Dyrektywa NIS2, która zastąpiła unijne przepisy cyberbezpieczeństwa NIS z 2016 roku, obowiązuje od stycznia 2023 roku. Pierwotny dokument z siedmiu lat temu koncentrował się na aspektach międzynarodowej i krajowej współpracy, jak również na wprowadzeniu obowiązku raportowania incydentów oraz zarządzania ryzykiem przez operatorów i dostawców kluczowych usług. Aktualizacja, czyli NIS2, poszerza znacznie wcześniej obowiązujące zapisy, rozszerzając swój zasięg na coraz więcej sektorów. Jak pokazuje doświadczenie z implementacji ustawy o krajowym systemie cyberbezpieczeństwa, wprowadzenie takich zmian może potrwać nawet kilkanaście miesięcy. Jakie kroki powinno się podjąć w związku z tym?
Dyrektywa NIS2 objęła swoim zasięgiem 11 sektorów: energetykę, transport, bankowość, infrastrukturę rynku finansowego, ochronę zdrowia, wodociągi, spółki wodno-kanalizacyjne, infrastrukturę cyfrową, administrację publiczną, przestrzeń kosmiczną i produkcję żywności. Firmy działające we wskazanych obszarach zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa oraz przeciwdziałaniu zagrożeniom. Przepisy dyrektywy określają jednocześnie „niezbędne minimum” środków, które muszą zostać podjęte przez każdy podmiot, w tym m.in.: prowadzenie analizy ryzyka, zapewnienie bieżącej obsługi incydentów, czy korzystanie z kryptografii i szyfrowania.
“Dyrektywa NIS2 nakłada bardzo duże wymagania na nowe sektory, które nie były wcześniej objęte dyrektywą. Podmioty, które znalazły się na nowej liście, objętej regulacjami, często mają niższy poziom dojrzałości cyberbezpieczeństwa, gdyż nie miały wcześniej ustawowego obowiązku zabezpieczenia infrastruktury IT. Warto podkreślić, że obecnie wypracowane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa schematy w zakresie NIS2 to ogólny spis podstawowych wytycznych budowania bezpieczeństwa systemów teleinformatycznych. Brak więc specjalistycznych wymagań sektorowych, które w tym przypadku byłyby potrzebne. Przykładowo przedsiębiorstwa powinny zarządzać podatnościami systemów informatycznych, ale poprawne ułożenie procesów i technologii, uwzględniając specyfikę infrastruktury organizacji, to niełatwe zadanie. Warto więc powierzyć zadanie dostosowania zabezpieczeń do nowych wymogów doświadczonemu partnerowi, który kompleksowo zadba o cyberbezpieczeństwo firmy” – mówi Jakub Suchorab, Euvic Solutions.
Ważnym obowiązkiem jest raportowanie zdarzeń zagrażających bezpieczeństwu. Istniał on już na gruncie dyrektywy NIS, ale w projekcie NIS2 cała procedura jak i konsekwencje niedostosowania się zostały uregulowane w bardziej precyzyjny sposób. Za nieprzestrzeganie przepisów grożą kary sięgające nawet 10 milionów euro. Ograniczenie ilości zdarzeń jest możliwe dzięki skutecznemu monitorowaniu i zarządzaniu podatnościami w organizacji.
Podatności w organizacjach
Luki w zabezpieczeniach zwiększają ryzyko wystąpienia niepożądanego zdarzenia lub celowego ataku. Wraz z ewolucją cyfrowych rozwiązań, pojawiają się nowe, newralgiczne punkty, na które należy zwrócić szczególną uwagę. Ważne jest, aby do bezpieczeństwa i kondycji systemów firmowych podchodzić z rezerwą. Zbyt duża pewność w działaniu może narazić przedsiębiorstwo na cyberzagrożenia.
Podatności mogą dotyczyć zarówno sprzętu, oprogramowania jak i sieci. Słabe szyfrowanie, niewystarczające testy, czy niezabezpieczone linie komunikacyjne stanowią duże ryzyko cyberataku. Warto dodać, że istotnym aspektem jest również czynnik ludzki. Niska świadomość i rzadkie szkolenia personelu, niepoprawne zarządzanie hasłami lub brak audytu narażają organizację na powstawanie luk w zabezpieczeniach. Podczas gdy 76 proc. organizacji doświadczyła wzrostu liczby podatności w ciągu ostatnich 12 miesięcy, tylko jedna trzecia spodziewa się zwiększenia liczby pracowników zajmujących się zarządzaniem nimi.
“Z raportu „2022 Vulnerability Management Report” przygotowanego przez Cybersecurity Insiders wynika że 71 proc. organizacji posiada formalny program zarządzania podatnościami. Natomiast , jedynie 66 proc. programów oceniono jako średnio lub wysoko skuteczne. Tylko jedna trzecia przedsiębiorstw uważa swój program za efektywny, co nie jest dobrym wskaźnikiem. Największą barierą w zarządzaniu podatnościami są ograniczenia finansowe, brak umiejętności i nieefektywne procesy. Jest jednak i dobra wiadomość – 44 proc. organizacji spodziewa się wzrostu inwestycji w rozwiązania przeznaczone do zarządzania podatnościami” – mówi Wojciech Wrzesień, Euvic Solutions.
W przedsiębiorstwie warto wdrożyć działania minimalizujące ryzyko ataku, takie jak proaktywne monitorowanie zabezpieczeń i zachowania użytkowników. Ze względu na ograniczone zasoby czy ciągły rozwój systemów IT, należy skupić się na usunięciu tych podatności, które najbardziej zagrażają firmie. Odpowiednie ustalenie priorytetów pozwoli szybko zniwelować najistotniejsze luki.
Narzędzia ułatwiające zarządzanie podatnościami
Każdy proces zarzadzania podatnościami nie może obejść się bez odpowiednich narzędzi wspomagających takich jak np. skanery podatności. Oprogramowanie tego typu znacząco przyspiesza pozyskanie informacji o podatnościach jakie w systemach i komponentach używanych organizacji występują. Tego typu systemy dodatkowo wskazują sposoby na usunięcie podatności.
“Efektywne korzystanie ze skanerów wymaga wiedzy na temat znanych podatności w celu zidentyfikowania i ustalenia ich wstępnej hierarchii w środowisku organizacji. Istnieje kilka dobrze znanych publicznych baz danych i standardów, na których opierają się skanery luk w zabezpieczeniach. Są to m.in. Common Vulnerabilities and Exposures (CVE), National Vulnerability Database (NVD), Common Vulnerability Scoring System (CVSS)” – mówi Viktor Pavlovskyy, Euvic Solutions.
Rozwiązaniem problemu z zarządzaniem lukami w zabezpieczeniach są platformy, pomagające zoptymalizować proces diagnozy oraz leczenia. Narzędzia te precyzyjnie określają priorytety luk, a także wybierają odpowiednie rozwiązanie, automatyzują naprawę oraz zapewniają jedno źródło informacji o zarządzaniu podatnościami w całym przedsiębiorstwie.
Koszty utrzymania a skutki braku ochrony
Redukowanie podatności w korporacji jest wydatkiem bliskim 1,1 miliona USD rocznie, jednak w porównaniu do ich skali działania, koszt jest znacznie mniej odczuwalny niż w przypadku organizacji z sektora MŚP. Zarządzanie lukami w zabezpieczeniach jest zdecydowanie bardziej kosztowne z perspektywy małej organizacji. Zwłaszcza małe i średnie przedsiębiorstwa, zamiast inwestować w narzędzia i kompetencje w obszarze zarządzania podatnościami, powinny skorzystać z gotowych zewnętrznych usług.
Niski poziom ochrony może skutkować utratą danych, reputacji, stratami finansowymi, a w skrajnych przypadkach upadkiem działalności. Warto nadmienić, że dużą część potencjalnych strat stanowią koszty utajone tj. wzrost składki ubezpieczeniowej, zwiększenie kosztów finansowania zewnętrznego, utracona wartość relacji z klientami, utrata własności intelektualnej. Szacuje się, że średnia należność finansowa usunięcia skutków cyberataków sięga nawet 200 tysięcy USD, bez względu na rozmiary przedsiębiorstwa. Takie obciążenia mogą doprowadzić do zamknięcia ponad połowy dotkniętych atakiem firm w ciągu pół roku od incydentu.
Żadna organizacja czy instytucja nie jest wolna od podatności. Jednymi z najwyższych priorytetów powinno być zatem dbanie o edukację w tym zakresie i współpraca na rzecz cyberbezpieczeństwa ogólnokrajowego. Świadomość cyberzagrożeń i zrozumienie idących za nimi konsekwencji, jest kluczowym elementem do efektywnego wdrożenia NIS2.