Audyty i analizy luki w kontekście NIS 2

Jednym z obowiązków zdefiniowanych w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która będzie implementować dyrektywę NIS 2 w Polsce jest konieczność przeprowadzania audytów bezpieczeństwa w organizacji.

---

„Podmiot kluczowy lub podmiot ważny ma obowiązek zapewnić przeprowadzenie, na własny koszt, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi…”

---

Regularny audyt bezpieczeństwa jest dobrym sposobem na sprawdzenie:

1. Czy środki technologiczne wdrożone przez organizację są skuteczne?
2. Czy organizacja korzysta z aktualnych rozwiązań w obszarach organizacyjnym, technicznym i ludzkim? 
3. Czy ekosystem bezpieczeństwa stworzony przez organizację działa efektywnie? 

Oraz odpowiedź na wiele innych pytań, które zostaną określone w celach i zakresie audytu.

Dlaczego warto przeprowadzić audyt już teraz?

Od 17 października zaczną obowiązywać w Polsce wymogi europejskiej dyrektywy NIS 2. Jest to kamień milowy w budowie efektywnego ekosystemu bezpieczeństwa w UE, ale również znaczące wyzwanie przekładające się na szereg obowiązków dla organizacji z kilku powodów:

• Każdy obowiązek zdefiniowany w dyrektywie wymaga indywidualnego podejścia, a spełnienie wybranych wymogów musi zostać poprzedzone indywidualną analizą potrzeb (np. potrzeb w zakresie zabezpieczenia łańcucha dostaw, które będą znacząco różniły się w zależności od branży, specyfiki organizacji oraz stopnia digitalizacji).

• Zaproponowana przez Ministerstwo Cyfryzacji nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która implementuje NIS 2, wymaga od podmiotów będących objętych dyrektywą, dużo więcej niż sama dyrektywa (niektóre sektory określone w dyrektywie jako ważne zostały sklasyfikowane w projekcie ustawy jako kluczowe). Projekt nowelizacji ustawy pozwala również np. na cofnięcie koncesji na prowadzenie działalności w przypadku braku zastosowania się do decyzji wydanych przez właściwy organ.

• Rozwój technologii z zakresu cyberbezpieczeństwa dodatkowo wymusza indywidualne podejście dla każdego podmiotu tak, aby dobrać technologię, która ogranicza wszelkiego rodzaju luki w bezpieczeństwie teleinformatycznym. Dodatkowo niezwykle złożonym zagadnieniem jest sama implementacja i integracja rozwiązań (jak np. budowa komórki bezpieczeństwa, stworzenie planów ciągłości działania, czy bardziej techniczne zbieranie logów z wybranych źródeł czy wdrożenie zasad detekcji dla rozwiązań np. klasy SIEM).

• Liczba ekspertów ds. cyberbezpieczeństwa w Polsce nie pokrywa się z popytem NIS 2 (20 tys. firm według MC, a nawet ponad 40 tysięcy wg. różnych izb gospodarczych). Ponadto NIS 2 w rozróżnieniu od swojego poprzednika dotyczy również mniejszych organizacji, które mają ograniczone zasoby budżetowe.

Przeprowadzenie audytu luki w organizacji pozwoli uniknąć wielu błędów m.in. dzięki:

• Określeniu deficytów dokumentacyjnych, technologicznych i ludzkich w stosunku do obecnie posiadanych zasobów i rekomendacje środków tak by wybrać te najbardziej optymalne dla konkretnej organizacji.
• Braku dublowania rozwiązań i dokumentacji w postaci polityk czy procesów wymaganych do osiągnięcia zgodności z dyrektywą NIS 2, ale również poprawie skuteczności bezpieczeństwa.
• Testom bezpieczeństwa i weryfikacji, czy wdrożone narzędzia zostały odpowiednio skonfigurowane (m.in. czy gwarantują pełną „widoczność”).
• Określeniu, jakie kompetencje należy wzmocnić, aby poprawić poziom ochrony i osiągnąć zgodność z NIS 2.
• I wiele innych.

Jak wygląda audyt w praktyce?

Sam proces audytu składa się z kilku elementów, w tym:

• Zrozumieniu kontekstu, czyli zebraniu kluczowych informacji o firmie oraz przeglądu kluczowych do świadczenia usługi systemów teleinformatycznych, architektury, aktywów czy procesów biznesowych w celu zrozumienia indywidualnych potrzeb organizacji.

• Analizie stanu zabezpieczeń, treści merytorycznej polityk, procedur i obszarów nimi regulowanych.

• Przygotowaniu dokumentu z najważniejszymi wnioskami – 1) zidentyfikowanymi lukami, 2) indywidualnymi rekomendacjami zaproponowanymi przez zespół projektowy w celu niwelacji luk oraz 3) konkretnym planem działania z harmonogramem dla organizacji.

Przykładowo, tak mogą prezentować się kluczowe zagadnienia analizowane podczas audytu w zakresie zarządzania incydentami:

I. Obszar technologii:

• Czy posiadam technologie dające pełną widoczność zagrożeń? 
• Czy zbieram logi z wszystkich kluczowych dla mnie źródeł? 
• Czy moje narzędzia i zbierane dzięki nim informacje gwarantują mi odpowiedni poziom wymagany do efektywnego zarządzania incydentami? 
• Czy posiadam odpowiednio skonfigurowane reguły detekcji? 
• Czy System Zarządzania Bezpieczeństwem Informacji został właściwie zaimplementowany i spełnia wszystkie wymogi dyrektywy NIS2?
• Pozostałe.

II. Procesy:

• Czy posiadam odpowiednie procedury i procesy w zakresie detekcji i analizy incydentów? 
• Czy posiadam plan reakcji na incydenty? 
• Czy podejmuję odpowiednie inicjatywy w zakresie usuwania zagrożeń? 
• Czy zapewniam odpowiednie działania po incydencie? 
• Czy posiadam procesy gwarantujące właściwe formalnie raportowanie incydentów do odpowiednich instytucji? 
• Czy przygotowuję raporty podsumowujące incydent? 
• Pozostałe.

III. Kompetencje:

• Czy posiadam odpowiednio przydzielone role i odpowiedzialności w zespole bezpieczeństwa? 
• Czy personel jest odpowiednio przeszkolony i aktualizuje stan wiedzy? 
• Pozostałe.

Audyty Trecom

W Trecom posiadamy zespół TrecomSEC, który specjalizuje się w świadczeniu usług z zakresu cyberbezpieczeństwa.

Jednym z kluczowych obszarów zespołu TrecomSEC są usługi audytu luki w zakresie NIS 2. Zespół Trecom wspiera organizacje w wdrażaniu technologii i procesów umożliwiających osiągnięcie zgodności z NIS 2.

Zespół TrecomSEC zarządzany jest przez Mirosława Maja, który brał udział w tworzeniu ustawy o Krajowym Systemie Cyberbezpieczeństwa. W przeszłości Mirosław był doradcą Ministra Obrony Narodowej oraz kierował zespołem CERT Polska.

Jeśli chciałbyś poznać lepiej usługę audytu oferowaną przez TrecomSEC oraz inne rozwiązania wspierające spełnienie wymogów NIS 2, zapraszamy do kontaktu.