English version
Během této doby mají firmy z veřejného i soukromého sektoru čas se na splnění svých povinností připravit. NIS2 je vlastně mladší sestrou NIS. Je však zkušenější, poučená z chyb minulosti, ale hlavně přísnější a nekompromisnější. Proč bychom se o ni měli zajímat?
Prvním důvodem budou povinnosti vyplývající z právních předpisů, kontrola jejich dodržování ze strany státu a dále pak sankce za jejich nedodržování. Druhým důvodem je celkový stav kybernetické bezpečnosti. Rychlý nárůst počtu kybernetických útoků se netýká jen velkých společností, ale vzhledem k nižší úrovni zabezpečení i malých a středních podniků. Podle dostupných statistik (Sophos) se počet útoků ransomwaru meziročně zvýšil až o 62 %. Celkově byly napadeny dvě organizace ze tří. Nezanedbatelné byly i náklady na řešení útoků. Průměrná výše celkových nákladů byla vyčíslena na 1,9 milionu eur.
Útokům je však možné účinně čelit zavedením bezpečnostních opatření, která definuje a zejména zpřísňuje NIS2. Zavedením preventivních opatření mohou organizace lépe předcházet bezpečnostním incidentům a zvýšit tak svou odolnost. Stoprocentní bezpečnost neexistuje, ale preventivní opatření jsou vždy méně nákladná a bolestivá než řešení dopadů kybernetického incidentu.
Regulační změny
Vzhledem k situaci v zemích EU se v NIS2 také výrazně rozšiřují odvětví a pododvětví, která budou povinna řešit kybernetickou bezpečnost, a tím i počet povinných subjektů. Jedná se o následující nová odvětví, která přibydou ke stávajícím: zdravotnictví – výroba a výzkum léčivých přípravků; dálkové vytápění a chlazení; poskytovatelé ICT služeb; správa ICT služeb; prostor; nakládání s odpady; odpadní vody; kurýrní služby; potravinářský průmysl – výroba, distribuce; výroba (automobilový průmysl, strojírenství, lékařské přístroje, PC a elektronika); výzkum; sociální sítě.
Rozsah bezpečnostních opatření se řídí regulovaným režimem, do kterého společnost spadá. Bezpečnostní opatření jsou povinná pro všechna regulovaná odvětví. Jediný rozdíl bude v přísnosti a rozsahu bezpečnostních opatření. Budou existovat dva regulované režimy:
- Klíčové subjekty (tzv. Základní) – přísnější opatření
- Důležité subjekty (tzv. Important) – méně přísná opatření
První podmínkou pro určení povinného subjektu je poskytování alespoň jedné služby ze seznamu regulovaných služeb. Celý proces je založen na principu vlastní identifikace.
Druhou podmínkou je velikost podniku. Regulovány budou střední a velké společnosti (podle současných definic velikosti společnosti). U některých služeb bude organizace regulována bez ohledu na velikost. Z tohoto důvodu je třeba sledovat legislativní změny. Další skutečností, kterou je třeba mít na paměti, je skládání velikosti společností například v případě holdingových společností, kdy se z malé společnosti může rychle stát střední až velká společnost.
Jaké povinnosti například vyplynou z regulace?
Povinnosti, které vyplynou ze směrnice, jsou pro některé společnosti již známými pojmy. Pro nově regulované subjekty to však nemusí platit. V následujících bodech proto uvádíme výčet těch nejdůležitějších.
- Analýza rizik a bezpečnostní politika informačních systémů.
- Řešení incidentů (prevence, detekce a reakce na incidenty).
- Řízení kontinuity provozu a krizové řízení.
- Bezpečnost dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi jednotlivými subjekty a jejich dodavateli nebo poskytovateli služeb, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb.
- Zajištění nákupu, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a o jejich řešeních.
- Zásady a postupy (testování a audit) pro hodnocení účinnosti opatření pro řízení rizik v oblasti kybernetické bezpečnosti.
- Používání kryptografie a šifrování.
- A mnoho dalšího…
Všechny další potřebné informace o vývoji kolem NIS2 a novely zákona poskytuje obnovený portál NÚKIB.
Pokud si jako společnost nejste jisti svým současným stavem kybernetické bezpečnosti, je dobré nejprve vytvořit analýzu GAP nebo snímku svého současného stavu. Tento pohled poskytne firmě odrazový můstek například pro identifikaci největších problémů nebo plánování financí. Pokud jsem již doma v kybernetické bezpečnosti, mohu začít uvažovat o různých technologiích.
O jakých technologiích mohou společnosti uvažovat?
V oblasti kybernetické bezpečnosti existuje celá řada technologií a pro každou část infrastruktury se hodí jiná technologie.
EDR neboli Endpoint Detection and Response se od běžných antivirových řešení odlišuje zejména schopností logovat dění v rámci sledovaného zařízení a schopností vyhodnotit podezřelé aktivity. Bezpečnostní specialista tak získává nástroj, který mu umožňuje včas odhalit činnost útočníka a zasáhnout proti němu prostřednictvím reakce na jeho chování. EDR tedy představuje nástroj pro detekci bezpečnostních hrozeb a reakci na incidenty. Dalším požadavkem je sběr a uchování informací z informační a komunikační infrastruktury. Ke sběru, přenosu, uchovávání těchto událostí a jejich archivaci slouží tzv. Log Management.
Nástroje pro Log Management ukládají záznamy – logy ve formě strukturovaných událostí. Tím vzniká auditní stopa pro uložení a archivaci. Strukturovaný formát a možnost provádět nad takovými daty vyhledávání umožňují bezpečnostnímu analytikovi využít nástroj k pokročilé analýze potenciálního bezpečnostního incidentu. Kvalita výstupů takových analýz je závislá na kvalitě sesbíraných událostí. Tedy jedním z důležitých parametrů při výběru bezpečnostního řešení Log Managementu je úroveň kvality logování jednotlivých zdrojů logů. Log Management umožňuje uchovávat jakékoli logové záznamy, tedy nejen z bezpečnostních technologií, ale také logy z aplikací, serverů, databází nebo koncových stanic.
Počítačová síť, servery, aplikace a jiná zařízení mohou generovat tisíce logů za vteřinu. Je proto nemožné detekovat nad těmito daty potenciální bezpečnostní události pouze pomocí manuálního procházení událostí.
Jak detekovat hrozby nad obrovským množstvím dat?
A jak detekovat pokročilé typy útoků vyžadující korelaci událostí z více zdrojů nebo bezpečnostních technologií? To je další požadavek NIS2, a to Detekce a řešení bezpečnostních událostí a incidentů.
K tomuto účelu lze využít technologie SIEM (Security Information and Event Management) a procesu bezpečnostního vyhodnocení. Ty slouží k vyhodnocování událostí v reálném čase s využitím předpřipravených korelačních pravidel. Pravidla na základě známých vzorců potenciálně nebezpečného chování detekují bezpečnostní události. Stále je však potřeba mít na paměti, že stejně jako u ostatních bezpečnostních technologií je potřeba se o obsah SIEMu starat a vytvořená pravidla ladit (výjimky a false positive) a plnit jej nejen logy, ale také kontextovými informacemi o monitorovaném prostředí a změnách, které v něm nastávají. V jiném případě se přínos technologie SIEM výrazně snižuje.
Zabezpečení komunikačních sítí je další požadavek
Proto Bezpečnostní analýza síťového provozu je dalším důležitým pilířem při snaze o zabezpečení sítě, který přidává pohled na detekci podezřelých aktivit v síti. K tomuto jsou využívány NBA (Network Behavior Analysis) nástroje, které slouží k monitoringu počítačových sítí. Základem těchto nástrojů je zaznamenávání komunikace v rámci síťové infrastruktury a její bezpečnostní analýza.
Dalším vývojovým stupněm těchto nástrojů jsou tzv. NDR (Network Detection and Response) řešení, která rozšiřují funkcionalitu NBA nástrojů pro bezpečnostní monitoring sítí o možnosti automatické reakce na detekované bezpečnostní události. Typickým příkladem reakce je automatické zablokování komunikace na IP adresu, která je na seznamu nebezpečných adres, a to na základě vzájemného propojení s firewallem. Další typickým příkladem je zablokování odesílání dat při podezření na jejich únik.
Neméně důležitým faktorem je z pohledu NIS2 řešení zranitelnosti
Bez vhodného nástroje, který by detekoval zranitelnosti, nelze tuto oblast kvalitně řešit. IT je odkázáno na pravidelné studování informací o aktualizacích jednotlivých nástrojů a k jejich „slepému“ provádění. Právě z tohoto důvodu vznikly Vulnerability Management (VM) nástroje, které umožňují provádět audit prostředí, dekovat zranitelnosti, a co je nejdůležitější, pomáhají s prioritizací aktualizací na základě kritičnosti dané zranitelnosti. Vulnerability Management není jen nástroj. Jedná se o proces zahrnující detekci, analýzu, vyhodnocení a návrh správného postupu na jejich odstranění.
Převzato z časopisu Komora. Autor článku: Lukáš Přibyl, Axenta
