Bezpieczeństwo łańcucha dostaw

trecom.pl 2 tygodni temu

Jak interpretować „łańcuch dostaw”?

Łańcuch dostaw przede wszystkim obejmuje firmy, z którymi współpracujemy w szczególności wszystkich naszych podwykonawców i usługodawców. Będą to przykładowo kancelarie prawne, ale też dostawcy usług chmurowych, agencja ochrony fizycznej, ale i software house’y, uczestniczące w tworzeniu dla nas aplikacji.

Do łańcucha dostaw zaliczyłbym również np. biblioteki i pakiety systemu typu open-source lub innych firm, które są wymagane do funkcjonowania naszych aplikacji i operacji. Kolejny przykład to wykorzystywana infrastruktura firm trzecich a choćby zewnętrzni dostawcy zarządzanych usług bezpieczeństwa takich jak SOC. W przypadku firm, gdzie funkcjonuje Automatyka Przemysłowa łańcuch dostaw obejmować będzie serwis stron trzecich, które konfigurują i konserwują sprzęt przemysłowy.

Według wielu ekspertów uwzględnienie w NIS 2 bezpieczeństwa łańcucha dostaw jest jedną z najważniejszych zmian jakie przynosi NIS 2. Dlatego, iż w dzisiejszym świecie większość firm i organizacji funkcjonuje w ekosystemie wielu firm, podwykonawców oraz partnerów publiczno-prywatnych. Ten ekosystem jest tak bezpieczny jak jego najsłabsze ogniwo.

Z tego powodu NIS 2 wprowadza dwie kategorie obowiązków dotyczących bezpieczeństwa łańcucha dostaw.

Pierwsza kategoria obowiązków to obowiązek przeprowadzenia risk assessmentu dla wszystkich bezpośrednich dostawców i podwykonawców (tzw. Tier1) czyli zbadania i udokumentowania jakie cyberryzyka niesie kooperacja z danym dostawcą, na ile jest to bezpieczne oraz określenie w jaki sposób zminimalizujemy te ryzyka, jakie środki czy rozwiązania wdrożymy. Ten assessment ma być oczywiście później aktualizowany.

Druga kategoria obowiązków związana jest z operacyjnym monitorowaniem i sprawdzaniem bezpieczeństwa łańcucha dostaw. Do tej kategorii wchodzą:
• proces wykrywania i reagowania na incydenty bezpieczeństwa, jak i technologie to wspierające
• cykliczne testy penetracyjne i audyty bezpieczeństwa włącznie z zarządzaniem podatnościami
• kontrola jak bezpieczny jest proces tworzenia systemu u naszego partnera

Należy zwrócić uwagę na „efekt domina” – firma nieobjęta NIS 2 a będąca dostawcą firmy objętej NIS 2 będzie zmuszona w dużym stopniu dostosować się do obowiązków.

OCENA SKUTECZNOŚCI ŚRODKÓW ZARZĄDZANIA RYZYKIEM

NIS 2 wymaga, by organizacja wdrożyła procedury służące ocenie skuteczności środków zarządzania ryzykiem jako takim w tym cybernetycznym. Wśród tych sposobów, procedur możemy wymienić kilka podstawowych metod:

Audyty bezpieczeństwa

Ważnym sposobem oceny skuteczności środków zarządzania ryzykiem cybebezpieczeństwa są audyty bezpieczeństwa. Są one niezależnymi i obiektywnymi analizami wdrożonych procesów bezpieczeństwa oraz procedur operacyjnych. zwykle punktem wyjścia do nich są standardy, normy np. ISO oraz przepisy prawa.

Audyt bezpieczeństwa daje dobry wgląd w aktualny poziom bezpieczeństwa w organizacji, wskazując jednocześnie obszary wymagające poprawy czy doskonalenia.

Testowanie planów ciągłości działania i zarządzania kryzysowego

By być przygotowanym na wystąpienie sytuacji nadzwyczajnej, kryzysowej w tym cyberkryzysu np. atak ransomware na naszą firmę i zaszyfrowanie większości komputerów i serwerów, najważniejsze jest posiadanie planów ciągłości działania i zarządzania kryzysowego.

Równie ważne jest cykliczne testowanie planów ciągłości działania i zarządzania kryzysowego (co, powiedzmy sobie szczerze nie dzieje się w dużej ilości organizacji). choćby najlepiej przygotowany dokument będzie bezużyteczny, jeżeli nie będziemy w stanie skutecznie przywrócić działania organizacji po wystąpieniu sytuacji nadzwyczajnej, takiej jak cyberatak.

Testy penetracyjne i testy bezpieczeństwa

Przeprowadzamy testy penetracyjne, które pozwolą nam sprawdzić odporność infrastruktury i systemów naszej organizacji na cyberataki. Testy weryfikują zastosowane rozwiązania, wyszukują wystąpienie podatności w naszej sieci, serwisach webowych, infrastrukturze chmurowej czy aplikacjach mobilnych. Szczególnym przypadkiem testów bezpieczeństwa są testy kodu źródłowego wykorzystywanych aplikacji i występujących w nim luk i podatności.

Testy socjotechniczne

esty te dotyczą pracowników i współpracowników organizacji. Pozwalają one na weryfikację czy pracownicy i współpracownicy:
• znają i stosuje dobre praktyki związane z przetwarzaniem informacji?
• korzystają z sieci Internet w sposób z zachowaniem odpowiedniej czujności?
• potrafią rozpoznać typowe, najbardziej popularne metody działania cyberprzestępców?

Symulacje ataków hakerskich

Zazwyczaj takie testy wykonywane są według podobnego schematu jakim posługują się cyberprzestępcy i skupiają się na weryfikacji błędów bezpieczeństwa, które mogą zostać wykorzystane do osiągnięcia celu. Tutaj zwykle zewnętrzna firma wykonująca takie symulacje koncentracja na scenariuszach wykorzystywanych podczas prawdziwych ataków.

Tego typu symulacje zwykle mają dwie części:

• blackbox – gdzie testujący, którzy wcielają się w rolę atakujących mają minimalną wiedzą o atakowanej infrastrukturze organizacji oraz
• whitebox – gdzie testujący, którzy wcielają się w rolę atakujących mają dostęp do konfiguracji testowanej

Ćwiczenia red team i blue team

To są jeszcze bardziej zaawansowane nie tylko testy, ale skomplikowane ćwiczenia mające za zdanie ocenić cały system cyberochrony (ludzie, procesy i technologie) i w efekcie znaleźć niezauważone wcześniej luki. Jak skutecznie przygotować organizację na NIS 2? Ćwiczenia te polegają na tym, iż „czerwona” drużyna pentesterów atakuje, na przykład naszą infrastrukturę sieciową czy aplikację finansowa, a zadaniem „niebieskiej” drużyny jest skuteczna obrona.

ZOBACZ CYBERATAK NA ŻYWO – ĆWICZENIA RED TEAM I BLUE TEAM

Kliknij tutaj aby zobaczyć jak, eksperci Sekurak włamują się do systemu przy wykorzystaniu techniki phishing oraz podatności web. Po drugiej stronie barykady specjaliści Trecom SOC próbują odeprzeć atak, wykorzystując narzędzia cyberochrony Cisco i SecureVisio. To przykład zaawansowanych ćwiczeń Red Team i Blue Team.

CYBERHIGIENA I SZKOLENIA

NIS 2 wskazuje na obowiązek wykonywania cyklicznych szkoleń dla pracowników i współpracowników, co ważne wszystkich szczebli.

Moduły szkoleniowe w zakresie podnoszenia cyber świadomości użytkowników muszą być dostosowane do specyfiki organizacji. Wspomniane wcześniej testy socjotechniczne są również zaliczane są do proaktywnej edukacji. Takie testy pozwalają określić na jakie obszary cyber ochrony musimy zwrócić szczególną uwagę w danej organizacji.

Kluczowe jest jednak, aby nie skupiać się bezrefleksyjnie tylko na odbyciu szkolenia (zwykle w formie e-learningu), po to by „odbębnić” wymagany obowiązek, ponieważ to zwykle przynosi zły efekt. Byle jakimi szkoleniami nie zwiększamy świadomości naszych pracowników.

Dlatego tak istotny jest w moim przekonaniu program security awareness czyli całościowe, holistyczne podejście, według którego w organizacji staramy się uzyskać stan, w którym wszyscy czują się odpowiedzialni za bezpieczeństwo i ochronę informacji od zarządu, po biznes i wszystkich pracowników. Budowanie świadomości to proces długi, to raczej maraton niż bieg na 400m, obejmujący wiele zagadnień, i musi się odbywać na poziomie strategicznym jak i operacyjnym.

ROZWIĄZANIA TECHNOLOGICZNE

NIS 2 adekwatnie nie wskazuje konkretnych rozwiązań technologicznych security, które powinny być stosowane przez organizacje.

Punktem wyjścia jest tu następujący zapis dyrektywy:

„Kluczowe i ważne podmioty podejmują odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem stwarzanym dla bezpieczeństwa systemów sieciowych i informatycznych, z których podmioty te korzystają przy świadczeniu swoich usług.”

Wspomniane wyżej środki i obowiązki omówiliśmy w większości w poprzednich rozdziałach. Wymieńmy je wszystkie w jednym miejscu. Są to:

  1. Analizy ryzyka i polityki bezpieczeństwa systemów informatycznych
    A. Określenie ryzyk i ich poziomu
    B. Plan mitygacji ryzyk security
  2. Obsługa incydentów security i informowanie o nich (zapobieganie, wykrywanie i reagowanie na incydenty)
  3. Plany ciągłości działania i zarządzania kryzysowego
  4. Bezpieczeństwo łańcucha dostaw
  5. Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
  6. Bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych, w tym ujawnianie i zarządzanie podatnościami
  7. Stosowanie kryptografii i szyfrowania oraz uwierzytelniania wieloskładnikowego lub ciągłego

Ponieważ firmy i instytucje są różne, pod względem wielkości, sektora, tego czym się zajmują, dlatego jakie konkretne środki organizacyjne, procesowe oraz rozwiązania technologiczne wdrożą muszą wynikać z analizy zagrożeń i ryzyk, określenia ich poziomu i naszego apetytu na ryzyko. Niezbędne i wdrażane konkretne cyber rozwiązania technologiczne mogą być inne dla sklepu internetowego, inne dla firmy produkcyjnej a inne dla szpitala.

Bardzo szczegółowo zabezpieczenia zarówno procesowe oraz technologiczne opisują frameworki takie jak ISO 27001 a w szczególności ISO 27002 czy NIST.

Dlaczego w dyrektywie NIS 2 wymienione są wprost wykorzystanie kryptografii, szyfrowania oraz uwierzytelniania wieloskładnikowego lub ciągłego?

Regulator przyjął, iż zarówno wykorzystanie kryptografii i szyfrowania oraz uwierzytelniania wieloskładnikowego to absolutne podstawy, które powinny być stosowane przez zdecydowaną większość firm, instytucji i organizacji.

UJAWNIANIE I ZARZĄDZANIE PODATNOŚCIAMI

Zarządzanie podatnościami w infrastrukturze teleinformatycznej, aplikacjach i systemach to jeden z podstawowych wymagań bezpieczeństwa, ale ten obowiązek dotyczy trochę innego obszaru.

W NIS 2 jest następujący zapis:

„Producent lub dostawca produktów lub usług ICT powinien również wprowadzić procedury niezbędne do otrzymywania informacji o podatnościach na zagrożenia od stron trzecich”.

Odnosi się on do skoordynowania na poziomie UE procesu ujawniania podatności i stworzenia unijnej bazy podatności – publicznie znanych luk w produktach ICT i usługach ICT, która to baza ma być obsługiwana przez ENISA.

Producenci lub dostawcy produktów i usług teleinformatycznych, będą zobligowani do umożliwienia przyjmowania podatności zgłaszanych przez osoby czy podmioty z zewnątrz. Proces ten, czyli Vulnerability Disclosure Policy (VDP) ma stworzyć strukturyzowany kanał udostępniany przez organizację każdemu, kto może zgłosić do niej problem związany z bezpieczeństwem cyfrowym.

Innymi słowy, jest to bezpieczny sposób, aby osoby trzecie wiedziały, gdzie i jak zgłaszać podatności w produktach czy usługach ICT do danej jednostki.

Dowiedz się więcej o Dyrektywie NIS 2 – pobierz pakiet materiałów edukacyjnych przygotowany przez eksperta rynku ICT i cyberbezpieczeństwa Tomasza Matułę.

Pakiet materiałów zawiera:

  1. Video przewodnik po NIS 2 z ekspertem Tomaszem Matułą, który krok po kroku przeprowadzi Cię przez zmiany i wymogi nakładane przez NIS 2.
  1. Ebook Jak przygotować się na NIS 2? autorstwa Tomasza Matuły, zawierający informacje niezbędne do skutecznego wdrożenia obowiązków nakładanych przez dyrektywę oraz praktyczne wskazówki.
  1. Checklistę do samodzielnego audytu cyberbezpieczeństwa w Twojej organizacji.
Pobieram materiały

O AUTORZE

Tomasz Matuła
ekspert i menedżer rynku ICT oraz cyberbezpieczeństwa z ponad 26-letnią praktyką w biznesie. Dyrektor programowy społeczności CIONET Security Excellence. Digital Leader of the Year Polska (2016), finalista European CIO of the Year (2017).

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Bezpieczeństwo łańcucha dostaw

Powiązane

Spotify uruchamia funkcję tworzenia kopii zapasowych offline dla użytkowników Premium

Spotify uruchamia funkcję tworzenia kopii zapasowych offline...

8 godzin temu
Czy iPhone jest bezpieczniejszy od Androida?

Czy iPhone jest bezpieczniejszy od Androida?

20 godzin temu
Już jutro o 18:00 w Kościele Środowisk Twórczych (pl. Teatralny 18) odbędzie się 1. spotkanie w rama…

Już jutro o 18:00 w Kościele Środowisk Twórczych (pl. Teatra...

1 dzień temu
Ukryte oprogramowanie na nowym sprzęcie - co to jest bloatware i jak się go pozbyć?

Ukryte oprogramowanie na nowym sprzęcie - co to jest bloatwa...

1 dzień temu
Wazuh, fail2ban i analiza nietypowych logów

Wazuh, fail2ban i analiza nietypowych logów

1 dzień temu
Czy połączenia VoIP mogą być podsłuchiwane?

Czy połączenia VoIP mogą być podsłuchiwane?

1 dzień temu
Jak bezpiecznie handlować na OLX, Vinted i Facebooku? 17 porad, które uratują Twoje pieniądze

Jak bezpiecznie handlować na OLX, Vinted i Facebooku? 17 por...

1 dzień temu
DKWOC przeprowadzi szkolenie dla dziennikarzy

DKWOC przeprowadzi szkolenie dla dziennikarzy

1 dzień temu
Fortinet: Wyedukowani pracownicy pomogą chronić firmę

Fortinet: Wyedukowani pracownicy pomogą chronić firmę

1 dzień temu

Polecane

Nadpraworządność [FELIETON OGÓRKA]

Nadpraworządność [FELIETON OGÓRKA]

2 dni temu
Śladami z 1939 roku

Śladami z 1939 roku

2 dni temu
Najmłodsza Polka na szczycie ośmiotysięcznika pochodzi z Rzeszowa! [ZDJĘCIA]

Najmłodsza Polka na szczycie ośmiotysięcznika pochodzi z Rze...

5 dni temu
Wyłączenia prądu w Rzeszowie i okolicy. Harmonogram na nadchodzące dni

Wyłączenia prądu w Rzeszowie i okolicy. Harmonogram na nadch...

5 dni temu
Saperzy wezwani pod Filharmonię Podkarpacką! Co odnaleźli?

Saperzy wezwani pod Filharmonię Podkarpacką! Co odnaleźli?

6 dni temu
4K eufyCam S3 Pro z HomeKit Secure Video, energią słoneczną i noktowizorem „jasnym jak dzień”

4K eufyCam S3 Pro z HomeKit Secure Video, energią słoneczną ...

1 tydzień temu
Kolejny granat w Piotrkowie. Ewakuowano pracowników straży pożarnej

Kolejny granat w Piotrkowie. Ewakuowano pracowników straży p...

1 tydzień temu
Ewakuacja na lotnisku w Pyrzowicach. Wszystkie loty były wstrzymane

Ewakuacja na lotnisku w Pyrzowicach. Wszystkie loty były wst...

1 tydzień temu
Alarm bombowy na Lotnisku Chopina: Komunikacja zakłócona, służby bezpieczeństwa na miejscu

Alarm bombowy na Lotnisku Chopina: Komunikacja zakłócona, sł...

1 tydzień temu