– Webinary poświęcone problematyce zagrożeń w sieciach przemysłowych cieszą się w ostatnim czasie bardzo dużym zainteresowaniem.
Otrzymujemy choćby kilkaset zgłoszeń od osób pracujących w każdej z kilkunastu branż, które mają zostać objęte nową ustawą KSC – wskazuje Piotr Zielaskiewicz, menadżer z branży bezpieczeństwa IT. Kwestia ustawy była również przedmiotem dyskusji w trakcie niedawnej konferencji CyberGov, przeznaczonej dla administracji publicznej. W procesie implementacji wymagań opisanych w dyrektywie NIS2 a ujętych w nowelizacji podstawą będzie audyt bezpieczeństwa IT. Eksperci w Stormshield i Dagma Bezpieczeństwo IT, firmach zajmujących się cyberbezpieczeństwem, wskazują dlaczego ten etap jest tak istotny, jak go przeprowadzić by przyniósł maksymalny efekt oraz najczęściej pojawiające się błędy.
Audyt bezpieczeństwa – pierwszy krok w spełnianiu wymagań nowego prawodawstwa
Dlaczego ten pierwszy krok jest tak istotny? Audyt to najlepszy sposób na określenie poziomu bezpieczeństwa informacji w organizacji. Pozwala ocenić na jakim etapie się znajdujemy i jakie krytyczne elementy powinny zostać jak najszybciej poprawione.
– NIS2 a w ślad za nią również Ustawa KSC wymagają podejścia opartego na analizie ryzyka, którego nie da się wykonać, bez rzetelnej inwentaryzacji, czyli właśnie audytu. W myśl obowiązujących przepisów pierwszy raz należy go wykonać w ciągu 12 miesięcy, natomiast procedowany projekt nowelizacji zakłada wydłużenie tego okresu do 24 miesięcy, od dnia spełnienia przesłanek uznania podmiot za najważniejszy lub istotny – mówi Aleksander Kostuch, inżynier Stormshield.
Należy również poinformować osoby, które z uwagi na profil swoich obowiązków będą zaangażowane w proces
Jak go przeprowadzić by przyniósł maksymalny efekt? Przede wszystkim rzetelnie. najważniejsze jest dobre przygotowanie – warto zgromadzić i uporządkować posiadaną dokumentację, aby nie tracić czasu w jej poszukiwanie w trakcie audytu. Warto wyznaczyć osoby, które będą wspierać audytora: odpowiadać na jego pytania oraz umożliwią mu dostęp do niezbędnych zasobów. Należy również poinformować osoby, które z uwagi na profil swoich obowiązków będą zaangażowane w proces, aby nie było to dla nich zaskoczeniem.
– Dobrym pomysłem jest zorganizowanie spotkania otwierającego przed rozpoczęciem procesu, podczas którego audytor przedstawi, co będzie sprawdzane i w jaki sposób. Całą procedurę najlepiej jest przeprowadzić bezpośrednio w siedzibie organizacji, a nie jedynie w oparciu o udzielone informacje i przedstawione dokumenty. Dzięki temu łatwiej jest zweryfikować rzeczywisty stan zabezpieczeń istotnych z punktu widzenia przepisów – mówi Piotr Piasecki z Dagma Bezpieczeństwo IT.
Przebieg procedury może wyglądać nieco inaczej w przypadku MŚP i dużych przedsiębiorstw.
– W MŚP audyty zwykle mają charakter punktowy i skupiają się na kluczowych firewallach brzegowych, serwerach i stacjach roboczych, z naciskiem na podstawową zgodność z wymaganiami regulacyjnymi. System kadrowy czy księgowy, formalnie nie wchodzą w zakres obowiązkowego audytu w myśl ustawy KSC. Dlatego w przypadku MŚP procedura opiera się często na standardowych check-listach i dobrych praktykach sugerowanych przez outsourcing. Z kolei w dużych firmach audyt jest bardziej kompleksowy i obejmuje nie tylko firewalle brzegowe czy wewnętrzne (zapewniające segmentację sieci), ale także centra danych, chmury oraz procedury, dokumentację, testy penetracyjne i socjotechniczne. Audytem objęty jest także system informacyjny – mówi Aleksander Kostuch.
Ile trwa i jakie mogą być koszty audytu? Audyt zwykle trwa około miesiąca i składa się z kilku etapów. Najważniejszym jest wizyta w organizacji klienta, a czas jej trwania zależy od wielkości badanego podmiotu i rozproszenia lokalizacji, które trzeba odwiedzić. Ten etap nie powinien zająć więcej niż kilka dni. Po zakończeniu wizytacji audytor przygotowuje raport podsumowujący zebrane informacje.
Wywiad poprzedzający zasadniczą część audytu warto przeprowadzić z wyprzedzeniem
– Najczęściej już po wstępnym wywiadzie audytor jest w stanie oszacować czas potrzebny na przeprowadzenie audytu, który w przypadku dużych organizacji, posiadających skomplikowane zaplecze cyfrowe, może być dłuższy. Dlatego wywiad poprzedzający zasadniczą część audytu warto przeprowadzić z wyprzedzeniem, bo ułatwi to zorganizowanie pracy zespołu zaangażowanego w procedurę i całej firmy – wskazuje Piotr Piasecki.
Koszt audytu zależy od wielu czynników m.in. wielkości i stopnia skomplikowania działalności firmy. Standardowe ceny rynkowe wahają się w przedziale od 20 do 45 tys. zł netto. Jakie mogą być „pułapki” – czego powinno się unikać? Pamiętajmy, iż audytor nie jest wrogiem. To osoba, która ocenia naszą zgodność z przepisami i standardami, a celem jego działań jest pomoc w poprawie poziomu bezpieczeństwa. Warto traktować go jako sprzymierzeńca.
Brak otwartości przekłada się na niekompletny efekt
– Zatajanie informacji czy nieudostępnianie dokumentacji może poważnie zakłócić cały proces, którego sensem jest przecież określenie realnego stanu bezpieczeństwa naszej organizacji. Wszystko jest robione w interesie organizacji, która zaprosiła audytora. Brak otwartości przekłada się na niekompletny efekt, który nie odzwierciedla stanu rzeczywistego – podkreśla Piotr Piasecki.
Praktyczne wnioski z audytów – zagrożenia i mankamenty, o których nie wiedziały objęte nimi podmioty
– Nasze doświadczenia pokazują, iż podmioty, które poprosiły o przeprowadzanie audytu posiadają całkiem dobrą bazę techniczną, będącą podstawą bezpieczeństwa. Niestety jej potencjał nie jest w pełni wykorzystywany do czego przyczynia się m.in. brak procedur, a w głównej mierze niedobór specjalistów – wskazuje Michał Sroka z Dagma Bezpieczeństwo IT.
Projekt nowelizacji ustawy KSC coraz bliżej
Z wypowiedzi przedstawicieli Ministerstwa Cyfryzacji wynika, iż jeszcze w II kwartale powinien zakończyć się rządowy etap prac nad nowelizowanym projektem ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ta kwestia budzi powszechne zainteresowanie, wśród przedsiębiorców i administracji publicznej.
– Na ustawę KSC warto spojrzeć z perspektywy ryzyka biznesowego. Żaden podmiot nie może sobie pozwolić by incydent zatrzymał produkcję lub spowodował wyciek danych tysięcy klientów. W obu przypadkach skutkiem będą straty dla naszej organizacji, które mogą przewyższyć wydatki na audyt i prewencję. Jeszcze innym aspektem jest ten, iż brak dostosowania się do wymagań może skutkować karami finansowymi. W tej sytuacji rozsądniej jest zaplanować i przeprowadzić audyt – podsumowuje Aleksander Kostuch, inżynier Stormshield, europejskiego producenta technologii bezpieczeństwa IT.
