W dzisiejszym artykule skupię się na dwóch zagadnieniach: zapewnieniu bezpieczeństwa środków teleinformatycznych, które służą do przetwarzania informacji oraz esencji i składowych polityki kryptografii. Oba tematy przedstawię w kontekście dyrektywy NIS2, gdyż to ona przewodzi wszystkim artykułom z cyklu „NIS2 okiem praktyka”.
Dyrektywa
W dyrektywie wprost nie zdefiniowano pojęcia bezpieczeństwa środków teleinformatycznych służących do przetwarzania informacji. Można znaleźć natomiast definicje takich pojęć jak: „sieci i systemy informatyczne”, „Produkt ICT”, „Usługa ICT” czy „bezpieczeństwo sieci i systemów informatycznych”, które wg NIS2 oznacza: „odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie zdarzenia, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem”. Posłużę się tą definicją dla omówienia zagadnień obejmujących zakres tematyczny niniejszego artykułu.
Twierdzę zatem, że w celu zapewnienia bezpieczeństwa, cyberodporności środków teleinformatycznych, za pomocą których przetwarzane są informacje w organizacjach, konieczne jest podjęcie pewnych działań.
Rodzaje środków bezpieczeństwa
Z reguły wyróżnia się trzy rodzaje środków bezpieczeństwa:
- działania organizacyjne;
- działania proceduralne;
- działania technologiczne.
Każdy z wymienionych wyżej zakresów aktywności posiada swoją specyfikę. Działania organizacyjne służą wytworzeniu pewnych wewnętrznych zdolności do zarządzania cyberbezpieczeństwem. Może to być zarówno sama zmiana struktury organizacyjnej skutkująca zwiększeniem możliwości do prowadzenia skutecznego nadzoru nad bezpieczeństwem, powołanie nowych struktur czy również outsourcing specyficznych, eksperckich procesów związanych z zapewnieniem cyberbezpieczeństwa. Przykładem tego typu działania jest usługa FortCyber, która pozwala organizacjom na przekazanie działań operacyjnych związanych z identyfikacją i obsługą incydentów w ręce fachowców i skupienie się na bieżącej działalności oraz realizacji procesów kluczowych. W zakres działań organizacyjnych wchodzi również budowanie świadomości pracowników. Statystyki dowodzą, że większość incydentów cyberbezpieczeństwa wywoływana jest przez pracowników, którzy nie posiadają odpowiedniej wiedzy oraz nie wykazują odpowiedniej świadomości sytuacyjnej związanej z zagrożeniami płynącymi z cyberprzestrzeni. Ten zakres również adresowany jest przez wspomnianą wyżej usługę FortCyber, w ramach której prowadzimy weryfikację wiedzy pracowników, przygotowujemy odpowiednie materiały dostarczające aktualną wiedzę o zagrożeniach oraz badamy świadomość pracowników poprzez przeprowadzanie symulowanych i kontrolowanych ataków cybernetycznych – np. phishing.
Drugim z wymienionych obszarów są działania proceduralne. W celu kompleksowego opisania rzeczywistości informatycznej oraz zachodzących w niej procesów związanych z cyberbezpieczeństwem, organizacja musi posiadać dobre procedury. Począwszy od polityk poprzez dokumenty niższego rzędu – wspomniane wcześniej procedury, poprzez szczegółowe instrukcje, które pokazują detale dotyczące sposobu postępowania w określonych sytuacjach czy nawet w ramach prowadzenie działań w danym systemie teleinformatycznym. Co według mnie oznacza słowo „dobre”? Otóż, dobre to takie, które z jednej strony przystają do organizacji, odzwierciedlają działające w niej procesy, z drugiej strony dają wartość dodaną w postaci dobrych praktyk czy wymagań bazujących na powszechnie stosowanych normach (np. ISO 27001, ISO 22301, ISO 27005) i oficjalnych dokumentach takich jak publikacje NIST (NIST CyberSecurity Framework). W ramach usługi FortCyber również pomagamy naszym Klientom w dostosowaniu ich dokumentacji do zgodności z wymaganiami NIS2 bazując na wymienionych wyżej standardach oraz ramach bezpieczeństwa.
Do ostatniego z obszarów należą działania technologiczne, czyli „twarde” tzn. dotykające wprost systemów i infrastruktury. Są to modyfikacje obecnie wykorzystywanych systemów służących do przetwarzania informacji, wdrażanie nowych czy inwestycje w infrastrukturę w celu zapewnienia bezpiecznego środowiska pracy wymienionych wcześniej systemów teleinformatycznych. Często pomagamy naszym Klientom w identyfikacji wymagań na potrzeby modyfikacji bądź wdrożenia nowych rozwiązań teleinformatycznych. Brak skupienia na jednej technologii i zachowanie niezależności jest tutaj kluczowe. Nie powinno się sugerować chwytami marketingowymi producentów sprzętu czy oprogramowania – najważniejsze jest wybieranie kompleksowych rozwiązań spełniających najwyższe normy i standardy oraz odpowiadających wymaganiom organizacji.
Istnieją zatem 3 grupy środków służących zapewnieniu bezpieczeństwa systemów teleinformatycznych, w których są przechowywane i przetwarzane dane służbowe. Każda z grup obejmuje różnego rodzaju środki pozwalające na osiągnięcie wymaganego poziomu bezpieczeństwa. Które z nich wybrać?
Które środki bezpieczeństwa zastosować w organizacji?
Na to pytanie nie ma jednoznacznej odpowiedzi. Żyjemy w świecie, który narzuca nam z jednej strony wymagania, ale również ograniczenia, jakimi są czas i pieniądze. Z tego też względu trzeba dobierać w pierwszej kolejności narzędzia, które dają się zastosować w krótkim czasie i małym nakładem kosztów (działania organizacyjne i proceduralne), a następnie rozpatrywać w wybranych obszarach zastosowanie dodatkowych działań technologicznych. I w tym momencie z pomocą przychodzi analiza ryzyka. Jak wykorzystać narzędzie, jakim jest szacowanie ryzyka, do dobrania odpowiednich środków w celu osiągnięcia wymaganego poziomu cyberbezpieczeństwa? W celu wyjaśnienia posłużę się poniższym przykładem:
Organizacja A działająca w sektorze medycznym wie, że po wejściu w życie znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa będzie podlegała jej regulacjom jako Podmiot Kluczowy. Przeprowadziła wewnętrzny audyt zgodności z wymaganiami NIS2, który wykazał, że niezarządzany jest obszar zarządzania uprawnieniami. Nadawanie uprawnień odbywa się z wykorzystaniem maila do administratora, nie ma ustanowionych oficjalnych przebiegów akceptacyjnych, osoby odchodzące z organizacji nie mają odbieranych uprawnień oraz nie są prowadzone przeglądy uprawnień w kluczowych systemach teleinformatycznych. Przeprowadzono analizę ryzyka. Wynik szacowania nie był dla nikogo zaskoczeniem. Z uwagi na to, że organizacja przetwarza bardzo wrażliwe informacje swoich pacjentów, poziom ryzyka został określony jako krytyczny. W odpowiedzi na raport z szacowania ryzyka najwyższe kierownictwo zarządziło przygotowanie działań naprawczych – tzw. plan postępowania z ryzykiem. Zespół zajmujący analizą ryzyka, skupił się na pełnym zaadresowaniu czynników ryzyka, na które składały się:
- zakup systemu klasy IDM – do zarządzania uprawnieniami;
- opracowanie procesu zarzadzania uprawnieniami podczas prac wdrożeniowych;
- wdrożenie w ramach projektu procedury zarzadzania uprawnieniami;
- przeprowadzenie szkoleń wewnętrznych.
Dla opracowanej roadmapy działań opracowano harmonogram, który wskazywał termin zakończenia prac odległy o ponad 2 lata. Takie podejście okazało się nieakceptowalne przez najwyższe kierownictwo, chociaż z punktu widzenia obsługi ryzyka sprowadzało je do poziomu niskiego.
Podjęto zatem próbę przeprowadzenia działań etapami w taki sposób, aby jak najszybciej doszło do częściowego ograniczenia potencjalnych skutków materializacji ryzyka. W pierwszej fazie podjęto działania organizacyjne oraz proceduralne:
- opracowanie procesu zarzadzania uprawnieniami;
- wdrożenie procedury zarzadzania uprawnieniami;
- przeprowadzenie zmian organizacyjnych mających na celu wyłonienie roli w organizacji, która odpowiada za poprawny przebieg procesu;
- przeprowadzenie szkoleń wewnętrznych.
Pozwoliło to na minimalizację ryzyka do poziomu średniego w czasie 3 miesięcy. Kolejnym krokiem miał być zakup i wdrożenie systemu do zarządzania uprawnieniami, który miał być dostosowany do wypracowanych w kroku pierwszym procesów i procedur. Takie podejście sprawiło, że zastosowane wstępnie środki szybko obniżyły poziom ryzyka i ograniczyły prawdopodobieństwo wystąpienia negatywnych zdarzeń związanych z potencjalnym wyciekiem informacji z uwagi na nieprawidłowe poziomy uprawnień. Jednocześnie otworzyły drogę do inwestycji w narzędzie, które w przyszłości pozwoli na kompleksowe zaadresowanie obszaru uprawnień w krytycznych systemach teleinformatycznych.
Przytoczony wyżej przykład obrazuje, jak w praktyce można podejść do wdrażania różnych środków ochrony w organizacji zapewniając podnoszenie cyberodporności etapami.
Polityka kryptografii
Co ma wspólnego kryptografia z cyberbezpieczeństwem? Tu chyba nie trzeba dużo wyjaśniać… Kryptografia stanowi jedną z kluczowych technologii stosowanych do zabezpieczenia informacji. Wspomaga cyberbezpieczeństwo w zakresie zarówno ochrony danych w spoczynku, transmisji danych, uwierzytelniania, jak i integralności informacji przetwarzanych w systemach. Można powiedzieć, że bez kryptografii nie ma cyberbezpieczeństwa i w sumie na tym zaprzestać. Jednak ten obszar – jak już wspomniałem niezwykle istotny – powinien zostać odwzorowany w regulacjach wewnętrznych na poziomie polityk, procedur czy instrukcji. Działania organizacji w obszarze kryptograficznym muszą być zorganizowane, ustandaryzowane i ujęte w pewnych normach. Co powinna zawierać Polityka kryptografii?
W większości przypadków dokumentacja adresuje:
- zasady stosowania kryptografii – zarówno symetrycznej, jak i asymetrycznej;
- zasady zarządzania kluczami kryptograficznymi;
- wytyczne w zakresie stosowania zabezpieczeń transmisji danych;
- wytyczne w zakresie stosowania zabezpieczeń dla przechowywania danych;
- wytyczne w zakresie przetwarzania informacji w chmurze obliczeniowej;
- inne specyficzne zagadnienia wynikające z posiadanych narzędzi np. zasady konfiguracji wewnętrznego centrum autoryzacji.
Ze względu na praktyczne stosowanie zasad określonych w procedurach, nie można zapomnieć o podziale obowiązków i odpowiedzialności wśród ról z obszarów IT, bezpieczeństwa, architektury czy osób zarządzających.
W ramach ogólnych zasad kryptografii określa się podstawowe zasady, jakimi kieruje się organizacja przy stosowaniu kryptografii, np. stosowanie powszechnie obowiązujących i dostępnych standardów szyfrowania lub korzystanie ze specyficznych, wynikających z potrzeb podmiotu, niestosowanie algorytmów uznanych za skompromitowane. Należy określić, w jakich obszarach stosuje się kryptografię – do zabezpieczenia danych w spoczynku, transmisji danych, uwierzytelniania itp.
W drugim punkcie określa się zasady zarządzania kluczami kryptograficznymi. Wymienić należy wykorzystywane normy i standardy, stosowane narzędzia, wartości ważności klucza w zależności od jego rodzaju. Określa się również pełen cykl życia kluczy kryptograficznych – począwszy od zasad jego generowania, poprzez przesyłanie i dystrybucję, kończąc na archiwizacji i niszczeniu.
W kolejnych punktach odnosi się już bardziej szczegółowo do określenia zasad, jakie są specyficzne dla każdego z rodzaju stosowanych zabezpieczeń kryptograficznych. Inne zasady będą obowiązywać dla transmisji danych, inne dla szyfrowania danych w spoczynku, a inne dla informacji, jakie organizacja zdecydowała się powierzyć do publicznej chmury obliczeniowej.
Ostatni punkt odnosi się do specyficznych narzędzi związanych z kryptografią. Tu wymagany jest poziom instrukcji bądź dość szczegółowych procedur. Na potrzeby zachowania wymaganego poziomu cyberbezpieczeństwa, muszą zostać spisane podstawowe elementy konfiguracji poszczególnych urządzeń, takich jak wewnętrzne centrum autoryzacji (infrastruktura klucza publicznego), czy zasady użycia urządzeń HSM (urządzenie fizyczne służące do zarządzania i ochrony kluczy kryptograficznych).
*
Temat dzisiejszego artykułu wydawał się dość oczywisty, jednak rozłożenie go na czynniki pierwsze pokazuje, że warto przyjrzeć mu się bliżej. Mam nadzieję, że artykuł dał Państwu dużo praktycznych informacji i z chęcią zasiądą Państwo do lektury kolejnego. Następnym razem opowiem Państwu o klasyfikacji i ochronie informacji, która większości może kojarzyć się z systemami klasy DLP (Data Loss Prevention – zapobieganie wyciekom danych), jednak ja postaram się przedstawić to zagadnienie dużo szerzej oraz jak zwykle okiem praktyka.
Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne