Dyrektywa NIS2, która zast?pi?a unijne przepisy cyberbezpiecze?stwa NIS z 2016 roku, obowi?zuje od stycznia 2023 roku. Pierwotny dokument z siedmiu lat temu koncentrowa? si? na aspektach mi?dzynarodowej i krajowej wspó?pracy, jak równie? na wprowadzeniu obowi?zku raportowania incydentów oraz zarz?dzania ryzykiem przez operatorów i dostawców kluczowych us?ug. Aktualizacja, czyli NIS2, poszerza znacznie wcze?niej obowi?zuj?ce zapisy, rozszerzaj?c swój zasi?g na coraz wi?cej sektorów. Jak pokazuje do?wiadczenie z implementacji ustawy o krajowym systemie cyberbezpiecze?stwa, wprowadzenie takich zmian mo?e potrwa? nawet kilkana?cie miesi?cy. Jakie kroki powinno si? podj?? w zwi?zku z tym?
Dyrektywa NIS2 obj??a swoim zasi?giem 11 sektorów: energetyk?, transport, bankowo??, infrastruktur? rynku finansowego, ochron? zdrowia, wodoci?gi, spó?ki wodno-kanalizacyjne, infrastruktur? cyfrow?, administracj? publiczn?, przestrze? kosmiczn? i produkcj? ?ywno?ci. Firmy dzia?aj?ce we wskazanych obszarach zosta?y zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpiecze?stwa oraz przeciwdzia?aniu zagro?eniom. Przepisy dyrektywy okre?laj? jednocze?nie „niezb?dne minimum” ?rodków, które musz? zosta? podj?te przez ka?dy podmiot, w tym m.in.: prowadzenie analizy ryzyka, zapewnienie bie??cej obs?ugi incydentów, czy korzystanie z kryptografii i szyfrowania.
“Dyrektywa NIS2 nak?ada bardzo du?e wymagania na nowe sektory, które nie by?y wcze?niej obj?te dyrektyw?. Podmioty, które znalaz?y si? na nowej li?cie, obj?tej regulacjami, cz?sto maj? ni?szy poziom dojrza?o?ci cyberbezpiecze?stwa, gdy? nie mia?y wcze?niej ustawowego obowi?zku zabezpieczenia infrastruktury IT. Warto podkre?li?, ?e obecnie wypracowane przez Agencj? Unii Europejskiej ds. Cyberbezpiecze?stwa schematy w zakresie NIS2 to ogólny spis podstawowych wytycznych budowania bezpiecze?stwa systemów teleinformatycznych. Brak wi?c specjalistycznych wymaga? sektorowych, które w tym przypadku by?yby potrzebne. Przyk?adowo przedsi?biorstwa powinny zarz?dza? podatno?ciami systemów informatycznych, ale poprawne u?o?enie procesów i technologii, uwzgl?dniaj?c specyfik? infrastruktury organizacji, to nie?atwe zadanie. Warto wi?c powierzy? zadanie dostosowania zabezpiecze? do nowych wymogów do?wiadczonemu partnerowi, który kompleksowo zadba o cyberbezpiecze?stwo firmy” – mówi Jakub Suchorab, Euvic Solutions.
Wa?nym obowi?zkiem jest raportowanie zdarze? zagra?aj?cych bezpiecze?stwu. Istnia? on ju? na gruncie dyrektywy NIS, ale w projekcie NIS2 ca?a procedura jak i konsekwencje niedostosowania si? zosta?y uregulowane w bardziej precyzyjny sposób. Za nieprzestrzeganie przepisów gro?? kary si?gaj?ce nawet 10 milionów euro. Ograniczenie ilo?ci zdarze? jest mo?liwe dzi?ki skutecznemu monitorowaniu i zarz?dzaniu podatno?ciami w organizacji.
Podatno?ci w organizacjach
Luki w zabezpieczeniach zwi?kszaj? ryzyko wyst?pienia niepo??danego zdarzenia lub celowego ataku. Wraz z ewolucj? cyfrowych rozwi?za?, pojawiaj? si? nowe, newralgiczne punkty, na które nale?y zwróci? szczególn? uwag?. Wa?ne jest, aby do bezpiecze?stwa i kondycji systemów firmowych podchodzi? z rezerw?. Zbyt du?a pewno?? w dzia?aniu mo?e narazi? przedsi?biorstwo na cyberzagro?enia.
Podatno?ci mog? dotyczy? zarówno sprz?tu, oprogramowania jak i sieci. S?abe szyfrowanie, niewystarczaj?ce testy, czy niezabezpieczone linie komunikacyjne stanowi? du?e ryzyko cyberataku. Warto doda?, ?e istotnym aspektem jest równie? czynnik ludzki. Niska ?wiadomo?? i rzadkie szkolenia personelu, niepoprawne zarz?dzanie has?ami lub brak audytu nara?aj? organizacj? na powstawanie luk w zabezpieczeniach. Podczas gdy 76 proc. organizacji do?wiadczy?a wzrostu liczby podatno?ci w ci?gu ostatnich 12 miesi?cy, tylko jedna trzecia spodziewa si? zwi?kszenia liczby pracowników zajmuj?cych si? zarz?dzaniem nimi.
“Z raportu „2022 Vulnerability Management Report” przygotowanego przez Cybersecurity Insiders wynika ?e 71 proc. organizacji posiada formalny program zarz?dzania podatno?ciami. Natomiast , jedynie 66 proc. programów oceniono jako ?rednio lub wysoko skuteczne. Tylko jedna trzecia przedsi?biorstw uwa?a swój program za efektywny, co nie jest dobrym wska?nikiem. Najwi?ksz? barier? w zarz?dzaniu podatno?ciami s? ograniczenia finansowe, brak umiej?tno?ci i nieefektywne procesy. Jest jednak i dobra wiadomo?? – 44 proc. organizacji spodziewa si? wzrostu inwestycji w rozwi?zania przeznaczone do zarz?dzania podatno?ciami” – mówi Wojciech Wrzesie?, Euvic Solutions.
W przedsi?biorstwie warto wdro?y? dzia?ania minimalizuj?ce ryzyko ataku, takie jak proaktywne monitorowanie zabezpiecze? i zachowania u?ytkowników. Ze wzgl?du na ograniczone zasoby czy ci?g?y rozwój systemów IT, nale?y skupi? si? na usuni?ciu tych podatno?ci, które najbardziej zagra?aj? firmie. Odpowiednie ustalenie priorytetów pozwoli szybko zniwelowa? najistotniejsze luki.
Narz?dzia u?atwiaj?ce zarz?dzanie podatno?ciami
Ka?dy proces zarzadzania podatno?ciami nie mo?e obej?? si? bez odpowiednich narz?dzi wspomagaj?cych takich jak np. skanery podatno?ci. Oprogramowanie tego typu znacz?co przyspiesza pozyskanie informacji o podatno?ciach jakie w systemach i komponentach u?ywanych organizacji wyst?puj?. Tego typu systemy dodatkowo wskazuj? sposoby na usuni?cie podatno?ci.
“Efektywne korzystanie ze skanerów wymaga wiedzy na temat znanych podatno?ci w celu zidentyfikowania i ustalenia ich wst?pnej hierarchii w ?rodowisku organizacji. Istnieje kilka dobrze znanych publicznych baz danych i standardów, na których opieraj? si? skanery luk w zabezpieczeniach. S? to m.in. Common Vulnerabilities and Exposures (CVE), National Vulnerability Database (NVD), Common Vulnerability Scoring System (CVSS)” – mówi Viktor Pavlovskyy, Euvic Solutions.
Rozwi?zaniem problemu z zarz?dzaniem lukami w zabezpieczeniach s? platformy, pomagaj?ce zoptymalizowa? proces diagnozy oraz leczenia. Narz?dzia te precyzyjnie okre?laj? priorytety luk, a tak?e wybieraj? odpowiednie rozwi?zanie, automatyzuj? napraw? oraz zapewniaj? jedno ?ród?o informacji o zarz?dzaniu podatno?ciami w ca?ym przedsi?biorstwie.
Koszty utrzymania a skutki braku ochrony
Redukowanie podatno?ci w korporacji jest wydatkiem bliskim 1,1 miliona USD rocznie, jednak w porównaniu do ich skali dzia?ania, koszt jest znacznie mniej odczuwalny ni? w przypadku organizacji z sektora M?P. Zarz?dzanie lukami w zabezpieczeniach jest zdecydowanie bardziej kosztowne z perspektywy ma?ej organizacji. Zw?aszcza ma?e i ?rednie przedsi?biorstwa, zamiast inwestowa? w narz?dzia i kompetencje w obszarze zarz?dzania podatno?ciami, powinny skorzysta? z gotowych zewn?trznych us?ug.
Niski poziom ochrony mo?e skutkowa? utrat? danych, reputacji, stratami finansowymi, a w skrajnych przypadkach upadkiem dzia?alno?ci. Warto nadmieni?, ?e du?? cz??? potencjalnych strat stanowi? koszty utajone tj. wzrost sk?adki ubezpieczeniowej, zwi?kszenie kosztów finansowania zewn?trznego, utracona warto?? relacji z klientami, utrata w?asno?ci intelektualnej. Szacuje si?, ?e ?rednia nale?no?? finansowa usuni?cia skutków cyberataków si?ga nawet 200 tysi?cy USD, bez wzgl?du na rozmiary przedsi?biorstwa. Takie obci??enia mog? doprowadzi? do zamkni?cia ponad po?owy dotkni?tych atakiem firm w ci?gu pó? roku od incydentu.
?adna organizacja czy instytucja nie jest wolna od podatno?ci. Jednymi z najwy?szych priorytetów powinno by? zatem dbanie o edukacj? w tym zakresie i wspó?praca na rzecz cyberbezpiecze?stwa ogólnokrajowego. ?wiadomo?? cyberzagro?e? i zrozumienie id?cych za nimi konsekwencji, jest kluczowym elementem do efektywnego wdro?enia NIS2.
