Dyrektywa NIS2 i narzędzia do jej wdrożenia
W ramach podcastu “Porozmawiajmy o IT” miałem okazję porozmawiać z Aleksandrem Kostuchem o dyrektywie NIS2 i narzędziach do jej wdrożenia.
Posłuchaj naszej rozmowy w wersji audio 🎧 👇
Mój dzisiejszy gość to magister inżynier informatyk, absolwent Politechniki Gdańskiej. Realizował złożone projekty sieciowe, w których zabezpieczenia systemów i danych mają kluczowe znaczenie w organizacjach administracji publicznej, u operatorów telekomunikacyjnych oraz klientów komercyjnych. Specjalista w obszarze cyberbezpieczeństwa z ponad 25-letnim stażem, obecnie w Stormshield doradza w zakresie najlepszego wykorzystania technologii sieciowych i bezpieczeństwa klientom końcowym i firmom z branży IT. Mieszkaniec i miłośnik Kaszub, w czasie prywatnym fotografuje miejscowe krajobrazy. Moim i Waszym gościem jest Aleksander Kostuch.
Cześć, Alku, bardzo miło mi gościć Cię w podcaście.
Cześć, Krzysztof.
Dzisiaj z Alkiem będziemy rozmawiać o unijnej dyrektywie NIS 2. Będziemy się zastanawiać, czym ona jest, komu ma służyć, ale również spojrzymy na narzędzia, które pomogą w jej wdrożeniu, pomogą w dostosowaniu się do wymogów, które ta dyrektywa właśnie wnosi.
Zanim jednak do tego przejdziemy, to chciałbym Cię, Alek, zapytać, tak jak każdego mojego gościa, czy słuchasz podcastów, być może będziesz w stanie zarekomendować jakieś audycje albo odcinki dla naszych słuchaczy.
Serdecznie Państwa witam przed głośnikami. To może być trochę zaskakujące, ale mam bardzo bogate życie zawodowe i obowiązki sprawiają, że niełatwo mi znaleźć czas na podcasty techniczne, do których zaglądam okazjonalnie, jak np. do tych tutaj, które robisz bardzo profesjonalnie i interesująco: Porozmawiajmy o IT.
Wypoczywam przy podcastach dotyczących fotografii, czyli też kolejnej mojej pasji, bo praca jest moją pasją, ale nie tylko pracą człowiek żyje. A więc robię zdjęcia, wyjeżdżam na różnego rodzaju wycieczki fotograficzne i tutaj często słucham podcastów dotyczących rozwiązań technicznych, takich jak opowiadania o aparatach średnioformatowych, o dobraniu obiektywów. Słucham podcastów firmy Fotoforma, Andrzeja Grudnia, słucham Macieja Taichmana z Mega Obraz. Świetnie opowiadają o tego typu rzeczach.
Dodatkowo słucham też różnego rodzaju podcastów dotyczących sposobów fotografii krajobrazów, rozmawiam z ludźmi, tak że rozwijam moją pasję oprócz tych rzeczy, które dotyczą mnie zawodowo.
A jeśli chodzi o takie zawodowe rzeczy, które powodują, że zwiększam swoją wiedzę, to dużo czytam. Interesujące są czasopisma, takie jak np. CRN, portale branżowe. Zaglądam do Niebezpiecznika, zaglądam do Zaufanej Trzeciej Strony, Sekuraka, jak również zaglądam pod linki, które podsyłają mi koledzy, kiedy coś ciekawego na świecie dzieje i tam, gdzie powinienem zobaczyć, przeglądam różnego rodzaju fora dyskusyjne i w ten sposób zdobywam wiedzę.
Ale to nie tylko te źródła, bo np. może być takim źródłem to, co prowadzi moja firma: advisories.stormshield.eu, ale również cenię ten trochę inny sposób zdobywania wiedzy. Mam młodzież jako dzieci i one powodują to, że się człowiek interesuje również tymi rzeczami, które są dookoła niego.
A więc był taki dzień, kiedy Facebook przestał działać. Ja korzystam z Messengera i tutaj zauważyłem, że coś jest nie tak, ale potem dostałem telefon od córki, która zadzwoniła: tato, chyba Facebook nie działa. No tak, okazuje się, że ten Facebook nie działał u dużej, dużej liczby osób, a to była po prostu tylko awaria. Nie wiem, czy źródłem był atak, trudno powiedzieć, bo to nie dostało się jakby do publicznej wiadomości, a oczywiście w związku z awarią Facebooka od razu jakieś spekulacje narastają, aczkolwiek to jest taki dobry moment, żeby się wybrać np. na spacer, odpocząć od tych technologii, nie siedzieć ciągle w tym telefonie, żeby odpocząć.
A z drugiej strony, mój syn np. mówi: a tato, wiesz, jest taki portal Panda Bay, no i teraz wszyscy sobie robią żarty na temat tego, bo wyciekły tam dane ludzi, którzy robili zakupy. Okej, wyciekły te dane, to jest, że tak powiem, sprawa bardzo poważna, ale ludzie już trochę przywykli do tego wszystkiego, że mając kontakt z technologią, robiąc gdzieś zakupy, często są różnego rodzaju te niebezpieczeństwa IT, które na nich czyhają, i jeżeli okaże się, że gdzieś jakaś strona została skompromitowana, gorzej, dane z tej strony skompromitowanej zostały gdzieś opublikowane, one są dostępne po prostu googlując sobie je, to dzieciaki robią sobie z tego trochę bekę, jak choćby np. zaglądają, o, czy mój sąsiad kupował akurat w tym sklepie internetowym, gdzie kupuje się nieoryginalne ciuchy też, i jeszcze jedna sprawa: a gdzie ktoś tam mieszka, bo znam tę osobę, a tu wyciekły dane, a jeszcze zobaczę np. jakiś celebryta, który kupował jakieś rzeczy, z tych youtuberów oczywiście celebryta, to już znam to jego numer telefonu, bo tam gdzieś był wprowadzony.
Później powstają takie projekty jak np. mapa z różnego rodzaju adresami osób, których dotyczył wyciek. A więc rzecz, która tak naprawdę jest bardzo poważna, może być zamieniona również w jakieś tam humorystyczne elementy.
Świetnie, że czerpiesz wiedzę z różnych źródeł. To, co tutaj mówiłeś na temat takiego, powiedziałbym, odwróconego modelu nauczania, że to dzieci czegoś Cię uczą, to myślę, że z tego co pamiętam, to któryś kraj skandynawski właśnie często korzysta z takiego modelu, że jesteś w stanie właśnie od młodego pokolenia się czegoś nauczyć, i to z tego, co wiem, bardzo fajnie się sprawdza.
Natomiast jeszcze słówko na temat tych rekomendacji podcastów fotograficznych. Nie przypominam sobie, żeby któryś z wcześniejszych gości właśnie rekomendował tego typu audycje, więc tutaj otwierasz jak gdyby kącik pasjonatów fotografii w tym podcaście, więc dzięki za to.
Myślę, że akurat dużo osób z branży IT zajmuje się również fotografią, a to trochę w moim przypadku wynikało z tego, że fotografia przeszła z analoga na cyfrę, a więc w ten czujnik, który zamienia obraz na mapę cyfrową. Ja gdzieś tam lata temu dostałem taki aparat Kodaka, który robił zdjęcia w rozdzielczości 640×480 i to było dla mnie mega pasjonujące, że to już nie tylko skanery, ale również powstają układy, matryce światłoczułe, które potrafią obraz sczytywać z rzeczywistości tak jak błona światłoczuła.
I tak naprawdę ja zacząłem się dopiero interesować fotografią wtedy, kiedy urodziło się moje pierwsze dziecko, 18 lat temu, bo wtedy już były jakieś aparaty, które miały rozdzielczość 5 Mpix, a więc pojawił się powód, dlaczego mógłbym zainwestować akurat w fotografię, żeby robić zdjęcia, żeby rejestrować dorastanie moich dzieci, żeby później ewentualnie móc sobie sięgnąć do tych obrazów w formie cyfrowej.
Oczywiście forma cyfrowa może być później wydrukowana, Może być z tego zrobione zdjęcie, plakat, fotoobraz, a więc różnego rodzaju te formy, ale tak naprawdę pasja fotograficzna zaczęła się właśnie od tego, żeby pojawiły się technologiczne możliwości.
Ta matryca też się zmienia. Bo pierwszy mój aparat, który kupiłem, miał matrycę Micro 4/3, później pojawiły się matryce pełnoobrazkowe. W tej chwili bardzo mnie interesują ze względu na to, że cena jest porównywalna aparatu z matrycą średnioformatową, tak jak aparatu z pełną klatką, więc interesuje mnie złapanie jeszcze większej ilości światła, a to wszystko mnie po prostu wkręca w tematykę fotograficzną i to, żeby jeszcze móc dać coś od siebie, nie tylko z punktu widzenia zawodowego IT, ale również trochę poza tymi rzeczami, które są mega ścisłe, a fotografia i podziwianie świata jest już, że tak powiem, takim tematem trochę bardziej miękkim.
Ze sposobu, w jaki tutaj opowiadasz o tej pasji, widać, że to jest dla Ciebie coś istotnego, ale mówiłeś też, że praca jak najbardziej jest Twoją pasją, więc właśnie na tym gruncie zawodowym chciałbym Cię zapytać o ten temat, który sobie dzisiaj postawiliśmy jako główny do naszej rozmowy, czyli właśnie o dyrektywę NIS 2. Przez kogo została wprowadzona, co reguluje?
Jest to nic innego jak dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie środków, które mają na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. To, co mówimy o NIS 2, to jest rozszerzeniem i uaktualnieniem tego, co pojawiło się w NIS 1. Warto wiedzieć, że w sprawie NIS powstał Krajowy System Cyberbezpieczeństwa, jest projekt nowelizacji ustawy. I generalnie to, przed czym tak naprawdę staniemy, to nowelizacja polskiej ustawy i wprowadzenie tych dyrektyw na poziom tutaj nasz polski.
Dyrektywa NIS 2 bardzo rozszerza liczbę sektorów krytycznych, których dotyczył NIS 1. Te przedsiębiorstwa, które określamy jako sektor krytyczny, energetyczny, wiedzą o tym, że ich dotyczy NIS w wersji pierwszej, a tutaj akurat sam NIS 2 zwiększa liczbę z 7 aż do 18, a więc rozszerza ten zakres do administracji publicznej, która nie była ujęta wcześniej w NIS-ie 1. Rozszerza zakres przede wszystkim o tę infrastrukturę, która jest związana z usługami publicznymi, które są realizowane na rzecz mieszkańców. Są to w tym momencie zakłady wodnokanalizacyjne, to są ciepłownie, to są ośrodki zdrowia również, i one wszystkie będą się nazywały infrastrukturą krytyczną.
Nie możemy zapomnieć oczywiście też o tym, że te systemy to naczynia połączone, a więc są dostawcy. I tutaj NIS 2 rozszerza również obowiązki zabezpieczeń w całym łańcuchu dostaw, a więc będzie to dotyczyło również firmy kooperujących z administracją publiczną, bo to już cała administracja publiczna tak naprawdę będzie. Tutaj to nie tylko będzie energetyka, ale również transport, bankowość, infrastruktura rynków finansowych, dostawa wody pitnej, nie tylko związana z systemami wodnokanalizacyjnymi, ale również produkcją, także żywności.
Ta ustawa rozszerza zakres o przestrzeń kosmiczną. Akurat mamy jedną taką instytucję przestrzeni kosmicznej, raptem tutaj będąc w Gdańsku, ja niedaleko Gdańska mieszkam właśnie, na Kaszubach, tak że bardzo blisko mnie. Możemy to właśnie tak potraktować pół żartem, ale to są bardzo poważne sprawy i w Unii Europejskiej inne kraje również mają takie instytucje, a więc te instytucje będzie obejmować też NIS 2.
NIS 2 obejmie również dostawców usług cyfrowych, takich jak platformy internetowe, centra danych, dostawców chmurowych. Będzie dotyczyła również poczty, produkcji żywności. I ten NIS 2 powoduje to, że wprowadza pewne obowiązki dotyczące zarządzania ryzykiem cybernetycznym, analizy ryzyka, stosowania systemów, które pomogą w identyfikowaniu, ocenianiu, kontrolowaniu, a także i monitorowaniu ryzyka.
Wprowadza również obowiązek monitorowania, rejestrowania, generowania informacji o incydentach, a tym samym obowiązuje posiadanie systemów, np. typu SIEM, właśnie do monitorowania cyberbezpieczeństwa, czy Cyber Threat Intelligence, które również pomagają w tym, żeby wykrywać, reagować, zrozumieć pewne incydenty.
Generalnie dużo mówi się tutaj o incydentach, o rodzajach incydentów, o tym komu zgłaszać w różnych krajach, i tutaj również w Polsce powstają takie punkty kontaktowe dotyczące tych miejsc, w których można zgłaszać te incydenty, tzw. CSIRT, Computer Security Incident Response Team, CSIRT w skrócie. I tutaj jeśli chodzi o Polskę, to prawdopodobnie to będzie, już chyba wiadomo, że będzie to NASK, Naukowo-Akademicka Sieć Komputerowa.
Jednakże to, co najważniejsze z mojego punktu widzenia jako osoby technicznej, jako inżyniera, który wdraża technologię, to jest to, że NIS 2 zwiększa wymogi w zakresie stosowania środków technicznych. nie tylko organizacyjnych, wiadomo procedury, dokumenty związane ze zrozumieniem i określeniem ryzyk, ale przede wszystkim tutaj NIS 2 mówi konkretnie o stosowaniu rozwiązań technicznych adekwatnych do poziomu zagrożenia, ale również mówi o tym, że mają być to systemy najnowsze ze względu na aktualny stan wiedzy.
Nie będę tu ukrywał, że czas, kiedy państwa członkowskie mają na wdrożenie, czyli 17 października tego roku, 2024, powoduje, że będę miał bardzo dużo pracy z kolegami do tego, żeby przygotować te firmy pod względem stosowania tych technicznych rozwiązań. Tutaj niemałe znaczenie będzie miała nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa.
W tej chwili akurat zmienił się rząd, tak że tutaj nie wiem, jaki ma to dokładnie wpływ na datę, która już gdzieś tam jest znana, ani na to, jak ta ustawa będzie wyglądała. Może będzie przepisana po prostu wprost, jeden do jednego, a może będzie dostosowana tutaj do polskich realiów, tak jak to było w przypadku rozporządzenia o ochronie danych osobowych. Tutaj jest dużo podobieństw, tak że myślę, że część w tej ustawie będzie zmieniona, powstają w tej chwili zespoły eksperckie, które zaczynają dyskutować na ten temat, są oczywiście odpowiednie rządowe działy, które również na ten temat dyskutują i już pracują nad odpowiednim dokumentem.
Tutaj warto dodać, że do tych podmiotów kluczowych prawdopodobnie w Krajowym Systemie Cyberbezpieczeństwa będą nie tylko dostawcy infrastruktury krytycznej dołączeni, ale również podmioty, które świadczą usługi w zakresie szerokopasmowego dostępu do internetu. Mogą tutaj być również podmioty takie jak świadczące usługi SAAS, czy PAAS, czy IAS, czy duże sklepy typu e-commerce, czy również instytucje związane z e-governmentem, bo tych usług też oczywiście cyfrowych coraz więcej przybywa.
Tutaj warto dodać, że do tych podmiotów kluczowych prawdopodobnie w Krajowym Systemie Cyberbezpieczeństwa będą nie tylko dostawcy infrastruktury krytycznej dołączeni, ale również podmioty, które świadczą usługi w zakresie szerokopasmowego dostępu do internetu. Mogą tutaj być również podmioty takie jak świadczące usługi SAAS, czy PAAS, czy IAS, czy duże sklepy typu e-commerce, czy również instytucje związane z e-governmentem, bo tych usług też oczywiście cyfrowych coraz więcej przybywa.
Myślę sobie, że zwłaszcza dla tych firm, które wcześniej nie były objęte tą dyrektywą, będzie to oznaczało sporo wyzwań i sporo pracy, tak jak tutaj właśnie powiedziałeś. Właśnie, co możesz powiedzieć o tych wyzwaniach, ale myślę sobie, że również o możliwościach, które wynikają właśnie z dostosowania się do tej dyrektywy? Czy według Ciebie te firmy będą w stanie wykorzystać tę możliwość, aby podnieść swoją odporność cyfrową, a w konsekwencji być bardziej konkurencyjnym na rynku?
Na pewno wyzwaniem takim największym jest poprawa bezpieczeństwa i odporności na ryzyka, ponieważ łączy się z jednej strony z wyobraźnią, czyli ocenieniem tych ryzyk, np. zleceniem audytu, z drugiej strony ogarnięciem tego co po audycie zostaje zaraportowane. A więc co zrobić, żeby zminimalizować to ryzyko powstania incydentów i potencjalnych strat.
Wiadomo, że w 100% nigdy się nie da tego zrobić, ale zaimplementowanie zmasowanych systemów bezpieczeństwa, później regularnych audytów bezpieczeństwa i tutaj nie wolno również zapominać o tym, że należy szkolić personel, nie tylko ten z IT, dział informatyczny, ale również personel, który bezpośrednio korzysta z komputerów, a więc operatorów tak naprawdę, sprzedawców, magazynierów, pracowników biurowych. Ich wszystkich należy szkolić z tzw. higieny cyber security.
Dzięki tym działaniom, czy to jest firma, czy to jest instytucja administracji publicznej, czy jakiejkolwiek innej, na pewno uda się zwiększyć odporność na cyberataki. Dzięki temu, że firmy przygotują się na taką odporność, na pewno się da zmniejszyć potencjalne straty finansowe, które mogą wynikać z ataku, a te straty finansowe, jeżeli będziemy mieli wyobraźnię, mogą być niejednokrotnie dużo większe wtedy, kiedy my nie zadziałamy do tego, żeby zabezpieczyć. I teraz straty finansowe to jest jedno. Bo dobrze by było wydać najpierw te finanse na to, żeby zabezpieczyć, żeby później nie płakać i nie trzeba było działać, że tak powiem, już post factum.
Zobaczmy na przykład bazę danych. Baza danych powstaje przez lata. Pracuje nad tym zespół ludzi, którzy tworzy tę bazę danych. Jeżeli będzie jakiś atak i ten atak będzie na tyle wyrafinowany, że stracimy taką bazę danych, nie tylko tą produkcyjną, ale również z kopii zapasowych, o ile te kopie zapasowe nie były gdzieś tam odizolowane, bo komuś nie starczyło wyobraźni na to, a często spotykamy się również z informacją, że ktoś robi backupy albo będzie robił backupy. Tak że znane oczywiście tutaj jest To stwierdzenie z IT. I najlepiej po prostu najpierw przemyśleć, wydać te budżety na to, żeby się zabezpieczyć, żeby potem po prostu już nie płakać nad rozlanym mlekiem.
A to nie tylko finanse. Przede wszystkim również jest tutaj bardzo ważna reputacja, która wynika z incydentów. To, co powiedziałem na początku, tak naprawdę tutaj młodzież potrafi się śmiać z niektórych rzeczy, ale to mocno wpływa na to, jak te instytucje czy firmy dużo tracą w oczach, czy nawet cała branża traci w oczach, jeżeli np. któraś z tych firm instytucji medycznych zostaje zaatakowana.
A więc jedna rzecz to te wyzwania, a z drugiej strony, jeżeli my staniemy tutaj naprzeciwko tym wezwaniom, to możemy sobie wyobrazić, że wtedy przy zaangażowaniu kierownictwa, zarządu całej firmy czy instytucji zwiększa się kultura bezpieczeństwa. Pracownicy stają się w tym momencie bardziej wrażliwi na działania socjotechniczne. Stają się również poprzez edukację najważniejszymi strażnikami naszej firmy.
Mówi się o tym w IT, że człowiek jest takim najsłabszym ogniwem, ponieważ można naprawdę dużo zainwestować w ochronę, ale wtedy, kiedy ktoś zmanipuluje taką osobą, to żadne systemy nie pomogą. Jeżeli oczywiście wyobraźnia była na tyle duża, to można gdzieś tam wychwycić jakieś błędy, to co standardowy użytkownik może zrobić, ale jeżeli jest naprawdę wyrafinowany taki atak socjotechniczny, to przed nim się naprawdę ciężko obronić.
I gdy ta kultura bezpieczeństwa się zwiększy poprzez edukację pracowników, którzy są mega ważnym elementem, mówi się o modelu ISO/OSI, o siedmiu warstwach, ale tak naprawdę na szczycie tego modelu sieciowego, który jest znany w IT, stoi właśnie człowiek. I to człowiek wzmacnia wtedy tę odporność, ponieważ nawet wtedy, kiedy zostaje zmanipulowany, potrafi podzielić się informacją z administratorem IT, że mnie tutaj spotkało coś takiego i ja nie mam zaufania do tego, mam wątpliwości do tych pewnych działań i dzielę się tym z tobą, fachowcem od IT, czy to może potencjalnie zagrozić.
Czasami standardem są takie maile phishingowe, gdzie spieszy się komuś podszywanie się na przykład pod zwierzchnika, gdzie musimy szybko coś wykonać. A gdy taka osoba będzie przeszkolona, to może gdzieś tam w tym momencie w wyniku tego całego natłoku, jakby presji, może gdzieś tam się zastanowi, zaraz, zaraz, chwileczkę, mam dział IT, mogę się zapytać, nie muszę robić tego na hura, może warto się po prostu skonsultować, zanim kliknę. I dział IT zazwyczaj wie, zna, ponieważ większość informatyków w dziale IT interesuje się cyberbezpieczeństwem w ten czy inny sposób, oczywiście tego czasu, jesteśmy świadomi, jest mało, ale oni też również pracują z innymi firmami, które świadczą outsourcing na przykład i też oni sami, administratorzy systemów IT mogą się zapytać, ekspertów à propos tego konkretnego przypadku, czy jest to zagrożenie, czy nie.
A więc dzięki zwiększeniu kultury pracy z pracownikami można uniknąć ryzyka cybernetycznego w postaci ataku. Wiadomo, że tutaj wyzwaniem jest ciągłe monitorowanie, aktualizacja systemów z tego względu, że mamy małe zasoby informatyczne. One kosztują. Aktualizacja systemów również kosztuje.
Dlatego często warto się zastanowić nad wyborem technologii, wybrać tę technologię, która opłaca się pod względem takiego wskaźnika TCO, Total Cost of Ownership, czyli po prostu posiadania całości systemu i wybrać po prostu te najbardziej konkurencyjne, które mają mnogość z jednej strony funkcji, które mogą zostać wdrożone, które mają interfejs komunikacyjny w języku polskim, a również mają elementy innowacyjne pod względem cyber security i potrafią się adaptować do zmieniającego się krajobrazu cyber zagrożeń. Dzięki nim zaufać, że nie tylko mnogość działu IT, ale to, że mam dobre rozwiązania, pomoże mi w tym, że mogę spać później spokojnie i się nie denerwować tym, że coś się może w nocy zadziać.
Jeszcze jedną rzecz, którą chciałem tutaj dopowiedzieć à propos tych incydentów, bo same incydenty NIS 2 omawia bardzo szczegółowo, jak je zgłaszać, identyfikuje je, ocenia, tu powstają odpowiednie grupy SIRT, ale one powstają również nie tylko dlatego, żeby były miejscem do składania informacji o tych incydentach, bo incydenty były, są i prawdopodobnie będą, ale te grupy fachowców mają również pomagać nam w poprawnym przejściu przez to, jak się dzieje jakiś incydent — a więc pomagać nam w podejmowaniu pewnych działań, pomagać nam w planowaniu tych działań zaradczych, zminimalizować wpływy takiego incydentu.
Oczywiście wszystko jest zależne od skali i nie można tutaj przyrównywać jednej instytucji do drugiej, ale ta wiedza ekspercka powoduje to, że przez portale internetowe, komunikację, mamy dostęp do takich najlepszych praktyk i wieloletniej wiedzy eksperckiej ludzi, którzy tam pracują, a więc też nie powinniśmy się tego bać, a przyjmować to bardziej jako element, który nam ewentualnie może pomóc.
👉 Czytaj dalej: https://porozmawiajmyoit.pl/poit-243-dyrektywa-nis2-i-narzedzia-do-jej-wdrozenia/
