POIT #243: Dyrektywa NIS2 i narzędzia do jej wdrożenia

Witam w dwieście czterdziestym trzecim odcinku podcastu „Porozmawiajmy o IT”. Tematem dzisiejszej rozmowy jest dyrektywa NIS2 i narzędzia do jej wdrożenia.

Dziś moim gościem jest Aleksander Kostuch – Magister inżynier Informatyk, absolwent Politechniki Gdańskiej. Realizował złożone projekty sieciowe, w których zabezpieczenia systemów i danych mają kluczowe znaczenie, w organizacjach administracji publicznej, u operatorów telekomunikacyjnych oraz klientów komercyjnych. Specjalista w obszarze cyberbezpieczeństwa z ponad 25-letnim stażem. Obecnie w Stormshield. Doradza w zakresie najlepszego wykorzystania technologii sieciowych i bezpieczeństwa klientom końcowym i firmom z branży IT. Mieszkaniec i miłośnik Kaszub, w czasie prywatnym fotografuje miejscowe krajobrazy.

 

W tym odcinku o dyrektywie NIS2 w następujących kontekstach:

  • czym jest dyrektywa NIS2?
  • przez kogo została wprowadzona i co reguluje?
  • jakie wyzwania i możliwości stoją przed organizacjami, które muszą się do niej dostosować?
  • czy NIS2 obejmuje tylko część infrastruktury przemysłowej czy dotyczy to całej organizacji?
  • jakich form ochrony potrzebuje infrastruktura, aby spełnić wymogi dyrektywy NIS?
  • co grozi firmom za niewywiązywanie się z obowiązków wynikających z NIS2?

Subskrypcja podcastu:

Linki:

Wsparcie na Patronite:

Wierzę, że dobro wraca i że zawsze znajdą się osoby w bliższym lub dalszym gronie, którym przydaje się to co robię i które zechcą mnie wesprzeć w misji poszerzania horyzontów ludzi z branży IT.

Patronite to tak platforma, na której możesz wspierać twórców internetowych w ich działalności. Mnie możesz wesprzeć kwotą już od 5 zł miesięcznie. Chciałbym oddelegować kilka rzeczy, które wykonuję przy każdym podcaście a zaoszczędzony czas wykorzystać na przygotowanie jeszcze lepszych treści dla Ciebie. Sam jestem patronem kilku twórców internetowych i widzę, że taka pomoc daje dużą satysfakcję obu stronom.

👉Mój profil znajdziesz pod adresem: patronite.pl/porozmawiajmyoit

Pozostańmy w kontakcie:

 

Muzyka użyta w podcaście: „Endless Inspiration” Alex Stoner (posłuchaj)

Transkrypcja podcastu

To jest 243. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o dyrektywie NIS 2 i narzędziach do jej wdrożenia. 

Wszystko, co potrzebujesz, notatka, linki, transkrypcja czekają na Ciebie na porozmawiajmyoit.pl/243. 

Ja się nazywam Krzysztof Kempiński, ten podcast jest zupełnie darmowy. Zostaw ocenę lub podziel się nim w mediach społecznościowych, abym mógł realizować misję polegającą na poszerzaniu horyzontów ludzi z branży IT. To dla mnie wiele znaczy. A teraz zapraszam Cię już do odcinka. 

Odpalamy! 

 

Cześć! 

Mój dzisiejszy gość to magister inżynier informatyk, absolwent Politechniki Gdańskiej. Realizował złożone projekty sieciowe, w których zabezpieczenia systemów i danych mają kluczowe znaczenie w organizacjach administracji publicznej, u operatorów telekomunikacyjnych oraz klientów komercyjnych. Specjalista w obszarze cyberbezpieczeństwa z ponad 25-letnim stażem, obecnie w Stormshield doradza w zakresie najlepszego wykorzystania technologii sieciowych i bezpieczeństwa klientom końcowym i firmom z branży IT. Mieszkaniec i miłośnik Kaszub, w czasie prywatnym fotografuje miejscowe krajobrazy. Moim i Waszym gościem jest Aleksander Kostuch. 

Cześć, Alku, bardzo miło mi gościć Cię w podcaście. 

 

Cześć, Krzysztof. 

 

Dzisiaj z Alkiem będziemy rozmawiać o unijnej dyrektywie NIS 2. Będziemy się zastanawiać, czym ona jest, komu ma służyć, ale również spojrzymy na narzędzia, które pomogą w jej wdrożeniu, pomogą w dostosowaniu się do wymogów, które ta dyrektywa właśnie wnosi. 

Zanim jednak do tego przejdziemy, to chciałbym Cię, Alek, zapytać, tak jak każdego mojego gościa, czy słuchasz podcastów, być może będziesz w stanie zarekomendować jakieś audycje albo odcinki dla naszych słuchaczy. 

 

Serdecznie Państwa witam przed głośnikami. To może być trochę zaskakujące, ale mam bardzo bogate życie zawodowe i obowiązki sprawiają, że niełatwo mi znaleźć czas na podcasty techniczne, do których zaglądam okazjonalnie, jak np. do tych tutaj, które robisz bardzo profesjonalnie i interesująco: Porozmawiajmy o IT

Wypoczywam przy podcastach dotyczących fotografii, czyli też kolejnej mojej pasji, bo praca jest moją pasją, ale nie tylko pracą człowiek żyje. A więc robię zdjęcia, wyjeżdżam na różnego rodzaju wycieczki fotograficzne i tutaj często słucham podcastów dotyczących rozwiązań technicznych, takich jak opowiadania o aparatach średnioformatowych, o dobraniu obiektywów. Słucham podcastów firmy Fotoforma, Andrzeja Grudnia, słucham Macieja Taichmana z Mega Obraz. Świetnie opowiadają o tego typu rzeczach. 

Dodatkowo słucham też różnego rodzaju podcastów dotyczących sposobów fotografii krajobrazów, rozmawiam z ludźmi, tak że rozwijam moją pasję oprócz tych rzeczy, które dotyczą mnie zawodowo. 

A jeśli chodzi o takie zawodowe rzeczy, które powodują, że zwiększam swoją wiedzę, to dużo czytam. Interesujące są czasopisma, takie jak np. CRN, portale branżowe. Zaglądam do Niebezpiecznika, zaglądam do Zaufanej Trzeciej Strony, Sekuraka, jak również zaglądam pod linki, które podsyłają mi koledzy, kiedy coś ciekawego na świecie dzieje i tam, gdzie powinienem zobaczyć, przeglądam różnego rodzaju fora dyskusyjne i w ten sposób zdobywam wiedzę. 

Ale to nie tylko te źródła, bo np. może być takim źródłem to, co prowadzi moja firma: advisories.stormshield.eu, ale również cenię ten trochę inny sposób zdobywania wiedzy. Mam młodzież jako dzieci i one powodują to, że się człowiek interesuje również tymi rzeczami, które są dookoła niego. 

A więc był taki dzień, kiedy Facebook przestał działać. Ja korzystam z Messengera i tutaj zauważyłem, że coś jest nie tak, ale potem dostałem telefon od córki, która zadzwoniła: tato, chyba Facebook nie działa. No tak, okazuje się, że ten Facebook nie działał u dużej, dużej liczby osób, a to była po prostu tylko awaria. Nie wiem, czy źródłem był atak, trudno powiedzieć, bo to nie dostało się jakby do publicznej wiadomości, a oczywiście w związku z awarią Facebooka od razu jakieś spekulacje narastają, aczkolwiek to jest taki dobry moment, żeby się wybrać np. na spacer, odpocząć od tych technologii, nie siedzieć ciągle w tym telefonie, żeby odpocząć. 

A z drugiej strony, mój syn np. mówi: a tato, wiesz, jest taki portal Panda Bay, no i teraz wszyscy sobie robią żarty na temat tego, bo wyciekły tam dane ludzi, którzy robili zakupy. Okej, wyciekły te dane, to jest, że tak powiem, sprawa bardzo poważna, ale ludzie już trochę przywykli do tego wszystkiego, że mając kontakt z technologią, robiąc gdzieś zakupy, często są różnego rodzaju te niebezpieczeństwa IT, które na nich czyhają, i jeżeli okaże się, że gdzieś jakaś strona została skompromitowana, gorzej, dane z tej strony skompromitowanej zostały gdzieś opublikowane, one są dostępne po prostu googlując sobie je, to dzieciaki robią sobie z tego trochę bekę, jak choćby np. zaglądają, o, czy mój sąsiad kupował akurat w tym sklepie internetowym, gdzie kupuje się nieoryginalne ciuchy też, i jeszcze jedna sprawa: a gdzie ktoś tam mieszka, bo znam tę osobę, a tu wyciekły dane, a jeszcze zobaczę np. jakiś celebryta, który kupował jakieś rzeczy, z tych youtuberów oczywiście celebryta, to już znam to jego numer telefonu, bo tam gdzieś był wprowadzony. 

Później powstają takie projekty jak np. mapa z różnego rodzaju adresami osób, których dotyczył wyciek. A więc rzecz, która tak naprawdę jest bardzo poważna, może być zamieniona również w jakieś tam humorystyczne elementy. 

 

Świetnie, że czerpiesz wiedzę z różnych źródeł. To, co tutaj mówiłeś na temat takiego, powiedziałbym, odwróconego modelu nauczania, że to dzieci czegoś Cię uczą, to myślę, że z tego co pamiętam, to któryś kraj skandynawski właśnie często korzysta z takiego modelu, że jesteś w stanie właśnie od młodego pokolenia się czegoś nauczyć, i to z tego, co wiem, bardzo fajnie się sprawdza. 

Natomiast jeszcze słówko na temat tych rekomendacji podcastów fotograficznych. Nie przypominam sobie, żeby któryś z wcześniejszych gości właśnie rekomendował tego typu audycje, więc tutaj otwierasz jak gdyby kącik pasjonatów fotografii w tym podcaście, więc dzięki za to. 

 

Myślę, że akurat dużo osób z branży IT zajmuje się również fotografią, a to trochę w moim przypadku wynikało z tego, że fotografia przeszła z analoga na cyfrę, a więc w ten czujnik, który zamienia obraz na mapę cyfrową. Ja gdzieś tam lata temu dostałem taki aparat Kodaka, który robił zdjęcia w rozdzielczości 640×480 i to było dla mnie mega pasjonujące, że to już nie tylko skanery, ale również powstają układy, matryce światłoczułe, które potrafią obraz sczytywać z rzeczywistości tak jak błona światłoczuła. 

I tak naprawdę ja zacząłem się dopiero interesować fotografią wtedy, kiedy urodziło się moje pierwsze dziecko, 18 lat temu, bo wtedy już były jakieś aparaty, które miały rozdzielczość 5 Mpix, a więc pojawił się powód, dlaczego mógłbym zainwestować akurat w fotografię, żeby robić zdjęcia, żeby rejestrować dorastanie moich dzieci, żeby później ewentualnie móc sobie sięgnąć do tych obrazów w formie cyfrowej. 

Oczywiście forma cyfrowa może być później wydrukowana, Może być z tego zrobione zdjęcie, plakat, fotoobraz, a więc różnego rodzaju te formy, ale tak naprawdę pasja fotograficzna zaczęła się właśnie od tego, żeby pojawiły się technologiczne możliwości. 

Ta matryca też się zmienia. Bo pierwszy mój aparat, który kupiłem, miał matrycę Micro 4/3, później pojawiły się matryce pełnoobrazkowe. W tej chwili bardzo mnie interesują ze względu na to, że cena jest porównywalna aparatu z matrycą średnioformatową, tak jak aparatu z pełną klatką, więc interesuje mnie złapanie jeszcze większej ilości światła, a to wszystko mnie po prostu wkręca w tematykę fotograficzną i to, żeby jeszcze móc dać coś od siebie, nie tylko z punktu widzenia zawodowego IT, ale również trochę poza tymi rzeczami, które są mega ścisłe, a fotografia i podziwianie świata jest już, że tak powiem, takim tematem trochę bardziej miękkim. 

 

Ze sposobu, w jaki tutaj opowiadasz o tej pasji, widać, że to jest dla Ciebie coś istotnego, ale mówiłeś też, że praca jak najbardziej jest Twoją pasją, więc właśnie na tym gruncie zawodowym chciałbym Cię zapytać o ten temat, który sobie dzisiaj postawiliśmy jako główny do naszej rozmowy, czyli właśnie o dyrektywę NIS 2. Przez kogo została wprowadzona, co reguluje? 

 

Jest to nic innego jak dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie środków, które mają na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. To, co mówimy o NIS 2, to jest rozszerzeniem i uaktualnieniem tego, co pojawiło się w NIS 1. Warto wiedzieć, że w sprawie NIS powstał Krajowy System Cyberbezpieczeństwa, jest projekt nowelizacji ustawy. I generalnie to, przed czym tak naprawdę staniemy, to nowelizacja polskiej ustawy i wprowadzenie tych dyrektyw na poziom tutaj nasz polski. 

Dyrektywa NIS 2 bardzo rozszerza liczbę sektorów krytycznych, których dotyczył NIS 1. Te przedsiębiorstwa, które określamy jako sektor krytyczny, energetyczny, wiedzą o tym, że ich dotyczy NIS w wersji pierwszej, a tutaj akurat sam NIS 2 zwiększa liczbę z 7 aż do 18, a więc rozszerza ten zakres do administracji publicznej, która nie była ujęta wcześniej w NIS-ie 1. Rozszerza zakres przede wszystkim o tę infrastrukturę, która jest związana z usługami publicznymi, które są realizowane na rzecz mieszkańców. Są to w tym momencie zakłady wodnokanalizacyjne, to są ciepłownie, to są ośrodki zdrowia również, i one wszystkie będą się nazywały infrastrukturą krytyczną. 

Nie możemy zapomnieć oczywiście też o tym, że te systemy to naczynia połączone, a więc są dostawcy. I tutaj NIS 2 rozszerza również obowiązki zabezpieczeń w całym łańcuchu dostaw, a więc będzie to dotyczyło również firmy kooperujących z administracją publiczną, bo to już cała administracja publiczna tak naprawdę będzie. Tutaj to nie tylko będzie energetyka, ale również transport, bankowość, infrastruktura rynków finansowych, dostawa wody pitnej, nie tylko związana z systemami wodnokanalizacyjnymi, ale również produkcją, także żywności. 

Ta ustawa rozszerza zakres o przestrzeń kosmiczną. Akurat mamy jedną taką instytucję przestrzeni kosmicznej, raptem tutaj będąc w Gdańsku, ja niedaleko Gdańska mieszkam właśnie, na Kaszubach, tak że bardzo blisko mnie. Możemy to właśnie tak potraktować pół żartem, ale to są bardzo poważne sprawy i w Unii Europejskiej inne kraje również mają takie instytucje, a więc te instytucje będzie obejmować też NIS 2. 

NIS 2 obejmie również dostawców usług cyfrowych, takich jak platformy internetowe, centra danych, dostawców chmurowych. Będzie dotyczyła również poczty, produkcji żywności. I ten NIS 2 powoduje to, że wprowadza pewne obowiązki dotyczące zarządzania ryzykiem cybernetycznym, analizy ryzyka, stosowania systemów, które pomogą w identyfikowaniu, ocenianiu, kontrolowaniu, a także i monitorowaniu ryzyka. 

Wprowadza również obowiązek monitorowania, rejestrowania, generowania informacji o incydentach, a tym samym obowiązuje posiadanie systemów, np. typu SIEM, właśnie do monitorowania cyberbezpieczeństwa, czy Cyber Threat Intelligence, które również pomagają w tym, żeby wykrywać, reagować, zrozumieć pewne incydenty. 

Generalnie dużo mówi się tutaj o incydentach, o rodzajach incydentów, o tym komu zgłaszać w różnych krajach, i tutaj również w Polsce powstają takie punkty kontaktowe dotyczące tych miejsc, w których można zgłaszać te incydenty, tzw. CSIRT, Computer Security Incident Response Team, CSIRT w skrócie. I tutaj jeśli chodzi o Polskę, to prawdopodobnie to będzie, już chyba wiadomo, że będzie to NASK, Naukowo-Akademicka Sieć Komputerowa. 

Jednakże to, co najważniejsze z mojego punktu widzenia jako osoby technicznej, jako inżyniera, który wdraża technologię, to jest to, że NIS 2 zwiększa wymogi w zakresie stosowania środków technicznych. nie tylko organizacyjnych, wiadomo procedury, dokumenty związane ze zrozumieniem i określeniem ryzyk, ale przede wszystkim tutaj NIS 2 mówi konkretnie o stosowaniu rozwiązań technicznych adekwatnych do poziomu zagrożenia, ale również mówi o tym, że mają być to systemy najnowsze ze względu na aktualny stan wiedzy. 

Nie będę tu ukrywał, że czas, kiedy państwa członkowskie mają na wdrożenie, czyli 17 października tego roku, 2024, powoduje, że będę miał bardzo dużo pracy z kolegami do tego, żeby przygotować te firmy pod względem stosowania tych technicznych rozwiązań. Tutaj niemałe znaczenie będzie miała nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. 

W tej chwili akurat zmienił się rząd, tak że tutaj nie wiem, jaki ma to dokładnie wpływ na datę, która już gdzieś tam jest znana, ani na to, jak ta ustawa będzie wyglądała. Może będzie przepisana po prostu wprost, jeden do jednego, a może będzie dostosowana tutaj do polskich realiów, tak jak to było w przypadku rozporządzenia o ochronie danych osobowych. Tutaj jest dużo podobieństw, tak że myślę, że część w tej ustawie będzie zmieniona, powstają w tej chwili zespoły eksperckie, które zaczynają dyskutować na ten temat, są oczywiście odpowiednie rządowe działy, które również na ten temat dyskutują i już pracują nad odpowiednim dokumentem. 

Tutaj warto dodać, że do tych podmiotów kluczowych prawdopodobnie w Krajowym Systemie Cyberbezpieczeństwa będą nie tylko dostawcy infrastruktury krytycznej dołączeni, ale również podmioty, które świadczą usługi w zakresie szerokopasmowego dostępu do internetu. Mogą tutaj być również podmioty takie jak świadczące usługi SAAS, czy PAAS, czy IAS, czy duże sklepy typu e-commerce, czy również instytucje związane z e-governmentem, bo tych usług też oczywiście cyfrowych coraz więcej przybywa. 

Tutaj warto dodać, że do tych podmiotów kluczowych prawdopodobnie w Krajowym Systemie Cyberbezpieczeństwa będą nie tylko dostawcy infrastruktury krytycznej dołączeni, ale również podmioty, które świadczą usługi w zakresie szerokopasmowego dostępu do internetu. Mogą tutaj być również podmioty takie jak świadczące usługi SAAS, czy PAAS, czy IAS, czy duże sklepy typu e-commerce, czy również instytucje związane z e-governmentem, bo tych usług też oczywiście cyfrowych coraz więcej przybywa.

 

Myślę sobie, że zwłaszcza dla tych firm, które wcześniej nie były objęte tą dyrektywą, będzie to oznaczało sporo wyzwań i sporo pracy, tak jak tutaj właśnie powiedziałeś. Właśnie, co możesz powiedzieć o tych wyzwaniach, ale myślę sobie, że również o możliwościach, które wynikają właśnie z dostosowania się do tej dyrektywy? Czy według Ciebie te firmy będą w stanie wykorzystać tę możliwość, aby podnieść swoją odporność cyfrową, a w konsekwencji być bardziej konkurencyjnym na rynku? 

 

Na pewno wyzwaniem takim największym jest poprawa bezpieczeństwa i odporności na ryzyka, ponieważ łączy się z jednej strony z wyobraźnią, czyli ocenieniem tych ryzyk, np. zleceniem audytu, z drugiej strony ogarnięciem tego co po audycie zostaje zaraportowane. A więc co zrobić, żeby zminimalizować to ryzyko powstania incydentów i potencjalnych strat. 

Wiadomo, że w 100% nigdy się nie da tego zrobić, ale zaimplementowanie zmasowanych systemów bezpieczeństwa, później regularnych audytów bezpieczeństwa i tutaj nie wolno również zapominać o tym, że należy szkolić personel, nie tylko ten z IT, dział informatyczny, ale również personel, który bezpośrednio korzysta z komputerów, a więc operatorów tak naprawdę, sprzedawców, magazynierów, pracowników biurowych. Ich wszystkich należy szkolić z tzw. higieny cyber security. 

Dzięki tym działaniom, czy to jest firma, czy to jest instytucja administracji publicznej, czy jakiejkolwiek innej, na pewno uda się zwiększyć odporność na cyberataki. Dzięki temu, że firmy przygotują się na taką odporność, na pewno się da zmniejszyć potencjalne straty finansowe, które mogą wynikać z ataku, a te straty finansowe, jeżeli będziemy mieli wyobraźnię, mogą być niejednokrotnie dużo większe wtedy, kiedy my nie zadziałamy do tego, żeby zabezpieczyć. I teraz straty finansowe to jest jedno. Bo dobrze by było wydać najpierw te finanse na to, żeby zabezpieczyć, żeby później nie płakać i nie trzeba było działać, że tak powiem, już post factum. 

Zobaczmy na przykład bazę danych. Baza danych powstaje przez lata. Pracuje nad tym zespół ludzi, którzy tworzy tę bazę danych. Jeżeli będzie jakiś atak i ten atak będzie na tyle wyrafinowany, że stracimy taką bazę danych, nie tylko tą produkcyjną, ale również z kopii zapasowych, o ile te kopie zapasowe nie były gdzieś tam odizolowane, bo komuś nie starczyło wyobraźni na to, a często spotykamy się również z informacją, że ktoś robi backupy albo będzie robił backupy. Tak że znane oczywiście tutaj jest To stwierdzenie z IT. I najlepiej po prostu najpierw przemyśleć, wydać te budżety na to, żeby się zabezpieczyć, żeby potem po prostu już nie płakać nad rozlanym mlekiem. 

A to nie tylko finanse. Przede wszystkim również jest tutaj bardzo ważna reputacja, która wynika z incydentów. To, co powiedziałem na początku, tak naprawdę tutaj młodzież potrafi się śmiać z niektórych rzeczy, ale to mocno wpływa na to, jak te instytucje czy firmy dużo tracą w oczach, czy nawet cała branża traci w oczach, jeżeli np. któraś z tych firm instytucji medycznych zostaje zaatakowana. 

A więc jedna rzecz to te wyzwania, a z drugiej strony, jeżeli my staniemy tutaj naprzeciwko tym wezwaniom, to możemy sobie wyobrazić, że wtedy przy zaangażowaniu kierownictwa, zarządu całej firmy czy instytucji zwiększa się kultura bezpieczeństwa. Pracownicy stają się w tym momencie bardziej wrażliwi na działania socjotechniczne. Stają się również poprzez edukację najważniejszymi strażnikami naszej firmy. 

Mówi się o tym w IT, że człowiek jest takim najsłabszym ogniwem, ponieważ można naprawdę dużo zainwestować w ochronę, ale wtedy, kiedy ktoś zmanipuluje taką osobą, to żadne systemy nie pomogą. Jeżeli oczywiście wyobraźnia była na tyle duża, to można gdzieś tam wychwycić jakieś błędy, to co standardowy użytkownik może zrobić, ale jeżeli jest naprawdę wyrafinowany taki atak socjotechniczny, to przed nim się naprawdę ciężko obronić. 

I gdy ta kultura bezpieczeństwa się zwiększy poprzez edukację pracowników, którzy są mega ważnym elementem, mówi się o modelu ISO/OSI, o siedmiu warstwach, ale tak naprawdę na szczycie tego modelu sieciowego, który jest znany w IT, stoi właśnie człowiek. I to człowiek wzmacnia wtedy tę odporność, ponieważ nawet wtedy, kiedy zostaje zmanipulowany, potrafi podzielić się informacją z administratorem IT, że mnie tutaj spotkało coś takiego i ja nie mam zaufania do tego, mam wątpliwości do tych pewnych działań i dzielę się tym z tobą, fachowcem od IT, czy to może potencjalnie zagrozić. 

Czasami standardem są takie maile phishingowe, gdzie spieszy się komuś podszywanie się na przykład pod zwierzchnika, gdzie musimy szybko coś wykonać. A gdy taka osoba będzie przeszkolona, to może gdzieś tam w tym momencie w wyniku tego całego natłoku, jakby presji, może gdzieś tam się zastanowi, zaraz, zaraz, chwileczkę, mam dział IT, mogę się zapytać, nie muszę robić tego na hura, może warto się po prostu skonsultować, zanim kliknę. I dział IT zazwyczaj wie, zna, ponieważ większość informatyków w dziale IT interesuje się cyberbezpieczeństwem w ten czy inny sposób, oczywiście tego czasu, jesteśmy świadomi, jest mało, ale oni też również pracują z innymi firmami, które świadczą outsourcing na przykład i też oni sami, administratorzy systemów IT mogą się zapytać, ekspertów à propos tego konkretnego przypadku, czy jest to zagrożenie, czy nie. 

A więc dzięki zwiększeniu kultury pracy z pracownikami można uniknąć ryzyka cybernetycznego w postaci ataku. Wiadomo, że tutaj wyzwaniem jest ciągłe monitorowanie, aktualizacja systemów z tego względu, że mamy małe zasoby informatyczne. One kosztują. Aktualizacja systemów również kosztuje. 

Dlatego często warto się zastanowić nad wyborem technologii, wybrać tę technologię, która opłaca się pod względem takiego wskaźnika TCO, Total Cost of Ownership, czyli po prostu posiadania całości systemu i wybrać po prostu te najbardziej konkurencyjne, które mają mnogość z jednej strony funkcji, które mogą zostać wdrożone, które mają interfejs komunikacyjny w języku polskim, a również mają elementy innowacyjne pod względem cyber security i potrafią się adaptować do zmieniającego się krajobrazu cyber zagrożeń. Dzięki nim zaufać, że nie tylko mnogość działu IT, ale to, że mam dobre rozwiązania, pomoże mi w tym, że mogę spać później spokojnie i się nie denerwować tym, że coś się może w nocy zadziać. 

Jeszcze jedną rzecz, którą chciałem tutaj dopowiedzieć à propos tych incydentów, bo same incydenty NIS 2 omawia bardzo szczegółowo, jak je zgłaszać, identyfikuje je, ocenia, tu powstają odpowiednie grupy SIRT, ale one powstają również nie tylko dlatego, żeby były miejscem do składania informacji o tych incydentach, bo incydenty były, są i prawdopodobnie będą, ale te grupy fachowców mają również pomagać nam w poprawnym przejściu przez to, jak się dzieje jakiś incydent – a więc pomagać nam w podejmowaniu pewnych działań, pomagać nam w planowaniu tych działań zaradczych, zminimalizować wpływy takiego incydentu.

Oczywiście wszystko jest zależne od skali i nie można tutaj przyrównywać jednej instytucji do drugiej, ale ta wiedza ekspercka powoduje to, że przez portale internetowe, komunikację, mamy dostęp do takich najlepszych praktyk i wieloletniej wiedzy eksperckiej ludzi, którzy tam pracują, a więc też nie powinniśmy się tego bać, a przyjmować to bardziej jako element, który nam ewentualnie może pomóc.

 

Mówiłeś o tej konieczności krzewienia takiej higieny związanej z bezpieczeństwem wśród pracowników firm. Zastanawiam się, na ile to jest właśnie swego rodzaju wymóg z NIS czy NIS 2, a na ile dobra praktyka? Jedyne słowo mówiąc, czy NIS 2 aplikuje się do całej organizacji, czy tylko do tej infrastruktury takiej przemysłowokrytycznej, nazwijmy to?

 

NIS 2 nie ogranicza się tylko do części infrastruktury przemysłowej, choć można to przez to, co mówią firmy sprzedające rozwiązania, tak zrozumieć. NIS 2 obejmuje różnorodne sektory i podmioty, tak jak powiedziałem, począwszy od administracji publicznej, skończywszy na łańcuchu dostaw, poprzez właśnie tę infrastrukturę, która ma tę część przemysłową.

I o tej części przemysłowej mówi się dlatego tak dużo, bo ona do tej pory była niedoceniona, niezauważona. Systemy infrastruktury przemysłowej powstawały lata temu, budowane pod klucz, a więc te systemy na wiele lat miały być nietknięte, ponieważ one działają, dobrze są ustawione, oczywiście automatycy z branży OT dokładają do tego swoją wiedzę, aktualizują również swoją wiedzę i również oni zauważają, że te systemy, które gdzieś tam działają, mogą być potencjalnie zagrożone, ponieważ z jednej strony te same kable mogą być użyte np. przez inne firmy, które np. mają jakieś nowe projekty.

Wyobraźmy sobie, jest jakaś sieć infrastruktury przemysłowej, jest gdzieś ustawiona i nagle mamy wdrożyć monitoring wizyjny. Najlepiej by było, gdyby ten monitoring wizyjny powstał na oddzielnych kablach, ale gdzieś przyświeca nam cel oszczędności, i skoro już infrastruktura kablowa została zbudowana, to może gdzieś się wpiąć do jakiegoś przełącznika sieciowego.

Okazało się, że ten przełącznik sieciowy współdzielił łącze ze sterownikami PLC do uzdatniania wody. I w tym momencie, kiedy ja przychodzę tak naprawdę na lokalizację i podłączam urządzenie w celu rozpoznania ruchu sieciowego, co trzeba zabezpieczyć, mówię takim automatykowi czy informatykowi, który ze mną pracuje, że tutaj widzę nie tylko sterowniki PLC, ale tu są urządzenia, które wysyłają multicasty, strumieniowanie wideo. Mówię, o co chodzi? Okazuje się, że faktycznie tak się stało.

To są nieodosobnione przypadki, czyli np.ja na firewallach, które instaluję, zauważam informacje o spoofingu adresów IP i mówię: okej, oczekiwaliśmy, że będzie tutaj podsieć skonfigurowana w jakiejś tam adresacji, a ja widzę zupełnie inną podsieć, której nie planowaliśmy w naszej topologii i mój firewall wykrywa rozgłoszenia, broadcasty jako pewne zagrożenie nieplanowane, o co tu chodzi.

I zaczynamy szukać źródła, widzimy MAC adresy, widzimy adresy IP, według MAC adresów w tablicy przełącznika doszukujemy się, na których portach ono działa, idziemy do tych portów i okazuje się, że tak naprawdę klaster serwerów, który miał działać i być połączony tak naprawdę kablem bezpośrednio jeden do drugiego, bo gdzieś tam klaster miał być zrealizowany, on idzie przez przełącznik sieciowy. I jak to idzie przez przełącznik sieciowy, nie ma wyizolowanej sieci VLAN, to w tym momencie rozgłasza się po tej samej sieci. Więc tu już w trakcie wdrożenia wynajdujemy pewne błędy, które były poczynione w przeszłości, a które w sumie mogą być potencjalnym zagrożeniem.

A więc wracając tutaj do odpowiedzi, że to nie tylko infrastruktura przemysłowa, ale dotyczy to tak naprawdę całej organizacji, to jest kluczowe, żeby podejść do tego holistycznie. Oczywiście ta część przemysłowa, która do tej pory nie była zagospodarowana pod względem security, ma szczególne znaczenie, bo tutaj należy włożyć i to z dużą dozą ostrożności pewne systemy do zabezpieczeń.

Systemy IT, które są, sieci informatyczne już dawno temu były zabezpieczone. Mamy jakiegoś firewalla na brzegu sieci, mamy antywirusy. Cieszymy się z tego firewalla, bo robi dobrą robotę, ale okazuje się, że ta część akurat przemysłowa, która w konwergencji działa z naszymi systemami IT, ponieważ Skadę można było łatwiej uruchomić np. na mojej farmie serwerów w strefie zdemilitaryzowanej niż bezpośrednio np. w tej sieci przemysłowej, a okazuje się, że te sieci się łączą, a jeżeli się łączą, to nie ma żadnej separacji.

Powinniśmy w tym momencie pomyśleć o separacji tych dwóch sieci, żeby spowodować to, że np. jeżeli gdzieś mamy drukarkę np. na korytarzu i ktoś będzie przechodził koło tej drukarki, może włożyć klucz USB do tej drukarki. Okazuje się, że na tym kluczu USB było oprogramowanie, które zainicjowało dalej ten system operacyjny, który jest zazwyczaj na Linuxie. Nietrudno było tak naprawdę sprawdzić do tej drukarki jednego czy innego producenta, jego kombajnu drukarkowego, jaki jest login i hasło serwisowe, ponieważ w Google to bardzo łatwo znaleźć i to wykorzystać. Zazwyczaj te konta serwisowe nie są zmieniane w takich drukarkach.

I w tym momencie okazuje się, że taka drukarka zamienia się w intruza, który wykorzystuje znane narzędzia, one mogą automatycznie się pobierać z internetu. Nasza drukarka przy zamówieniu pewnych materiałów eksploatacyjnych łączy się z internetem, to jest normalne, Tyle tylko, że do tej pory łączyła się ze stroną producencką, a teraz się łączy z jakąś inną lokalizacją, zestawia tunel VPN-owy, żebyśmy nie zobaczyli przypadkiem, co tam w środku jest, i taka drukarka zaczyna nam przeczesywać sieć, tak jak to robi np. Enma.

Potem znajdując jakąś infrastrukturę niezabezpieczoną, przemysłową, zaczyna stosować pewne techniki, Money in the Middle, czy Command & Conquer, czy jeszcze jakiekolwiek innego i okazuje się, że taka drukarka zaczyna atakować nam sieć i przestawi naszą produkcję. Przestawi, odetnie zasilanie albo gdzieś tam woda przestanie płynąć. To już jest najwyższy etap takiej katastrofy, którą moglibyśmy sobie wyobrazić.

A więc tak, ze względu na NIS 2 należy podchodzić do tego holistycznie i tutaj jeszcze raz wspomnę o tym łańcuchu dostaw, który jest bardzo ważny, ponieważ gdzieś tam, czego zupełnie nie przewidzieliśmy, jakiś dostawca też może mieć pewne zagrożenia, które zostaną wykorzystane i po prostu po tunelu VPN-owym zestawionym pomiędzy dostawcą a nami okaże się, że gdzieś nie było odpowiedniego zabezpieczenia polityki bezpieczeństwa i zostaliśmy skompromitowani.

Powinniśmy w tym momencie pomyśleć o separacji tych dwóch sieci, żeby spowodować to, że np. jeżeli gdzieś mamy drukarkę np. na korytarzu i ktoś będzie przechodził koło tej drukarki, może włożyć klucz USB do tej drukarki. Okazuje się, że na tym kluczu USB było oprogramowanie, które zainicjowało dalej ten system operacyjny, który jest zazwyczaj na Linuxie. Nietrudno było tak naprawdę sprawdzić do tej drukarki jednego czy innego producenta, jego kombajnu drukarkowego, jaki jest login i hasło serwisowe, ponieważ w Google to bardzo łatwo znaleźć i to wykorzystać. Zazwyczaj te konta serwisowe nie są zmieniane w takich drukarkach.

I w tym momencie okazuje się, że taka drukarka zamienia się w intruza, który wykorzystuje znane narzędzia, one mogą automatycznie się pobierać z internetu.

 

Tak, podajesz tutaj wiele przykładów właśnie tego, co może pójść nie tak, więc myślę, że w tej perspektywie warto byłoby powiedzieć, jakie formy ochrony możemy zastosować, żeby miało to sens, ale żeby też oczywiście spełniało te wymogi, o których tutaj dzisiaj mówimy.

 

Ja pracuję dla firmy, która jest producentem rozwiązań security, przede wszystkim firewalli, to z tego jesteśmy w Polsce znani, a więc będę tutaj rekomendował w pierwszej kolejności firewalle oraz systemy EDR, ale również nie tylko dlatego, że one potrafią robić segmentację sieci, czyli minimalizować ryzyka poprzez odseparowanie pewnych zasobów. Mogę też wspomnieć o tym, że potrafi się taki UTM z integrować z zasobami CERT NASK i automatycznie aktualizować listę hostów o niskiej reputacji, a to dalej minimalizuje ryzyko wystąpienia nowych typów zagrożeń.

Mogę powiedzieć o tym, że łatwo się go konfiguruje, jest intuicyjny, jest w języku polskim, a więc przeznaczony na rynek polski również. Rozwiązanie to ma duże zaplecze, jeśli chodzi o wsparcie, ponieważ w Polsce są partnerzy wysoko wyszkoleni na najwyższym stopniu certyfikacyjnym. Mamy również polskojęzycznego dystrybutora, firmę Dagma, która nie tylko dystrybuuje sprzęt, ale również ma cały dział techniczny, gdzie pracuje kilkanaście osób wysoko certyfikowanych właśnie tej technologii. Podnoszą telefon i w ramach wsparcia potrafią wysłać procedurę, jak zrobić coś czy coś innego, porozmawiać na temat pewnych problemów, pomóc w ustawieniu urządzenia.

Oni również jako dystrybutor publikują różnego rodzaju dokumenty dotyczące samouczków. Jak wejdziemy na stronę stormshield.pl, to tam jest taka zakładka Pomoc i tam znajdziemy procedury, jak wykonać np. integrację Single Say On z Active Directory, jak np. uruchomić Two Factor Authentication do logowania się nie tylko za pomocą loginu, hasła, ale również kodziku jednorazowego, który mamy na Google Authenticatorze czy Azure Authenticatorze.

Tutaj te systemy firewall spełniają również kolejny element, o którym mówi NIS 2, a więc zabezpieczenie danych poprzez celowe szyfrowanie, i tu szyfrowanie nie byle czym, tylko kluczem asymetrycznym z wykorzystaniem najnowszych protokołów, które ciężko złamać.

A więc dużo opowiadam o NIS 2, ze względu na to, że moje rozwiązania adresują dużą część rzeczy, o których NIS 2 mówi. Ale tutaj nie możemy zapominać o tym, że jeżeli kupimy takie rozwiązanie, to możemy sobie o nim zapomnieć, ponieważ to cyberbezpieczeństwo się zmienia. Zmieniają się zagrożenia i ważne jest to, żeby aktualizować to oprogramowanie. Aktualizacja sygnatur, np. antywirusowych czy IPS, Intrusion Prevention System, dotyczące wykrywania anomalii tudzież aplikacji czy adresów skompromitowanych hostów w internecie, czy certyfikatów, to będzie wszystko działo się automatycznie.

Ale wprowadzając nowe funkcjonalności, łatając pewne wykryte podatności w tym oprogramowaniu, ważne jest też, żeby aktualizować firmę, czyli to oprogramowanie układowe. Tutaj już jest potrzebne działanie administratora bezpośrednie. Kiedy ten administrator zdecyduje się na to, żeby zaktualizować ten system. I teraz aktualizacja powoduje to, że taki firewall się rozłącza na jakiś czas.

W zależności od skali oczywiście możemy zrobić tak, że kupujemy redundantne urządzenia, tzw. klaster urządzeń, a więc jak jedno urządzenie się aktualizuje, to drugie przejmuje jego działanie. Mówi się tutaj o wysokiej dostępności w wyniku potencjalnego ryzyka awarii urządzenia, ale to dużo częściej jest to stosowane wtedy, kiedy aktualizujemy oprogramowanie, bo oprogramowanie musi dorzucić trochę tego kodu, musi się zrestartować, musi ponownie uruchomić urządzenie, a to trwa. Może to trwać w zależności od złożoności aktualizacji, od minuty do dziesięciu minut, czy jakiegoś innego czasu i w tym momencie nie mamy ciągłości działania. Tak że tutaj redundantne urządzenia jak najbardziej w trybie wysokiej dostępności Active Passive się przydają.

Mówimy tutaj również o ciągłości z użyciem np. na produkcji trybu bypass. Kiedy okazuje się, że mamy za mało miejsca, żeby w szynę DIN włożyć dwa firewalle, wkładamy jednego firewalla, czy ze względu na budżet np. instalujemy gdzieś tam na jakiejś lokalizacji, gdzie jest przepompownia jednego firewalla, to wtedy, kiedy jest restart urządzenia, ten tryb bypass pomiędzy dwoma portami powoduje to, że jest ciągłość transmisji danych. Ona się nie przerywa. Fakt, że wtedy nie ma security, ale to jest raptem te kilkanaście czy kilka minut w zależności od układu, który aktualizujemy.

A więc urządzenia, które moja firma sprzedaje (Stormshield), której systemy reprezentuję, to tak naprawdę optymalne wykorzystanie tych dostępnych środków finansowych, którym możemy po prostu zabezpieczyć nasze sieci i być zgodnym z dużą częścią dyrektyw NIS 2.

Ale nie możemy też zapominać o tym, że to również są audyty, to już akurat to robią eksperci, czy wyszukiwanie ryzyk, czy zarządzanie incydentami, Tutaj Stormshield również przychodzi z rozwiązaniami takimi jak systemy SIEM, ale już SOC-a nie zbudujemy. To jest jeden z elementów do budowania SOC-a na przykład (Security Operations Center). Możemy skorzystać z outsourcingu w tym zakresie. Tutaj akurat też firma Dagma sprzedaje usługi SOC-owe, stając na wysokości zadania i oferując, i widząc po prostu co NIS 2 wymaga i te usługi potrafi świadczyć. I również te zespoły eksperckie, które zrobią audyty – to również tutaj akurat dystrybutor pomaga w tym wszystkim.

Ale są też inne firmy, ja znam akurat tego dystrybutora i fachowców, którzy w nim pracują, dlatego mogę bez problemu ich zarekomendować, jak i również rekomenduję partnerów, którzy sprzedają rozwiązania Stormshielda.

 

Tak i tutaj myślę, że z powodzeniem można odesłać też do wcześniejszych odcinków podcastu, które m.in. z przedstawicielami firmy Dagma się odbyły. Postaram się to podlinkować w notatkach, więc można sobie tam z pewnością przesłuchać, z jakimi przypadkami, czy z jakimi też klientami ta firma współpracuje.

Chciałbym Cię zapytać, co możemy jako firma tutaj zrobić, jakie dodatkowe nawyki czy schematy funkcjonowania systemów informatycznych możemy wdrożyć, zastosować, aby dodatkowo jeszcze podnieść poziom cyberbezpieczeństwa?

 

Przede wszystkim edukacja. Zagrożenia ewoluują i niezmiennie nasze ludzkie słabości są wykorzystywane przez przestępców. Psychologii człowieka nie zmienimy, nawet instalując najbardziej skomplikowane, najbardziej innowacyjne systemy, które pilnują bezpieczeństwa. A więc edukacja jest taką szansą uniknięcia scenariusza, kiedy np. firma nie będzie miała akceptowalnego poziomu budżetu na to, żeby uaktualnić jakiś system czy wyrafinowanych działań atakujących. To człowiek, który będzie wyedukowany, spowoduje to, że gdzieś zablokuje postęp tego ataku.

Ataki są coraz bardziej złożone. Można powiedzieć, że implementacja takich rzeczy jak firewalle, jak systemy EDR na końcówkach, backupy, wykorzystywanie systemów NAC, systemy później do monitorowania SIEM, z oczywiście pewną automatyzacją działań – to wszystko jest jak najbardziej właściwe i to powinniśmy jako podstawę zaimplementować. Ale cyberprzestępcy będą dalej się rozwijali, będą rozwijali techniki, pewne narzędzia oparte też o sztuczną inteligencję. Tutaj w Twoich podcastach rozmawialiście na temat sztucznej inteligencji i widzicie, jaki duży potencjał ma ta sztuczna inteligencja, że potrafi wykreować scenariusze, o których tak naprawdę nam się w ogóle by nie śniło.

Ale te ataki mają spowodować najczęściej socjotechniczne elementy wykorzystania słabości ludzkiej psychiki. Z tego względu, że również ci atakujący, grupy cyberprzestępcze, które nierzadko są sponsorowane przez rządy innych państw, które chcą zaszkodzić w jakimś tam celu, to te grupy mają również świadomość wykorzystywanych systemów do zabezpieczeń.

Kiedy stosujemy bardzo popularne systemy zabezpieczeń, to również narażamy się na to, że ten nasz system będzie szybciej podatny i możemy nie mieć czasu na aktualizację. Kiedy system jest mniej popularny na rynku, to ten system jest automatycznie mniej podatny na pewne wykrycia dziur, ponieważ grupa przestępcza będzie się interesowała w pierwszej kolejności takim systemem, który jest bardzo popularny, który jest instalowany w większości firm przedsiębiorstw, widać, że po prostu tutaj akurat słupki sprzedaży są na tyle duże, że warto się nimi zainteresować, nie będzie się interesować takimi systemami właśnie m.in. jak tutaj europejskie rozwiązanie Stormshielda, które głównie bazuje tutaj nie tylko nie tylko w Europie, trochę na Bliskim Wschodzie, ale nie jest tak popularny np. w Stanach Zjednoczonych jak większość innych systemów.

A więc pomogą również w zabezpieczeniu środki publiczne, finansowanie ze środków publicznych. Zwiększa zaawansowanie, tu zauważyliśmy poprzez różnego rodzaju projekty rządowe, że jak najbardziej na najwyższych szczeblach władzy i zarządu widzą te zagrożenia, a więc są środki na to, żeby zabezpieczenia zaktualizować, żeby wdrożyć tam, gdzie jeszcze to nie zostało zrobione.

Jest jeszcze jedna rzecz, która jest odczuwalna. To deficyt specjalistów w obszarze cyberbezpieczeństwa. Nie ma prostych sposobów, by oczywiście tę lukę załatać. Można tutaj zachęcać do tego, żeby kształcić się w cyber security. Można pokazać jakąś marchewkę, że jest to dobra praca. Kiedy informatycy przejdą np. z programistów, gdzie mogą czuć wypalenie zawodowe do cyber security i zacząć robić coś innego, ale w obszarze IT.

Ja zauważam pewne rzeczy też w takim zakresie, że pracując w innej branży, ludzie, którzy zainteresowali się informatyką i byli odważni do tego, żeby trochę się wykształcić w tym zakresie, to również znajdują tutaj satysfakcję i swoje miejsce, gdzie nie tylko zajmują się typowo technologiami, technikami mocno konfiguracyjnymi, ale w obszarze budowania pewnych procedur, budowania dokumentacji, analizowania ryzyk.

Tutaj bardzo dużo jest pracy w oku tego wszystkiego, zarządzania nawet tym bezpieczeństwem, i można tylko młodych ludzi zachęcać, ale nie tylko młodych ludzi, ale również tych, którzy gdzieś zmieniają pracę, myślą o zmianie pracy do tego, żeby zainteresowali się cyberbezpieczeństwem ze względu na to, że pomoże to z jednej strony zachować wysoki poziom odporności na ataki, a z drugiej strony tacy ludzie też, mam nadzieję, że znajdą satysfakcję w tym, że udzielą się w ochronie tych systemów.

Przede wszystkim edukacja. Zagrożenia ewoluują i niezmiennie nasze ludzkie słabości są wykorzystywane przez przestępców. Psychologii człowieka nie zmienimy, nawet instalując najbardziej skomplikowane, najbardziej innowacyjne systemy, które pilnują bezpieczeństwa. A więc edukacja jest taką szansą uniknięcia scenariusza, kiedy np. firma nie będzie miała akceptowalnego poziomu budżetu na to, żeby uaktualnić jakiś system czy wyrafinowanych działań atakujących.

 

Szacuje się, że jedna czwarta firm może nawet nie wiedzieć o tym, że podchodzi pod te obowiązki nanoszone, wyznaczane przez NIS 2. Chciałbym Cię zapytać o to, z czym ten brak wiedzy, świadomości właśnie na temat tego faktu się wiąże. Jakie zagrożenia mogą dla firmy z tego wypływać?

 

Jednym z takich zagrożeń, które jest napisane w NIS 2 to jest kara. Kara do 10 mln euro czy do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Nie wiadomo, które elementy przejdą do ustawy i jak one będą zdefiniowane jeszcze dokładnie, ale to są rzeczy, które dotyczą całych przedsiębiorstw. Tutaj należy jeszcze zauważyć, że NIS 2 rozszerza zakres o zakaz sprawowania funkcji kierowniczych osobie, która mogłaby naruszyć obowiązki, czyli nie dopilnować tego, że systemy były niezabezpieczone.

Oczywiście też mówi się tutaj o takich mniej drastycznych elementach, tak jak np. środkach nadzorczych, jakichś ostrzeżeniach przez tutaj pewnie NASK, czy funkcjonariuszy NASK-u, którzy takie ostrzeżenia czy rekomendacje mogą wysyłać. Będą na pewno publikowali jakieś instrukcje, polecenia jakieś, ale najgorsza rzecz, która się może zdarzyć, mówiłem o tej reputacji, to jest właśnie podanie do informacji o niedopełnieniu obowiązków.

Tak więc warto sprawdzić już dzisiaj, czy zrobiliśmy wszystko, czy przygotowujemy się, aby spełnić te rekomendacje NIS 2, ponieważ kiedy już wejdą odpowiednie przepisy, to przez pośpiech możemy po prostu więcej zapłacić albo czegoś nie dopilnować.

 

Myślę, że bardzo ciekawe, jeśli jesteś w stanie o tym powiedzieć, byłoby usłyszeć o jakiejś case study może sektorów, może firm, organizacji, które właśnie i podlegają i może już nawet wdrożyły rozwiązania te sugerowane przez NIS 2, żeby zobaczyć właśnie tak naocznie, na konkretnym przykładzie, z jakiego typu wyzwaniami i też możliwościami tego typu wdrożenia się wiążą.

 

To może tutaj opowiem o wdrożeniu w przedsiębiorstwie wodnokanalizacyjnym na północy Polski, którym miałem okazję uczestniczyć, ponieważ to jest o tyle ważne przedsiębiorstwo, bo nikt sobie nie wyobraża sytuacji, kiedy nagle w dużym mieście odbiorcy zostają pozbawieni możliwości korzystania z wody.

Specyfiką takich systemów wodnokanalizacyjnych jest ich rozproszenie. Mają punkty ujęcia wody, uzdatniania wody, mają przepompownie ścieków, mają różnego rodzaju biura. A tutaj ważne było to, żeby zidentyfikować ryzyka, odseparować te części, które mogą mieć ryzyka ataku od części tych biurowych (wspomniałem wcześniej o tej drukarce) czy pecetów, tam, gdzie korzystała się z poczty elektronicznej, i zrobić to w ten sposób, żeby z jednej strony jak najmniej ingerować w działanie takiej infrastruktury, ponieważ ta infrastruktura już została kiedyś wymyślona, ktoś włożył dużo pracy w to, żeby ona działała w sposób dobry, wszyscy są zadowoleni z tego, jak ona pracuje, są potworzone VPN-y poprzez różnego rodzaju urządzenia, ale nie ma tego security.

I teraz konwergencja sieci informatycznej, gdzie mamy stacje operatorskie i tej części OT, czyli przemysłowej, gdzie są systemy PLC, gdzie są przełączniki przemysłowe, to jest to ryzyko, które trzeba było zabezpieczyć.

A więc zrobiliśmy to w kilku krokach. Najpierw zinwentaryzowaliśmy potrzeby, zrobiliśmy analizę ryzyka, ustaliliśmy politykę bezpieczeństwa pod względem tego, że w tym miejscu zainstalujemy firewalla, wdrożyliśmy zabezpieczenie, a na sam koniec przeszkoliliśmy personel. Ten personel w tym momencie monitoruje sieć i zarządza incydentami. Wszystko w zakresie tego, co NIS 2 tutaj nam określa.

Trzeba było to zrobić tak, żeby w najmniejszym stopniu ingerować w to, co działa. A więc trzeba było znaleźć odpowiedni czas, kiedy mogłaby być wygenerowana przerwa techniczna. A ta przerwa techniczna to tak naprawdę zaledwie kilka minut. Przepięcie kabli i wdrożenie urządzenia w istniejące procesy. I teraz to urządzenie z jednej strony może działać jako router, ale tutaj w tym przypadku działało w trybie brydża, a więc dwa porty komunikowały się z częścią tą wewnętrzną, tą częścią chronioną, z częścią tą zewnętrzną, która może być zagrożeniem. A więc w brydżu przepięcie kabli spowodowało to, że przerwa serwisowa na przepięcie kabli była minimalna.

I teraz z jednej strony wdrożenie takiego urządzenia powoduje to, że ono już jakiś security nakłada, ale my możemy przestawić to urządzenie w tryb monitorowania, przepuszczania ruchu sieciowego. Możemy delikatnie wdrożyć system IPS-owy (Intrusion Prevention System), żeby zobaczyć, jaki ruch sieciowy idzie pomiędzy pewnymi elementami urządzenia, czyli inwentaryzacja się robi naszych sterowników PLC, czy czasem tam nie ma jakichś innych protokołów niż tych, co się spodziewaliśmy. Spodziewaliśmy się protokołów Modbus, a okazuje się, że są protokoły typu Profinet również, czy jeszcze na przykład S7 Siemensa. Należy to wszystko podczas tego monitorowania uwzględnić w budowaniu polityki bezpieczeństwa.

Takie wdrożenie trochę trwa, ponieważ zainstalowaliśmy urządzenia najbliżej elementów, które są pewnymi ryzykami. Odseparowaliśmy tak naprawdę na razie na zasadzie monitorowania, czyli przysłuchiwaniu się temu ruchu sieciowemu, jaką mamy inwentaryzację urządzeń, jakie zidentyfikowaliśmy te urządzenia, jaki ruch one generują pomiędzy poszczególnymi elementami sieci, i następnie po około miesiącu zamknęliśmy budowanie polityk bezpieczeństwa, ostatnią regułą bezpieczeństwa, która dropuje cały inny ruch, który mógłby być pewnym zagrożeniem, który jest nieprzewidywalny. 

A więc w ramach reguł bezpieczeństwa w ramach tej polityki bezpieczeństwa zostały zbudowane zasady, jakie obowiązują w naszej sieci, a więc między jakim hostem jednym, a jakim hostem drugim, jaki ruch przebywa. 

Dodatkowo wdrożyliśmy głęboką analizę protokołów przemysłowych, a więc te protokoły przemysłowe charakteryzują się tym, że mają nie tylko nagłówki źródło i cel, ale również pewne dane przychodzą w ramach tej komunikacji, jakieś kody sterujące, kody monitorujące pomiędzy systemem Skada, np. tymi PLCK-ami, to mogliśmy uwzględnić również tę głęboką analizę tych protokołów, czyli zajrzeć w dane i jeszcze bardziej tę politykę bezpieczeństwa zacisnąć tak, żeby nic innego niespodziewanego się tam nie przemknęło. A więc zminimalizowaliśmy ryzyko zagrożeń do maksymalnego stopnia. 

Okazało się, że ten system Skada gdzieś pracuje w prywatnej chmurze, a więc na klastrze serwerów i tutaj zastosowaliśmy również Firewalla, tylko w postaci zwirtualizowanej. To się nazywa w Stormshieldzie Elastic Virtual Appliance, i tutaj postawiliśmy go również w formie przezroczystej przed systemem operacyjnym, na którym działa Skada, a resztą sieci, gdzie operatorzy normalnie pracują i tutaj podłączają się do systemu, aby on chronił ten system skadowy przed niepożądanymi, no tutaj z jednej strony nawet i broadcastami, które przychodzą w sieci i one nie muszą docierać do tej sieci, ale każdego innego typu ruchu sieciowego, przepływanie plików na protokole SMB, tudzież jakichś tam FTP-ów. 

A nade wszystko wprowadziliśmy jeszcze autoryzację operatorów, a więc operator zwykły ma mieć dostęp do zasobów PLC w takim i takim zakresie, ale kiedy przyjedzie serwisant, on chciałby coś tam innego ustawić i po zautoryzowaniu się, czy to w integracji z Active Directory poprzez system Single Sign-On czy poprzez dodatkowe autoryzacje na Captive Portal, który jest na takich urządzeniach Firewall, i zautoryzowaniu się swoim loginem, on ma inne uprawnienia niż pozostali użytkownicy. 

Te uprawnienia może nadawać per użytkownik, per grupa użytkowników, a nade wszystko rozwiązania tutaj Stormshielda mają zgodność z przepisami, i jest wdrożona np. anonimizacja danych osobowych, czyli nie widzimy od razu, jak zaglądamy do logów źródłowego adresu IP czy też nazwy użytkownika, to te dane są zanonimizowane. Dopiero dla tych osób, które mają do tego uprawnienia może być to dostępne. 

Warto też wspomnieć o tej niezawodności, czyli właśnie bypassie, o którym mówiłem wcześniej, o tym, że urządzenia są dostosowane do tego, żeby działały bez przerwy, a więc nie ma tam żadnych elementów ruchomych, są radiatory odprowadzające ciepło. Te urządzenia są odporne na temperaturę, odporne na wilgoć, którą zauważamy w lokalizacjach, gdzie są instalowane. Te urządzenia są często montowane na szynie DIN obok sterowników PLC czy przełączników sieciowych. 

A więc tu poprzez kompleksową politykę bezpieczeństwa, dogłębną analizę protokołów, dodatkowy system centralnego zarządzania, gdzie administrator nie musi wykonywać tych samych operacji na każdym z urządzeń, tylko wystarczy, że po prostu zrobi coś w jednym miejscu, co powoduje, że mamy dopasowany sprzęt do specyfiki właśnie tego przedsiębiorstwa wodnokanalizacyjnego, gdzie firewalle robią pracę taką, że chronią nas przed zagrożeniami cybernetycznymi. I tą wisienką na torcie jest to, że jesteśmy w tym momencie zgodni z NIS 2. 

 

Dzięki za ten case. Myślę, że to pokazuje na konkretnym przykładzie, jak można do tego podejść, jaki też mamy wachlarz możliwości i narzędzi do użycia. NIS 2 to dyrektywa unijna i właśnie w takim nieco szerszym kontekście chciałbym Cię zapytać, co Wam jako firmie, co nam jako krajowi w kontekście cyberbezpieczeństwa oczywiście dało to, że jesteśmy już dziesięciolecia w Unii Europejskiej, w NATO. Czy to się na coś realnie przykłada? 

 

Możemy tutaj popatrzyć też na firmę, którą reprezentuje Stormshield, ponieważ pojawił się w 1998 roku, znany wcześniej był jako NETASQ, w Polsce jest od 2007, a myśmy przyjęli politykę NATO w 2008 i tutaj możemy popatrzyć po prostu na to, jak firma rozrastała się i jak pewne elementy tutaj były współbieżne z tym, co się dzieje właśnie w obliczu tego, że jesteśmy 20 lat w Unii Europejskiej, czy 25 lat w NATO. 

Firma produkuje UTM-y od 2004 roku. W 2012 roku została kupiona przez Airbus, tę firmę, która produkuje samoloty, helikoptery, ale ma tutaj taki duży dział, który się nazywał Airbus Defence and Space. Teraz to jest Airbus Cyber Security. Firma kupiła nie tylko firmę NETASQ, ale i firmę Arkoon. Zmieniła nazwę tych firm na Stormshield i ta marka tutaj jest obecna na polskim rynku i w 2016 roku została certyfikowana, została nadana rekomendacja przez NATO i przez Unię Europejską taką informacją, że jest to EU Restricted, że jest to zarekomendowany system, ze względu na to, że został certyfikowany przez instytucję ANSI w zakresie certyfikacji EAL4+, a więc jest to firma europejska, z Francji, i ze względu na takie rygorystyczne procedury certyfikacyjne można określić ją jako zaufaną i rekomendowaną w użytkowaniu.

To, co w ramach polityki współpracy z NATO, czy będąc w Unii Europejskiej, to my widzimy wojnę na Ukrainie, która jest blisko, jest na wschodniej granicy, ale ona zaczęła się tak naprawdę, musimy pamiętać, od ataków cybernetycznych. Te ataki miały, jeszcze zanim weszły militarne środki, to te ataki miały cel osłabienia infrastruktury krytycznej. Miało utrudnić komunikację. Były blokady na jakieś popularne serwisy społecznościowe, czy wykorzystywano te serwisy społecznościowe, aby rozpoznać przyszłościowe pole walki. Wprowadzono chaos informacyjny. I te utrudnienia dotknęły zwykłych obywateli. 

A więc trzeba pamiętać, że wojna zaczyna się od rzeczy miękkich, których nie widać. Nie widać, bo oczywiście wojnę w powietrzu, na wodzie, na lądzie widać, ona jest straszna. Ale to, co się dzieje w cyberbezpieczeństwie, to jest kolejne pole walki, które nie jest takie jednoznaczne, a jednak jest i tutaj się dzieje. 

My współpracując z NATO, jako firma Stormshield, produkujemy takie urządzenia, które się nazywają SNXR-1200. To są urządzenia, które są odporne na fale elektromagnetyczne, które są odporne na zmieniające się warunki środowiskowe, na polu walki również. Można je stosować nie tylko tam, gdzie jest kurz, ale również na statkach, w systemach powietrznych. I tutaj rozwój technologii, stosowanie technologii przez instytucje unijne jest realizowany wspólnie. 

Oczywiście nie należy też zapominać o programach takich jak Polska Cyfrowa, są regionalne projekty operacyjne, mamy Krajowy Program Odbudowy, a więc te środki z KPO są stosowane właśnie do zabezpieczeń, do zwiększania służby bezpieczeństwa i dyrektywy unijne właśnie powodują to, że w postaci NIS 2 mamy jakieś wytyczne pozwalające nam odpowiedzieć na potrzeby zagrożeń, aby nie zostać z jednej strony skompromitowanym i żeby ta wojna cybernetyczna nie dotknęła nas aż tak bardzo. 

 

Okej, tutaj dzisiaj wiele razy podkreślałeś znaczenie edukacji i myślę, że taką dobrą okazją właśnie ku temu jest wydarzenie, które jako Stormshield będziecie organizować już w czerwcu w Katowicach. Chciałbyś więcej o tym wydarzeniu powiedzieć? 

 

To jest forum użytkowników Stormshield, które corocznie odbywa się w Katowicach. W wyniku pandemii odbywało się również zdalnie. Tu jest trochę forma hybrydowa, a więc odbywa się lokalnie, zapraszamy naszych klientów, ale również potencjalnych klientów do Katowic. Również robimy projekcje w internecie i teraz to już będzie chyba ósme forum, o ile się nie mylę. Jest realizowane w bardzo ładnym ośrodku szkoleniowym, autoryzowanym ośrodku szkoleniowym, gdzie użytkownicy czy partnerzy mogą się szkolić w zakresie różnych technologii, m.in. Stormshielda na różnego rodzaju etapy wiedzy administratora, eksperta czy systemów rozwiązywania problemów. 

Taki meeting pozwala na to, że użytkownicy mogą poszerzać wiedzę, mogą rozmawiać między sobą, zobaczyć, jak to wygląda u innych, a więc dzielą się pewnymi doświadczeniami, szukają nowych rozwiązań, nowych technologii, które się pojawiają. Na to forum często zapraszamy kolegów z zagranicy. W zeszłym roku Polskę wizytował kolega, który pokazał road mapę rozwiązań Network Security, Endpoint Security i Data Security, to są takie trzy produkty, które Stormshield oferuje w zakresie security. 

Tak że dowiedzieliśmy się, jakie funkcje można zaimplementować. Były prelekcje tutaj przez kolejnego kolegę Marco Genovese, który przedstawił zakres ochrony sieci przemysłowych. Ja również miałem swoją część prelekcji i też mówiłem o sieciach przemysłowych. Mówiliśmy o tym, co nowego w firmware. Kolega Piotr Spiecha opowiadał o systemie SLS, to jest nic innego jak taki CM stormshieldowy. Adam Ferenc, kolejny inżynier, kolega, opowiadał jak wykorzystywać optymalnie sieci SD -WAN. W trakcie spotkania Dawid Zięcina opowiadał, jak Dagma realizuje SOC-a, czy też ekspert Daniel Suchocki opowiadał, jak samodzielnie przeprowadzać [pena testy 1:10:18] w swojej sieci z wykorzystaniem odpowiednich narzędzi, czy też nawet i wyszukiwarki Google. A nade wszystko jak byliśmy lokalnie, to użytkownicy mogli korzystać z konkursów, a po południu zwiedzić też górnośląską kopalnię. 

 

Zatem ja się też do tego zaproszenia tutaj dołączę. Myślę, że ta tegoroczna edycja również zapowiada się bardzo atrakcyjnie. A tymczasem, Alku, bardzo Ci dziękuję za rozmowę, za ten poświęcony czas. 

 

Dziękuję Ci bardzo. 

 

Powiedz jeszcze, proszę, na koniec, gdzie Cię można znaleźć w internecie, gdzie możemy słuchaczy jeszcze odesłać. 

 

W internecie jest dużo blogów, blog Stormshielda, są też dostępne moje komentarze, case study, gdzie opisuję moje doświadczenie, ale czas nie pozwala mi taką na większą aktywność, żeby określić jakiś blog. Ja pokazuję swoje zdjęcia, a więc stosując trochę mechanizmy OSINT-u, można mnie wygooglować, czy tam korzystając z innej przeglądarki, zobaczyć wywiady ze mną. Możecie zobaczyć część mojej pracy fotograficznej, czyli mojej pasji, ale również możecie zobaczyć też taki portal szwajcaria-kaszubska.pl, w którym realizuję się tym, żeby być blisko społeczności lokalnej, co daje mi dużo satysfakcji, że mając jakąś tam wiedzę, mogę też coś pokazać w internecie tutaj z takich lokalnych dobrodziejstw turystycznych. 

 

Świetnie. Po linki zapraszam do notatek do tego odcinka. Alek, jeszcze raz bardzo dziękuję. Udanego dnia i cześć. 

 

Dziękuję Państwu, dziękuję również Tobie i do zobaczenia. 

 

I to na tyle z tego, co przygotowałem dla Ciebie na dzisiaj. Więcej wartościowych treści znajdziesz we wcześniejszych odcinkach. Masz pytania? Napisz do mnie na krzysztof@porozmawiajmyoit.pl lub przez social media. 

Ja się nazywam Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o dyrektywie NIS 2 i narzędziach do jej wdrożenia. Do usłyszenia w następnym odcinku.

Cześć!

 

+ Pokaż całą transkrypcję
– Schowaj transkrypcję
mm
Krzysztof Kempiński
krzysztof@porozmawiajmyoit.pl

Jestem ekspertem w branży IT, w której działam od 2005 roku. Zawodowo zajmuję się backendem aplikacji internetowych i zarządzaniem działami IT. Dodatkowo prowadzę podcast, występuję na konferencjach i jestem autorem książki "Marka osobista w branży IT". Moją misją jest inspirowanie ludzi do poszerzania swoich horyzontów poprzez publikowanie wywiadów o trendach, technologiach i zjawiskach występujących w IT.