Ustawa KSC. Kluczowe znaczenie ma audyt bezpieczeństwa IT

Przeczytaj także: Eksperci o projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Audyt bezpieczeństwa – pierwszy krok w spełnianiu wymogów nowego prawodawstwa

Dlaczego ten pierwszy krok jest tak istotny? Audyt to najlepszy sposób na określenie poziomu bezpieczeństwa informacji w organizacji. Pozwala ocenić na jakim etapie się znajdujemy i jakie krytyczne elementy powinny zostać jak najszybciej poprawione.

NIS2 a w ślad za nią również Ustawa KSC wymagają podejścia opartego na analizie ryzyka, którego nie da się wykonać, bez rzetelnej inwentaryzacji, czyli właśnie audytu. W myśl obowiązujących przepisów pierwszy raz należy go wykonać w ciągu 12 miesięcy, natomiast procedowany projekt nowelizacji zakłada wydłużenie tego okresu do 24 miesięcy, od dnia spełnienia przesłanek uznania podmiot za kluczowy lub ważny – mówi Aleksander Kostuch, inżynier Stormshield.

Jak go przeprowadzić by przyniósł maksymalny efekt? Przede wszystkim rzetelnie. Kluczowe jest dobre przygotowanie - warto zgromadzić i uporządkować posiadaną dokumentację, aby nie tracić czasu na jej poszukiwanie w trakcie audytu. Warto wyznaczyć osoby, które będą wspierać audytora: odpowiadać na jego pytania oraz umożliwią mu dostęp do niezbędnych zasobów. Należy również poinformować osoby, które z uwagi na profil swoich obowiązków będą zaangażowane w proces, aby nie było to dla nich zaskoczeniem.

Dobrym pomysłem jest zorganizowanie spotkania otwierającego przed rozpoczęciem procesu, podczas którego audytor przedstawi, co będzie sprawdzane i w jaki sposób. Całą procedurę najlepiej jest przeprowadzić bezpośrednio w siedzibie organizacji, a nie jedynie w oparciu o udzielone informacje i przedstawione dokumenty. Dzięki temu łatwiej jest zweryfikować rzeczywisty stan zabezpieczeń istotnych z punktu widzenia przepisów – mówi Piotr Piasecki z DAGMA Bezpieczeństwo IT.

Przebieg procedury może wyglądać nieco inaczej w przypadku MŚP i dużych przedsiębiorstw.

W MŚP audyty zwykle mają charakter punktowy i skupiają się na kluczowych firewallach brzegowych, serwerach i stacjach roboczych, z naciskiem na podstawową zgodność z wymaganiami regulacyjnymi. System kadrowy czy księgowy, formalnie nie wchodzą w zakres obowiązkowego audytu w myśl ustawy KSC. Dlatego w przypadku MŚP procedura opiera się często na standardowych check-listach i dobrych praktykach sugerowanych przez outsourcing. Z kolei w dużych firmach audyt jest bardziej kompleksowy i obejmuje nie tylko firewalle brzegowe czy wewnętrzne (zapewniające segmentację sieci), lecz także centra danych, chmury oraz procedury, dokumentację, testy penetracyjne i socjotechniczne. Audytem objęty jest także system informacyjny – mówi Aleksander Kostuch.

Firewall może wspierać etap inwentaryzacji firmowej sieci

Pomocna w całym procesie bywa technologia. Niektóre firewalle umożliwiają identyfikację hostów działających w firmowej sieci, jednak warunkiem jest wykorzystanie urządzenia działającego inline. Podczas audytu w przedsiębiorstwie wykorzystującym technologię operacyjną, firewall pracujący na styku IT/OT umożliwi identyfikację nieautoryzowanych hostów z segmentu IT próbujących komunikować się z PLC, czy wykrycie nieudokumentowanego systemu SCADA, który komunikował się na protokole MODBUS.

Sprzęt pomoże rozpoznać ruch sieciowy, również w opcji z głęboką analizą protokołów, także przemysłowych. Dla przykładu firewalle Stormshield mają możliwość identyfikacji aktywnych hostów na podstawie adresów IP i MAC, fingerprintingu systemów operacyjnych (OS detection) czy identyfikacji aplikacji i usług uruchomionych na danym hoście na przykład serwery SMB, HTTP, PLC, SCADA. Ten mechanizm może z powodzeniem wspierać proces inwentaryzacji i na jego podstawie można stworzyć mapę komunikacji między urządzeniami na potrzeby dokumentacji ryzyka i segmentacji sieci. Często znajdują się w tej samej sieci co urządzenia przemysłowe, np. kamery CCTV – wyjaśnia Aleksander Kostuch.

Ile trwa i jakie mogą być koszty audytu?

Audyt zazwyczaj trwa około miesiąca i składa się z kilku etapów. Najważniejszym jest wizyta w organizacji klienta, a czas jej trwania zależy od wielkości badanego podmiotu i rozproszenia lokalizacji, które trzeba odwiedzić. Ten etap nie powinien zająć więcej niż kilka dni. Po zakończeniu wizytacji audytor przygotowuje raport podsumowujący zebrane informacje.

Najczęściej już po wstępnym wywiadzie audytor jest w stanie oszacować czas potrzebny na przeprowadzenie audytu, który w przypadku dużych organizacji, posiadających skomplikowane zaplecze cyfrowe, może być dłuższy. Dlatego wywiad poprzedzający zasadniczą część audytu warto przeprowadzić z wyprzedzeniem, bo ułatwi to zorganizowanie pracy zespołu zaangażowanego w procedurę i całej firmy – wskazuje Piotr Piasecki.

Koszt audytu zależy od wielu czynników m.in. wielkości i stopnia skomplikowania działalności firmy. Standardowe ceny rynkowe wahają się w przedziale od 20 do 45 tys. zł netto.

Jakie mogą być "pułapki" - czego powinno się unikać?

Pamiętajmy, że audytor nie jest wrogiem. To osoba, która ocenia naszą zgodność z przepisami i standardami, a celem jego działań jest pomoc w poprawie poziomu bezpieczeństwa. Warto traktować go jako sprzymierzeńca.

Zatajanie informacji czy nieudostępnianie dokumentacji może poważnie zakłócić cały proces, którego sensem jest przecież określenie realnego stanu bezpieczeństwa naszej organizacji. Wszystko jest robione w interesie organizacji, która zaprosiła audytora. Brak otwartości przekłada się na niekompletny efekt, który nie odzwierciedla stanu rzeczywistego – podkreśla Piotr Piasecki.

Praktyczne wnioski z audytów – zagrożenia i mankamenty, o których nie wiedziały objęte nimi podmioty

Nasze doświadczenia pokazują, że podmioty, które poprosiły o przeprowadzanie audytu posiadają całkiem dobrą bazę techniczną, będącą podstawą bezpieczeństwa. Niestety jej potencjał nie jest w pełni wykorzystywany do czego przyczynia się m.in. brak procedur, a w głównej mierze niedobór specjalistów – wskazuje Michał Sroka z Dagma Bezpieczeństwo IT.

Najczęstsze przypadki niedociągnięć w systemach zabezpieczeń, które pozwolił wychwycić audyt:

• Brak agregacji i analizy zdarzeń w firmowej sieci. Administratorzy w wielu przypadkach nie wiedzą, że powinni agregować i analizować logi systemowe. Brakuje centralnych systemów SIEM, których głównym zadaniem jest zbieranie, agregowanie oraz analiza danych pochodzących z różnych źródeł. To umożliwia wykrywanie i reagowanie na incydenty w czasie rzeczywistym, znacząco przyspieszając identyfikację zagrożeń oraz pozwalając minimalizować ich skutki.
• Kontrola dostępów. Dla przykładu w jednym z przypadków za przydzielanie uprawnień i tworzenie kont oficjalnie odpowiedzialny był centralny dział IT, jednak w trakcie audytu okazało się, że niektórzy menadżerowie średniego szczebla mogą tworzyć również dostępy ręcznie. Z kolei u innego klienta faktycznie wyłącznie dział IT miał uprawnienia do tworzenia kont, lecz nie został opracowany cykl życia tych dostępów, obejmujący na przykład przeglądy uprawnień, czy nieaktywnych kont etc., co wykonywane było nieregularnie. Dział IT działa „na zlecenie” tj. gdy na podstawie konkretnej dyspozycji tworzy lub blokuje konta, ale nie ma nad tym szerszej kontroli. To powoduje sytuacje, że po odejściu pracownika przyznane mu dostępy pozostają aktywne, co zdecydowanie nie jest dobrą praktyką.
• Brak przygotowania do zarządzania podatnościami w organizacji. To niedociągnięcie, które stwierdzone zostało w zasadzie u każdego audytowanego klienta. A warto pamiętać, że wykorzystanie podatności, czyli błędów lub luk w oprogramowaniu, to obecnie podstawa niemal każdego ataku hakerskiego. Brakuje zarówno procedur jak i systemów IT, które posiadają takie opcje. Firmy bazują na ręcznych weryfikacjach i ew. auto updates. Powszechnym problemem jest też nieaktualne oprogramowanie, które może być podatne na atak.
• Przeświadczenie, że wszystko jest w porządku, bo wdrożono rozwiązanie, choć bez właściwej konfiguracji. W jednym z badanych przypadków, poddany audytowi podmiot posiadał zaporę sieciową nowej generacji, co w jego opinii było równoważne ze spełnieniem wymogów prawnych w zakresie zabezpieczenia organizacji. Niestety niewłaściwa konfiguracja w istotny sposób zmniejszała potencjał urządzenia i de facto powodowała, że sieć organizacji nie była zabezpieczona tak jak powinna.

Przekonanie iż organizacji brakuje narzędzi, odpowiedzią na co jest wdrażanie nowych systemów, pozostaje w wielu przypadkach błędne. Czasem po prostu wystarczająca jest prawidłowa konfiguracja urządzenia lub systemu, z którego już korzystamy. Pamiętajmy, że obok inwestycji w technologie, należy rozwijać świadomość, procedury i kompetencje ludzi – podkreśla Michał Sroka z Dagma Bezpieczeństwo IT.