KSC (NIS2) oraz DORA znacząco podnoszą wymagania wobec organizacji w zakresie cyberbezpieczeństwa – szczególnie w obszarach zarządzania ryzykiem, raportowania incydentów, testowania odporności oraz odpowiedzialności kadry zarządzającej. Podczas gdy KSC obejmuje szerokie spektrum sektorów kluczowych, a DORA koncentruje się na sektorze finansowym, oba akty prawne wymagają dojrzałych procesów, wykwalifikowanych zespołów oraz nowoczesnych technologii. Skuteczna zgodność z regulacjami i realna cyberodporność opierają się na połączeniu narzędzi takich jak EDR, SSE, CTEM i testy Red Teamowe z ciągłym szkoleniem pracowników oraz silnym zaangażowaniem zarządu.

Artykuł powstał na podstawie webinaru “KSC i DORA: Jak przygotować się na nowe wymogi w 3 krokach?”. Pobierz pełne nagranie tutaj.

Nowe przepisy na rzecz wysokiego poziomu cyberbezpieczeństwa, czyli nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC) i rozporządzenie DORA dot. operacyjnej odporności cyfrowej sektora finansowego, zobowiązują firmy do dokładnej rewizji i uszczelnienia swoich środków ochrony IT.

Wsparciem w budowaniu skutecznej cyberodporności są przede wszystkim nowoczesne technologie i ciągłe doskonalenie kompetencji osób odpowiedzialnych za zarządzanie incydentami.

W poniższym artykule omawiamy różnice i podobieństwa między KSC i DORA, jakie wyzwania związane z utrzymaniem cyberbezpieczeństwa adresują oraz z jakich technologii i procesów warto skorzystać, aby dostosować się do nowych wymogów.

KSC – definicja i wymogi

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa to wprowadzenie wymogów Dyrektywy NIS2, która uszczegóławia i zaostrza wcześniejsze przepisy związane z cyberbezpieczeństwem – zobowiązuje do systematycznej i pogłębionej analizy ryzyka oraz wprowadza nowe mechanizmy reagowania na incydenty.

Wymagania określone przez UoKSC można podzielić na 4 kategorie:

• formalno-prawne, np. obowiązek wpisu w wykazie podmiotów kluczowych i ważnych, utrzymanie dokumentacji dot. bezpieczeństwa, informowanie użytkowników o znaczących cyberzagrożeniach, wdrożenie systemu zarządzania bezpieczeństwem informacji,
• operacyjne, np. zarządzanie ryzykiem, wymiana informacji, ocena bezpieczeństwa podmiotów przez CSIRT,
• techniczne, np. wdrożenie narzędzi pozwalających na zgłaszanie incydentów,
• edukacyjne, np. obowiązkowe szkolenia zarządu.

DORA – definicja i wymogi

DORA, czyli rozporządzenie o operacyjnej odporności cyfrowej, nakłada nowe, jednolite i spójne wymogi dot. cyberbezpieczeństwa na firmy działające w sektorze finansowym (np. banki, firmy inwestycyjne, zakłady ubezpieczeń i reasekuracji) oraz ich najważniejszych dostawców usług ICT (technologie informacyjno-komunikacyjne).

Kluczowe obszary, na które kładzie nacisk DORA to:

• zarządzanie ryzykiem ICT,
• zgłaszanie incydentów ICT,
• testowanie operacyjnej odporności cyfrowej,
• zarządzanie ryzykiem ICT zewnętrznych dostawców usług,
• dzielenie się danymi o cyberzagrożeniach.

DORA vs KSC – różnice i podobieństwa

Zarówno DORA, jak i nowelizacja ustawy o KSC mają na celu wzmocnienie cyberbezpieczeństwa i odporności na zagrożenia cyfrowe, nakładając obowiązki dot. zarządzania ryzykiem ICT, raportowania incydentów oraz testowania odporności.

Regulacje różni od siebie zakres podmiotowy – DORA dotyczy sektora finansowego i jego dostawców ICT, a KSC ma szerszy zasięg, obejmujący kluczowe sektory gospodarki (np. energetyka, transport, administracja publiczna).

DORA jest też aktem bardziej szczegółowym niż NIS2, o czym świadczy np. wprowadzenie RTS-ów (Regulacyjne Standardy Techniczne), czyli dodatkowych dokumentów porządkujących jak:

• zarządzać incydentami – kryteria klasyfikacji i progi dla poważnych incydentów, kryteria i progi istotności do określenia znaczących cyberzagrożeń,
• wykonywać testy bezpieczeństwa – testowanie z wykorzystaniem europejskiego framework’u TIBER-EU (w DORA określane jako TLPT: Threat-Led Penetration Testing), czyli przeprowadzanie testów Red Teamowych. Testy muszą być wykonywane regularnie, zgodnie ze ściśle określonymi standardami i planem, a także muszą angażować wewnętrzne i zewnętrzne zespoły specjalistów ds. cyberbezpieczeństwa,
• prowadzić rejestr informacji – w celu kontroli zewnętrznych dostawców.

Rozporządzenie DORA łącząc obowiązki wynikające z poprzednich regulacji, harmonizuje standardy w Unii Europejskiej i nakazuje bardziej holistyczne podejście do cyberbezpieczeństwa w ICT. NIS2 daje państwom członkowskim większą elastyczność w implementacji przepisów, wymagając dostosowania dyrektywy do krajowych systemów prawnych.

Wyzwania w utrzymaniu cyberbezpieczeństwa

Wdrażając wymagania KSC i DORA organizacje powinny zaadresować największe wyzwania związane z zapewnieniem cyberbezpieczeństwa, takie jak:

1. Brak możliwości całkowitego zablokowania dostępu cyberprzestępcy do organizacji: nawet przy najszczelniejszych zabezpieczeniach wciąż istnieje ryzyko tzw. „initial access”, czyli dostępu atakującego do mało uprzywilejowanego systemu (np. urządzenie brzegowe, komputer pracownika), przed faktycznym rozpoczęciem ataku ransomware i przejęciem kolejnych elementów systemu IT.

2. Współpraca z zewnętrznymi firmami: firmy zewnętrzne posiadające dostęp do sieci firmowej (np. za pomocą VPN) są potencjalnym źródłem zagrożeń, gdyż posiadamy mały wpływ na ich bezpieczeństwo. Zalogowanie się zewnętrznego dostawcy, który zaniedbuje swoje bezpieczeństwo do firmowej aplikacji zwiększa ryzyko incydentu, ponieważ atak może nastąpić z zaufanego kanału komunikacji.

3. Różnorodne źródła zagrożeń: wiele cyberataków odbywa się poprzez umieszczenie złośliwego kodu w popularnych aplikacjach, które są używane przez pracowników firmy. Szczególnie wartościowe dla cyberprzestępców są komputery developerów i osób z działu IT, gdyż mają wyższe uprawnienia. Słabo zabezpieczone hasła kont serwisowych mogą być łatwe do złamania i wykorzystane do przejęcia kontroli nad systemami.

4. Nieznane podatności i exploity Zero-day: nawet najbardziej aktualne systemy mogą być narażone na ataki przez niewykryte wcześniej luki (tzw. exploity Zero-day), które są trudne do zablokowania, bo nie ma na nie jeszcze poprawek bezpieczeństwa. Przykładem są luki w urządzeniach VPN, które często są atakowane jako pierwsze. W przypadku exploit Zero-day cyberprzestępcy zwykle udaje się wejść do sieci firmowej.

5. Błędy ludzkie: konfiguracja systemów zabezpieczeń, zarządzanie uprawnieniami i inne działania IT są narażone na ludzkie błędy, które mogą otworzyć cyberprzestępcom drzwi do systemów wewnętrznych firmy. Nawet w sytuacji, gdy firma podnosi świadomość bezpieczeństwa na wyższy poziom (np. 99% pracowników nie pada ofiarą phishingu), to nadal wystarcza tylko jeden błąd człowieka, aby doszło do incydentu.

6. Problemy z aktualizacjami i zarządzaniem podatnościami: stosowanie popularnej zasady “patch” (częsta aktualizacja systemu) jest niewystarczające, ponieważ nadal istnieją cyberzagrożenia, których nie da się zlikwidować zwykłymi poprawkami bezpieczeństwa, ani wykryć skanerami podatności. Testy Red Teamowe są w takich sytuacjach najbardziej skuteczne – wykrywają podatności takie jak np. łatwe do złamania hasła kont serwisowych, nadmiarowe przywileje Active Directory, słabo zabezpieczone konto administratora lokalnego, itp.

7. Brak zaawansowanych narzędzi: starsze narzędzia zabezpieczeń mogą nie sprostać nowym zagrożeniom, dlatego potrzebne są nowoczesne technologie, takie jak EDR (Endpoint Detection and Response) czy SSE (Security Service Edge). Organizacje często obawiają się tych bardziej zaawansowanych rozwiązań, a są one niezbędne do skutecznej ochrony przed cyberatakami.

8. Niedostateczne szkolenie personelu: firmy często nie kładą odpowiedniego nacisku na praktyczne szkolenie z reagowania na incydenty (incident response). Powinny one obejmować realistyczne scenariusze, narzędzia używane w firmie (np. EDR, firewall) oraz naukę ich właściwej obsługi.

9. Brak kompleksowego testowania systemów: testowanie jedynie nowych aplikacji webowych lub elementów widocznych z Internetu, podczas gdy cały wewnętrzny system informatyczny często pozostaje niesprawdzony, nie jest dobrą metodą. Regulacje wprowadzają obowiązek kompleksowego i regularnego testowania systemów produkcyjnych.

Z jakich technologii korzystać, aby spełnić wymagania KSC i DORA

Do skutecznej realizacji głównych wymagań KSC i DORA pomocne jest wdrożenie w organizacji odpowiednich technologii:

1. Continuous Threat Exposure Management (CTEM)

   a. Nowe, bardziej inteligentne podejście do zarządzania podatnościami, rekomendowane przez Gartnera. Systemy tej klasy (XM Cyber), są zaprojektowane tak, aby nie pokazywać fałszywych alarmów, a zapewnić ciągłe monitorowanie i zarządzanie podatnościami, które mogą być eksploatowane przez cyberprzestępców.

   b. CTEM opiera się o agenta i symulację cyberataku. Wykrywa realne ścieżki ataków w środowisku IT oraz identyfikuje krytyczne punkty, które potencjalnie wykorzystają atakujący.

2. Security Service Edge (SSE)

   a. Rozwiązania SSE, takie jak Netskope, oferują zintegrowaną platformę bezpieczeństwa chmurowego, która obejmuje różne funkcje, np.: firewall, IPS, antywirus, deszyfrowanie ruchu sieciowego. Posiada też dwie szczególnie unikatowe cechy jak ukrywanie adresów IP urządzeń VPN i aplikacji (to znacząco utrudnia cyberatak) i monitorowanie stanu bezpieczeństwa komputerów.

   b. SSE zostało stworzone z myślą o zabezpieczaniu architektur chmurowych i hybrydowych oraz zapewnieniu spójnej polityki bezpieczeństwa dla różnych elementów infrastruktury IT.

   c. Działa w oparciu o politykę Zero Trust wymuszając stosowanie zasady minimalnych przywilejów.

   d. Dostępne w SSE narzędzia Cloud Security Posture Management (CSPM) i Cloud Access Security Broker (CASB) pomagają w zarządzaniu i monitorowaniu bezpieczeństwa środowiskach chmurowych, ułatwiają wykrywanie i eliminowanie ich podatności, a także kontrolują i zabezpieczają dostęp do aplikacji chmurowych (SaaS).

3. Endpoint Detection and Response

   a. Zabezpieczenia EDR, np. Cortex XDR od Palo Alto Networks wyposażone w narzędzia informatyki śledczej (Forenics) i Theat Huntingu pomagają w wykrywaniu, zarządzaniu i reagowaniu na incydenty bezpieczeństwa na poziomie stacji końcowych.

   b. EDR integruje funkcje monitorowania, analizy i odpowiedzi w jednolitym środowisku, co umożliwia szybką i skuteczną reakcję na zagrożenia.

4. Red Teaming i testy penetracyjne

   a. Wykonywanie regularnych testów Red Teamingowych i penetracyjnych pomaga identyfikować luki w zabezpieczeniach, które mogą nie być widoczne w standardowym skanowaniu podatności.

   b. Ten typ testów jest szczególnie istotny w przypadku zgodności z DORA dla sektora finansowego, gdzie wymagane jest wykonywanie testów bezpieczeństwa w środowisku produkcyjnym oraz tzw. Purple Teaming, czyli ćwiczenia Incident Response, które integrują zespoły Red Team (testerzy) i Blue Team (pracownicy testowanego podmioty finansowego) do wspólnego testowania i reagowania na incydenty.

5. Narzędzia do analizy powłamaniowej (Forensics Tools)

   a. Narzędzia Forensics zintegrowane z zabezpieczeniami EDR służą do analizy powłamaniowej – zbierają, analizują i dokumentują dowody związane z incydentami bezpieczeństwa. Umożliwiają identyfikację źródła ataku oraz użytych przez cyberprzestępców technik nieupoważnionego dostępu i kradzieży danych.

Rola człowieka w zarządzaniu cyberbezpieczeństwem w kontekście KSC i DORA

KSC oraz DORA jasno określają, jaka jest rola pracowników oraz zarządu w świetle nowych przepisów o cyberbezpieczeństwie. To przede wszystkim:

1. Obowiązek szkolenia personelu: regulacje nakładają na firmy obowiązek szkolenia pracowników w zakresie cyberbezpieczeństwa, aby odpowiednio zarządzać ryzykiem i reagować na incydenty.

2. Znaczenie technologii i praktycznych umiejętności: połączenie nowoczesnych technologii, takich jak EDR, z kompetentnym personelem, posiadającym praktyczne umiejętności jest kluczowe dla spełnienia wymogów nowego prawa. Odpowiednie szkolenia pracowników i wyposażenie ich w zaawansowane narzędzia zapewni skuteczne cyberbezpieczeństwo. Nowoczesne, oparte o AI technologie pomagają minimalizować błędy ludzi, a doświadczenie personelu uzupełnia ich działanie, podnosząc efektywność cyberochrony.

3. Rola zarządu: wymagane szkolenia zarządu w zakresie obowiązków dotyczących cyberbezpieczeństwa to mechanizm dyscyplinowania organizacji, który motywuje zarząd do aktywnego uczestnictwa w inicjatywach bezpieczeństwa.

4. Incident Response – reakcja na incydenty oraz szkolenia: w sytuacji rzeczywistych incydentów zaangażowanie całego działu IT jest niezbędne. Duże znaczenie przy ustaleniu typu wykradzionych danych oraz przyczyn incydentu, mają administratorzy aplikacji, sieci i baz danych. Szkolenia tych osób powinny być praktyczne i oparte na rzeczywistych scenariuszach włamań.

O autorze:

dr inż. Mariusz Stawowski, CTO, CLICO

Posiada ponad 20-letnie doświadczenie w zarządzaniu projektów cyberbezpieczeństwa oraz testów penetracyjnych i red team. Odpowiada za rozwój strategii biznesowej CLICO. Posiada kompetencje defensywane i ofensywne potwierdzone uznawanymi certyfikatami, m.in. Certified Information Systems Security Professional (CISSP), EC Council Certified Chief Information Security Officer (CCISO), OffSec Experienced Penetration Tester (OSEP), OffSec Certified Professional (OSCP) i ISO 27001 Auditor. Jest certyfikowanym instruktorem ISC2 i EC-Council. Otrzymał tytuł doktora nauk technicznych w Wojskowej Akademii Technicznej w Warszawie za pracę w dziedzinie analizy i projektowania zabezpieczeń sieciowych systemów informatycznych. Jest autorem wielu artykułów w magazynach IT oraz sześciu książek o tematyce cyberbezpieczeństwa.