Regulace řízená novou evropskou směrnicí NIS2 a na ni navazující český zákon o kybernetické bezpečnosti vzbuzuje v mnohých obavy, jde ale zejména o snahu reagovat na rostoucí intenzitu kybernetických útoků. Ačkoliv směrnice obsahuje také povinnosti procesní, my se podíváme na problematiku NIS2 z pohledu technického zabezpečení.
Stručně o směrnici NIS2
Co je směrnice NIS2?
NIS2 (Network and Information Security) je směrnice EU o kybernetické bezpečnosti z prosince 2022, která má za cíl vytvořit jednotnou úroveň ochrany v oblasti kybernetické bezpečnosti v celé EU prostřednictvím zavedení požadavků a opatření ve všech členských státech.
Národní legislativa adoptuje směrnici prostřednictvím nového zákona o kybernetické bezpečnosti s vykonávacími vyhláškami, který by měla vejít v platnost pravděpodobně 1. ledna 2025.
Aktuální informace, harmonogramy a doporučující tipy najdete na Portále NÚKIB. Zjistíte, zda regulace dopadá na vaše odvětví a jaký je další postup pro splnění všech povinností.
Kdo spadá pod NIS2
Novela zákona zavádí pojem poskytovatel regulované služby, pod nehož budou spadat organizace důležité pro fungování kritické infrastruktury.
Dotčené firmy a instituce budou spadat do jednoho ze dvou režimů:
- Režim vyšších povinností – kritické subjekty, jejichž přerušení fungování by mělo vážné dopady na ekonomiku země nebo celou společnost. Spadají sem sektory jako zdravotnictví, energetika nebo doprava. Zjednodušeně řečeně sem spadají zejména subjekty, kterých se týkal i stávající kybernetický zákon.
- Režim nižších povinností rozšiřuje seznam dotčených subjektů o další klíčové organizace.
Zdroj: NÚKIB
Podle režimu se tedy budou liši i povinnosti, ale pokud jde o technické zabezpečení, nejsou mezi nimi významné rozdíly. Odlišnosti najdete spíš v procesní části, jako je například povinnost řízení dodavatelů, řízení změn nebo provádění auditů. Definice detekce kybernetických hrozeb nebo požadavky na řízení přístupů do sítě zůstávají stejné pro poskytovatele regulovaných služeb v obou režimech. A na ty se teď podívejme.
Kybernetický zákon v praxi: Jak pomůže GREYCORTEX Mendel
Povinnosti a bezpečnostní opatření poskytovatele regulované služby najdete zatím v návrzích dvou samostatných vyhlášek rozlišených podle režimu povinností. Aktuální návrh zákona a dalších předpisů najdete zde.
Následující body reflektují názvy relevantních paragrafů z Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
Řízení aktiv
Identifikace primárních a podpůrných aktiv, včetně vazeb mezi nimi
Organizace musí mít přehled o všech zařízeních a systémech ve své infrastruktuře a o jejich vzájemné komunikaci. Stejně tak musí vědět o jakémkoliv jejich výpadku.
Pomocí GREYCORTEX Mendel provedete snadno a rychle audit všech aktiv a zjištěný stav můžete následně porovat s inventárními záznamy své organizace.
Mendel detekuje a ukládá informace o každém zařízení komunikujícím v síti. S jeho pomocí zobrazíte seznam sítí a podsítí a podrobně se podíváte, která zařízení do nich patří. Tento přehled je doplněn informacemi o úrovni rizika těchto zařízení a podsítí, a dále jsou doplněny detailní informace o hostname, tagy, operační systém a další parametry.
V systému uvidíte vizualizaci jednotlivých propojení mezi zařízeními a sítěmi i přehled o uživatelích. Integrací se zdroji identit, jako například Active Directory nebo LDAP server, Mendel spojí konkrétní komunikaci s jednotlivými uživateli.
Řízení rizik
Kybernetický zákon také ukládá povinnost identifikovat kritická aktiva a služby, jejichž výpadek může ohrozit provoz společnosti.
GREYCORTEX Mendel pomáhá jednoduše zmapovat, která zařízení jsou kritická a jaké budou následky, když toto zařízení přestane fungovat.
Mendel umožňuje vyfiltrovat komunikační klienty, které přistupují k určité službě nebo aplikaci, jako podklad pro stanovení kritičnosti těchto služeb a aplikací.
Bezpečnost lidských zdrojů
Řízení životního cyklu zaměstnance a kontrola dodržování bezpečnostní politik
GREYCORTEX Mendel pomáhá s auditem chování uživatelů v síti. Například identifikuje situace, kdy uživatel komunikuje se systémem, ke kterému nemá mít oprávnění, nebo když přistupuje přes VPN, přestože by jeho účet či vzdálený přístup měl být zablokován. Mendel také odhalí přístup externího dodavatele do vnitřní sítě podniku, ke kterému dochází po ukončení smlouvy.
Díky integraci GREYCORTEX Mendel s nástroji pro správu aktiv nebo zdroji identit, je možné vytvořit seznam uživatelů a prozkoumat jejich komunikaci s ostatními uživateli a službami. Tím lze ověřit, zda se v síti nenachází uživatel, který by tam neměl být.
Řízení přístupu
Řízení přístupu k aktivům a ochrana přístupových a autentizačních údajů
Přestože paragraf cílí zejména identity management systém, Mendel, podobně jako v předchozím případě, ověřuje, zda uživatel komunikuje a přistupuje pouze tam, kam má.
Provádění auditu kybernetické bezpečnosti
Pravidelná kontrola dodržování bezpečnostních politik a opatření
Audity mají za cíl zjistit, zda je nastavení bezpečnostních politik a opatření ve shodě s každodenním pracovním procesem. Obvykle se provádí třeba dvakrát do roka, GREYCORTEX Mendel ale jednoduše a rychle pomáhá kontrolovat správné nastavení bezpečnostních politik a opatření a jejich dodržování, a to i na denní bázi.
Bezpečnost komunikačních sítí
Zajištění segmentace komunikační sítě a řízení komunikace v rámci interní sítě, vzdáleného přístupu a vzdálené správy
Segmentace je jedním z úplných základů bezpečnosti. Díky vizualizaci komunikace v GREYCORTEX Mendel ověříte, zda zařízení z jedné podsítě nekomunikují neoprávněně se zařízeními z jiné podsítě nebo zda jsou přístupná z internetu, i když by neměla být.
Příkladem mohou být kritická výrobní zařízení, která by měla být běžně přístupná pouze v rámci interní oddělené sítě, ale kvůli aktualizacím nebo nutnému vzdálené servisnímu zásahu a opravám může být dočasně umožněn jejich přístup k internetu. Pokud se tento přístup zapomene zrušit, Mendel na danou nechtěnou komunikaci upozorní. Díky zpracování protokolu MODBUS a dalších OT protokolů je totiž schopen vizualizovat komunikaci výrobních zařízení a ověřit, kam komunikují.
V nástroji Mendel lze jednoduše vyfiltrovat komunikaci přes službu RDP (vzdálené plochy), která může být firemně zakázána nebo odhalit nelegitimní připojení. Stejně snadno lze vyfiltrovat i TeamViewer.
Využití nástroje, který zajistí integritu komunikační sítě
Takovým nástrojem je myšlen nástroj využívající například mechanismus na bázi protokolu 802.1x, který umožňuje připojení pouze automatizovaným technickým aktivům. Jde tedy o řízení přístupu uživatelů a zařízení k síti na základě autentizace a autorizace.
Mendel lze integrovat s NAC systémy, například Cisco ISE nebo jiné. V případě nálezu Mendel umožňuje vynucování akčních kroků pomocí NAC, jako je například izolace zařízení.
Detekce kybernetických bezpečnostních událostí
Použití nástroje, který ověřuje a kontroluje přenášená data, řídí a sleduje komunikaci aplikací a služeb a detekuje kybernetické bezpečnostní události nad technickými aktivy
Jednou z hlavních schopností nástroje GREYCORTEX Mendel je detekce kybernetických bezpečnostních událostí, jejich zaznamenávání i vyhodnocování a zároveň účinná prevence incidentů.
Pro detekci využívá Mendel analýzu síťového provozu. Detekuje známé hrozby na základě signatur, objeví i projevy nebezpečného nebo anomálního chování. Díky širokému rozsahu signatur a behaviorální analýze rozlišuje různé fáze jednotlivých kybernetických útoků.
Mendel detekuje následující projevy nebezpečného chování:
- C&C odchozí komunikace
- Útoky hrubou silou
- Skeny
- Tunely
Podívejte se na ukázku detekce a vyhodnocování událostí v záznamu našeho webináře.
Zaznamenávání událostí
Povinnost uchovávat záznamy událostí nejméně po dobu 18 měsíců
Mendel zaznamenává všechny povinné údaje a umožňuje jejich dohledání měsíce až roky do minulosti. Omezení jste jen velikostí vlastního úložiště. Navíc umožňuje nahrávání a export PCAP, takže můžete záznamy jak využít v dalších nástrojích, tak ale i PCAP do systému Mendel importovat.
Vyhodnocování kyberneticky bezpečnostních událostí
Využívání nástroje pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí
Dle vyhlášky je nutné detekované kybernetické bezpečnostní události kontinuálně a centralizovaně je vyhodnocovat, což zahrnuje i vyhledávání korelací, vyhodnocování relevance zdrojů a také vytváření varování, ať už v reálném čase automaticky nebo na základě manuálního nastavení.
V nástroji Mendel se můžete se podívat do detailů všech detekovaných událostí a následně je podrobně analyzovat. Události jsou přehledně kategorizovány podle MITRE ATT&CK Framework, využít můžete ale i řadu dalších vizuálně srozumitelných pohledů a filtrů na vaše data.
Kryptografické algoritmy
Zajištění ochrany technických aktiv a jejich komunikace prostřednictvím nástrojů a mechanismů, které využívají kryptografii
Pomocí nástroje Mendel zjistíte, zda se ve vaší infrastruktuře využívají aktuální a silné kryptografické algoritmy. Ověříte, zda se nepoužívá nešifrovaná komunikace a zda nedochází k přenosu hesel v plain-text formě. Mendel také kontroluje platnost komunikačních certifikátů.
Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv
Zajištění ochrany jednotlivých technických aktiv před využitím známých hrozeb a zranitelností
Vyhláška klade důraz také na zabezpečení průmyslových sítí, které v mnoha případech stále pokulhává. A proto poslední paragraf shrnuje a zdůrazňuje nutnost zavedení veškerých zmíněných bezpečnostních opatření také v průmyslových prostředích.
Mendel zpracovává protokoly jako MODBUS, OMRON, BACnet a další. Kromě analýzy síťového provozu v IT infrastrukturách tak umí vizualizovat také komunikaci zařízení až do úrovně 2 dle Purdue modelu. Těmi mohou být senzory, čidla, motory a další. Pomocí správného nastavení lze získat informace ze síťové komunikace o OT zařízeních jako teplota pece, otáčky centrifugy, tlaky v potrubí, výška hladiny vody v nádobě a další.
Mendel poskytuje kritické informace pro provoz výrobní infrastruktury:
- Common Vulnerabilities and Exposures (CVE) na OT zařízeních,
- konfigurační nastavení zařízení,
- informace o firmwaru.
Připravte se včas
Návrh zákona o kybernetické bezpečnosti, jímiž byla do české legislativy přenesena směrnice NIS2, byl poslaneckou sněmovnou schválen 17. července 2024. Přestože ho ještě určité části schvalovacího procesu čekají, měl by začít platit od 1. ledna 2024.
Není důvod k panice, ale nepodceňujte zabezpečení své firmy nebo instituce bez ohledu na to, jaké bude finální znění českého zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek.
Podrobnější ukázky toho, jak GREYCORTEX Mendel pomůže se splněním technických požadavků nového kybernetického zákona najdete v záznamu webináře NIS2 v praxi.
Kategorie
- Novinky (17)
- IT/OT bezpečnost (19)
- Webináře (4)