dostęp jedynie do tych zasobów, które są im niezbędne do wykonywania pracy. To jedna z koronnych zasad nowoczesnego podejścia do bezpieczeństwa. Poza tym model zero-trust mówi, że dziś najistotniejsza nie jest kwestia zamknięcia drzwi przed intruzami, tylko uniemożliwienie im wykonywania szkodliwych ruchów po tym, jak już dostaną się do wnętrza organizacji. Ogromne możliwości w tym kontekście zapewnia dziś AI.
Skuteczne zabezpieczenia, które nie przeszkadzają użytkownikom
Oferowane przez Microsoft rozwiązania dysponują wieloma działającymi w sposób natywny mechanizmami z obszaru cyberbezpieczeństwa. Pozwalają m.in. na zapewnienie:
- Kompleksowej klasyfikacji i ochrony danych wrażliwych – rozwiązanie Microsoft Purview Information Protection pełni rolę pojedynczego narzędzia klasyfikacji danych w aplikacjach, usługach oraz urządzeniach, jak również rozwiązania zapewniającego ich ochronę m.in. podczas przesyłania wewnątrz organizacji i poza jej granicami. Wspiera szyfrowanie oraz tagowanie treści. Microsoft Purview Information Protection zapewnia ochronę dla zasobów lokalnych, które używają serwera Exchange lub SharePoint, lub serwerów plików, a także chroni treść przetwarzaną w aplikacjach Microsoft Office na różnych platformach i urządzeniach. Wspierane są m.in. Word, Excel, PowerPoint i Outlook oraz aplikacje zewnętrznych dostawców.
- Bezpiecznego dostępu do wewnętrznych aplikacji bez potrzeby konfigurowania łączy VPN – dostępna w ramach platformy chmurowej Microsoft Azure usługa Azure AD Application Proxy pozwala na zastosowanie bezpiecznego uwierzytelnienia Azure AD, wraz z MFA dla aplikacji obsługujących starsze standardy uwierzytelniania. Zapewnia też możliwość łatwiejszego sterowania ruchem sieciowym, niż jest to możliwe w przypadku wykorzystania innych rozwiązań.
- Monitoringu mechanizmów tożsamości hybrydowej – usługa Microsoft Azure AD Connect Health pomaga monitorować oraz uzyskiwać informacje o lokalnej infrastrukturze do obsługi tożsamości i w ten sposób wspiera uzyskanie niezawodności środowiska. Monitoring może obejmować zarówno kontrolery domeny Active Directory, systemy ADFS, jak i serwery synchronizacji Azure AD Connect. Wykorzystanie tej usługi wymaga jedynie zainstalowania agenta na każdym z lokalnych serwerów tożsamości.
- Zarządzania urządzeniami końcowymi i ochrony danych w myśl koncepcji „zero-trust” – rozwiązania dostępne w ramach grupy produktów Microsoft Intune gwarantują ujednolicone mechanizmy zarządzania urządzeniami końcowymi działającymi na różnych systemach operacyjnych, w tym: Windows, MacOS, Android, iOS oraz Linux, także urządzeń zwirtualizowanych. Microsoft Intune zapewnia również mechanizmy ochrony firmowych danych w sposób niewymagający ingerencji w konfigurację urządzeń końcowych, co ma znaczenie w przypadku wykorzystania prywatnego sprzętu pracowników. Rozwiązania tej grupy w sposób natywny wspierają też budowanie środowiska bezpieczeństwa w modelu tzw. zerowego zaufania. Dostępna w ramach Microsoft Intune konsola Endpoint Security pozwala na scentralizowane i spójne zarządzanie ustawieniami całego stosu technologii zabezpieczeń Microsoft – od konfiguracji systemu operacyjnego Microsoft Windows, przez usługi Microsoft Defender oraz Windows Firewall, po ustawienia przeglądarki Microsoft Edge.
- Wysokiej skuteczności haseł definiowanych przez użytkowników – usługa Azure AD Password Protection wykrywa i blokuje znane słabe hasła oraz ich warianty, a także frazy specyficzne dla określonej organizacji, tak aby zapewnić wysoką skuteczność haseł, jako pierwszej linii obrony przed nieautoryzowanym dostępem.
- Funkcjonalności dostępu warunkowego – dostępne w ramach usługi Microsoft Azure AD funkcje umożliwiają zapewnienie dodatkowych zabezpieczeń i wymuszenie dodatkowego uwierzytelniania, w zależności od zgromadzonych danych na temat zachowania konkretnych użytkowników i danych dotyczących m.in. ich lokalizacji, urządzenia oraz aplikacji, z której chcą skorzystać. Tworząc zasady dostępu warunkowego, można dostroić proces uwierzytelniania tak, aby nadmiernie nie obciążać użytkowników, zachowując jednocześnie najwyższe standardy ochrony zasobów organizacji.
W jaki sposób sztuczna inteligencja może wspierać inicjatywy na rzecz zapewnienia bezpieczeństwa firmy w obszarze IT?
Posłużę się przykładem: jeśli pracownik przychodzi do pracy i uruchamia komputer jak zawsze o 9.00 rano, to system uwierzytelnienia, np. biometrycznego, powinien przeskanować jego twarz, przywitać i umożliwić pracę. Gdyby jednak okazało się, że ten sam pracownik niespodziewanie próbuje się zalogować do systemu z biurowej sieci o 3.00 w nocy, to system powinien poprosić o dodatkowe uwierzytelnienie. Jeśli natomiast okaże się, że pracownik ten łączy się po IP połączonym z siecią firmową z nietypowej, zdalnej lokalizacji, to wymagane powinno być dodatkowe działanie, np. wykorzystanie klucza fizycznego.
Analogicznie możemy postępować przy ochronie danych, bo na to pozwala nam dziś uczenie maszynowe. Przykładowo, jeśli system zauważy, że do wiadomości e-mail załączamy dane osobowe, to przypomni o ryzykach z tym związanych. Można też zdefiniować proces, który zablokuje wysłanie takiej wiadomości poza organizację lub poprosi o dodatkową autoryzację przełożonego. Na tym polega właśnie nowoczesne myślenie o bezpieczeństwie, które nie jest uciążliwe dla użytkownika końcowego, ale pozwala uniknąć problemów wynikających z nieprzemyślanych działań lub nietypowych sytuacji.
Nowe dyrektywy stawiają na myślenie. W NIS2 i CER wprost opisane jest podejście oparte na analizie ryzyka. Jest to o tyle istotne, że w bezpieczeństwo nie należy inwestować za wszelką cenę, bo to nie cyberbezpieczeństwo jest celem funkcjonowania większości organizacji.
Wróćmy do nowych dyrektyw związanych z cyberbezpieczeństwem. Jakie główne zmiany wprowadza NIS2 i Critical Entities Resillience?
Nowe dyrektywy stawiają na myślenie. W NIS2 i CER w prost o pisane j est p odejście oparte na analizie ryzyka. Jest to o tyle istotne, że w bezpieczeństwo nie należy inwestować za wszelką cenę, bo to nie cyberbezpieczeństwo jest celem funkcjonowania większości firm. Takim celem jest generowanie dochodu, a cyberbezpieczeństwo ma temu służyć.
Działania mające na celu zapewnienie bezpieczeństwa de facto sprowadzają się do zapewnienia ciągłości działania przedsiębiorstw – i na tym właśnie dyrektywy CER i NIS2 się koncentrują. W praktyce wiele osób postrzega NIS2 po prostu jako kolejną regulację. Mam jednak wrażenie, że tylko nieliczne osoby zdają sobie sprawę, jak wielu organizacji dotyka.
Jakie obowiązki nakłada dyrektywa NIS2 na przedsiębiorców?
NIS2 określa obowiązki państw członkowskich i uczestników systemu z punktu widzenia biznesowego. Wskazuje bowiem podmioty kluczowe i ważne. Co istotne, do tej pory, jeśli dana organizacja została uznana za operatora infrastruktury krytycznej albo dostawcę usług krytycznych, to otrzymywała decyzję administracyjną lub informację o wpisie do stosownego wykazu prowadzonego przez Rządowe Centrum Bezpieczeństwa.
Wraz z wprowadzeniem NIS2 prawie wszystkie firmy znajdą się pod takim parasolem i nie ma mechanizmu powiadamiania dla poszczególnych przedsiębiorstw czy instytucji. Konieczne staje się sprawdzenie, w jakim zakresie działalność naszej organizacji podlega nowym przepisom.
Jeśli np. jesteśmy producentem naczep, to bezpośrednio w NIS2 przedsiębiorstwa prowadzące taką działalność są określone mianem „ważnych”. Podmioty ważne wg NIS2 mają obowiązki głównie w zakresie zarządzania ryzykiem, obsługi incydentów oraz udziału w obiegu informacji. W przypadku niewywiązywania się z takich zadań, podmiotom ważnym grożą kary finansowe.
Jednocześnie, duża część obowiązków związanych z cyberbezpieczeństwem jest nałożona na państwa członkowskie. Każde z nich ma ustanowić krajowy plan reagowania. Kraje mają uczyć się od siebie najlepszych praktyk. Poza tym państwo dostaje duże kompetencje nadzorcze i może podmiotom kluczowym wydawać wiążące instrukcje, a pomiotom ważnym – nakazać przeprowadzenie audytu bezpieczeństwa.
Jakich branż dotyczy dyrektywa NIS2?
W ujęciu ogólnym są to: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna i ścieki, infrastruktura cyfrowa, przestrzeń kosmiczna, administracja i zarządzanie usługami ICT. Warto jednak zajrzeć do szczegółowych przepisów. Nowym zbiorem są podmioty ważne. Mamy tam same nowe kategorie, w których znalazły się m.in. takie branże, jak: usługi kurierskie i pocztowe oraz produkcja, przetwarzanie i dystrybucja żywności.
Co mają robić takie podmioty?
Ich zadania można podzielić na trzy grupy. Najbardziej podstawowa dotyczy cyberhigieny oraz wdrożenia podejścia do bezpieczeństwa opartego na zerowym zaufaniu. Chodzi oczywiście o pewną filozofię bezpieczeństwa IT, a nie rozwiązanie konkretnego dostawcy.
Zasada zerowego zaufania to kwestia aktualizacji oprogramowania, konfiguracji urządzeń, zarządzania tożsamością, wprowadzenia zasady segmentacji sieci czy budowania świadomości użytkowników. Co ciekawe, jak pokazują analizy Microsoft, zdecydowana większość zdarzeń w obszarze cyberbezpieczeństwa zależy wprost od podejścia użytkowników oraz cyberhigieny całej organizacji.
Ważne jest to, że na członków organów zarządzających w podmiotach ważnych i kluczowych nałożono obowiązek przechodzenia regularnych szkoleń z zakresu cyberbezpieczeństwa.
Wspomniał Pan o trzech grupach obowiązków…
Drugą grupę stanowi obowiązek wejścia w system obiegu informacji o incydentach i obowiązek wczesnego ostrzegania, że doszło do incydentu w obszarze cyberbezpieczeństwa. Na wstępne ostrzeżenie mamy 24 godziny. Formalne zgłoszenie z oceną dotkliwości i skutków powinno nastąpić w ciągu 72 godzin, a sprawozdanie końcowe w ciągu miesiąca.
Kolejna grupa to kwestie organizacyjne, czyli obowiązek posiadania różnych polityk, analiz ryzyka, procedur, zaplanowania w świadomy sposób ciągłości działania w organizacji i zaprojektowania bezpieczeństwa łańcucha dostaw. Niewątpliwie jest to spora liczba zadań, choć one oczywiście jeszcze nie obowiązują, ponieważ muszą być wdrożone do polskiego systemu prawnego.
Od jakich działań przedsiębiorstwa uznane za ważne lub kluczowe powinny rozpocząć dostosowanie do nowych regulacji?
Najważniejsze jest przeprowadzenie analizy ryzyka, wdrożenie środków, które pozwolą to ryzyko ograniczyć, a także umiejętność zgłaszania poważnych incydentów. Jest to o tyle istotne, że za rażące nieprzestrzeganie zapisów tej dyrektywy przewidziane są dolegliwe kary.
W praktyce, nowe dyrektywy w pewnym stopniu sankcjonują dorobek biznesowy wielu organizacji. Wymagają bowiem szerokiego wykorzystania analizy ryzyka, a więc zrozumienia zagrożeń dla biznesu. Są bowiem takie ryzyka, które możemy minimalizować, i takie, na które nie mamy wpływu. W momencie, kiedy nie jesteśmy w stanie zarządzać takim ryzykiem, musimy nauczyć się zarządzać jego skutkami i minimalizować straty, kiedy będzie to potrzebne oraz korzystać ze wsparcia państwa.
Żaden biznes nie będzie w stanie samodzielnie walczyć z zakrojoną na szeroką skalę kampanią w obszarze cyberbezpieczeństwa. Chyba że jest to globalny dostawca, jak Microsoft. Po to są przewidziane przepisami linie wsparcia – sektorowe, branżowe i państwowe, a nawet wojskowe.
Niewiele powiedzieliśmy dziś o samej technologii…
Nie ma w tym przypadku. Bezpieczeństwo każdej organizacji opiera się na trzech filarach. Są to: ludzie, procesy i dopiero technologia, która je wspiera. Wszystkie te filary powinny być równoważne. Technologia jest niezbędna, ale nie jest wystarczająca do zapewnienia cyberbezpieczeństwa. Być może zabrzmi to dziwnie w ustach przedstawiciela firmy technologicznej, ale nie wolno wpadać w przeświadczenie, że technologia coś zrobi za mnie. Trzeba ją wdrożyć, wiedzieć do czego służy i właściwie wykorzystywać.
W kontekście NIS2 przede wszystkim nie należy odkładać przygotowań na ostatnią chwilę. Po drugie, nie można unikać udziału w różnych ćwiczeniach i stress-testach zapowiadanych przez Komisję Europejską. Do ćwiczeń trzeba podchodzić szczerze i nie lukrować rzeczywistości, bo jeśli coś się nie uda, to mamy czarno na białym wskazane, co musimy poprawić. Trzeba odrobić lekcję i krok po kroku odhaczać te obowiązki. Na początek warto zajrzeć do dyrektywy i sprawdzić, w jakim stopniu nas ta kwestia dotyczy.
