CyberbezpieczeństwoCIORynekPolecane tematy
W przededniu implementacji NIS 2. Poszukiwania standardu, efektywności i sprawczości
Artur Ślubowski, odpowiedzialny za SOC oraz CERT w PKP Informatyka, w rozmowie z ITwiz ocenia na co będzie miał wpływ NIS 2, a czego nie może zapewnić, mówi o iluzji cybersuwerenności oraz wpływie AI na cyberbezpieczeństwa.
Czy NIS 2 w szczególności oraz zestaw pokrewnych oraz komplementarnych regulacji – mają szansę podnieść poziom cyberbezpieczeństwa?
Artur Ślubowski: Pewne jest, że regulacje będą wyegzekwowane, ponieważ nakładają pewne obowiązki i odpowiedzialności. Daje to szansę na podniesienie poziomu odporności na cyberzagrożenia, o ile przepisy i logika są dobre. Podejście dobrowolne, jak wiemy z doświadczenia, nie działa w cyberbezpieczeństwie i sądzę, że zdanie to podziela większość środowiska CISO opierając się na doświadczeniu. Pozostaje więc „tylko” kwestia, czego się wymaga i jak pozyskać na to finansowanie.
Część wymagań, które wprowadzają dyrektywy NIS 2 czy CER, pomaga określić priorytety w działaniach i hierarchię obowiązków. Dyrektywy pomagają i wzmacniają procesy w organizacjach, automatycznie podwyższają priorytet cyber w strategii danego podmiotu. Legislacyjne tsunami będzie z pewnością dostrzeżone przez zarządy firm, ponieważ dostosowania do wymagań będzie wymagało sporego wysiłku. Zapewni i dyskusję, i zasoby do realizacji pomysłów na dostosowanie – obie te rzeczy bez regulacji by się nie pojawiły.
Czy poprzednie regulacje odniosły w tym zakresie sukces?
Ciekawym doświadczeniem, zmieniającym podejście, było ochrona danych osobowych. Kiedyś można było w każdym budynku dowiedzieć się kto w nim mieszka, poznać nazwiska na liście lokatorów, wizytówki na drzwiach. Do tego był dostęp do spisów numerów telefonicznych, wraz adresem. To pozwalało zidentyfikować dowolną osobę. Patrząc z dzisiejszej perspektywy, wdrożenia wymagań ochrony danych i ukrycie tych danych, stanowiło potężne zwiększenie cyberodporności. Dzisiaj byłyby one źródłem informacji dla stalkerów czy hakerów, umożliwiając im na dużo więcej scenariuszy ataków i oszustw.
Należy oczywiście pamiętać, że nowe wymagania to są także koszty dostosowania. I to nie tylko dla podmiotu, które musi je spełnić, ale także dla państwa. Wdrożenie NIS 2 jest dobrym tego przykładem. Z jednej strony trwają próby przeprocesowania aktualizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, nad którą trwają prace od kilku lat, a z drugiej nastąpi przebudowa systemu powiadomień S-46, który ma obsłużyć podmioty zidentyfikowane jako kluczowe lub ważne, w tym nowe sektory, na przykład wodno-kanalizacyjne czy usługi kurierskie.
To przekłada się na koszt funkcjonowania i podmiotów, i państwa. Jednak wdrożenie tych wymagań wzmocni odporność w obu tych wymiarach. Jeśli rzetelnie wykonamy analizę ryzyka, to wyniki wskażą problemy, o których wcześniej nie było wiedzy w firmie i w jej zarządzie. A jeśli się o czymś wie, to można temu zapobiegać, budować odporność przed zaszyfrowaniem danych, systemów, karami, utratą zysków czy upadłością. Suma tych zmian na poziomie firmy wpłynie na całościowe bezpieczeństwo.
A więc osiągniemy pewien standard cyberbezpieczeństwa?
Oczywiście każdy z podmiotów zrobi to na swój sposób. Według własnej metodyki, własnego podejścia do akceptacji ryzyka – z własnym sposobem jego zatwierdzania, minimalizacji czy podejścia do zarządzania nim. Nawet jak skorzystamy ze standardów NIST, ISO, to każde wdrożenie, a potem funkcjonowanie podmiotu będzie swoiste, unikalne. A nawet trudne do porównania.
Myślimy o wspólnych ramach, ale pomieszczą one bardzo różne metody i sposoby analiza ryzyka, i już to uniemożliwia stworzenie jakichś ogólnych miar efektywności. Różne założenia, różne poziomy akceptacji czy apetytu na ryzyko, sprawią, że te same zdarzenia w jednej organizacji będą akceptowalne, a w drugiej nie.
Dotychczasowe próby ujednolicenia metodyk nie sprawdziły się. W roli arbitra i nadzorcy widziałbym raczej organy państwa, niż rynkowe benchmarki. Cyberbezpieczeństwo i cyberodporność to muszą być obszary zarządzane globalnie, w skali państwa – tego oczekuje Unia i wymagania dyrektywy NIS 2.
W kontekście poprawy cyberodporności państwa, wspomniane podniesienie ogólnego poziomu – jest więc domniemane, w oparciu o przeprowadzenie działań i zmiany podejścia, ale z założenia niepoliczalne. Rozporządzania będą jednak motorem budowy świadomości. Podmioty, które określą się same jako krytyczne dla pewnych procesów czy usług, będą mogły się zgłosić i zostać ujęte w wykazie podmiotów kluczowych. Dotąd wiele było wiedzy domniemanej, ale nie podpartej programem ukierunkowanych działań wynikających z obowiązków prawnych. Poczucie, że dany podmiot jest kluczowy, nie niosło żadnych konsekwencji, większej uwagi i zaangażowania. To się zmienia wraz z rozszerzaniem zakresu oddziaływania NIS 2.
Co może zagrozić powodzeniu wdrożenia tych regulacji, zniweczyć ich skuteczność?
Na trudności z wdrożeniem wpływa na pewno podejście, reprezentowane przez część firm: skoro jeszcze nie ma ustawy, to nie ma wymagań. Oczekiwanie na rozporządzenia, które konkretnie określa sposoby realizacji. Taka gra z czasem musi przynieść opłakane rezultaty – po implementacji rozporządzeń będzie zbyt późno, aby rozpocząć wdrożenie wymagające reorganizacji podmiotu czy przebudowy procesów.
Dotyczy to także administracji państwa – dobrym przykładem jest nowelizacja UoKSC i zmiana systemu S-46, który w założeniach do wersji pierwszej Ustawy był w określonym modelu architektonicznym. Do spełnienia wymagań NIS 2, potrzebna jest jego przebudowa, żeby obejmował zdecydowanie większą liczbę podmiotów. To wymóg i wyzwanie technologiczne, ale także procesowe. Niebawem z tego systemu będzie korzystać kilkadziesiąt tysięcy podmiotów, i ktoś po stronie państwa będzie musiał to obsłużyć i współpracować.
Zagrożeniem także jest fakt, że poszczególne dyrektywy i wynikające z nich wymagania powstawały bez uwzględnienia innych istniejących i budowanych regulacji. W efekcie wiele działań, do których zobowiązuje się firmy, będzie się dublowało. Podobne lub takie same działania będzie trzeba prowadzić oddzielnie dla każdej dyrektywy.
Należy też mieć na uwadze, że wymagania, które określane są z perspektywy Unii Europejskiej, nie do końca uwzględniają różne aspekty współpracy z podmiotami spoza Unii, przede wszystkim ze Stanami Zjednoczonymi. Jest tam inne podejście do prawa, inna kultura czy też inne ocena sytuacji. To spowoduje, że nasze obostrzenia czy też wymagania nie będą do końca współgrały z dostawcami rozwiązań technologicznych oferowanych spoza Unii. Tymczasem chcąc nie chcąc, często jesteśmy uzależnieni od zewnętrznych dostawców i to oni narzucają podejście oraz kierunek działań w cyber. Przykładów takich rozwiązań jest bardzo wiele. Oczywiście dostawcy są przez Unię zobligowani do spełnienia szeregu wymagań. Jednym z nich jest fakt, że przetwarzanie danych w data center czy w usłudze chmurowej muszą być na jej terenie. Warto tu może zaznaczyć, że ten wymóg wcale nie niweluje szeregu zagrożeń, a niektóre wzmacnia.
Czy istnieje ryzyko, że z powodu przeciągających się prac związanych z implementacją, obrane środki są już nieadekwatne?
Oczywiście, ponieważ ustawodawstwo zawsze jest spóźnione do rzeczywistości. Wiemy już, że planowane rozwiązania mogą być niewystarczające albo w ogóle nie uwzględniać pewnych zagrożeń. Jednak w mojej ocenie i tak nie znaczy to, że teraz powinniśmy zatrzymać się i zacząć wszystko od nowa. Dopóki wymagania nie będą sprzeczne z obowiązującymi potrzebami, tylko w jakiejś mierze będą wymagały uzupełnienia, to jest to i tak lepsze niż wstrzymanie się i czekanie na nowe prawno-technologiczne rozwiązania. Lepiej jest iść do przodu choćby małymi krokami niż czekać wiecznie w blokach startowych.
Jakie ryzyko dla tej implementacji prawa stanowi, wobec tego, szerokie otwarcie się firm na AI?
NIS 2 wymusza na firmach zarządzaniem ryzykiem AI, w tym uwzględnienia złośliwego użycia LLM (Large Language Model) – deepfake, phishing – w ramach obowiązku kompleksowego zarządzania ryzykiem cybernetycznym wszystkich systemów IT.
Podstawowa baza informacji na temat taktyk, technik i rzeczywistych przypadków atakujących systemy sztucznej inteligencji, która jest cennym źródłem wiedzy pomagającym zrozumieć i bronić się przed unikalnymi zagrożeniami, to platforma MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems). Specjaliści cyberbezpieczeństwa mogą wykorzystać ją do modelowania zagrożeń, testowania ataków oraz opracowywania metod mitygacji zagrożeń.
Podejście określone w MITRE ATT&CK i MITRE ATLAS jest jednak także nie wystarczające i nie odzwierciedla wszystkich wykorzystywanych działań. Dziś platforma nie pokrywa na przykład pełnego spektrum zagrożeń związanych z LLM.
Brak wyczerpujących taksonomii zagrożeń LLM oznacza w kontekście sprostania w pełni wymogom NIS 2 poważne wyzwanie. Należy nad nim obecnie pracować poprzez dojrzałe zarządzania ryzykiem i odpowiedzialnością – a zapewne dopiero NIS 3 uwzględni tę lukę, proponując odpowiednie ramy.
Obserwujemy dyskusję o cybersuwerenności, w tym próby wprowadzenia podatku cyfrowego dla BigTech; rządom państw, ale też organizacji jak UE nie udaje się w tym zakresie działać skutecznie. Czy to zapowiedź czy już symptom utraty w stosunku do BigTech podmiotowości przez rządy państw?
Cybersuwerenność utraciliśmy w momencie, kiedy zaczęliśmy korzystać z Internetu. Do tej pory podział państw i granice fizyczne były namacalne. Korzystanie z Internetu je znosi. Są oczywiście próby blokowania, czego przykładem na przykład Chiński Wielki Firewall, ale w istocie nie ma możliwości określenie granic Internetu i ma to wpływ na suwerenność. Widać to w chwili, kiedy poszczególne państwa czy firmy są zmuszane przez technologicznych gigantów do pewnych działań, do zachowań, których nie chcą realizować, ale z drugiej strony nie mają wyboru. Są im narzucane standardy, technologie i rozwiązania. Można zauważyć podejście dostawców: korzystasz na naszych warunkach lub nie korzystasz w ogóle.
Więc o suwerenności, w znaczeniu decyzyjności technologicznej, można mówić, że została utracona już dawno. Przecież nawet przetwarzanie danych osobowych zgodnie z wymaganiami Safe Harbour okazało się po kilku latach iluzją zabezpieczenia naszych interesów w zakresie poufności i ochrony danych.
Jeżeli popatrzymy na cybersuwerenność z perspektywy bezpieczeństwa, dobrym przykładem są ostatnie wybory w Polsce, kiedy się okazało, że chińska aplikację Tik-Tok miała znaczący wpływ na szerzenie pewnej informacji, podobnie było w Stanach Zjednoczonych czy przy innych wyborach w krajach Unii. Nie mamy w tej chwili narzędzia czy rozwiązania, które by wpłynęło na to, co się dzieje w Internecie, dlatego ta ochrona czy ten wpływ dawno zostały utracone, jawnie lub niejawnie. Stajemy się niewolnikami rozwiązań, i to zwykle nie tych, które pierwotnie wybraliśmy, tylko ich ewoluującej formy, do której akceptacji jesteśmy obecnie zmuszani.
Podobnie widać różnice w podejściu do własności i praw nabytych. W ostatnich latach przestaje nam przyznawane prawo do wiecznego posiadana zakupionych aktywów. Obecnie standardem jest wynajmowanie nam licencji/dostępów/funkcjonalności w modelu usługowym, na określony czas. Spowodowane jest nowym sposobem zdobywania naszych zasobów finansowych, to taki nowy podatek informatyczny – korzystasz, to płacisz. Możemy zapomnieć tutaj o sytuacji, kiedy raz poniesiemy koszty i stajemy się właścicielem. W tym wymiarze też straciliśmy suwerenność.
Znamienne były także zdarzenia po objęciu rządów przez prezydenta Trumpa. Nagle, jedną decyzją dotyczącą ograniczenia finansowania CVE przez rząd USA, rzucił strach na środowisko cyberbezpieczeństwa. Rejestr CVE (Common Vulnerabilities and Exposures) zbiera informacje o zidentyfikowanych, publicznych i ujawnionych lukach w zabezpieczeniach. Wiele rozwiązań/produktów z obszaru cyberbezpieczeństwa korzysta właśnie z tych baz. CVE jest uniwersalnym i jednoznacznym podejściem do katalogowania podatności. Zaprzestanie prowadzenia tego projektu mogło mieć znaczące skutki dla łatania i aktualizacji systemów i aplikacji. Mogło mieć, gdyż ostatecznie pojawiła się informacja o dalszym wspieraniu tego projektu przez rząd amerykański. Jednak co będzie za rok, czy nadal ten projekt będzie wspierany i co zrobimy, jeśli nie?
Czy kolejne aktualizacje NIS będą opierać się na dzisiejszym fundamencie? Jakie trendy cyberbezpieczeństwa i cyfryzacji mogą kształtować już dziś wizję NIS 3?
W mojej ocenie widać już potrzebę aktualizacji dyrektywy NIS 2. Powodem jest rozwój nowych technologii cyfrowych, w szczególności chmurowych i związanych ze sztuczną inteligencją. Z drugiej strony braki kadrowe w obszarze cyberbezpieczeństwa wymuszają także poszukiwania sposobów podniesienia efektywności poprzez standaryzację. Obecnie NIS nakłada wymogi na poszczególne państwa, ale czy sposób realizacji jest taki sam? Podobnie, jak realizacja zabezpieczeń w różnych firmach?
Sądzę, że wzrost świadomości NIS a także upowszechnienie podejścia, w którym patrzymy na realizację wymogów już nie tylko z perspektywy firmy i nawet państwa, ale szerzej, w kontekście Unii, może wymusić w NIS 3 zapisy o paneuropejskim podmiocie, który będzie te zagadnienia nadzorował i koordynował. Mógłby on być odpowiedzialny za budowanie społeczności, wymianę doświadczeń oraz ustalania priorytetów, a także współpracę międzysektorową i międzynarodową – naturalną funkcją mogłyby przyjąć na siebie ISAC (Information Sharing and Analysis Center). Obecnie jako forma partnerstwa publiczno-prywatnego ale przede wszystkim jako centra wymiany informacji w ramach poszczególnych sektorów gospodarki. W Polsce powstało już kilka ISAC, a ten funkcjonujący na kolei będzie niedługo zrzeszał 20 podmiotów i ciągle się rozrasta. Więc naturalnym następnym krokiem będzie współpraca nie tylko w ramach podmiotów w danym kraju, ale transgraniczna wymiana informacji. I tego spodziewałbym się, że o takich kierunkach może znaleźć się w ramach NIS 3. Należy także nadmienić, że już mamy taki podmiot realizujące powyższe zadania. Jest to Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), której rola oraz wpływ na podniesienie cyberodporności z roku na rok jest coraz bardziej znacząca.
Na pewno potrzeba czasu, aby po wdrożeniu i zrozumieniu funkcjonowania NIS 2 dokonać oceny efektów jej działania. Można się spodziewać, że niebawem pewne obszary, które w obecnej chwili funkcjonują, mogą zniknąć. Staną się mniej kluczowe dla procesów a w ich miejsce pojawią się nowe. Pojawia się też nowe branże, których do tej pory nie było. To również zdefiniuje dalszy rozwój dyrektywy NIS.
