“Ja się chyba powieszę” to pierwsza myśl, która przychodzi mi z każdym kolejnym, identycznym pytaniem dotyczącym unijnej dyrektywy NIS 2. Dlatego postanowiłem przed zjazdem w Janowie Podlaskim zrobić małą zbiorówkę dla środowiska, czyli dla tych co chcą się czegoś dowiedzieć, dla tych którym się wydaje, że coś wiedzą, dla tych, którzy jak zwykle wiedzą najlepiej oraz dla tych dla których termin NIS 2, “rewolucja w cyberbezpieczeństwie”, “SOC” i podobne, to nowość i objawienie.
Na wstępie chciałem Wam zdradzić tajemnicę. Projekt MdS jest spółką Grupy MiŚOT dedykowaną dla security, działającą po to, abyście nie zostali z ręką w nocniku w momencie, gdy się w końcu obudzicie. Pomijam drobiazg, że budując swój telekomunikacyjny biznes powinniście położyć bardzo silny nacisk na bezpieczeństwo, pomijam kolejny drobiazg zaciskających się aktów prawnych, które za chwile uniemożliwią Wam prowadzenie działalności jeśli czegoś nie zrobicie, ale na litość, mamy wojnę! Mamy wojnę u nas w kraju! Nie kinetyczną, jak na Ukrainie, ale jednak wojnę.
MdS jest dla Was
Projekt MdS ma spowodować abyście nadal mogli skupiać się na działalności telekomunikacyjnej w tych naprawdę trudnych warunkach, z którymi NATO oraz UE radzą sobie dziś jak potrafią. Czy im to dobrze idzie? To temat na inny artykuł. Chodzi w tym wszystkim o to, aby trudniej było zdestabilizować Europę – służba zdrowia w Irlandii, elektrownie (m.in w Bełchatowie), ropa, gaz, protestujące ruchy społeczne a ostatnio rolnicy to pokłosie tych prób.
Zajmujemy się przesyłaniem informacji i jest to istotny element obrony w dobie internetu. Czy chcecie tego czy nie. Dlatego już od zgoła dwóch lat UE chce uszczelnić przestrzeń cyfrową obdarzając ją nowymi wymogami zmierzającymi do większej kontroli. Dlatego Wasze protesty na zmieniającą się rzeczywistość mogą zostać delikatnie mówiąc “olane”. Łatwiej się bronić mając do dyspozycji kilka korporacji, które się szybko dostosowują niż kilka tysięcy upartych operatorów, którzy opowiadają z dumą o “trzmielach w NASA”, jako dowód własnego profesjonalizmu i nie zamierzają się doskonalić w dziedzinach istotnych dla obrony przestrzeni cyfrowej, bo mają na to… własny punkt widzenia. Sprowadza się on często do postawy: “póki nie karzą, to nic nie robimy”. Tyle gwoli wprowadzenia w sytuację.
A teraz czas na opinie i pytania.
NIS 2 mnie dotyczy?!
Wielu małych i średnich operatorów uważa, że dyrektywa NIS 2 ich nie dotyczy, bo prowadzą przedsiębiorstwa poniżej 50 osób zatrudnionych i 10 mln euro obrotu. To moja ulubiona opinia. Oczywiście błędna. Dyrektywa NIS 2 dotyczy Was wszystkich. Przepisy mówią jasno o “wszystkich dostawcach publicznych sieci łączności elektronicznej”. Artykuł 2 ust. 1 mówi zaś dokładnie: “niniejsza dyrektywa ma zastosowanie do podmiotów publicznych lub prywatnych w rodzaju tych, o których mowa w załączniku I lub II, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia 2003/361/WE lub które przekraczają pułapy dla średnich przedsiębiorstw określone w ust. 1 tego artykułu oraz które świadczą usługi lub prowadzą działalność w Unii”.
W artykule 2 ust. 2 czytamy: “niniejsza dyrektywa ma również zastosowanie do podmiotów w rodzaju tych, o których mowa w załączniku I lub II, w przypadku gdy: a) usługi świadczone są przez: (i) dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej”.
W artykule 3 dowiadujemy się natomiast: “do celów niniejszej dyrektywy następujące podmioty uznaje się za podmioty kluczowe: dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia 2003/361/WE”.
Oznacza to, że w większości MIŚOT-y nie będą podmiotami kluczowymi, jednak ten sam artykuł ustęp 2 wskazuje, że: “do celów niniejszej dyrektywy podmioty w rodzaju tych, o których mowa w załączniku I lub II, które nie kwalifikują się jako podmioty kluczowe zgodnie z ust. 1 niniejszego artykułu, uznaje się za podmioty ważne. Odnosi się to również do podmiotów, które zostały wskazane przez państwa członkowskie jako podmioty ważne zgodnie z art. 2 ust. 2 lit. b)–e)”.
Wszystkie podmioty, które nie łapią się na definicję podmiotów kluczowych zgodnie z art 3 ust. 1, łapią się na definicję podmiotów ważnych. Jak widzicie występujecie w art. 2 ust. 2 lit a). To, że nie wskazano Was w art. 3 oznacza, że nie wyznacza Was państwo członkowskie, bo już to zrobiła Unia. Jak prześledzicie każdą z tych literek, poza (a), wymaga to jakiegoś wskazania. Was nie trzeba wskazywać bo albo świadczycie te usługi, albo nie.
Różnicy w wymaganiach dla kluczowych i ważnych nie ma. Są jedynie w karach. Co do konkretów czekamy na polską ustawę. Nie może w niej jednak NIE BYĆ czegoś, co dyrektywa wymaga. Zarządzanie ryzykiem w przedsiębiorstwie, badanie łańcucha dostaw, przeciwdziałanie zakłóceniom działalności, zaburzeniom integralności, dostępności, poufności oraz analizowanie i raportowanie incydentów sklasyfikowanych i korelujących z ryzykami – wszystko to będzie tam wpisane.
Dlatego błagam nie bawcie się w rosyjskich szpionów rozsiewając dezinformację na ISPforum i w innych mediach, że Was to nie dotyczy, bo to po prostu nieprawda.
Co to jest SOC?
SOC to Security Operation Center. Zespół ludzi świadczących kompleksowe usługi z zakresu bezpieczeństwa przy użyciu różnych narzędzi. Wszystko zależy od branży.
Typowe usługi SOC to:
- monitoring podatności z alertami 24/7 (Blue Teaming);
- reakcje na alerty systemów klasy SIEM również przez 24h (Blue Teaming);
- reakcje na alerty systemów klasy NMS równiez przez 24h (Blue Teaming);
- ochrona antywirusowa, anti malware, anti ransomware również przez 24h (Blue Teaming);
- reakcje na zaburzenia zasad bezpieczeństwa (zagubienia, zniszczenia dokumentów, kradzież informacji, szpiegostwo, zaburzenia dostępności informacji w firmie, integralności informacji w firmie, poufności informacji w firmie) – tym zazwyczaj zajmuje się Pełnomocnik ds. Bezpieczeństwa;
- dbanie o nieprzerwane, niezakłócone działanie Systemu Zarządzania Bezpieczeństwem Informacji oraz Systemem Zarządzania Ciągłością Działania Firmy. – tym również zajmuje się Pełnomocnik ds Bezpieczeństwa;
- ochrona danych osobowych – tym zajmuje się Inspektor Ochrony Danych Osobowych;
- audyty bezpieczeństwa – jest to sprawdzenie bezpieczeństwa procesów w firmie w stosunku do jakiegoś szablonu. Są dwa NIST (amerykański) i ISO 27001 – ten uwielbia UE. Nie da się go przejść nie znając normy i zasad bezpiecznego zarządzania biznesem. Wewnętrzne Audyty prowadzi Pełnomocnik ds Bezpieczeństwa a zewnętrzne Audytor Wiodący ISO27001;
- audyty systemów ciągłości działania – wbrew nazwie nie chodzi o to czy Wam routery i switche będą działały nieprzerwanie i jak to zabezpieczyliście. Tu chodzi o wprowadzenie procesów umożliwiających wyjście z zakłócenia głównie rynkowego działania Waszej firmy. Bardziej biznes niż technikalia;
- testy penetracyjne – Zestaw działań zakontraktowanych zewnętrznie mający na celu obnażenie słabości Waszej działalności. Okresowo będziecie zmuszeni to zrobić. Nie chodzi tu tylko o Waszą infrastrukturę ale róœniez o zaburzenie dostępności, integralności i poufności informacji, które macie w firmie. Robi się to na zlecenie i zajmuje się tym Red Team;
- testy wydajnościowe i stresujące – Są to testy aplikacji, usług i sieci komputerowych sprawdzające wytrzymałość rozwiązań, ich odporność na dużą skalę danych. Tu są ataki DDoS, testy wydajności routerów, serwerów, switchy. Zajmuję się tym na zlecenie Red Team w SOCu;
- w Waszym wypadku jest jeszcze zespół ludzi dbający o zmiany, konfiguracje, i niezawodność usług w naszych węzłach. Tzw. NOC (Network Operation Center). Również przez 24h;
- szkolenia z nowych zagrożeń – tym zajmuje się Pełnomocnik ds. Bezpieczeństwa i IOD lub całe zespoły szkoleniowe
Dlatego, gdy ktoś do Was przyjdzie i powie, że ma aplikacje lub pudełko, które daje Wam usługę SOC, pokażcie mu drzwi. Nie spełnicie w ten sposób wymagań ustawowych. Oczywiście możecie sami próbować to realizować. Istnieje coś takiego jak SOC wewnętrzny. Są to ludzie pełniący te funkcje u Was w firmie. Tyle, że kontrole sprawdzają kompetencje, skuteczność ochrony, a papiery są tutaj mniej ważne. Pamiętajcie, że są to osoby, które muszą zapewnić 24h ochronę zgodnie z polskim prawem, a to oznacza, że muszą pracować na zmiany. Inaczej zostanie to zakwestionowane.
Co to jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?
W dużym uogólnieniu to zbiór zasad wprowadzonych w firmie, który ma zapewnić bezpieczeństwo Twojego biznesu w zakresie dostępności informacji i usług, integralności (prawdziwości, niezaprzeczalności) oraz poufności, w każdym procesie od dostawy usług lub komponentów, przez przetwarzanie tych informacji przez pracowników lub podwykonawców, skończywszy na świadczeniu tych usług klientowi i obsłudze reklamacji.
Normy opierają to na zarządzaniu ryzykiem. Tu ostrzeżenie. To, że ryzyka nie rozpoznałeś nie oznacza, że jesteś bezpieczny w rozumieniu przepisów. Możesz się narazić na zarzut nierzetelności. Zarządzanie ryzykiem powinno obejmować wszystkie zagrożenia dotyczące tego co posiadasz w zakresie ludzi, sprzętu, dokumentów, systemów i kontaktów.
Skąd mogę wziąć wzór polityki bezpieczeństwa?
Skąd chcesz. Firm sprzedających je (i to nawet dosyć tanio) jest na pęczki. Jest to jednak najgłupszy (i najprostszy) sposób zdobycia kar i zaliczania wpadek.
Polityka jest dokumentem opisującym wymyślony przez Ciebie SZBI dla potrzeb Twojej firmy. Ta firma jest w jakimś środowisku, posiada jakąś strukturę i jakieś zagrożenia. Inne zagrożenia ma każda firma. Dlatego najlepiej abyś zrobił to sam dla swojej firmy albo z użyciem ludzi, którzy zrobią to za Ciebie.
Kupowanie “gotowców” nie da zgodności z przepisami. Firmy, które sprzedają takie kwity, według mnie, często po prostu naciągają klientów. Kupujesz swoje poczucie bezpieczeństwa, a to nie jest spełnieniem wymogów dyrektywy. Jedynym szablonem (przepisem) do zbudowania takiej polityki jest w UE norma ISO27001. Możesz ja sobie kupić. Normy są licencjonowane, więc nikt Ci ich nie da.
Jak zarządza się incydentami ?
Po pierwsze trzeba je sklasyfikować. Dla przedsiębiorców telekomunikacyjnych są one sklasyfikowane na trzech poziomach: normalnym, poważnym i krytycznym.
Po drugie trzeba zrobić analizę ryzyka i monitorować coś, co nazwiemy incydentami.
Po trzecie trzeba to zgłaszać. Dziś do CSIRT NASK. Po wejściu ustawy zapewne do CSIRT TELCO. Służyć ma do tego system S46.
Po czwarte należy wyciągać wnioski z incydentów na podstawie ryzyk, jakie ze sobą niosą wymyślać i wdrażać działania korygujące, aby te incydenty nie występowały w przyszłości.
I tu niespodzianka. Rejestr ryzyk musi korelować z rejestrem incydentów, ponieważ każdy incydent pogłębia jakieś ryzyko lub ujawnia nowe. Jedno i drugie musi być badane pod względem skuteczności wprowadzanych zmian w reakcji na nie. Inaczej, jak przyjdzie kontrola i zobaczy rejestry incydentów i ryzyk, będzie chciała zobaczyć dowody na wdrożenie działań minimalizujących te ryzyka i korygujących incydenty. I nie chodzi tu o papier. Właśnie dlatego nie kupujemy gotowców.
Dużo też zależy od przyjętych poziomów. Z jednej strony ograniczeniem są akty prawne z drugiej zdrowy rozsądek ludzi, którzy z bezpieczeństwem pracują.
Czy da się mapować ryzyka zaciągnięte z internetu?
Niektóre tak, niektóre nie. Twoja firma różni się tysiącem rzeczy od innych firm. Nawet tych postawionych sto metrów obok Ciebie. Nie ma uniwersalnych ryzyk. Scenariusze może i są takie same, ale reakcja na nie i ocena ich skutków już nie. To sprowadza się do prześledzenia około pół tysiąca scenariuszy przy małej firmie i dbanie o to żeby się później rozwijały i liczyły.
Czy jesteś w stanie zrobić to sam?
Niektóre rzeczy tak, niektóre nie. Audytu sam nie ogarniesz. Testów sam nie zrobisz. Możesz analizować incydenty i liczyć ryzyka jeśli tylko zdobędziesz odpowiednią wiedzę i masz na to czas. Nie bardzo widzę skuteczne działanie jednoosobowego SOC 24/7. Zresztą mamy taki moduł w tSec do samodzielnego liczenia ryzyk i BIA. Nazywa się tRisk. Uprzedzam jednak, że z liczeniem incydentów i ryzyk jest jak z sieczkarnią ( “jeśli gówno wrzucisz, gówno wyjdzie”.
Ile czasu dostosowuje się działalność do NIS2?
Do NIS2 czyli do ISO27001. Dla bardzo małych MiŚOT-ów to około dwa miesiące. Dla średnich MiŚOT-ów od dwóch do sześciu, dla dużych od sześciu do dwunastu. Dlaczego? Ponieważ rewolucja w zarządzaniu przedsiębiorstwem jest tym trudniejsza im więcej jest w nim ludzi z określonymi przyzwyczajeniami, nierozpoznanych procesów, zależności, a także im większy jest obszar działalności i zróżnicowani klienci.
Jak zrobisz to rzetelnie, pierwsze efekty po wdrożeniu zobaczysz po roku. Tu już niezależnie od wielkości. Będziesz je widział w rachunku zysków i strat, najczęściej po stronie zmniejszonych strat (rok do roku).
Ile kosztuje dostosowanie do NIS2?
Jak jesteś mądry to nic Cię to nie kosztuje. Mądry, czyli potrafisz policzyć pieniądze, które wydałeś i docenić brak strat, które ta inwestycja przyniosła. Dla ludków liczących wprost zapytajcie Projekt MdS lub naszych przedstawicieli na Zjeździe MiŚOT. Hasła wywoławcze: “wdrożenie NIS2”, “usługa Pełnomocnika ds Bezpieczeństwa z IOD lub bez”, “SOC MdS”. Sprawdź też ceny rynkowe. Nie najdroższe nie najtańsze. Schodzenie poniżej pewnych cen zwiększa ryzyko, że wydacie pieniądze a i tak zaliczycie karę. Więc jak przy ubezpieczeniu raczej przenoście odpowiedzialność za fuckupy a zwłaszcza kary administracyjne na takie właśnie firmy.
Inne źródła:
https://wynagrodzenia.pl/moja-placa/ile-zarabia-audytor-zewnetrzny
https://wynagrodzenia.pl/moja-placa/ile-zarabia-specjalista-ds-bezpieczenstwa-informatycznego
https://praca.money.pl/wynagrodzenia/s/inspektor-ochrony-danych-osobowych/
https://nofluffjobs.com/pl/log/praca-w-it/pentester-ekspert-ds-bezpieczenstwa-cyfrowego-obowiazki-zarobki-wymagania/
https://qualityisland.pl/testy-penetracyjne-testy-bezpieczenstwa/
Ile kosztuje audyt ISO 27001?
I jeszcze wyliczenia Netii, która jest jednym z tańszych SOC:
https://www.netia.pl/pl/srednie-i-duze-firmy/produkty/bezpieczenstwo/netia-soc
Czy NIS2 i ISO27001 to jest to samo?
W zasadzie tak. Dyrektywa NIS2 opiera się na nowej normie ISO27001 (wydanie 2022/2023).
Najlepiej opisuje to zaś Motyw 79 z dyrektywy NIS2: “Ponieważ zagrożenia bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, środki zarządzania ryzykiem w cyberbezpieczeństwie powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia, mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed zdarzeniami takimi jak kradzież, pożar, powódź, awaria telekomunikacyjna bądź awaria zasilania lub nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji należącej do podmiotu kluczowego lub ważnego, jej uszkodzenie i ingerencja w nią, które to zdarzenia mogłyby naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub też usług oferowanych przez sieci i systemy informatyczne lub dostępnych za pośrednictwem sieci i systemów informatycznych. Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny zatem dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi, zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000. W związku z tym w ramach swoich środków zarządzania ryzykiem w cyberbezpieczeństwie podmioty kluczowe i ważne powinny zająć się również bezpieczeństwem zasobów ludzkich i prowadzić odpowiednią politykę kontroli dostępu. Środki te powinny być zgodne z dyrektywą (UE) 2022/2557″.
Jak wygląda wdrożenie NIS2 czyt. ISO27001?
Prawidłowe wdrożenie opiera się na przeprowadzeniu audytu zgodności z normą w przedsiębiorstwie, przeprowadzeniu zgodności z normami prawa unijnego i polskiego od Prawa Telekomunikacyjnego przez Kodeks Cywilny, Ochronę Danych Osobowych, Obronność Kraju, a skończywszy na Kodeksie Pracy i BHP.
Jednocześnie rozpoczęcie szkoleń z zakresu normy i tym samym doprowadzenia do wsparcia w powołaniu Systemu Zarządzania Bezpieczeństwem Informacji, Systemu Zarządzania Ciągłością Działania firmy i ustaleniu wartości rozruchowych tych systemów.
Na koniec prowadzenie za rączkę, przy wsparciu systemów i ludzi (w pierwszych krokach w SZBI), po powołaniu osoby odpowiedzialnej za Bezpieczeństwo (Pełnomocnika ds Bezpieczeństwa) i Ochronę Danych Osobowych (IOD), następuje włączenie pracy SOC do codziennego życia firmy. Łączy się z tym ustalenie komunikacji: kto kiedy i z kim komunikuje się w jakich sprawach oraz terminów audytów, testów penetracyjnych, strestestów i przeglądów zarządczych (spotkań na których kierownictwo się spowiada z incydentów, metod ich unikania, wpływu tych incydentów na cele jakie zostały wyznaczone w danym okresie przez szefa firmy).
Czy MdS wdraża NIS2?
Tak i to w takich cenach, że wstyd o tym pisać przy tej liczbie specjalistów. Pierwsze wdrożenia u dużych MIŚOT-ów już trwają.
Czy MdS posiada SOC i świadczy takie usługi?
Projekt MdS jest SOC. Świadczymy też usługi SOC dla środowiska MiŚOT (na preferencyjnych warunkach i na podstawie wypracowanych narzędzi i zespołem fachowców pracujących 24/7). Mamy w zespole CEH, CSWAE, CPTE, audytorów wiodących norm ISO27001 i ISO22301 (zachowanie ciągłości działania). Dajemy Wam opiekę, wdrożenia, audyty, tSec, nasze Centrum Monitorowania Zdarzeń i Podatności, testy penetracyjne, strestesty, szkolenia oraz inne fajne narzędzia, a nawet prawie za darmo certyfikaty kwalifikowane.
Według naszego stanu wiedzy jesteśmy obecnie jedynym SOC, który przeszedł dwie kontrole Ministerstwa Cyfryzacji (obie pozytywnie).
Dodam do tego, że jak się do tego przyłożycie, może się okazać, że macie SOC MdS za darmo. Dzięki afiliacji. Od każdego klienta, któremu zaproponujecie SOC, macie upust. Dodatkowo rośniecie na rynku lokalnym będąc przedsiębiorcą telekomunikacyjnym, który proponuje tego rodzaju usługi swoim klientom, KTÓRZY TEŻ BĘDĄ TEGO POTRZEBOWALI.
A co jeśli się nie dostosuję? Może nie przyjdą?
Może nie przyjdą. Jeżeli się pomylisz w tych szacunkach to możesz zostać z niczym, bo kary z NIS 2 są bardzo wysokie. Kraść w Polsce też można przecież. Może nie złapią.
Po szczegóły zapraszam na warsztaty w Janowie Podlaskim. Na żywo tyle ile się da w praktyce przez 4 godziny. Proszę się zapisywać, bo liczba miejsc jest ograniczona. Po przekroczeniu limitu będziemy odsyłać chętnych na nasze odpłatne szkolenia.
