Zapraszamy do wysłuchania odcinka podcastu, w którym Damian Niklewicz z firmy rozmawia z Markiem Graczykiem – menadżerem cyberbezpieczeństwa, audytorem wiodącym ISO 27001 i ISO 22301. Tym razem tematem przewodnim jest dyrektywa unijna NIS2 oraz nadchodząca ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC 2.0), która dostosuje polskie przepisy do nowych wymagań.
W rozmowie eksperci wyjaśniają, jakie obowiązki czekają organizacje, kogo obejmą regulacje i jak należy przygotować się na wdrożenie NIS2. Dowiecie się, jakie są kluczowe wyzwania związane z zapewnieniem ciągłości działania, monitorowaniem bezpieczeństwa oraz jakie technologie mogą pomóc w spełnieniu wymagań dyrektywy.
Czy audyty cyberbezpieczeństwa mają sens już teraz, zanim ustawa wejdzie w życie? Jakie konsekwencje grożą organizacjom za nieprzestrzeganie regulacji? A także – jak skutecznie zarządzać cyberbezpieczeństwem, nie obciążając nadmiernie zasobów firmy? Odpowiedzi na te i wiele innych pytań znajdziecie w najnowszym odcinku.
Dyrektywa NIS2 a ustawa KSC 2.0
Damian Niklewicz: Cześć, tu Damian Niklewicz z firmy ESKOM. Ze mną jest dzisiaj Marek Graczyk, menadżer cyberbezpieczeństwa ESKOM, ale też audytor wiodący ISO 27001 i ISO 22301. Marku, jak to jest, kiedy tak długo Cię przedstawiają?
Marek Graczyk: No właśnie, to jeszcze mogę powiedzieć, że w zuchach kiedyś byłem, bo to już wymieniłeś dużo moich funkcji. Rzeczywiście, menadżer do spraw cyberbezpieczeństwa to ktoś, kto ogarnia tą tematykę, audytor to ktoś, kto idzie, robi audyt i potem na podstawie tego audytu mówi, co jest do ogarnięcia. Także te dwie funkcje się tutaj uzupełniają.
Damian Niklewicz: No właśnie, dzisiaj będziemy mówili o ustawie, o dyrektywie unijnej, która już weszła w życie, a w Polsce ustawie, na którą jeszcze czekamy, ale można powiedzieć, że to, że mówimy o niej dzisiaj, to wiemy już mniej więcej, możemy się spodziewać tego, czego będzie dotyczyła i jej szkielet za bardzo się nie zmieni. A mówię o ustawie NIS-2.
Marek Graczyk: NIS2 to jest dyrektywa unijna, która rzeczywiście zostanie wprowadzona do naszego porządku prawnego. Będzie tak zwaną, jak to się często mówi, implementacją krajową w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Edycja 2.0, można powiedzieć, czy nowa wersja ustawy, bo ustawa KSC oczywiście już obowiązuje. Trochę tutaj będziemy, mam nadzieję, że nie przesadnie dużo, ale tak trochę tymi skrótami się musimy tutaj posługiwać. Była dyrektywa NIS1, która została wprowadzona do naszego porządku prawnego właśnie tą, że ustawą o Krajowym Systemie Cyberbezpieczeństwa to jest ta ustawa, która nakłada na różnego rodzaju podmioty obowiązki z zakresu cyberbezpieczeństwa, mówiąc najoględniej. Przez te parę ładnych lat, a wiemy, że w naszym biznesie, w naszej branży od tego 2016 roku do 2024 niby 8 lat, ale niektórzy powiedzą dwie kadencje prezydenta w Stanach Zjednoczonych, a w tym naszym biznesie to jest bardzo dużo się tutaj zmieniło, dlatego zaistniała potrzeba, żeby doprecyzować, niektórzy złośliwi powiedzą, doregulować albo przeregulować pewne kwestie związane właśnie z cyberbezpieczeństwem i jest dyrektywa NIS2, która obowiązuje wszystkie kraje członkowskie Unii Europejskiej, ona już tak naprawdę też nas obowiązuje, bo jest dyrektywa z 2023 roku, z początku, a weszła w życie, funkcjonuje już od października tego roku, przy czym ta specyfika tej dyrektywy jest taka, że Komisja Europejska mówi tak zwana implementacja, doszczegółowienie czy sposoby realizacji wymogów tej dyrektywy, to już jest decyzja i prerogatywa każdego państwa, żeby sobie to zorganizować, więc można powiedzieć tak, że już dyrektywa obowiązuje, natomiast rzeczywiście czekamy na ustawę, być może pojawi się w najbliższych miesiącach, w najbliższych miesiącach na pewno, w pierwszych miesiącach nowego roku, ustawa KSC2, która w sposób praktyczny i konkretny będzie mówić, jak te wymagania są w Polsce realizowane, czy jak powinny być realizowane, tak?
Damian Niklewicz: No właśnie, to jakie wymagania czego ta ustawa dotyczy, kto pod nią będzie podlegał?
Marek Graczyk: To jeszcze wrócę do tej ustawy, która obowiązuje. Ta ustawa KSC jeden wyznacza pewną pulę czy pewne grono różnych podmiotów, ważnych z punktu widzenia funkcjonowania gospodarki, z punktu widzenia funkcjonowania społeczeństwa.
Podmioty objęte regulacjami i Operatorzy Usług Kluczowych
Damian Niklewicz: Tak zwanych OUK-ów
Marek Graczyk: OUK-ów, tak. OUK, Operator Usług Kluczowych. Różne podmioty, które działać muszą, żebyśmy normalnie funkcjonowali, biznesy się toczyły i wszystkie usługi społeczne były zapewniane. Szpitale, wodociągi, operatorzy telekomunikacyjni, firmy dostarczające paliwa, no to są takie jakby, takie elementy społecznego porządku, które lepiej, żeby cały czas funkcjonowały. I o tym mówiła ustawa KSC 1. Takie podmioty mamy w Polsce, one mają swoje obowiązki, realizują te obowiązki w lepszy lub w gorszy sposób. Natomiast NIS2 mówi, no dobrze, ale tak naprawdę tych podmiotów, które są, i to już jest pojęcie z dyrektywy krytycznej ważne, jest trochę więcej niż tylko szpitale, wodociągi, firmy energetyczne. I ta dyrektywa wyznacza różne podmioty, czy też mówi tak, w różnych obszarach takich jak finanse, jak ochrona zdrowia, jak farmaceutyka, jak transport, jak zapewnienie Internetu, jak operatorzy różnych usług w zakresie informacji, informowania. No to są podmioty z tych branż, które są ważne dla funkcjonowania gospodarki i co więcej, to już nie chodzi tylko o jakiś, nie wiem, jednego, jeden duży podmiot, który ma portal informacyjny, tylko są różnego rodzaju mniejsze podmioty. Czyli mówiąc krótko, NIS2 znacznie rozszerza katalog i liczbę podmiotów, które tym regulacjom NIS-owym w NIS-ie drugim podlegać będą. Są różne szacunki, mówi się, że od 160 do 180 tysięcy podmiotów we Unii Europejskiej będą, to są podmioty objęte tymi regulacjami, a te regulacje, to co to jest ten NIS2? No to jest, można powiedzieć, dalsze doszczegółowienie jakby tych obszarów, które są ważne z punktu widzenia bezpieczeństwa informatycznego, czy cyberbezpieczeństwa organizacji i to są regulacje, które mówią o tym, że taka firma, taki podmiot, który podlega tej dyrektywie, czy będzie podlegać ustawie, no powinien podjąć szereg działań, żeby zweryfikować, czy jest w stanie funkcjonować, świadczyć usługi, zachować tzw. ciągłość działania, to są też podmioty, które powinny monitorować swoje bezpieczeństwo, czyli to już jest obowiązek, nie tylko dobra praktyka, ale też obowiązek monitorowania i to monitorowania w trybie tzw. ciągłym, czyli 24 godziny, 7 dni w tygodniu, 365 dni w roku, twojego funkcjonowania, czy funkcjonowania tej organizacji, najczęściej są to podmioty, które w sposób mocny, albo bardzo mocny zależą od technologii informacyjnych i dlatego muszą się monitorować, muszą na bieżąco sprawdzać, czy coś się nie dzieje z infrastrukturą, z ich działaniem takiego, co byłoby działaniem zagrażającym funkcjonowaniu, to mówiąc najkrócej.
Audyty, przygotowanie do NIS2 i kontrola
Damian Niklewicz: Wiemy mniej więcej, jak już, jakby weszła już w Unii Europejskiej, więc wiemy, czego możemy się spodziewać, ale de facto ta ustawa jeszcze nie została o tym Krajowym Systemie Cyberbezpieczeństwa wdrożona w życie, a organizacje już się audytują. I czy robią to na marne i czy warto to robić?
Marek Graczyk: Audytować, o czym mówiliśmy w innym naszym odcinku warto audytować się. Oczywiście ten audyt czasami wynika z wymogów ustawowych, czy z wymogów tak Audytować się, o czym mówiliśmy w innym naszym odcinku, warto audytować się. Oczywiście ten audyt czasami wynika z wymogów ustawowych czy z wymogów tak zwanych zewnętrznych, ktoś po prostu nam albo każe, albo nas mocno zachęca, żebyśmy się przeaudytowali. Możemy się też audytować, szukając sami odpowiedzi na pytanie, jak nasza infrastruktura, czy nasza firma jest zabezpieczona. Tak jak powiedziałem, NIS-2 już obowiązuje, to, że nie ma ustawy, nie zmienia faktu, że jakby w mocy są te przepisy. Te przepisy oczywiście mówią o tym, że należy wykonać działania w iluś obszarach związanych z cyfrowym bezpieczeństwem, czy z bezpieczeństwem informatycznym. No, ale żebyś mógł wykonać te działania i wiedział, co masz wdrożyć, a czego nie musisz, bo już masz, no to warto rozpocząć od audytu. Więc taki audyt nigdy nie jest działaniem, jak to ująłeś, na marne, ponieważ dostarcza wiedzy, po pierwsze, jak wygląda stan Twojego bezpieczeństwa na dzisiaj. Daje Ci też pewną możliwość porównania, jeżeli zrobisz to na audyt za rok. Będziesz mógł sobie powiedzieć, zidentyfikowaliśmy w tym pierwszym startowym roku takie obszary, które wymagały działania, minął rok, wdrożyliśmy działania albo nie wdrożyliśmy, jak nie wdrożyliśmy, no to się zastanawiamy czemu, tak. Więc audyt, no bez audytu nie wiesz, tak naprawdę ten audyt to jest dla ciebie określenie stanu początkowego, tak. Warto, żeby ten audyt, używam słowa warto, natomiast też sobie nie wyobrażam innej sytuacji, żeby był przeprowadzany jednak niezależnie. Znaczy możesz się sam zaudytować, tak zupełnie powiedziałbym zgrubnie, wziąć sobie jakiś formularz i go sobie wypełnić samodzielnie. Pytanie, czy będziesz sam szczery wobec siebie, to już jest inne pytanie.
Damian Niklewicz: W innym odcinku mówiliśmy o audycie cyberbezpieczeństwa i jakby to tam więcej powiedzieliśmy o tym, czy warto samemu i tak dalej. Natomiast tutaj mamy dyrektywę i więc mamy jakieś obostrzenia, co może się wydarzyć, jak się powiedzmy… My uważamy, że się zaudytowaliśmy, że jest wszystko okej, a przyjdzie kontrola, czy właśnie, czy będą kontrola, czy… Jak to było, jak to jest z KSC1?
Marek Graczyk: Rzeczywiście w ustawie KSC1 jest przewidziane, żeby weryfikować i sprawdzać, czy jakieś obowiązki są zrealizowane, no to jakiś podmiot niezależny może przeprowadzić audyt i przedstawić wyniki takiego audytu, ale też instytucje typu ministerstwa na przykład, które nadzorują w określony sposób różne sektory, no też mogą i rzeczywiście takie kontrole wykonują. I co się dzieje, jeżeli zadeklarowałeś, że coś robisz, a jednak okazuje się, że czegoś nie robisz? To jest jedna sytuacja. W sytuacji, kiedy zadeklarowałeś, że coś robisz, a coś się wydarzyło, no, robisz, piszesz, masz tutaj, mówisz, że masz backupy, wykonujesz, odtwarzasz, sprawdzasz, doszło do incydentu, ktoś zaszyfrował twoje dane, nie jesteś w stanie się odtworzyć z backupu, no to tu już sytuacja się robi trochę problematyczna, bym powiedział. Zarówno ustawa KSC1, która obowiązuje teraz, jak i regulacja NIS2, no nakładają… Dosyć duże kary na instytucje, które no nie wykonują tych wymaganych czy rozporządzeniem, czy ustawą obowiązków. Jeżeli to zostanie wykryte podczas takiej kontroli, albo dojdzie takiego zdarzenia, które ujawni, że wbrew twoim deklaracjom no coś miało być robione, nie jest robione, no to te kary mogą być bardzo duże, tak? Ustawa KSC2, ta, która będzie wdrażała dyrektywę NIS, mówi wręcz o odpowiedzialności takiej osobistej osoby, która, nie wiem, kieruje daną instytucją, jest dyrektorem, prezesem, będzie odpowiadać finansowo za brak wdrożenia wymagań, więc no te kontrole rzeczywiście są, no i one będą. No to nie należy się, nie należy przypuszczać, że nikt tego nie będzie sprawdzał. Robimy coraz więcej w obszarze cyberbezpieczeństwa, ta ustawa też wprowadza szereg różnych nowych instytucji, które takie kontrole będą wykonywać i realizować, czyli można powiedzieć, ująć to tak, to nie jest pytanie czy, ale to jest raczej pytanie, kiedy te kontrole zawitają do twojej organizacji, jeśli podlegasz pod NIS-2.
Damian Niklewicz: Pewnie jak się przytrafi jakiś incydent, to kontrola może iść zaraz za tym incydentem, jak będzie jakaś głośna sytuacja o jakimś wycieku danych.
Marek Graczyk: Tak zazwyczaj jest, no powiedzmy sobie mamy, już jesteśmy bardziej przyzwyczajeni do wysokiego reżimu zapewnienia bezpieczeństwa danych osobowych, tak. Mamy oddzielną regulację, która już obowiązuje od paru lat, jeżeli chodzi o obieg i zarządzanie danymi osobowymi. Tu już się sporo wydarzyło i rzeczywiście jest tak, jak mówisz. Wszyscy wiemy, co mamy robić, wszyscy wiemy, jak mamy zabezpieczać dane osobowe, ale jeżeli dojdzie do jakiegoś, jak to powiedziałeś, wycieku czy ujawnienia, no to wtedy rzeczywiście ta kontrola od razu jest na miejscu. My mówimy o wszelakich danych, tak, nie tylko już o danych osobowych. To jest też często, muszę powiedzieć z praktyki, taki błąd, czy takie… Taki sposób myślenia organizacji, no ale przecież jaki audyt, jakie zabezpieczenie danych, jaki wyciek danych, przecież ja mam tutaj inspektora, mam tutaj regulacje, mam różne takie działania wynikające z prawa, typu tam analiza, czy zabezpieczam dane, mam tu umowy, jak powierzam dane, wszystko mam tutaj zrobione. Owszem, mówimy tutaj o obszarze danych osobowych, natomiast nic drugi mówi w ogóle o informacjach o danych wszelakich, które masz w firmie i nie zawęża ich wyłącznie do danych osobowych. To taki ważny komentarz, bo często się z tym w praktyce stykamy, że ktoś mówi, no ale przecież ja to wszystko mam, mam z każdym taką swoją umowę.
Technologie, monitorowanie i procedury
Damian Niklewicz: No właśnie, to może byśmy spróbowali trochę rozwikłać, czym ta ustawa jest, w sensie, czego ona dotyczy, jakie są takie największe wyzwania, bo jest jakiś szereg wymagań, pewnie o samym jednym wymaganiu moglibyśmy którymś z wielu rozmawiać, natomiast takie największe wyzwania, co te organizacje muszą zapewnić, żeby być zgodnymi z ustawą.
Marek Graczyk: NIS2, gdyby tak wysokopoziomowo starać się powiedzieć to jednym zdaniem, to jest taka regulacja, która mówi o tym, że masz zapewnić wysoki, a niektórzy puryści powiedzą adekwatny poziom bezpieczeństwa cyfrowego swojej organizacji. Co to oznacza w praktyce? Otóż każda organizacja, firma w danym sektorze jest po to, żeby produkować towary, realizować usługi. Wiemy już, że to są organizacje, które mają istotne znaczenie z punktu widzenia pewnej harmonii czy działania całej gospodarki i NIS2 mówi jest szereg działań, które należy podjąć, żebyś po prostu, jak to po amerykańsku, tutaj te analogie amerykańskie jakoś się cisną, po prostu robił ten swój biznes, tak, żebyś go wykonywał. W związku z czym, ponieważ pewnym truizmem, ale powiedzmy to tutaj jest powiedzieć, że systemy informatyczne, rozwiązania informatyczne w każdej praktycznie branży stanowią istotny fragment, czy część, nie fragment, część tego procesu wytwarzania czy produktów, czy usług, no to NIS2 mówi tak: Należy sprawdzić ileś obszarów pod kątem tego, czy bezpiecznie jesteś w stanie ten swój biznes prowadzić od strony informatycznej, czy zapewniasz tak zwaną ciągłość działania, czy jesteś przygotowany, mówiąc krótko, na jakieś sytuacje, gdzie incydent informatyczny może na przykład sprawić, że nie będziesz mógł albo produkować, albo oferować usług, czy twoje środowisko jest odpowiednio przygotowane, czy masz plany odtwarzania na wypadek, kiedy zmaterializuje się jakieś ryzyko, albo dojdzie do jakiegoś krytycznego incydentu, czy wiesz co masz robić, ale co więcej, NIS-2 mówi, to już nie jest kwestia właśnie tam samooceny, czy też takiego statycznego, statycznej oceny, ty powinieneś, ty, twoja organizacja, tak to ujmę, monitorować się tak naprawdę na bieżąco, w trybie ciągłym, tak jak już mówimy o tym 24 na 7, na 365. Jeżeli jesteś organizacją z tego obszaru, z tego sektora, o którym NIS-2 mówi, to tak naprawdę ty musisz wdrożyć rozwiązania, które umożliwią ci monitorowanie ciągłe zdarzeń z zakresu bezpieczeństwa informatycznego. Tu też jedna ważna rzecz, tu już nikt nie mówi o tym, że masz mieć narzędzia monitorujące twoją infrastrukturę, czy ona działa, czy wszystkie elementy działają, taki monitoring i zasobów, i bieżącego funkcjonowania, tylko ty masz monitorować już zdarzenia bezpieczeństwa, tak, które mogą wpłynąć na twoje systemy IT. To jest troszkę wyższy poziom niż takie zwykłe oglądanie, czy wszystkie serwery są aktywne, czy połączenia są aktywne, czy dane są wymieniane w systemie tak jak powinny być, czy wszystko, mówiąc krótko, działa.
Damian Niklewicz: Jak nazywamy na przykład tą usługę monitorowania?
Marek Graczyk: No pewnie jakby twoje pytanie dąży w kierunku Security Operations Center, to rzeczywiście, mówię tutaj o monitorowaniu 24 na 7, na 365, monitorowaniu ciągłym, dyrektywa nie mówi, jak masz to zrobić, dyrektywa mówi, czy jakby nakłada obowiązek, żebyś to robił, tak? Natomiast pytanie, które ty postawiłeś, albo kierunek, w którym mnie naprowadzasz, no to jest właśnie, jak to zrobić. Oczywiście jest cały szereg różnego dziedzinowego, wyspecjalizowanego oprogramowania, które możesz sobie zainstalować. Nie wiem, masz oprogramowanie antywirusowe, chociażby takie najbardziej powszechne, które cię broni przed tym, żeby ci się tam nic nie przytrafiło na stacjach i na serwerach. Masz oprogramowanie, na przykład, które monitoruje, kto ma dostęp do twoich systemów. No i jest też oprogramowanie, które, oprogramowanie typu SIEM, które zbiera informacje z całej twojej organizacji, analizuje logi, mówiąc tak najkrócej i najprościej, co się tam w twoim ekosystemie informatycznym dzieje. I to jest też oprogramowanie, które pomaga wyciągać wnioski, tak? W oparciu o pewne scenariusze, skrypty czy sposoby działania, żeby wiedzieć, co dane zdarzenia, dane logi mogą oznaczać. Natomiast tu mówimy tylko o narzędziu, tak? Security Operations Center to jest nie tylko infrastruktura, ale też pewne procedury, to jest, użyłeś słowa instytucja, może nie instytucja, ale taki pewien sposób zorganizowania, zapewnienia bezpieczeństwa.
Outsourcing, technologie i podsumowanie
Damian Niklewicz: Tutaj nie chciałbym się zagłębiać, bo o tym nagramy, nagraliśmy oddzielny odcinek o Security Operations Center, ale jakbyśmy może spróbowali wymienić inne technologie, bo ta ustawa NIS2, to ona jakby podchodzi, można powiedzieć holistycznie, do tego cyberbezpieczeństwa. I tutaj powiedzmy od początku do końca, jak najlepiej zacząć. Powiedzmy, że mamy taką organizację, która jeszcze nie bardzo… zajmowała się tym cyberbezpieczeństwem, to co oni powinni zrobić na początek, żeby się zmierzyć z NIS2?
Marek Graczyk: No tutaj pewnie zaskoczenia nie będzie i, że tak powiem, powtórzę to, o czym mówiłem chwilę temu, tak? Tak naprawdę to po pierwsze trzeba sprawdzić, już jak wiesz, że podlegasz pod wymagania NISA drugiego, no to trzeba zacząć od oceny tego, jaki jest stan aktualny, tak? Bo w NIS-ie drugim sama dyrektywa mówi dosyć precyzyjnie, tak, w jakich obszarach musisz mieć rozwiązanie. Pytanie, co ty masz, w jakim stopniu i w jaki sposób spełniasz te wymagania, więc zaczynamy od takiej kontroli, czy też tak naprawdę od audytu, tak?
Damian Niklewicz: My to nazywamy audytem zerowym.
Marek Graczyk: Zerowym, dlatego tak, to potocznie przyjęliśmy takie określenie, dlatego, że on ci odzwierciedla, czy wyniki tego audytu odzwierciedlają ci stan zerowy, startowy, czy stan na dziś, tak? Jak wiesz, jak jest, masz wymagania z NISA drugiego, no to tak patrząc prosto, matematycznie możesz zobaczyć, gdzie jest różnica i gdzie powinieneś wdrożyć działania. Pytasz o różne praktyczne rozwiązania czy narzędzia. No to taki audyt ci pokaże, pozwoli ci odpowiedzieć na pytania, jak sobie radzisz w poszczególnych obszarach. Być może na przykład nie zabezpieczasz danych swoich. NIS drugi mówi o tym, że te dane powinieneś mieć zabezpieczone, tak?
Damian Niklewicz: Żeby nie doprowadzać do wycieków, tak?
Marek Graczyk: Na przykład. To zabezpieczenie danych ma różne poziomy. Może zacznijmy od tego podstawowego, backup, tak? Myślę, że już dzisiaj, A.D. 2024, mówienie o backupie, że jest konieczny, no to już chyba nikomu nie musimy mówić, już mamy ten etap za sobą.
Damian Niklewicz: Mieliśmy backup 3-2-1, teraz mamy 3-2-1-1-0, to co chwilę dorabia się tutaj, co trend to nowe podejście do backupu.
Marek Graczyk: Ale widzisz, to też odzwierciedla pewną praktykę rynkową i pewien sposób jakby podchodzenia do backupu, co mam na myśli? To, że backup należy wykonywać, to już chyba wszyscy wiedzą, tak? I rzeczywiście, jak audytujemy i sprawdzamy różne organizacje, backup jest robiony. Natomiast, jak powiem ci, że nie zawsze jest świadomość tego, że jedno to zrobić backup, drugie to go odtworzyć, czyli mówiąc krótko, przetestować, czy on działa, no to tu już, myślę, mogłoby być pewnym zaskoczeniem, jak wiele organizacji poprzestaje tylko na tym, że ma procedurę, ma jakiś tam dokument opisany i nawet ten backup robi. Ale tak, po pierwsze może się okazać, że nie zgodnie z zasadą 3-2-1, nie używa różnych technologii, nie dba o to, dana organizacja czy nie przykłada tutaj nacisku, nie kładzie na to, żeby jedna kopia była tu, ale druga była w innym miejscu. To, co powiedziałeś o 3-2-1-1-0, to jest jakby nowa koncepcja, która w tych skrótach, wiadomo, że te skróty nam tutaj ułatwiają, ona mówi o tym, rób backupy, sprawdzaj, nie trzymaj tego w jednym miejscu, używaj różnych technologii, ale to zero, które się znalazło w tym skrócie, mówię o tym, zero błędów, czyli sprawdź, czy ten backup nie ma błędów, czy on po prostu ci do czegoś posłuży. Więc tu mówiliśmy o zabezpieczeniu danych, to jest zabezpieczenie danych, które masz w organizacji. Jak się różne rzeczy złe wydarzą, to zawsze może z tego backupu się, tu się fachowo mówi, odwinąć, no tak naprawdę przywrócić do działania firmę, bo na koniec dyrektywa NIS-2 mówi tyle, działaj tak, żebyś był w stanie działać na bieżąco, funkcjonować. Natomiast to zabezpieczenie wyższego poziomu, o czym mówisz, zabezpieczenie przed tym, żeby dane nie wypływały, to są na przykład systemy DLP. Tak, DLP, czyli Data Loss Prevention. Czasami się mówi Data Leakage Protection. Prevention, Protection, no różnie te skróty są rozwijane. To jest z kolei takie oprogramowanie dziedzinowe, narzędzie, o które pytałeś, które pozwala patrzeć, co się dzieje w organizacji z danymi, tak? I kontrolować, czy osoby uprawnione mają dostęp tylko do tych danych, do których powinny mieć, bo jest jedną z zasad organizowania takiego ładu związanego z danymi, że ty powinieneś mieć dostęp tylko do tego, co jest istotne dla twojej pracy. Więc w ten sposób sprawdzamy, czy dane są dostępne tylko dla tych osób, które powinny być, czy nie są na przykład wysyłane poza organizację, a tak się zdarza, czy odpowiedniej klasy dane, jeżeli chodzi o bezpieczeństwo tych danych, co z nimi się dzieje. To jest rozwiązanie DLP. Możesz mieć inne rozwiązania, jeżeli pytasz o narzędzia, rozwiązania klasy PAM, Privilege Access Management, czyli to jest takie narzędzie, które ci pozwala, mówiąc krótko, kontrolować, co się dzieje z twoim środowiskiem IT, szczególnie w takich sytuacjach, że, no nie wiem, ktoś zewnętrzny, jako firma outsourcingowa, ma dostęp, sprawdzasz, co tak naprawdę, do czego mają dostęp, sprawdzasz, co twoi administratorzy w większych organizacjach, to zazwyczaj nie jest tak, że jest jeden administrator, sprawdzasz, kto do czego miał dostęp, to jest też oprogramowanie, które pozwala łatwiej zarządzać hasłami i dostępami do różnych systemów. No, oczywiście mówiłem o programie antywirusowym, to jest rzecz już tak banalna, że w zasadzie nie powinniśmy o tym mówić, bardziej mówimy, z takich skrót, EDR albo XDR, czyli o zaawansowanym oprogramowaniu, które, no nie tylko jest tą tarczą, broniącą cię przed oprogramowaniem złośliwym, ale też pozwala na prowadzenie bardziej zaawansowanej analityki, sprawdzania tego, co się dzieje w organizacjach. Są też narzędzia, które na przykład sprawdzają tak zwaną integralność baz danych, no, żebyś wiedział, czy ktoś ci w tych bazach danych nie próbował czegoś z nich wyciągnąć, albo wręcz przeciwnie, nie próbował czegoś tam umieścić w tej bazie danych. Tych narzędzi jest bardzo dużo i NIS-2 nie nazywa tych narzędzi, nie mówi konkretnie z jakich, należy korzystać, ale mówi, co masz osiągnąć operując tymi narzędziami. Dlatego współcześnie, jak tak popatrzymy na dostępność różnych narzędzi i rozwiązań, to głowa może zaboleć, bo jest ich dużo. Open source’owe, płatne, wiele firm zajmujących się bezpieczeństwem. ma swoje konkretne narzędzia. Ja bym powiedział tak, że sztuka tak naprawdę polega na tym, żeby wiedzieć, z których narzędzi skorzystać, jakie skonfigurować, a najwyższy poziom jest taki, żeby te wszystkie narzędzia, których mamy dużo, tak jak powiedziałem, tworzyły jeden ekosystem. To jest bardzo złożone.
Damian Niklewicz: Bym tylko krótko wymienił, co jeszcze jakby wchodzi w skład tego, co trzeba zapewnić. Trzeba przeprowadzić audyt infrastruktury.
Marek Graczyk: Mówisz o tym, żeby wiedzieć, to jest ważna rzecz, żeby wiedzieć, co mam u siebie na tak zwanych końcówkach.
Damian Niklewicz: Czyli przeprowadzić inwentaryzację. W skład takiego audytu też powinny wchodzić skany podatności, testy penetracyjne. Potem mamy szkolenia cyberbezpieczeństwa, testy socjotechniczne.
Marek Graczyk: Tak, pytałeś o narzędzia, natomiast rzeczywiście zwracasz tutaj uwagę i to jest bardzo ważne, że nie tylko same narzędzia, bo to jakby NIS2 nie mówi, kup sobie albo ściągnij ze strony open source’owych ileś narzędzi i proszę je wdrożyć. Tak jak powiedziałem, to trzeba zsynchronizować, to musi działać razem. Natomiast szkolenia i testy czy skany podatności, czy testy penetracyjne, to jest też sposób weryfikowania tego, czy rzeczywiście ja to bezpieczeństwo zapewniam, a szkolenia, pewnie powinienem o nich powiedzieć na samym początku, dobrze, że na to zwróciłeś uwagę, bo nie ma chyba bardziej wyświechtanego takiego sformułowania w naszej branży niż powiedzenie, że człowiek jest najbardziej podatny, jest największym niebezpieczeństwem i najsłabszym ogniwem i rzeczywiście tak jest, stety, niestety.
Damian Niklewicz: Możemy mieć kupę systemów, ale na końcu i tak będzie człowiek.
Marek Graczyk: Jest człowiek, który coś zrobi albo czegoś nie zrobi, przysłowiowo gdzieś kliknie albo nie kliknie, albo się zasugeruje czymś, dlatego rzeczywiście NIS2 mówi o tym, że nie sztuką jest mieć różne narzędzia i rozwiązania, sztuką jest, żeby to. żeby człowiek, który z nich korzysta, po pierwsze był przeszkolony z tego, a po drugie też miał tak zwaną świadomość cyberzagrożeń, bo trochę, mam wrażenie, dajemy się zwodzić takiemu myśleniu, że mam świetne narzędzia, mam świetny filtr anty-spamowy, mam świetne XDR i już nic się nie zdarzy. Mogę powiedzieć z praktyki, teraz właśnie mamy dużo takich projektów i działań z naszymi klientami, którzy sprawdzają, na ile są gotowi właśnie, na ile tą odporność cyfrową mają, to często jest tak, że w tych organizacjach narzędzia są powdrażane, natomiast jak wykonujemy takie ćwiczenie, wyłączmy na chwilę to jedno narzędzie i zdajemy się tylko na procedury, na zdrowy rozsądek użytkowników, na ich wiedzę, na ich zrozumienie organizacji, na ich zrozumienie, na jakich systemach pracują, no to muszę powiedzieć, że się okazuje, że jest co robić, jest kogo edukować, ale też często w tych sytuacjach mówimy, że to nie jest polowanie na czarownicę, bo każdemu z nas może coś takiego zdarzyć, to jest ciągłe i nieustanne doskonalenie się i sprawdzanie, na ile my jako ludzie też potrafimy z systemów korzystać.
Damian Niklewicz: Tak, pewien mądry człowiek powiedział, błądzić jest rzeczą ludzką, ale tkwić w tym błędzie jest rzeczą diabelską.
Marek Graczyk: Tak, tę sentencję Seneki tutaj myślę, że spokojnie możemy zacytować i przypomnieć, dlatego też o tych audytach zerowych, jak mówiliśmy na początku, to nie chodzi o to, żeby sobie poprawić samopoczucie albo sobie je pogorszyć, tylko po prostu wiedzieć, jak wygląda sytuacja startowa na dzień X czy na dzień, przyjmijmy, 1 grudnia, tylko chodzi o to, żeby to sprawdzić i żeby się doskonalić, żeby cały czas tutaj nad bezpieczeństwem pracować, bo co chwila wdrażamy nowe systemy, co chwila, no taka uroda, tak, co chwila update’ujemy, mówiąc po polsku, te systemy, przechodzimy, zmieniamy tryby pracy, coś robiliśmy wewnętrznie w oparciu o własne zasoby, własne środki, własny sprzęt, za chwilę dochodzimy do wniosku, zarząd dochodzi do wniosku, nie, nie, no to już nam się nie opłaca, wyoutsourcujmy to i okej, to są zwykłe, normalne działania biznesowe.
Damian Niklewicz: Tak, do tego outsourcingu to jeszcze za chwilę wrócimy, natomiast ja nie chciałbym tutaj wszystkich po kolei tych narzędzi wymieniać, bo pewnie nawet bym nie dał rady, ale powiedzieliśmy od początku, powiedzmy, o backupie, o infrastrukturze, o szkoleniach, powiedzieliśmy o tych trzy skrótowcach, trzy literowcach, DLP, czyli przy zapobieganie wyciekom danych, mówiłeś o PAM-ie, czyli o dostępie uprzywilejowane w zarządzaniu, mówiłeś o EDR-ze, XDR-ze, tak, czyli takim zaawansowanym antywirusie, co jeszcze jest, jeszcze jest zarządzanie tożsamością i prawami dostępu, tutaj jest to nazywane albo IDM, albo IAM. Mamy też SIEM, który wchodzi w skład SOC-a. Mamy SOAR-a, który…
Marek Graczyk: To może o tym SIEM-ie i SOAR-ze powiedzmy, bo rzeczywiście, jeżeli mówimy o Security Operations Center, używam tego angielskiego skrótu, bo Polski Centrum Monitorowania Bezpieczeństwa…
Damian Niklewicz: Jeszcze się nie wdrożył, ale pracujemy nad tym.
Marek Graczyk: Tak, myślę, że jeszcze trochę czasu, jak mówimy polską wersję tego skrótu, to tak brzmi, że nie do końca wiemy, o co chodzi.
Damian Niklewicz: Chociaż w przypadku planu ciągłości działania, to działa, nie mówi się, znaczy mówi się BCP, Business Continuity Planning, ale PCD też funkcjonuje.
Marek Graczyk: To prawda, czy to tylko pokazuje plastyczność języka polskiego, że czasami coś się bardziej przyjmie, czasami nie.
Damian Niklewicz: Więc możemy nazywać to Centrum Operacji Bezpieczeństwa.
Marek Graczyk: Inaczej Security Operations Center. O tym już troszkę mówiłem, że to są i procedury, i narzędzia.
Damian Niklewicz: Tak, tutaj jest SIEM-SOAR.
Marek Graczyk: Tak, Security Incident… And Event Management. Czyli zarządzanie zdarzeniami z zakresu bezpieczeństwa danych. SOAR to jest… To jest też skrót od tak zwanej, to też po polsku jakoś brzmi fatalnie, jakby automatyzacja, orkiestracja zdarzeń, zaraz powiem o co chodzi. SIEM to jest narzędzie, SOAR to są procedury, to są ludzie, którzy to narzędzie obsługują, wyciągają wnioski, co się wydarzyło, czy to, co się wydarzyło nam zagraża, czy nie. Natomiast SOAR to jest takie oprogramowanie, które w przypadku, kiedy masz bardzo dużą organizację, bardzo dużo scenariuszy, pozwala mówiąc krótko, orkiestracja, to słowo się gdzieś tam chowa, to jest rozwiązanie, które ci pozwala zautomatyzować pewne procedury działania. Często w przypadku SIEM-a, czy SOC-a posługujemy się takim prostym przykładem, czy logowanie 15 razy w ciągu jednej minuty to jest coś, co powinno wzbudzać nasze wątpliwości, czy nie powinno. Może tak, może nie, ale jeżeli jest takie zdarzenie, które zakwalifikujemy, że ono jest akceptowalne albo nie, to możemy sobie je zautomatyzować. To znaczy, to już nie tylko, nie musi być człowiek w tej pierwszej linii obrony, tzw. L1, który widzi, bo mu system podpowiedział takie zdarzenie i on wie, że powinien zareagować tak albo inaczej, to już nie mamy tam człowieka, tylko mamy to rozwiązanie klasy SOAR, które nam automatyzuje pewne rzeczy. Automatyzuje to znaczy też wykonuje pewne działania, a to działanie może polegać na tym, że blokujemy dostęp na to konto, na które jest tyle prób logowań, albo jeżeli to jest działanie, powiedzmy sobie, pomiędzy 25 a 30 dniem miesiąca, to znaczy, że ktoś z księgowości próbuje się wiele razy zalogować z jakiegoś systemu i my to akceptujemy, a jeżeli to jest poza tymi datami, to blokujemy dostęp np. na 15 minut. To jest właśnie to oprogramowanie SOAR. O samym SOAR-ze możemy opowiadać z pół godziny, więc chciałem tylko podać przykład, do czego to rozwiązanie może służyć.
Damian Niklewicz: Mógłbym jeszcze powiedzieć, jakby ta lista się nie kończy, natomiast chciałbym zaznaczyć i tutaj powołując się na firmę PWC, która powiedziała… Mówi, że organizacja zatrudniająca 50 i więcej osób, generująca roczne obroty o ponad 10 milionach euro, to takie firmy będą, jakby to jest ten najniższy pułap, który dotyczy NIS2. No to mamy powiedzmy, mamy te 51 osób. Jakbyśmy chcieli wdrożyć tego SOCA, te DLP, tego PAMA i tak dalej, to zaraz się okaże, że nasza organizacja powinna zatrudnić drugie tyle, co ma, żeby zapewnić zgodność z NIS2.
Marek Graczyk: Rzeczywiście wymagania są, nie wiem czy wysoko postawione, ale wiążą się z dużym nakładem pracy, stosunkowo dużym. I tak jak powiedziałem, naprawdę nie kończy się wdrożenie NIS2 na zainstalowaniu różnych rozwiązań. Myślę, że każda organizacja, tak biznesowo na to patrząc, niektórzy żartują, że taki cykl działania firm w zasadzie składa się z dwóch faz. Albo takiej, w której dochodzisz do wniosku, że wszystko musisz mieć wewnętrznie u siebie zbudowane i mieć wewnętrznie ludzi. Albo tej drugiej, jak już na koniec tego okresu dochodzisz do wniosku, że może ci się to nie opłaca, może możesz wyoutsourcować pewne rzeczy. Potem dochodzisz do wniosku, że może coś powinno być w środku. Niektórzy żartują, że tak właśnie w tym cyklu działają firmy. Ale tutaj powiedziałbym, że to jest prosta, zwykła analiza biznesowa każdej firmy, czy jest w stanie w oparciu o swoje zasoby zapewnić monitorowanie 24 na 7, a wcześniej wdrożenie tych narzędzi, o których mówiłem, własnymi, wewnętrznymi zasobami. To jest możliwe, jeżeli jesteś, nie wiem, dużym operatorem telekomunikacyjnym. Masz tych ludzi u siebie na miejscu, nie musisz korzystać z żadnych usług, co więcej, sam możesz oferować takie usługi. Są takie przypadki. Ale dla tych firm, które ty wymieniłeś, tej wielkości 51, myślę, że, czy nie znam takich przypadków, kiedy ekonomicznie opłacalne byłoby zorganizowanie tego wszystkiego, co, czy czego wymaga NIS2, wewnętrznie w oparciu o swoje zasoby, bo mówiąc już najprościej, musiałbyś zatrudnić ludzi u siebie, którzy pracują w cyklu pełnodobowym, którzy 24 na 7 pracują. Oczywiście ktoś powie, w czym problem. Problem taki, że tych ludzi jest mało, ale nawet jak ich znajdziesz, to myślę, że jak w Excelu sobie podsumujesz koszty związane z tym personelem, który jest Ci niezbędny, to możesz dojść do wniosku, że jednak jest to dosyć drogie. Dlatego w tym przypadku myślę, że analiza pod kątem opłacalności wyoutsourcowaniu tego jest rzeczą, którą należy podjąć. My pracujemy z różnymi organizacjami, średnimi i dużymi i z pewnością już od średnich, ale nawet od dużych organizacji, na duże organizacje patrząc, biorąc pod uwagę wymagania dotyczące bezpieczeństwa, choćby takie, jakie NIS nakłada, to już naprawdę bardzo rzadko się zdarza, żeby Ci to opłacało mieć swój personel, swoje narzędzia wewnętrznie, no bo też pamiętajmy o tym, że to żyje. To jest system, który żyje, który trzeba rozwijać, który trzeba aktualizować. Kwestia bezpieczeństwa to nie jest tak, że zaprojektujesz sobie 10 scenariuszy działania i one będą zawsze u Ciebie prawdziwe i obowiązujące, no bo systemy IT żyją. Żyją w tym sensie, że się zmieniają, że się aktualizują, że co jest rzeczywistością wielu firm co chwilę są zmieniane, są łączone, wprowadzane nowe rozwiązania i to mocno rzutuje na zakres pracy, jak jest do wykonania po stronie bezpieczeństwa.
Damian Niklewicz: Mamy pewnego rodzaju wyścig zbrojeń, jak 10 scenariusz wdrożymy, to Ci hakerzy po tej drugiej stronie będą szukali tego 11 scenariusza i my będziemy musieli wdrożyć ten jeszcze jeden i potem znowu i tak dalej.
Marek Graczyk: To prawda, tak to działa, też można powiedzieć, że budowane były w dziejach, w historii, jak by na to spojrzeć, budowane były coraz większe i bardziej szybkostrzelne pistolety, jednocześnie były budowane coraz większe i bardziej szybkostrzelne pistolety, lepsze sposoby zabezpieczania, nie wiem, kamizelki, tarcze i to jest proces, który jest ze sobą jakby powiązany.
Damian Niklewicz: Myślę, że moglibyśmy tutaj rozwijać nawet jakby tą listę wymagań dalej, czy opowiadać o samych pojedynczych narzędziach. Natomiast wydaje mi się, że po więcej informacji to zapraszamy po prostu do kontaktu z nami. A tymczasem dziękuję Ci za rozmowę.
Marek Graczyk: Też dziękuję Ci. Słowem jeszcze na koniec powiedziałbym, że rzeczywiście o NISie drugim mówi się bardzo dużo, więc też mamy nadzieję, że nie przynudzamy. My bardziej chcieliśmy tutaj zwrócić uwagę na podejście i na rzeczy, na czynności, jakie trzeba wykonać, bo o samych wymaganiach, o samych narzędziach można sobie poczytać. Tak naprawdę pytanie, jak to zrobić, żeby sprostać tym wymaganiom i zrobić to w ekonomicznie opłacalny sposób.
Damian Niklewicz: Lajkujcie, komentujcie, subskrybujcie i do zobaczenia wkrótce.
Marek Graczyk: Dzięki wielkie Damian.
Damian Niklewicz: Dzięki, cześć.
Marek Graczyk: Hej.