Głos branży – bezpieczeństwo infrastruktury krytycznej

Wymagania dyrektywy NIS2

W październiku tego roku ma wejść w życie najnowsza dyrektywa UE NIS2 dotycząca bezpieczeństwa sieci i informacji. Stanowi rozwinięcie istniejących regulacji dotyczących cyberbezpieczeństwa w Unii Europejskiej.

Bazując na fundamentach wyznaczonych przez pierwotną Dyrektywę NIS, NIS2 ma na celu zwiększenie świadomości zagrożeń oraz wdrożenie systemowych rozwiązań ochrony cybernetycznej wśród podmiotów objętych dyrektywą.

Jedną z istotnych nowości Dyrektywy NIS2 jest znaczne rozszerzenie zakresu regulacji. Objęci nią są teraz np. dostawcy usług cyfrowych, w tym platformy handlowe online, a także podmioty, których działalność ma kluczowe znaczenie dla podstawowych funkcji społecznych lub ekonomicznych, takie jak dostawcy żywności, wody, energii czy też usługi transportu publicznego.

NIS2 wprowadza bardziej rygorystyczne wymagania dotyczące cyberbezpieczeństwa w celu wzmocnienia ochrony sieci i systemów informatycznych. Wymagania te obejmują takie środki, jak zarządzanie ryzykiem, usystematyzowana reakcja na incydenty, ocena bezpieczeństwa łańcucha dostaw, ogólnie mówiąc, wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo sieci i systemów informacyjnych. Poprzez narzucenie tych środków dyrektywa ma na celu wzmocnienie ogólnego stanu cyberbezpieczeństwa oraz zminimalizowanie ryzyka poważnych konsekwencji dla obywateli w razie cyberataku.

Ponadto NIS2 obejmuje postanowienia dotyczące nadzoru regulacyjnego i egzekwowania przestrzegania wymogów dyrektywy. Krajowe organy odpowiedzialne mają za zadanie monitorowanie przestrzegania przepisów i nakładanie kar za ich naruszenie, w tym grzywny i inne środki administracyjne. Kary mogą być dotkliwe, uzależnione od obrotów danego podmiotu, dodatkowo wprowadza się bezpośrednią odpowiedzialność zarządów. Ten mechanizm ma skłonić firmy do należycie uważnego wdrożenia postanowień NIS2 w swoich organizacjach.

Ogólnie rzecz biorąc, Dyrektywa UE NIS2 stanowi istotny krok naprzód w kwestii wzmocnienia cyberbezpieczeństwa w Unii Europejskiej, co przyczyni się do stworzenia bezpieczniejszego środowiska cyfrowego dla przedsiębiorstw i obywateli UE.

Budowanie zgodności z NIS2

Dyrektywa NIS2, będąca odpowiedzią na dynamicznie zmieniające się cyberzagrożenia, stanowi kluczowy element wzmacniania cyberbezpieczeństwa w Unii Europejskiej. Jej wdrożenie dotyczy obszaru całej UE, gdzie infrastruktura krytyczna staje przed wyzwaniem dostosowania się do nowych, bardziej rygorystycznych standardów.

Polska, jako członek UE, jest zobowiązana do transpozycji dyrektywy do krajowego porządku prawnego. Obejmuje to dostosowanie istniejących regulacji oraz wprowadzenie nowych rozwiązań, które odpowiadają za obszary zidentyfikowane w dyrektywie. Wymaga to ścisłej współpracy między sektorem publicznym i prywatnym, zwłaszcza w zakresie wymiany informacji i zarządzania incydentami.

Osoby decyzyjne, odpowiedzialne za infrastrukturę krytyczną w Polsce, muszą zatem przeprowadzić kompleksową analizę swoich systemów IT i OT pod kątem zgodności z NIS2, co zapewne będzie wymagać przebudowy systemów, szkolenia personelu i wzmocnienia mechanizmów reagowania na incydenty. Dla administratorów infrastruktury krytycznej, przemysłowej czy militarnej przepisy te stanowią okazję do oceny możliwości i operacji pod kątem zaostrzonych wymogów w zakresie cyberbezpieczeństwa. Ale dla organizacji, które nie zmodernizowały swoich zdolności cybernetycznych, jest to również sygnał ostrzegawczy informujący o potrzebie podjęcia działań w celu lepszego przeciwdziałania zagrożeniom związanym z cyberbezpieczeństwem dla ich infrastruktury i upewnienia się, że ich działania są zgodne z przepisami NIS2.

Aby lepiej zdefiniować organizacje, które muszą zostać uwzględnione, ustalono dwa podstawowe kryteria: sektor i wielkość. NIS2 identyfikuje sektory „wysoce krytyczne” (czyli podmioty kluczowe) i „krytyczne” (czyli podmioty ważne). Istnieje jedenaście sektorów o wysokim stopniu krytyczności, w dużej mierze związanych z codziennymi operacjami gospodarki danego kraju, takimi jak energia, transport, bankowość, usługi wodne, opieka zdrowotna, infrastruktura cyfrowa, rząd i przestrzeń kosmiczna. Sektory krytyczne są związane z kluczowymi usługami wspierającymi gospodarkę kraju, takimi jak produkcja i dystrybucja żywności, chemikaliów i towarów, gospodarka odpadami. Należą do nich również dostawcy usług cyfrowych (dostawcy usług internetowych – ISP) oraz ośrodki badawcze.

Przedsiębiorstwom wskazuje się partnerstwo z producentami, którzy wykazują gotowość do zgodności z NIS2. Producenci ci powinni mieć sprawdzone protokoły cyberbezpieczeństwa i historię działań. Ponieważ zgodność z CRA może świadczyć o gotowości do NIS2, zaleca się, aby przedsiębiorstwa współpracowały z producentami zgodnymi z CRA. Dobrą praktyką może być również uwzględnianie regulacji NDAA. W przypadku infrastruktury krytycznej buduje się w ten sposób cyberparasol, który zabezpiecza urządzenia przez cały cykl ich życia, wymagając regularnych aktualizacji. Producenci muszą również przeprowadzać regularne oceny ryzyka. Procedurę tę stosuje Honeywell, wykonując testy penetracyjne i kontrole bezpieczeństwa swoich rozwiązań.

Dyrektywa będzie egzekwowana w każdym państwie członkowskim. Podobnie jak z przepisami RODO dokładne zrozumienie wymogów ochrony danych i działań wymaganych przez organizacje z czasem rosło. Prawdopodobnie będzie tak również w przypadku NIS2. Na podstawie aktualnych informacji organizacje będą musiały podjąć niezbędne kroki już teraz, aby nie być zaskoczone w przyszłości. W związku z tym kluczowe znaczenie mają identyfikacja słabych punktów i szybkie ich wyeliminowanie. Dotyczy to np. urządzeń, które kolekcjonują dane i pozwalają tym danym „wypływać” w mniej bądź bardziej wyrafinowany sposób. Jedno jest pewne, aby uniknąć wyboru urządzeń czy rozwiązań producentów symulujących spełnienie kryteriów NIS2, rekomenduje się, by były zgodne również z regulacją NDAA.

Przepisy dotyczące bezpieczeństwa IK

Zgodnie z informacjami dostępnymi na stronie Rządowego Centrum Bezpieczeństwa infrastruktura krytyczna (IK) obejmuje rzeczywiste i cybernetyczne systemy niezbędne do funkcjonowania gospodarki i państwa. Wzmocnienie odporności infrastruktury krytycznej na zagrożenia, w tym o charakterze terrorystycznym, jest przedmiotem ciągłej analizy i aktualizacji przepisów prawa. Systemy zabezpieczenia są nadzorowane przez Centra Nadzoru i zarządzane przez Centra Zarządzania Kryzysowego.

Warto również zwrócić uwagę na raporty i analizy dotyczące bezpieczeństwa obiektów infrastruktury krytycznej, które mogą dostarczać informacji o stanie zabezpieczeń oraz rekomendacjach dotyczących ich poprawy. Na przykład raport Najwyższej Izby Kontroli z 2016 r. wskazywał na braki w zabezpieczeniach w obszarach ochrony fizycznej i osobowej, co ułatwia wystąpienie niebezpiecznych incydentów. Podsumowując, poziom zabezpieczeń obiektów infrastruktury krytycznej w Polsce jest przedmiotem stałego nadzoru i ewaluacji, a wszelkie oceny powinny być oparte na aktualnych i szczegółowych danych oraz analizach prowadzonych przez odpowiednie instytucje.

W Polsce ochrona infrastruktury krytycznej jest regulowana przez ustawę o zarządzaniu kryzysowym z 2007 r., która określa podstawowe zasady, cele, zadania i kompetencje w tym zakresie. Ponadto w 2019 r. został przyjęty Narodowy Program Ochrony Infrastruktury Krytycznej, który jest strategicznym dokumentem określającym kierunki i priorytety działań na rzecz zapewnienia bezpieczeństwa i ciągłości funkcjonowania IK. Program ten zakłada m.in. identyfikację, ocenę systemów i obiektów IK oraz zagrożeń dla nich, opracowanie i wdrażanie standardów bezpieczeństwa oraz planów ochrony IK czy rozwój i modernizację systemów zabezpieczeń technicznych. Kolejnym założeniem programu jest rozwój i doskonalenie systemów reagowania i zarządzania kryzysowego w przypadku awarii lub ataku na infrastrukturę krytyczną, podnoszenie świadomości i kultury bezpieczeństwa wśród podmiotów z nią związanych oraz współpraca międzynarodowa i regionalna w zakresie ochrony IK. Ochrona infrastruktury krytycznej jest nie tylko obowiązkiem państwa, ale także wspólną odpowiedzialnością wszystkich podmiotów i osób, które z niej korzystają lub mają na nią wpływ.

Polecając rozwiązania mające na celu zabezpieczenie obiektów IK, trzeba wziąć pod uwagę wiele czynników, m.in. zmieniające się przepisy czy aktualną sytuację geopolityczną. Warto również wspomnieć o amerykańskiej dyrektywie NDAA i konieczności stosowania zgodnych z nią urządzeń, które ma w swojej ofercie BCS w postaci serii produktów BCS Ultra. Pojawiające się nowego typu rodzaje ataków, jakie mogą być w pierwszej kolejności skierowane właśnie w te najbardziej newralgiczne dla stabilności państwa obiekty, oraz chęć zabezpieczenia się przed nimi powinny stanowić główny czynnik do zwiększenia nakładów na modernizację i poprawę poziomu systemów zabezpieczeń technicznych.

Kluczowa rola menedżera security

Dzisiejsze zagrożenia, które kiedyś mogły uchodzić za political fiction, niestety stały się rzeczywistością. Wojna w Ukrainie wraz ze skutkami pandemii spowodowały konieczność fundamentalnej weryfikacji planów awaryjnych, ponownego przeprowadzenia szacowania ryzyka.

Co więcej, weryfikacja zagrożeń i szacowanie ryzyka powinno być realizowane obecnie dużo częściej niż w tzw. czasach pokoju, a wręcz permanentnie. Menedżer odpowiedzialny za bezpieczeństwo m.in. zakładów produkcyjnych, szczególnie kluczowych z punktu widzenia gospodarki narodowej i globalnej, powinien skoncentrować się na kilku ważnych obszarach:

1. Bezpieczeństwo personelu: Priorytetem jest zapewnienie bezpieczeństwa pracowników w miejscu pracy. To obejmuje odpowiednie środki ochrony osobistej, przeszkolenie personelu z zasad bezpieczeństwa i postępowania w sytuacjach awaryjnych oraz wdrożenie środków zapobiegawczych.
2. Planowanie kontynuacji działalności: Menedżer bezpieczeństwa powinien opracować i wdrożyć plan kontynuacji działalności, który uwzględnia różne scenariusze związane m.in. z obecną sytuacją geopolityczną i makroekonomiczną. Taki plan powinien obejmować procedury awaryjne, zapasy niezbędnych materiałów i surowców oraz plany działań w przypadku ograniczeń w dostawach lub zamknięcia zakładu.
3. Zabezpieczenie infrastruktury: Ważne jest zabezpieczenie infrastruktury zakładu przed ewentualnymi zagrożeniami związanymi z panującą sytuacją, takimi jak sabotaż, ataki cybernetyczne czy przestępczość zorganizowana. Konieczne może być wzmocnienie systemów zabezpieczeń, monitorowanie terenów zakładu oraz współpraca z odpowiednimi organami bezpieczeństwa państwa.
4. Zarządzanie łańcuchem dostaw: Należy monitorować sytuację na rynkach surowcowych oraz w łańcuchach dostaw, aby szybko reagować na ewentualne problemy związane z dostępnością surowców i materiałów. Konieczne może być poszukiwanie alternatywnych źródeł zaopatrzenia oraz budowanie strategicznych rezerw.
5. Komunikacja i informacja: Niezwykle istotne jest utrzymanie transparentnej i skutecznej komunikacji z pracownikami i zainteresowanymi stronami. Menedżer bezpieczeństwa powinien regularnie informować personel o wszelkich zmianach w procedurach bezpieczeństwa, planach działania oraz potencjalnych zagrożeniach.
6. Współpraca z władzami i innymi instytucjami: Menedżer bezpieczeństwa powinien współpracować z władzami lokalnymi, organami bezpieczeństwa oraz innymi instytucjami, takimi jak służba zdrowia czy wojsko, w celu uzyskania wsparcia i skoordynowania działań w przypadku sytuacji kryzysowych.

Podsumowując, w obliczu obecnych zagrożeń rola menedżera ds. bezpieczeństwa znacząco wzrosła. To on powinien być obecnie swego rodzaju łącznikiem i pierwszym punktem kontaktowym dla wszystkich interesariuszy, szczególnie odpowiedzialnych za realizację krytycznych procesów biznesowych w organizacji czy podejmujących kluczowe decyzje w firmie. Ścisła współpraca jest niezbędna do tego, aby skutecznie zapewnić bezpieczeństwo zarówno personelu, jak i infrastruktury, szczególnie w kontekście zapewnienia ciągłości działania organizacji.

Koń trojański w cyberbezpieczeństwie

Obecnie klienci oczekują innowacyjności oraz jak najmniejszego kosztu utrzymania inwestycji. Wymagania te spełnia zdalne zarządzanie systemami, w tym systemami zabezpieczeń technicznych. A to znaczy, że zważywszy na sytuację geopolityczną, menedżerowie ds. bezpieczeństwa muszą zwracać szczególną uwagę na zapewnienie odpowiedniego poziomu cyberbezpieczeństwa wszystkich systemów.

Wiadomo, że zawsze lepiej jest rozpoznawać, przewidywać i zapobiegać potencjalnym incydentom niż zmagać się z ich skutkami. Zwłaszcza, że obserwujemy dziś gigantyczny wzrost liczby cyberataków.

Innowacyjne rozwiązania bezpieczeństwa odgrywają dziś kluczową rolę w tworzeniu nowoczesnych, zrównoważonych i efektywnych struktur. Mają zapewnić konsumentowi komfort ich użytkowania oraz oszczędności związane z zastosowaniem zdalnego dostępu. Niestety sieciowe systemy niewłaściwie zabezpieczone stają się łatwym celem hakerów.

Inteligentne systemy zarządzania budynkami zaczynają się od aplikacji integrujących systemy budynkowe, które użytkownikom tych obiektów mają znacząco ułatwić życie. Wystarczy smartfon z odpowiednią aplikacją, by zdalnie otworzyć szlaban, wezwać windę, która jednak zatrzyma się tylko na tych piętrach, na których dana osoba może przebywać, a nawet otworzyć drzwi do biura. Dzięki inteligentnym systemom budynkowym użytkownik otrzymuje w czasie rzeczywistym informacje, np. o temperaturze i wilgotności powietrza, które może dowolnie regulować. W razie potrzeby może też zarezerwować salę konferencyjną na spotkanie lub opłacić ładowanie samochodu elektrycznego przed wyjazdem z parkingu. Inteligentne systemy zarządzania budynkiem poprawiają efektywność pracy urządzeń (takich jak klimatyzacja), redukując ryzyko ludzkich błędów.

Tego typu zaawansowane aplikacje gromadzą dane dotyczące np. obecności ludzi, pozwalając dostosować ogrzewanie lub chłodzenie do największego obłożenia budynku, co oznacza oszczędność energii, a to przekłada się na spadek kosztów jego utrzymania. Natomiast połączenie z systemami kontroli dostępu, telewizją przemysłową czy sygnalizacją pożarową oznacza wyższy poziom bezpieczeństwa w obiekcie.

Wszystko to jednak wiąże się z koniecznością zapewnienia odpowiedniego poziomu cyberbezpieczeństwa. Menedżer za nie odpowiedzialny musi pamiętać, że telefon użytkownika może stać się koniem trojańskim, łatwym narzędziem cyberprzestępców, służącym do ataku na systemy sieciowe.

Podniesienie poziomu bezpieczeństwa obiektów IK

Z moich obserwacji wynika, że obiekty infrastruktury krytycznej prawie zawsze są zabezpieczane w ten sam sposób. Pewne schematy wypracowane kilkanaście lat temu są ciągle obowiązujące, mimo że zagrożenia są dziś bardziej złożone. Obecnie technologia stwarza więcej możliwości, a niektóre rozwiązania są teraz dużo tańsze niż 10 czy 15 lat temu. Jednak ich wykorzystanie jest jeszcze bardzo ograniczone.

Aby podnieść poziom bezpieczeństwa obiektów infrastruktury krytycznej, konieczne jest też stałe podnoszenie poziomu wyszkolenia operatorów ze względu na coraz większe zaawansowanie systemów zabezpieczeń. Często bowiem zdarza się, że możliwości nowoczesnego systemu wykorzystuje się w 15% procentach właśnie ze względu na brak wiedzy operatora czy security menedżera. Taka sytuacja na pewno nie jest pożądana, a nawet może okazać się niebezpieczna.

Zarządzający infrastrukturą krytyczną najczęściej inwestują w standardowe kamery, ochronę perymetryczną z systemem napłotowym, stosunkowo prostą kontrolę dostępu czy system alarmowy. Jeżeli występuje integracja tych systemów, to z reguły jest ona dość prosta, ograniczona do wizualizacji alarmu. Wykorzystanie bardziej zaawansowanych rozwiązań, takich jak radary security czy kamery bispektralne wymaga dość dobrego zrozumienia zasad ich działania i korzyści wynikających z ich zastosowania. Osób otwartych na nową wiedzę i rozwój nie spotyka się często, ale oczywiście zdarzają się security menedżerowie, którzy są pewnymi innowatorami w swoim środowisku. Dzięki nim w naszej branży następuje faktyczny rozwój i unowocześnianie standardów.

Dziś security menedżerowie powinni podchodzić do spraw bezpieczeństwa z otwartą głową. Ważne jest też, aby osoby odpowiedzialne za bezpieczeństwo aktywnie interesowały się rozwojem tej branży i szkoliły się w zakresie nowych technologii. Jeżeli będą rozumieć sens stosowania nowszych rozwiązań, łatwiej będzie im przekonać zarządy firm lub odpowiednie departamenty do przeprowadzenia zmian.

Zachęcam też do okresowego przeprowadzania symulacji różnych scenariuszy alarmowych, aby zweryfikować jakość detekcji i szybkość reakcji zadziałania systemów czy procedur. Rezultaty takich działań mogą ujawnić pewne luki w procesach, które mogą skłaniać do ich modernizacji z wykorzystaniem nowszych technologii lub do wymiany systemów. Ciekawą formą są też audyty. Realizowane przez firmę zewnętrzną z odpowiednimi uprawnieniami mogą ujawnić braki w systemie lub jego niesprawność. Audyt może też być pomocny w lepszym skalibrowaniu już istniejących funkcji systemu lub aktywacji tych, które system oferował, ale z jakiegoś powodu nie były one wykorzystywane. ⦁