CyberbezpieczeństwoPREZENTACJA PARTNERA

Na cyberbezpieczeństwo nie da się patrzeć wycinkowo

Executive ViewPoint

Z Krzysztofem Malesą, dyrektorem ds. strategii bezpieczeństwa w polskim oddziale Microsoft, rozmawiamy o niezbędnych zmianach w podejściu do CyberSec, koncepcji bezpieczeństwa opartego na analizie ryzyka i zerowym zaufaniu, roli cyberbezpieczeństwa w zapewnieniu ciągłości biznesu, a także o najważniejszych założeniach dyrektywy NIS2.

Na cyberbezpieczeństwo nie da się patrzeć wycinkowo

Jakich zmian w podejściu do cyber­bezpieczeństwa wymagają dzisiejsze realia geopolityczne?

Rzeczywistość pokazuje, że na cyberbez­pieczeństwo nie da się patrzeć wycinkowo. Nie ma sensu w tym skomplikowanym łań­cuchu procesów, który nas otacza, skupiać się na zabezpieczaniu pojedynczych ele­mentów. W przeszłości zależności gospo­darcze były dużo prostsze. Dziś, współ­zależności pomiędzy systemami, które komunikują się wzajemnie bez udziału człowieka, są tak duże, że awaria w jed­nym miejscu może wywołać nieoczekiwa­ny skutek w innym. Nie ma czegoś takiego jak liniowe, proste łańcuchy dostaw, które można chronić mechanicznie. Trzeba uru­chomić wyobraźnię i przeprowadzić kom­pleksową analizę ryzyka. Takie podejście jest fundamentem dyrektywy NIS2.

Dlaczego potrzebna była zmiana za­sad, które do tej pory obowiązywały podmioty związane z usługami lub infrastrukturą krytyczną?

Ponieważ od momentu opracowania obo­wiązujących dotychczas przepisów realia gospodarcze, geopolityczne, a także te związane wprost z cyberbezpieczeństwem zmieniły się w ogromnym stopniu. Pamiętaj­my, że dyrektywa NIS2 zastępuje poprzed­niczkę z 2016 roku. Przez tak długi czas podejście do bezpieczeństwa zmieniło się kompletnie, bo zmienił się modus operandi atakujących. Zwiększyła się również ska­la zjawiska ataków typu APT czy kampanii sponsorowanych przez wrogie państwa. To ataki, do których całe sztaby ludzi przygo­towują się miesiącami po to, aby niezau­ważenie wejść do środowiska IT konkretnej organizacji i plądrować ją lub szpiegować całymi tygodniami. Są to zagrożenia, któ­rych na taką skalę wcześniej nie było.

Stąd też koncepcja bezpieczeństwa opartego na zerowym zaufaniu…

To prawda. Zagrożenia, z którymi mamy dziś do czynienia pokazują, że zgodnie z modelem zero-trust nie ma co przerzucać wszystkich sił na pilnowanie drzwi wejścio­wych. Zamiast tego trzeba chronić zasoby oraz tożsamość użytkowników, danych, aplikacji, urządzeń, sieci i infrastruktury. Jeśli chcemy chronić tożsamość, to mamy cały pakiet możliwości, który kryje się pod hasłem, takim jak dostęp warunkowy. Ta­kie podejście pozwala nie tylko na proste sprawdzenie uprawnień, ale umożliwia też bieżącą ocenę ryzyka wynikającą z histo­rii każdego użytkownika. Z tego, czy do tej pory zachowywał się odpowiedzialnie, jakie ma kwalifikacje, z jakich rozwiązań korzysta.

Po drugie, podejście zerowego zaufania zakłada, że dajemy użytkownikom dostęp jedynie do tych zasobów, które są im nie­zbędne do wykonywania pracy. To jedna z koronnych zasad nowoczesnego podej­ścia do bezpieczeństwa. Poza tym model zero-trust mówi, że dziś najistotniejsza nie jest kwestia zamknięcia drzwi przed intruza­mi, tylko uniemożliwienie im wykonywania szkodliwych ruchów po tym, jak już dostaną się do wnętrza organizacji. Ogromne moż­liwości w tym kontekście zapewnia dziś AI.

Skuteczne zabezpieczenia, które nie przeszkadzają użytkownikom

Oferowane przez Microsoft rozwiązania dysponują wieloma działającymi w sposób natywny mechanizmami z obszaru cyberbezpieczeństwa. Pozwalają m.in. na zapewnienie:

  • Kompleksowej klasyfikacji i ochrony danych wrażliwych – rozwiązanie Microsoft Purview Information Protection pełni rolę pojedynczego narzędzia klasyfikacji danych w aplikacjach, usługach oraz urządzeniach, jak również rozwiązania zapewniającego ich ochronę m.in. podczas przesyłania wewnątrz organizacji i poza jej granicami. Wspiera szyfrowanie oraz tagowanie treści. Microsoft Purview Information Protection zapewnia ochronę dla zasobów lokalnych, które używają serwera Exchange lub SharePoint, lub serwerów plików, a także chroni treść przetwarzaną w aplikacjach Microsoft Office na różnych platformach i urządzeniach. Wspierane są m.in. Word, Excel, PowerPoint i Outlook oraz aplikacje zewnętrznych dostawców.
  • Bezpiecznego dostępu do wewnętrznych aplikacji bez potrzeby konfigurowania łączy VPN – dostępna w ramach platformy chmurowej Microsoft Azure usługa Azure AD Application Proxy pozwala na zastosowanie bezpiecznego uwierzytelnienia Azure AD, wraz z MFA dla aplikacji obsługujących starsze standardy uwierzytelniania. Zapewnia też możliwość łatwiejszego sterowania ruchem sieciowym, niż jest to możliwe w przypadku wykorzystania innych rozwiązań.
  • Monitoringu mechanizmów tożsamości hybrydowej – usługa Microsoft Azure AD Connect Health pomaga monitorować oraz uzyskiwać informacje o lokalnej infrastrukturze do obsługi tożsamości i w ten sposób wspiera uzyskanie niezawodności środowiska. Monitoring może obejmować zarówno kontrolery domeny Active Directory, systemy ADFS, jak i serwery synchronizacji Azure AD Connect. Wykorzystanie tej usługi wymaga jedynie zainstalowania agenta na każdym z lokalnych serwerów tożsamości.
  • Zarządzania urządzeniami końcowymi i ochrony danych w myśl koncepcji „zero-trust” – rozwiązania dostępne w ramach grupy produktów Microsoft Intune gwarantują ujednolicone mechanizmy zarządzania urządzeniami końcowymi działającymi na różnych systemach operacyjnych, w tym: Windows, MacOS, Android, iOS oraz Linux, także urządzeń zwirtualizowanych. Microsoft Intune zapewnia również mechanizmy ochrony firmowych danych w sposób niewymagający ingerencji w konfigurację urządzeń końcowych, co ma znaczenie w przypadku wykorzystania prywatnego sprzętu pracowników. Rozwiązania tej grupy w sposób natywny wspierają też budowanie środowiska bezpieczeństwa w modelu tzw. zerowego zaufania. Dostępna w ramach Microsoft Intune konsola Endpoint Security pozwala na scentralizowane i spójne zarządzanie ustawieniami całego stosu technologii zabezpieczeń Microsoft – od konfiguracji systemu operacyjnego Microsoft Windows, przez usługi Microsoft Defender oraz Windows Firewall, po ustawienia przeglądarki Microsoft Edge.
  • Wysokiej skuteczności haseł definiowanych przez użytkowników – usługa Azure AD Password Protection wykrywa i blokuje znane słabe hasła oraz ich warianty, a także frazy specyficzne dla określonej organizacji, tak aby zapewnić wysoką skuteczność haseł, jako pierwszej linii obrony przed nieautoryzowanym dostępem.
  • Funkcjonalności dostępu warunkowego – dostępne w ramach usługi Microsoft Azure AD funkcje umożliwiają zapewnienie dodatkowych zabezpieczeń i wymuszenie dodatkowego uwierzytelniania, w zależności od zgromadzonych danych na temat zachowania konkretnych użytkowników i danych dotyczących m.in. ich lokalizacji, urządzenia oraz aplikacji, z której chcą skorzystać. Tworząc zasady dostępu warunkowego, można dostroić proces uwierzytelniania tak, aby nadmiernie nie obciążać użytkowników, zachowując jednocześnie najwyższe standardy ochrony zasobów organizacji.

W jaki sposób sztuczna inteligencja może wspierać inicjatywy na rzecz zapewnienia bezpieczeństwa firmy w obszarze IT?

Posłużę się przykładem: jeśli pracownik przychodzi do pracy i uruchamia kom­puter jak zawsze o 9.00 rano, to system uwierzytelnienia, np. biometrycznego, powinien przeskanować jego twarz, przy­witać i umożliwić pracę. Gdyby jednak okazało się, że ten sam pracownik nie­spodziewanie próbuje się zalogować do systemu z biurowej sieci o 3.00 w nocy, to system powinien poprosić o dodatkowe uwierzytelnienie. Jeśli natomiast okaże się, że pracownik ten łączy się po IP po­łączonym z siecią firmową z nietypowej, zdalnej lokalizacji, to wymagane powinno być dodatkowe działanie, np. wykorzy­stanie klucza fizycznego.

Analogicznie możemy postępować przy ochronie danych, bo na to pozwala nam dziś uczenie maszynowe. Przykładowo, jeśli system zauważy, że do wiadomo­ści e-mail załączamy dane osobowe, to przypomni o ryzykach z tym związanych. Można też zdefiniować proces, który za­blokuje wysłanie takiej wiadomości poza organizację lub poprosi o dodatkową au­toryzację przełożonego. Na tym polega właśnie nowoczesne myślenie o bezpie­czeństwie, które nie jest uciążliwe dla użytkownika końcowego, ale pozwala uniknąć problemów wynikających z nie­przemyślanych działań lub nietypowych sytuacji.

Nowe dyrektywy stawiają na myślenie. W NIS2 i CER wprost opisane jest podejście oparte na analizie ryzyka. Jest to o tyle istotne, że w bezpieczeństwo nie należy inwestować za wszelką cenę, bo to nie cyberbezpieczeństwo jest celem funkcjonowania większości organizacji.

Wróćmy do nowych dyrektyw zwią­zanych z cyberbezpieczeństwem. Ja­kie główne zmiany wprowadza NIS2 i Critical Entities Resillience?

Nowe dyrektywy stawiają na myślenie. W NIS2 i CER w prost o pisane j est p o­dejście oparte na analizie ryzyka. Jest to o tyle istotne, że w bezpieczeństwo nie należy inwestować za wszelką cenę, bo to nie cyberbezpieczeństwo jest celem funkcjonowania większości firm. Takim celem jest generowanie dochodu, a cy­berbezpieczeństwo ma temu służyć.

Działania mające na celu zapewnienie bezpieczeństwa de facto sprowadzają się do zapewnienia ciągłości działa­nia przedsiębiorstw – i na tym właśnie dyrektywy CER i NIS2 się koncentrują. W praktyce wiele osób postrzega NIS2 po prostu jako kolejną regulację. Mam jednak wrażenie, że tylko nieliczne oso­by zdają sobie sprawę, jak wielu organi­zacji dotyka.

Jakie obowiązki nakłada dyrektywa NIS2 na przedsiębiorców?

NIS2 określa obowiązki państw członkow­skich i uczestników systemu z punktu wi­dzenia biznesowego. Wskazuje bowiem podmioty kluczowe i ważne. Co istotne, do tej pory, jeśli dana organizacja została uznana za operatora infrastruktury kry­tycznej albo dostawcę usług krytycznych, to otrzymywała decyzję administracyjną lub informację o wpisie do stosownego wykazu prowadzonego przez Rządowe Centrum Bezpieczeństwa.

Wraz z wprowadzeniem NIS2 prawie wszystkie firmy znajdą się pod takim pa­rasolem i nie ma mechanizmu powiadamia­nia dla poszczególnych przedsiębiorstw czy instytucji. Konieczne staje się sprawdzenie, w jakim zakresie działalność naszej organi­zacji podlega nowym przepisom.

Jeśli np. jesteśmy producentem naczep, to bezpośrednio w NIS2 przedsiębiorstwa prowadzące taką działalność są określone mianem „ważnych”. Podmioty ważne wg NIS2 mają obowiązki głównie w zakresie zarządzania ryzykiem, obsługi incyden­tów oraz udziału w obiegu informacji. W przypadku niewywiązywania się z ta­kich zadań, podmiotom ważnym grożą kary finansowe.

Jednocześnie, duża część obowiązków związanych z cyberbezpieczeństwem jest nałożona na państwa członkowskie. Każ­de z nich ma ustanowić krajowy plan re­agowania. Kraje mają uczyć się od siebie najlepszych praktyk. Poza tym państwo dostaje duże kompetencje nadzorcze i może podmiotom kluczowym wydawać wiążące instrukcje, a pomiotom ważnym – nakazać przeprowadzenie audytu bez­pieczeństwa.

Jakich branż dotyczy dyrektywa NIS2?

W ujęciu ogólnym są to: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna i ścieki, infrastruktura cyfro­wa, przestrzeń kosmiczna, administracja i zarządzanie usługami ICT. Warto jednak zajrzeć do szczegółowych przepisów. No­wym zbiorem są podmioty ważne. Mamy tam same nowe kategorie, w których znalazły się m.in. takie branże, jak: usłu­gi kurierskie i pocztowe oraz produkcja, przetwarzanie i dystrybucja żywności.

Co mają robić takie podmioty?

Ich zadania można podzielić na trzy gru­py. Najbardziej podstawowa dotyczy cy­berhigieny oraz wdrożenia podejścia do bezpieczeństwa opartego na zerowym zaufaniu. Chodzi oczywiście o pewną filo­zofię bezpieczeństwa IT, a nie rozwiązanie konkretnego dostawcy.

Zasada zerowego zaufania to kwestia aktualizacji oprogramowania, konfigu­racji urządzeń, zarządzania tożsamością, wprowadzenia zasady segmentacji sieci czy budowania świadomości użytkowni­ków. Co ciekawe, jak pokazują analizy Mi­crosoft, zdecydowana większość zdarzeń w obszarze cyberbezpieczeństwa zależy wprost od podejścia użytkowników oraz cyberhigieny całej organizacji.

Ważne jest to, że na członków organów zarządzających w podmiotach ważnych i kluczowych nałożono obowiązek prze­chodzenia regularnych szkoleń z zakresu cyberbezpieczeństwa.

Wspomniał Pan o trzech grupach obo­wiązków…

Drugą grupę stanowi obowiązek wejścia w system obiegu informacji o incydentach i obowiązek wczesnego ostrzegania, że doszło do incydentu w obszarze cyber­bezpieczeństwa. Na wstępne ostrzeżenie mamy 24 godziny. Formalne zgłoszenie z oceną dotkliwości i skutków powinno nastąpić w ciągu 72 godzin, a sprawoz­danie końcowe w ciągu miesiąca.

Kolejna grupa to kwestie organizacyjne, czyli obowiązek posiadania różnych poli­tyk, analiz ryzyka, procedur, zaplanowa­nia w świadomy sposób ciągłości działania w organizacji i zaprojektowania bezpie­czeństwa łańcucha dostaw. Niewątpliwie jest to spora liczba zadań, choć one oczy­wiście jeszcze nie obowiązują, ponieważ muszą być wdrożone do polskiego systemu prawnego.

Od jakich działań przedsiębiorstwa uznane za ważne lub kluczowe po­winny rozpocząć dostosowanie do nowych regulacji?

Najważniejsze jest przeprowadzenie analizy ryzyka, wdrożenie środków, któ­re pozwolą to ryzyko ograniczyć, a także umiejętność zgłaszania poważnych incy­dentów. Jest to o tyle istotne, że za rażące nieprzestrzeganie zapisów tej dyrektywy przewidziane są dolegliwe kary.

W praktyce, nowe dyrektywy w pewnym stopniu sankcjonują dorobek biznesowy wielu organizacji. Wymagają bowiem szero­kiego wykorzystania analizy ryzyka, a więc zrozumienia zagrożeń dla biznesu. Są bo­wiem takie ryzyka, które możemy minima­lizować, i takie, na które nie mamy wpływu. W momencie, kiedy nie jesteśmy w stanie zarządzać takim ryzykiem, musimy nauczyć się zarządzać jego skutkami i minimalizo­wać straty, kiedy będzie to potrzebne oraz korzystać ze wsparcia państwa.

Żaden biznes nie będzie w stanie sa­modzielnie walczyć z zakrojoną na sze­roką skalę kampanią w obszarze cy­berbezpieczeństwa. Chyba że jest to globalny dostawca, jak Microsoft. Po to są przewidziane przepisami linie wsparcia – sektorowe, branżowe i państwowe, a na­wet wojskowe.

Niewiele powiedzieliśmy dziś o samej technologii…

Nie ma w tym przypadku. Bezpieczeństwo każdej organizacji opiera się na trzech filarach. Są to: ludzie, procesy i dopiero technologia, która je wspiera. Wszyst­kie te filary powinny być równoważne. Technologia jest niezbędna, ale nie jest wystarczająca do zapewnienia cyberbez­pieczeństwa. Być może zabrzmi to dziwnie w ustach przedstawiciela firmy techno­logicznej, ale nie wolno wpadać w prze­świadczenie, że technologia coś zrobi za mnie. Trzeba ją wdrożyć, wiedzieć do czego służy i właściwie wykorzystywać.

W kontekście NIS2 przede wszystkim nie należy odkładać przygotowań na ostatnią chwilę. Po drugie, nie można unikać udziału w różnych ćwiczeniach i stress-testach za­powiadanych przez Komisję Europejską. Do ćwiczeń trzeba podchodzić szczerze i nie lukrować rzeczywistości, bo jeśli coś się nie uda, to mamy czarno na białym wskazane, co musimy poprawić. Trzeba odrobić lek­cję i krok po kroku odhaczać te obowiązki. Na początek warto zajrzeć do dyrektywy i sprawdzić, w jakim stopniu nas ta kwestia dotyczy.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *