Bezpieczeństwo łańcucha dostaw

Jak interpretować „łańcuch dostaw”?

Łańcuch dostaw przede wszystkim obejmuje firmy, z którymi współpracujemy w szczególności wszystkich naszych podwykonawców i usługodawców. Będą to przykładowo kancelarie prawne, ale też dostawcy usług chmurowych, agencja ochrony fizycznej, ale i software house’y, uczestniczące w tworzeniu dla nas aplikacji. 

Do łańcucha dostaw zaliczyłbym również np. biblioteki i pakiety oprogramowania typu open-source lub innych firm, które są wymagane do funkcjonowania naszych aplikacji i operacji. Kolejny przykład to wykorzystywana infrastruktura firm trzecich, a nawet zewnętrzni dostawcy zarządzanych usług bezpieczeństwa takich jak SOC. W przypadku firm, gdzie funkcjonuje Automatyka Przemysłowa, łańcuch dostaw obejmować będzie serwis stron trzecich, które konfigurują i konserwują sprzęt przemysłowy. 

Według wielu ekspertów uwzględnienie w NIS 2 bezpieczeństwa łańcucha dostaw jest jedną z najważniejszych zmian, jakie przynosi NIS 2. Dlatego, że w dzisiejszym świecie większość firm i organizacji funkcjonuje w ekosystemie wielu firm, podwykonawców oraz partnerów publiczno-prywatnych. Ten ekosystem jest tak bezpieczny, jak jego najsłabsze ogniwo. 

Z tego powodu NIS 2 wprowadza dwie kategorie obowiązków dotyczących bezpieczeństwa łańcucha dostaw. 

Pierwsza kategoria obowiązków to obowiązek przeprowadzenia risk assessmentu dla wszystkich bezpośrednich dostawców i podwykonawców (tzw. Tier1), czyli zbadania i udokumentowania, jakie cyberryzyka niesie współpraca z danym dostawcą, w jakim stopniu jest to bezpieczne oraz określenie, w jaki sposób zminimalizujemy te ryzyka, jakie środki czy rozwiązania wdrożymy. Ten assessment ma być oczywiście później aktualizowany.  
 
Druga kategoria obowiązków związana jest z operacyjnym monitorowaniem i sprawdzaniem bezpieczeństwa łańcucha dostaw. Do tej kategorii wchodzą:  
• proces wykrywania i reagowania na incydenty bezpieczeństwa, jak i technologie to wspierające  
• cykliczne testy penetracyjne i audyty bezpieczeństwa włącznie z zarządzaniem podatnościami  
• kontrola jak bezpieczny jest proces tworzenia oprogramowania u naszego partnera 

Należy zwrócić uwagę na „efekt domina” – firma nieobjęta NIS 2 a będąca dostawcą firmy objętej NIS 2 będzie zmuszona w dużym stopniu dostosować się do obowiązków. 

Ocena skuteczności środków zarządzania ryzykiem

NIS 2 wymaga, by organizacja wdrożyła procedury służące ocenie skuteczności środków zarządzania ryzykiem jako takim w tym cybernetycznym. Wśród tych sposobów, procedur możemy wymienić kilka podstawowych metod:  

Audyty bezpieczeństwa  

Ważnym sposobem oceny skuteczności środków zarządzania ryzykiem cybebezpieczeństwa są audyty bezpieczeństwa. Są one niezależnymi i obiektywnymi analizami wdrożonych procesów bezpieczeństwa oraz procedur operacyjnych. Zazwyczaj punktem wyjścia do nich są standardy, normy np. ISO oraz przepisy prawa.  

Audyt bezpieczeństwa daje dobry wgląd w aktualny poziom bezpieczeństwa w organizacji, wskazując jednocześnie obszary wymagające poprawy czy doskonalenia. 

Testowanie planów ciągłości działania i zarządzania kryzysowego

By być przygotowanym na wystąpienie sytuacji nadzwyczajnej, kryzysowej w tym cyberkryzysu np. atak ransomware na naszą firmę i zaszyfrowanie większości komputerów i serwerów, kluczowe jest posiadanie planów ciągłości działania i zarządzania kryzysowego.  
 
Równie ważne jest cykliczne testowanie planów ciągłości działania i zarządzania kryzysowego (co, powiedzmy sobie szczerze nie dzieje się w dużej ilości organizacji). Nawet najlepiej przygotowany dokument będzie bezużyteczny, jeśli nie będziemy w stanie skutecznie przywrócić działania organizacji po wystąpieniu sytuacji nadzwyczajnej, takiej jak cyberatak. 

Testy penetracyjne i testy bezpieczeństwa  

Przeprowadzamy testy penetracyjne, które pozwolą nam sprawdzić odporność infrastruktury i systemów naszej organizacji na cyberataki. Testy weryfikują zastosowane rozwiązania, wyszukują wystąpienie podatności w naszej sieci, serwisach webowych, infrastrukturze chmurowej czy aplikacjach mobilnych. Szczególnym przypadkiem testów bezpieczeństwa są testy kodu źródłowego wykorzystywanych aplikacji i występujących w nim luk i podatności. 

Testy socjotechniczne  

 esty te dotyczą pracowników i współpracowników organizacji. Pozwalają one na weryfikację czy pracownicy i współpracownicy:  
• znają i stosuje dobre praktyki związane z przetwarzaniem informacji?  
• korzystają z sieci Internet w sposób z zachowaniem odpowiedniej czujności?  
• potrafią rozpoznać typowe, najbardziej popularne metody działania cyberprzestępców? 

Symulacje ataków hakerskich  

Zazwyczaj takie testy wykonywane są według podobnego schematu, jakim posługują się cyberprzestępcy i skupiają się na weryfikacji błędów bezpieczeństwa, które mogą zostać wykorzystane do osiągnięcia celu. Tutaj zazwyczaj zewnętrzna firma wykonująca takie symulacje koncentracja na scenariuszach wykorzystywanych podczas prawdziwych ataków.  
 
Tego typu symulacje zazwyczaj mają dwie części:  
 
• blackbox – gdzie testujący, którzy wcielają się w rolę atakujących, mają minimalną wiedzą o atakowanej infrastrukturze organizacji oraz  
• whitebox – gdzie testujący, którzy wcielają się w rolę atakujących mają dostęp do konfiguracji testowanej 

Ćwiczenia red team i blue team  

To są jeszcze bardziej zaawansowane nie tylko testy, ale skomplikowane ćwiczenia mające za zadanie ocenić cały system cyberochrony (ludzie, procesy i technologie) i w efekcie znaleźć niezauważone wcześniej luki. Jak skutecznie przygotować organizację na NIS 2? Ćwiczenia te polegają na tym, że „czerwona” drużyna pentesterów atakuje, na przykład naszą infrastrukturę sieciową czy aplikację finansową, a zadaniem „niebieskiej” drużyny jest skuteczna obrona. 

Cyberhigiena i szkolenia

NIS 2 wskazuje na obowiązek wykonywania cyklicznych szkoleń dla pracowników i współpracowników, co ważne wszystkich szczebli.  
 
Moduły szkoleniowe w zakresie podnoszenia cyber świadomości użytkowników muszą być dostosowane do specyfiki organizacji. Wspomniane wcześniej testy socjotechniczne są również zaliczane są do proaktywnej edukacji. Takie testy pozwalają określić na jakie obszary cyber ochrony musimy zwrócić szczególną uwagę w danej organizacji.  

Kluczowe jest jednak, aby nie skupiać się bezrefleksyjnie tylko na odbyciu szkolenia (zwykle w formie e-learningu), po to by „odbębnić” wymagany obowiązek, ponieważ to zwykle przynosi zły efekt. Byle jakimi szkoleniami nie zwiększamy świadomości naszych pracowników.  

Dlatego tak ważny jest w moim przekonaniu program security awareness czyli całościowe, holistyczne podejście, według którego w organizacji staramy się uzyskać stan, w którym wszyscy czują się odpowiedzialni za bezpieczeństwo i ochronę informacji od zarządu, po biznes i wszystkich pracowników. Budowanie świadomości to proces długi, to raczej maraton niż bieg na 400m, obejmujący wiele zagadnień, i musi się odbywać na poziomie strategicznym jak i operacyjnym. 

Rozwiązania technologiczne

NIS 2 właściwie nie wskazuje konkretnych rozwiązań technologicznych security, które powinny być stosowane przez organizacje.  

Punktem wyjścia jest tu następujący zapis dyrektywy:  

„Kluczowe i ważne podmioty podejmują odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem stwarzanym dla bezpieczeństwa systemów sieciowych i informatycznych, z których podmioty te korzystają przy świadczeniu swoich usług.”  

Wspomniane wyżej środki i obowiązki omówiliśmy w większości w poprzednich rozdziałach. Wymieńmy je wszystkie w jednym miejscu. Są to:  

1. Analizy ryzyka i polityki bezpieczeństwa systemów informatycznych  
   A. Określenie ryzyk i ich poziomu  
   B. Plan mitygacji ryzyk security  
2. Obsługa incydentów security i informowanie o nich (zapobieganie, wykrywanie i reagowanie na incydenty)  
3. Plany ciągłości działania i zarządzania kryzysowego  
4. Bezpieczeństwo łańcucha dostaw  
5. Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa  
6. Bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych, w tym ujawnianie i zarządzanie podatnościami  
7. Stosowanie kryptografii i szyfrowania oraz uwierzytelniania wieloskładnikowego lub ciągłego  

Ponieważ firmy i instytucje są różne, pod względem wielkości, sektora, tego czym się zajmują, dlatego jakie konkretne środki organizacyjne, procesowe oraz rozwiązania technologiczne wdrożą muszą wynikać z analizy zagrożeń i ryzyk, określenia ich poziomu i naszego apetytu na ryzyko. Niezbędne i wdrażane konkretne cyber rozwiązania technologiczne mogą być inne dla sklepu internetowego, inne dla firmy produkcyjnej a inne dla szpitala.  

Bardzo szczegółowo zabezpieczenia zarówno procesowe oraz technologiczne opisują frameworki takie jak ISO 27001 a w szczególności ISO 27002 czy NIST. 

Dlaczego w dyrektywie NIS 2 wymienione są wprost wykorzystanie kryptografii, szyfrowania oraz uwierzytelniania wieloskładnikowego lub ciągłego?  

Regulator przyjął, że zarówno wykorzystanie kryptografii i szyfrowania oraz uwierzytelniania wieloskładnikowego to absolutne podstawy, które powinny być stosowane przez zdecydowaną większość firm, instytucji i organizacji. 

Ujawnianie i zarządzanie podatnościami

Zarządzanie podatnościami w infrastrukturze teleinformatycznej, aplikacjach i systemach to jeden z podstawowych wymogów bezpieczeństwa, ale ten obowiązek dotyczy trochę innego obszaru.  

W NIS 2 jest następujący zapis:  

„Producent lub dostawca produktów lub usług ICT powinien również wprowadzić procedury niezbędne do otrzymywania informacji o podatnościach na zagrożenia od stron trzecich”.  

Odnosi się on do skoordynowania na poziomie UE procesu ujawniania podatności i stworzenia unijnej bazy podatności – publicznie znanych luk w produktach ICT i usługach ICT, która to baza ma być obsługiwana przez ENISA.  

Producenci lub dostawcy produktów i usług teleinformatycznych, będą zobligowani do umożliwienia przyjmowania podatności zgłaszanych przez osoby czy podmioty z zewnątrz. Proces ten, czyli Vulnerability Disclosure Policy (VDP) ma stworzyć strukturyzowany kanał udostępniany przez organizację każdemu, kto może zgłosić do niej problem związany z bezpieczeństwem cyfrowym.  

Innymi słowy, jest to bezpieczny sposób, aby osoby trzecie wiedziały, gdzie i jak zgłaszać podatności w produktach czy usługach ICT do danej jednostki. 

Jeśli chciałbyś poznać lepiej rozwiązania Trecom wspierające spełnienia wymogi NIS 2, zapraszamy do kontaktu.