Kompleksowe podejście do cyberbezpieczeństwa w świetle Dyrektywy NIS2 realizowane przez firmę Sevenet w oparciu o rozwiązania Cisco

Dyrektywa NIS2 to kluczowy instrument regulacyjny Unii Europejskiej, który ma na celu zwiększenie odporności na cyberzagrożenia w całej Europie. Znajomość tego dokumentu jest o tyle istotna, że nakłada on wymogi dotyczące bezpieczeństwa informatycznego na podmioty działające w sektorze usług cyfrowych. Dziś rozmawiamy ze specjalistami z Cisco i Sevenet – Aleksandrem Jagoszem i Marcinem Klimowskim – którzy opowiedzą o tym, jak zapobiegać atakom cybernetycznym, minimalizować ich skutki oraz jak świadomie dostosować się do zmieniających się przepisów prawnych w kontekście NIS2.

Rola firmy Sevenet w cyberbezpieczeństwie

W obliczu rosnących zagrożeń w cyberprzestrzeni firmy takie jak Sevenet odgrywają kluczową rolę w obronie infrastruktury krytycznej. Jakie główne wyzwania dostrzegają Panowie w dzisiejszym krajobrazie cyberbezpieczeństwa i jak odpowiada na nie firma Sevenet?

Firma Sevenet istnieje na rynku od 1997 roku. Do 2022 roku nasz obszar działalności nie obejmował w sposób szczególny cyberbezpieczeństwa, natomiast dwa lata temu powołaliśmy i zainwestowaliśmy w nowy dział o charakterze strategicznym, związany właśnie z cyberbezpieczeństwem. Obecnie dział ten współpracuje z wszystkimi obszarami technologicznymi – od wideokonferencji, poprzez aplikacje, po infrastrukturę sieciową. W podejmowanych działaniach przyświeca nam przekonanie, że o cyberbezpieczeństwo należy dbać na każdym kroku i od samego początku każdego wdrożenia. O cyberbezpieczeństwo naszych klientów musimy dbać zawsze.

O Dyrektywie NIS2

Dyrektywa NIS2 jest efektem ewolucji w podejściu do bezpieczeństwa sieci i informacji na poziomie Unii Europejskiej, rozszerzając zakres obowiązków i zwiększając wymagania dla podmiotów. Jakie, Panów zdaniem, są kluczowe aspekty tej dyrektywy, które będą miały największy wpływ na przedsiębiorstwa?

Na pewno istotny jest rozszerzony zakres podmiotów, tj. dyrektywa nie tylko będzie dotyczyć operatorów infrastruktury krytycznej, ale także innych podmiotów ważnych z punktu widzenia łańcucha dostaw. Liczba podmiotów zobowiązanych do jej przestrzegania jest od momentu jej publikacji zdecydowanie większa niż dotąd (o rząd wielkości); są to np. firmy związane z medycyną czy przemysłem spożywczym. W wypadku większości tych firm zmiany wprowadzane na mocy Dyrektywy NIS2 wymagają zaadaptowania się w nowych realiach. Przedsiębiorstwa te stosowały wcześniej dobre praktyki, ale nie był na nie nałożony realny obowiązek wynikający ze standardów unijnych/międzynarodowych; należy do nich np. mapowanie ryzyk w kontekście analizy biznesowej. Podobnie w przypadku firm związanych z gospodarką odpadami, działalnością wytwórczą, chemikaliami czy produkcją urządzeń.

Zaimplementowanie nowych rozwiązań wymaga współpracy w trzech obszarach: technologicznej integracji, przeprowadzania regularnych audytów i uwzględnienia uwarunkowań prawnych. Sevenet i Cisco nie są, co prawda, firmami audytorskimi, ale na podstawie dostarczanych przez nie rozwiązań firmy audytorskie mogą przeprowadzać badania bezpieczeństwa sieci. Na tej podstawie Cisco i Sevenet są w stanie projektować i dostarczać rozwiązania spełniające założenia Dyrektywy NIS2.

W porównaniu NIS2 do poprzedniego dokumentu dyrektywa wprowadza szereg istotnych zmian, w tym nowe kategorie podmiotów objętych regulacją. Jakie zmiany uważają Panowie  za najbardziej znaczące i jakie wyzwania niosą one za sobą dla firm w UE?

Do tej pory wiele firm nie musiało spełniać żadnych wymagań związanych z cyberbezpieczeństwem. Istniał szereg regulacji typowych dla tego obszaru działań, jak np. HIPAA (Health Insurance Portability and Accountability Act) – ale nie wiązały się one z odpowiedzialnością z zakresu cyberbezpieczeństwa. Inaczej jest w kontekście aktualnie obowiązującej dyrektywy; dajmy na to przykład odpowiedzialności na poziomie grupy kapitałowej. Jeżeli np. spółka córka nie spełniłaby wymagań NIS2, to zakres odpowiedzialności obejmowałby całą grupę kapitałową. Jak widać, dyrektywa rozszerza odpowiedzialność na całe przedsiębiorstwa, a co za tym idzie – wymaga bardziej rozległych i spójnych rozwiązań. Na mocy Dyrektywy NIS2 obowiązują także nowe (zarówno ilościowe, jak i jakościowe) wymagania co do raportowania, istotne jest również spełnienie wymogów bezpieczeństwa łańcucha dostaw. W tym zakresie dedykowane zespoły bezpieczeństwa SOC/CSIRT są dobrym rozwiązaniem. Niestety, dużym problemem jest rozrost firm z nieskalowalnymi działami IT, tj. zespół IT zajmuje się wszystkimi obszarami działalności przedsiębiorstwa, nie zastosowano odpowiednich procedur ani wskaźników KPI, firmie brakuje narzędzi przeznaczonych do zarządzania całością. Możliwy jest także bardzo duży problem z rozliczalnością czy inwentaryzacją sprzętu. Przedsiębiorstwa muszą zastanowić się już teraz, jak dostosować się do regulacji (a czasu jest niewiele), w tym: jakie rozwiązania wprowadzić, jakie opracować dokumenty i procedury.

Warto pokusić się również o refleksję dotyczącą problemów biznesu na etapie integracji rozwiązań IT. Należy spróbować zdiagnozować, które obszary z tym związane są u klienta najsłabsze. Na przykład: co się stanie, gdy do obrabiarki CNC ktoś podłączy pendrive ze złośliwym oprogramowaniem, co naruszy bezpieczeństwo i tajemnicę przedsiębiorstwa. Wiele firm, niestety, będzie chciało rozwiązać problem tylko po stronie prawnej i pod kątem samego ubezpieczenia, bez odpowiedniego wglądu w konsekwencje takiego naruszenia. Istotnym aspektem jest zatem obowiązek zgłaszania incydentów, a co za tym idzie – potrzebna jest odpowiednia regulacja wewnętrzna – proceduralna. W tym kontekście ogólna znajomość rodzajów incydentów, ich wagi, a także sposobu wykrywania będzie odgrywać kluczową rolę. Skąd jednak firmy mają wiedzieć o ich istnieniu, skoro do tej pory nie było to w ogóle monitorowane? Podobnie jest z analizą ryzyka. Jeżeli mamy sieć, którą słabo monitorujemy, to nie możemy, nie jesteśmy w stanie, diagnozować i zgłaszać incydentów – co może się przyczynić do naruszenia postanowień dyrektywy i nałożenia kar, a nie są one małe. Istotne są zatem: nadzór i egzekwowanie wymogów prawa, czyli większy nacisk na liczbę podmiotów odpowiedzialnych za monitorowanie, diagnozowanie i inwentaryzację zdarzeń o charakterze naruszeniowym, przestępczym, zagrażających cyberbezpieczeństwu przedsiębiorstwa i jego członkom.

Usługi Sevenet w kontekście NIS2

Jakie konkretne usługi i rozwiązania oferuje Sevenet, aby wspierać firmy w dostosowywaniu się do nowych przepisów dotyczących zarządzania ryzykiem i zgłaszania incydentów?

To przede wszystkim doradztwo i dobór rozwiązań do konkretnych, indywidualnych potrzeb przedsiębiorstwa, np. dostosowanie się właśnie do NIS2 na podstawie analizy oczekiwań klienta, przy wykorzystaniu najlepszych praktyk naszego zespołu oraz zespołu Cisco. Staramy się wypracować wspólnie z dostawcami/producentami holistyczne podejście do zapewnienia cyberbezpieczeństwa w środowisku klienta. Jeśli jedno rozwiązanie okaże się niewystarczające, jako integrator proponujemy pełne spektrum innych możliwości. Obejmują one utrzymanie, nadzór, proaktywny monitoring pod kątem działania infrastruktury, ze szczególnym uwzględnieniem potencjalnych awarii i naruszeń w zakresie bezpieczeństwa (SOC). W tym właśnie obszarze stale się rozwijamy i doskonalimy, oferując klientom coraz szerszą paletę usług.

Istotnym aspektem działań integratora powinno być także zoptymalizowanie działania infrastruktury IT, tak by klient mógł spełnić założenia Dyrektywy NIS2 bez zatrudniania dodatkowych osób zajmujących się tym zagadnieniem. Kompleksowe rozwiązania dostosowane do indywidualnych potrzeb firmy zdecydowanie spełnią te wymagania. Większość organizacji chciałaby bowiem mieć w jednym systemie wszystkie dostępne rozwiązania. To zawsze duże wyzwanie dla integratora, ale istotny jest też balans między ilością a jakością, co może zapewnić zespół odpowiednio wyszkolonych i przygotowanych inżynierów. 

Warto również mieć na uwadze fakt, że kluczowym czynnikiem często jest cena proponowanych rozwiązań. Dzięki współpracy Sevenet i Cisco możliwe jest zaprojektowanie odpowiednich zarówno technologicznie, jak i cenowo rozwiązań. Daje to możliwość spełnienia wymagań Dyrektywy NIS2 przy odpowiednim poziomie technicznym narzędzi, spójnej infrastrukturze oraz efektywnym udziale pracowników klienta, którzy, w myśl nowych aktów prawnych, staną się odpowiedzialni za monitorowanie i diagnozowanie cyberzagrożeń.

Wymieniliśmy SecureEx i wprowadziliśmy jesienią 2023 roku XDR, który współpracuje z wszystkimi wiodącymi SIEM-ami. Nawet jeśli w jakiejś firmie padnie hasło: „Od dzisiaj Ty, Janusz, będziesz analitykiem” – bo ktoś to musi robić 🙂 – w takich przypadkach mamy do zaoferowania niezbędne narzędzia wspierające pracę i umożliwiające dostosowanie do dyrektywy. Wraz z wdrożeniem XDR dostarczamy CTI, czyli olbrzymie zasilanie wiedzą – jak na etapie L1 SOC (obsługa klienta, monitoring stanu bezpieczeństwa ICT, selekcja i triage incydentów) – dzięki czemu można podejmować konkretne decyzje. Mamy do czynienia z ogromną akceleracją zagrożeń. Trzeba zatem zapewnić analitykom superdopalanie wiedzą. Konieczna jest rola zaufanego partnera, jakim jest, może być, Sevenet. „Rozumiemy, że nie jesteście specjalsami od cybersec, ale dajemy Wam tutaj system zasilany CTI z 20 źródeł, który pomoże Wam zautomatyzować reakcję, np. podczas Wielkanocy” – oto nasze motto. W takim przypadku istotne jest też oczywiście wdrożenie vulnerability management, co również staje się standardem w wielu firmach. Z tego punktu widzenia organizacja „nowa” w NIS2 otrzymuje rozwiązanie out-of-the-box.

Edukacja i świadomość

Dyrektywa NIS2 podkreśla również znaczenie podnoszenia świadomości i kompetencji firm w zakresie cyberbezpieczeństwa. Jakie inicjatywy edukacyjne i szkoleniowe Sevenet oferuje w tym zakresie?

Oferujemy szkolenia autoryzowane, ale także, w porozumieniu z potrzebami klientów, szkolenia dedykowane, autorskie, zamknięte, w formie warsztatów lub wykładów. Od pewnego czasu działamy w programie PWCyber, którego adresatami są pracownicy administracji publicznej, jednostek rządowych, jednostek samorządu terytorialnego.

PWCyber jest to niekomercyjne przedsięwzięcie o charakterze partnerstwa publiczno-prywatnego realizowane na rzecz Krajowego Systemu Cyberbezpieczeństwa. Więcej informacji o programie można przeczytać na stronie gov.pl. Aktualnie przygotowujemy szkolenie techniczne dla administratorów serwerów z zakresu phishingu i zabezpieczeń serwerów.

Nasz zespół cyberbezpieczeństwa liczy obecnie kilkanaście osób, które specjalizują się w obsłudze wszystkich potrzeb klienta. Oprócz tego zatrudniamy inżynierów i pracowników technicznych, którzy odpowiadają za utrzymanie ciągłości działania proponowanych rozwiązań oraz ich serwis.

Produkty Cisco w ofercie firmy Sevenet

Produkty Cisco są szeroko znane z zaawansowanych funkcji bezpieczeństwa. Jakie konkretnie produkty Cisco, dostępne w ofercie Sevenet, są szczególnie przydatne w pomaganiu firmom w spełnieniu wymogów NIS2 – i dlaczego?

Cisco ma stworzone oficjalne mapowanie produktów zgodnie z wymogami regulacji NIST (National Institute of Standards and Technology). Obecnie trwają prace nad mapowaniem produktów pod kątem NIS2. Staramy się nie mówić: „Ten produkt zapewni Ci zgodność z NIS2”, a raczej: „Ten produkt da Ci możliwości do budowy architektury lub realizacji wymagań NIS2”. Dlaczego w ten sposób? Ponieważ wymagania te są bardzo rozległe. Nie byłoby uczciwe powiedzenie klientowi: „Kup to, a będziesz «zgodny» – bardziej”. Dlatego trzeba się skupić na konkretnej analizie potrzeb klienta, diagnozie, gdzie istnieją czynniki ryzyka i zagrożenia. Dzięki temu możemy zaproponować rozwiązania tworzące komplementarne środowisko. Ewentualnie można ratować je zgodnością punktową, np. wdrażając MFA (Multi Factor Authentication), ale to rozwiązania dotyczące m.in. raportowania incydentów, do czego trzeba zmapować całe środowisko. W takich przypadkach raportowanie może się okazać niewystarczające.

Jest wiele pytań o możliwości kontroli bezpieczeństwa – i trzeba, krok po kroku, spełniać wszystkie jego wymogi, dopasowując wybrane produkty do konkretnych potrzeb. Wyzwanie stanowi już sam fakt, że współpraca z klientem osadzona jest w realiach tzw. brownfield (czyli już działającej infrastruktury), a co za tym idzie – w pierwszej kolejności należy poznać i dostosować środowisko IT, a dopiero potem wdrażać konkretne, przynoszące korzyści rozwiązania.

Propozycje Cisco oparte są na koncepcji Secure Access Service Edge (SASE) oraz modelu Zero Trust. Na pewno kluczowym rozwiązaniem jest wdrożenie mechanizmów XDR (rozszerzone wykrywanie i reagowanie) i MFA (uwierzytelnianie wieloskładnikowe).

W jaki sposób zintegrowane rozwiązania bezpieczeństwa oferowane przez Cisco, a wdrażane przez Sevenet, przyczyniają się do budowania odporności cybernetycznej w świetle wymogów NIS2?

Tak naprawdę istnieje mnóstwo elementów, które można zabezpieczyć dzięki zintegrowanym systemom, a nie pojedynczym produktom. Niezwykle istotna jest wcześniej wspomniana analiza otoczenia biznesowego. Governance jest krytyczny, daje bowiem informację, jak poukładana jest organizacja. Podstawę stanowi rozmowa z klientem. Bardzo często zdarza się, że klient nawet nie wie, jakie są oczekiwania norm, dyrektyw i dobrych praktyk, a z drugiej strony – potrzebne są też dokumenty potwierdzające kontrolę nad całą infrastrukturą i procesami biznesowymi.

Patrząc na rynek regulacji, można stwierdzić, że duże podmioty zawsze sobie poradzą – a co z tymi małymi? Czy mniejsze przedsiębiorstwa mogą liczyć na wsparcie w dopasowaniu do dyrektywy, czy zostaną same z tematem – bo rozwiązania są dla nich „za drogie”?

Dyrektywa będzie obowiązywała w firmach zatrudniających powyżej 50 pracowników, ale Sevenet wspiera także mniejsze jednostki. Zwykle skupiamy się na obsłudze dużych przedsiębiorstw. Z tej działalności czerpiemy naszą wiedzę i doświadczenie, dzięki którym możemy z powodzeniem wspierać również mniejsze firmy. Nasze rozwiązania są skalowalne, dlatego możemy dopasować je do infrastruktury i liczby pracowników naszego klienta. Szukając właściwego planu działania, poszukujemy odpowiedzi na pytania: „Co rozwiązanie, które chcemy wdrażać, realnie wniesie do naszej organizacji? Czy odciąży nasz zespół IT, a jednocześnie rozwiąże problemy?”. Tym samym staramy się odciążyć przedsiębiorstwa, automatyzując procesy. Mniejsi klienci, korzystając z proponowanych rozwiązań, mają te same poziomy bezpieczeństwa, a pozyskane taniej. 🙂

Przyszłość i innowacje

Jakie trendy w cyberbezpieczeństwie – z perspektywy ewolucji Dyrektywy NIS2 – przewidują Państwo w najbliższych latach i jak Sevenet zamierza na nie reagować?

Niewątpliwie wyzwaniem przyszłości będzie zastosowanie generatywnej AI w bezpieczeństwie, ponieważ atakujący zaczynają korzystać z LLM (Large Language Model). Jak słusznie zauważył szef cyberbezpieczeństwa Cisco, Jeetu Patel: „Nie wiadomo, czy będziemy bronić się przed człowiekiem, czy przed AI”. To bliska przyszłość. Warto też wspomnieć, że generatywna AI będzie także wspierać administratorów w wychwytywaniu nowych zagrożeń. Wszystko to sprowadza się zatem do określenia responsible AI, czyli rozsądnego korzystania z zasobów LLM.

Osobną sprawą są kwestie związane z OT (Operational Technology) – można zauważyć dosyć duży tzw. dług technologiczny, przestarzałe systemy, słabą dokumentację czy typowe podejście do bezpieczeństwa, nieuwzględniające zmieniających się realiów. Obecnie kontrolery posiadają przestarzałe systemy operacyjne, np. na XP Embedded. W związku z tym pojawiają się nowe zagrożenia, a zabezpieczenia, niestety, nie zmieniły się od lat. Podejście do uporządkowania tej kwestii powinno być priorytetem. Trzeba je właściwie monitorować i odpowiednio wcześnie zaprojektować nie tylko rozwiązania technologiczne, ale i regulacje proceduralne.

Jakie kroki – w kontekście wprowadzenia NIS2 – powinny podjąć przedsiębiorstwa, aby skutecznie zarządzać swoim cyberbezpieczeństwem?

Efektywne mogą okazać się następujące działania:

• Analiza otoczenia biznesowego – osoba odpowiedzialna za wdrażanie technologii informatycznych musi zapytać środowisko biznesowe, co może okazać się jego największą bolączką po wdrożeniu dyrektywy, jaki incydent (np. zatrzymanie linii produkcyjnej) może okazać się dla niego najbardziej krytyczny. IT musi stać się partnerem dla biznesu, by wspólnie określić, co jest ważne dla organizacji.
• Analiza dostawców i ich stopnia bezpieczeństwa.
• Analiza prawna otoczenia biznesowego oraz zgodności jego działania z regulacjami legislacyjnymi.
• Kontakt z integratorem – rozmowa – wymiana potrzeb – znajomość obszarów, która pozwoli na dostosowanie usług/produktów typu soft i/lub hardware.
• Analiza ryzyk i właściwe raportowanie.

Dziękuję za rozmowę.