Cyberbezpieczeństwo
Dyrektywa Unijna NIS2 - jak przygotować firmę do zmian?
Dyrektywa NIS2 (Network and Information Systems Directive 2) musi zacząć obowiązywać w prawie polskim najpóźniej od 17 października 2024 r. Głównym celem dyrektywy NIS2 jest określenie minimalnych przepisów, jakie państwa członkowskie powinny wdrożyć, by ograniczyć ryzyko incydentów dotyczących cyberbezpieczeństwa.
Artykuł sponsorowany
NIS2 zachęca państwa członkowskie do wprowadzenia przepisów, które narzucą wykazywanie łańcucha dostaw, zarządzanie podatnościami, podstawowymi usługami internetowymi, stosowaniem zasad cyberhigieny. Automatyzacja i monitorowanie infrastruktury IT będą niezbędnymi praktykami, które znacznie ułatwią i zmniejszą pracochłonność procesu wdrażania dyrektywy NIS2, w szczególności, że zachowanie zgodności z NIS2 jest procesem ciągłym.
W dzisiejszym, skomplikowanym świecie IT nie obędziemy się bez narzędzi do ciągłego monitorowania i automatycznego wykrywania podatności, śledzenia przebiegu incydentów, a także optymalizacji środowiska, mierzenia wydajności, kosztów czy zachowania zgodności z politykami utrzymania zdrowego, czyli bezpiecznego, środowiska przetwarzania danych. Z drugiej strony, mnogość i specyfika narzędzi często wymusza konieczność stosowania wielu narzędzi. Firma VMware, która jest wiodącym dostawcą platform przetwarzania danych w chmurze publicznej i data center (chmurze prywatnej), posiada rozwiązania do monitorowania i automatyzacji, które mogą stanowić pojedyncze punkty nadzoru nad całym IT, z uwzględnieniem aspektów bezpieczeństwa różnych narzędzi dziedzinowych.
Firma INDEVOPS specjalizuje się we wdrażaniu rozwiązań monitorowania i automatyzacji z wykorzystaniem produktów VMware. Działania INDEVOPS odpowiadają na potrzeby monitorowania i orkiestracji kompletnego obszaru IT, od sprzętu po aplikacje, od data center przez zdalne jednostki do chmury publicznej, wdrażając rozwiązania w małych i średnich przedsiębiorstwach, jak i największych firmach w Polsce.
Czym jest NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive 2) weszła w życie 16 stycznia 2023 r. Mamy teraz 21 miesięcy na jej wdrożenie do krajowego prawa. Aktualnie obowiązuje Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która z uwagi na zmiany w NIS2 wymaga nowelizacji. 11 lipca sejmowe komisje postanowiły przeprowadzić wysłuchanie publiczne w sprawie tego projektu. Na dzień 16 października 2023 r. prace nadal trwają, co oznacza, że bez nowelizacji ustawy o KSC nie można jeszcze stosować NIS2. Niemniej czas płynie i warto zapoznać się z celem i wymaganiami tej dyrektywy, która najpóźniej od 17 października 2024 r. musi zacząć obowiązywać w prawie polskim.
Temat cyberbezpieczeństwa jest bardzo ważny w Unii Europejskiej. Po kontroli funkcjonowania dyrektywy wprowadzonej w 2016 r., okazało się, że państwa członkowskie wdrażają przepisy unijne dotyczące tego obszaru, ale w różnym zakresie. W związku z tym, głównym celem dyrektywy NIS2 jest określenie minimalnych przepisów, jakie państwa członkowskie powinny wdrożyć, by ograniczyć ryzyko incydentów dotyczących cyberbezpieczeństwa. Ponadto, NIS2 wymaga aktualizacji sektorów i działań, wprowadzenia środków naprawczych i środków dotyczących egzekwowania przepisów prawnych. Na wprowadzeniu tych regulacji i ujednolicenia minimalnych przepisów skorzystamy wszyscy, a najbardziej ulgę finansową odczują firmy, które oferują usługi transgraniczne i muszą mierzyć się z różnicami między państwami w zakresie cyberbezpieczeństwa.
Czy NIS2 to tylko „widzimisię” Komisji Europejskiej czy jednak istnieją korzyści z jej stosowania?
Patrząc na zapisy i wymagania dyrektywy, jedyne do czego kraje członkowskie zostaną „zmuszone” to podniesienie poziomu bezpieczeństwa, gdyż dotychczas kraje różnie do tego podchodziły. W świecie „cyber”takie podejście jest wyjątkowo słuszne. Do konkretnych korzyści ze stosowania dyrektywy NIS2 można zaliczyć:
- zwiększenie odporności na cyberzagrożenia;
- zwiększenie zdolności do reagowania na incydenty i kryzysy cyberbezpieczeństwa;
- wzrost świadomości i edukacji w zakresie cyberbezpieczeństwa wśród obywateli i podmiotów;
- zwiększenie ochrony praw podstawowych i bezpieczeństwa danych osobowych w cyberprzestrzeni (RODO);
- wzrost zaufania do cyfrowego rynku wewnętrznego i konkurencyjności europejskich podmiotów cyfrowych.
Jakie podmioty muszą wdrożyć NIS2?
Do podjęcia środków w celu zwiększenia poziomu cyberbezpieczeństwa będą zobowiązane podmioty:
- świadczące usługi transgraniczne, np. dostawcy usług DNS i rejestrów nazw domen TLD, podmioty świadczące usługi rejestracji nazw domen, dostawcy usług chmurowych, przetwarzania na brzegu sieci i usługi centrów danych (określane jako podstawowe usługi internetowe);
- z sektorów istotnych dla gospodarki i społeczeństwa, np. energetyki, transportu, bankowości, infrastruktury rynku finansowego, ochrony zdrowia, wody pitnej, odpadów, produkcji chemicznej i jądrowej;
- z sektorów cyfrowych, np. dostawcy usług społecznościowych, usług udostępniania danych, usług udostępniania treści, usług wyszukiwania internetowego i usług pocztowych.
Istotnym faktem jest to, że dyrektywa NIS2 zachęca państwa członkowskie do wprowadzenia przepisów, które narzucą wykazywanie łańcucha dostaw, czyli wskazanie wszystkich podmiotów zaangażowanych w dostarczanie produktów lub usług związanych z cyberprzestrzenią, takich jak producenci, dostawcy, dystrybutorzy, integratorzy, operatorzy lub użytkownicy końcowi. Zatem, podmioty będą musiały wykazywać wszystkie elementy wykorzystywane w przetwarzaniu danych, zarówno te wewnętrzne, jak i zewnętrzne.
Wielkość czy ważność przedsiębiorstwa?
Przepisy dyrektywy NIS2 będą musiały wdrożyć wielkie i średnie przedsiębiorstwa, a inne podmioty (nawet małe lub mikroprzedsiębiorstwa) - jeśli spełniają szczególne kryteria wskazujące na kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów oraz rodzajów usług. Warto już teraz skonsultować się z osobami odpowiedzialnymi za obsługę prawną, żeby ocenić czy i w jakim zakresie Twoja firma podlega wymaganiom NIS2.
Warto dodać, że w dyrektywie NIS2 jest zapis o tym, by wdrażane środki zarządzania ryzykiem i ich koszt był proporcjonalny do podmiotu, bez nakładania zbyt dużych obciążeń administracyjnych i finansowych na podmioty.
Cyberhigiena - lepiej zapobiegać niż leczyć
Hasło „lepiej zapobiegać niż leczyć” ma znaczenie także w cyberbezpieczeństwie i odnosi się do stosowania zasad cyberhigieny - zestawu dobrych praktyk: zachowań i środków, które są w stanie zapobiec cyberzagrożeniom. Chodzi tu o ochronę infrastruktury sieci i systemów informatycznych, bezpieczeństwa sprzętu, oprogramowania i aplikacji internetowych oraz o ochronę danych firm oraz użytkowników końcowych.
Z jednej strony, wymagania te będą obejmować zakup odpowiednich produktów i usług, z drugiej - dokumentowania, przeszkolenia i zapewnienia regularnych szkoleń pracownikom, np. dotyczących rozpoznania, oceny i zarządzania ryzykiem w cyberbezpieczeństwie. Poza sprawnymi (aktualnymi) systemami teleinformatycznymi, ważne jest budowanie świadomości i edukacja w zakresie cyberbezpieczeństwa Pracowników podmiotów stosujących NIS2D. Przeszkoleni i świadomi cyberzagrożeń pracownicy będą gwarantem szybkiego i poprawnego rozpoznania zagrożenia, a potem zarządzania ryzykiem w zakresie cyberbezpieczeństwa.
Środki zarządzania ryzykiem
Środki zarządzania ryzykiem, o których mowa w art. 21 dyrektywy NIS2, są podzielone na techniczne, operacyjne i organizacyjne oraz dotyczą następujących aspektów cyberbezpieczeństwa:
a) polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
b) obsługi incydentu: wykrywania, zgłaszania i dokumentowania przebiegu po naprawę jego skutków;
c) ciągłości działania, np. zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego;
d) bezpieczeństwa łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
e) bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
f) polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
g) podstawowej praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
h) polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
i) bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami;
j) w stosownych przypadkach – stosowania uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.”
Można tę listę podsumować, że jest to typowy „arsenał” wybranych zabezpieczeń opisanych w normie ISO 27001, w Załączniku A. Przy czym, warto tu dodać, że dyrektywa NIS2 nie narzuca oraz nie faworyzuje żadnej z technologii, choć wskazuje normalizację (art. 25) jako sposób na wsparcie spójnego wdrażania środków zarządzania cyberbezpieczeństwem. Naszym zdaniem jeśli podmiot stosuje standaryzację, to ma już wypracowane nawyki zbliżone do normalizacji z art. 25 NIS2, a często standaryzacja pokrywa się z wymaganiami prawnymi normalizacji, co czyni te pojęcia tożsamymi.
W NIS2 jest także zapis o tym, by wdrażane środki zarządzania ryzykiem i ich koszt był proporcjonalny do podmiotu, bez nakładania zbyt dużych obciążeń administracyjnych i finansowych na podmioty. Do ustalenia tego służy analiza ryzyka, która opiera się m. in. na aktualnym stanie wiedzy w zakresie środków zarządzania ryzykiem oraz kosztu ich wdrożenia. Takie zadanie prawdopodobnie trafi do osób obsługujących procesy zakupowe w organizacji. Dyrektywa NIS2 wprowadza także odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie.
Czy jesteś pewien, że Twoja firma zachowuje cyberhigienę? Jeśli nie, skontaktuj się z nami i kliknij ” tu”.
Czy można powstrzymać atak cyberprzestępców?
Niestety, nie powstrzymamy ataków cyberprzestępców. Natomiast, jeżeli podmiot na poważnie potraktuje wdrażanie dyrektywy NIS2, będzie możliwe powstrzymanie większości ataków. Jeżeli będziemy stosować cyberhigienę i stosować ww. „arsenał” wybranych zabezpieczeń opisanych w normie ISO 27001 to ryzyko udanego ataku zminimalizujemy do zera.
Dlaczego warto monitorować środowisko IT? Jednym z wymagań określonych w art. 21 dyrektywy NIS2 jest zapewnienie ciągłości działania poprzez przewidywanie, zapobieganie i rozwiązywanie problemów w chmurze lub w wielu chmurach, od aplikacji po infrastrukturę.
Kiedyś informatyk mógł zauważyć i zareagować na cyberwłamania, obserwując komunikaty lub obrazy z systemów monitorowania. To podejście sprawdzało się przy małej liczbie cyberataków i przy używaniu kilku aplikacji. Dzisiaj takie podejście nie jest wystarczające. W przypadku naszych klientów liczba aplikacji (usług biznesowych) wynosi od kilkunastu do kilkudziesięciu. Każda usługa ma minimum 2 komponenty (aplikacja i baza danych). Do tego usługi (wraz z komponentami) posiadają wersje (środowiska) produkcyjne i rozwojowe, a często także „PREPROD”, „TST” i inne. Do wymienionych dochodzą jeszcze zdalne lokalizacje, gdzie te usługi muszą być obecne, albo środowiska chmur publicznych, gdzie te usługi są umieszczane. Znaczna większość tych usług komunikuje się między sobą, a także komunikuje się z usługami zewnętrznymi i usługami dostawców zewnętrznych. Liczba systemów operacyjnych, na których funkcjonują te „aplikacje” wynosi od kilkuset do kilku tysięcy. W samym INDEVOPS mamy ponad 250 instancji systemów operacyjnych, a w środowisku rozwojowym automatyczne testy powołują i likwidują kilkaset systemów dziennie.
Ponadto, dzisiejsi cyberprzestępcy coraz rzadziej atakują środowiska IT z zewnątrz. Ataki z wnętrza sieci okazują się skuteczniejsze, gdyż w pierwszym kroku do pokonania jest użytkownik: „Dzień dobry Panie Radosławie, dzwonię do Pana z helpdesku, potrzebuję od pana hasło do poczty, bo muszę je zresetować”, albo: „Dzień dobry, jestem z helpdesk przyszedłem wymienić komputer” (przykład jest stosowany podczas audytu, podczas którego audytor w księgowości wpiął swój komputer do sieci i przeprowadził atak na niezabezpieczony serwer Microsoft SCCM i uzyskał kontrolę nad Active Direcotry organizacji).
W kolejnych krokach ataku wykorzystane są „tradycyjne” techniczne metody, które wykorzystują podatności w oprogramowaniu (błędy, przestarzałość, nieprawidłową konfigurację). Okazuje się, że w środku organizacji systemy informatyczne już nie są tak mocno chronione pod kątem bezpieczeństwa. Co ciekawe, cyberwłamania nie są jakieś rewolucyjne, np. kradzież lub zablokowanie wrażliwych (wartościowych biznesowo) danych, wykorzystanie środowiska zaatakowanego na potrzeby innego ataku lub skorzystanie z dodatkowej mocy obliczeniowej.
Podsumowując, odpowiedź na pytanie „czy warto monitorować?” jest oczywista. Nasuwa się jednak myśl, że należałoby zamienić to pytanie na „jak skutecznie monitorować”?
Jak monitorować środowisko IT?
Biorąc pod uwagę liczbę systemów czy aplikacji obecnie używanych w obszernych środowiskach IT, obecnie wykorzystuje się kilka narzędzi do monitorowania. Każde narzędzie jest dedykowane do określonych zakresów działania, np.: · skanuje sieci komputerowe w poszukiwaniu luk bezpieczeństwa, nieznanym lub nieaktualnych systemów, · zbiera logi systemów i aplikacji, · śledzi trace’y i metryki, · obsługuje proces zarządzania podatnościami, gdzie po identyfikacji będzie prowadzony proces biznesowy naprawy, · monitoruje daną warstwę IT, np aplikacje, środowisko wirtualne, sieci komputerowe. Niestety, fakt zastosowania wielu narzędzi powoduje, że traktuje się monitorowanie wyspowo, bez spojrzenia jednolitego na całość, a także nie widać powiązań między elementami, różnymi typami danych czy obiektami. Nie pozwala to efektywnie zapobiegać awariom, choć ich wykrywanie działa poprawnie. W przypadku awarii, czas naprawy jest znacząco wydłużony, a proces naprawy pracochłonny, nie wspominając o trudności w ustaleniu przyczyny źródłowej problemu.
Niezbędne jest wykorzystanie narzędzi, które potrafią agregować dane z wszystkich źródeł i “spojrzeć” na środowisko od strony wejścia użytkownika po miejsce, w którym są przechowywane dane, z których użytkownik korzysta. Natomiast całość środowiska należy globalnie analizować pod kątem pojawiających się w nim anomalii. Do tego celu można wykorzystać silniki “machine learning”, operujące na dużych zbiorach danych strukturalnych (metryki) i niestrukturalnych (logi, eventy). Silniki ML potrafią nauczyć się zachowania środowiska i reagować na coś, czego wcześniej nie było.
Globalne monitorowanie w dzisiejszym wydaniu nazywa się Observability i umożliwia obserwowanie systemów, aplikacji, urządzeń sieciowych, urządzeń użytkownika, zasobów lokalnych i w chmurze. Celem jest wychwytywanie wszystkiego i wszędzie, zarówno widzenie drogi użytkownika w każdym miejscu stosu IT, jak i pokazanie widoku od strony biznesowej, np. ile zamówień realizuje dana usługa (aplikacja biznesowa) w ciągu godziny?
Observability może być realizowane przez jeden, monolityczny system, ale może być efektem sprzężonego działania systemów, np. system, który samodzielnie monitoruje, może integrować się z wieloma systemami dziedzinowymi (np. do monitorowania aplikacji, monitorowania data center, monitorowania urządzeń sieciowych danego producenta itp.) i dostarczać odgórny wgląd w całe środowisko IT.
Przykładowe cechy narzędzia do Observability:
1. Obserwacja kompletnych stosów IT, od sprzętu po usługi, w lokalnym data center i chmurze publicznej.
- narzędzie wykorzystuje wtyczki do podpinania elementów środowiska IT, co umożliwia monitorowanie dowolnych typów elementów IT tradycyjnych i chmurowych, w szczególności umożliwia integracje z systemami dziedzinowymi np. Data Center Infrastructure Management, Building Systems Management, Security Scanner itp., a nawet innymi systemami monitorowania;
- system wtyczek jest otwarty i umożliwia budowanie wtyczek samodzielnie, także z wykorzystaniem narzędzia typu no-code.
Zespół INDEVOPS sam wytworzył wtyczki do urządzeń sieci komputerowych Cisco, Juniper, CheckPoint i urządzeń składowania danych IBM i Broadcom (Brocade):
- przełączniki i rutery sieci komputerowych, Juniper;
- zapora sieci komputerowej (ang. firewall), CheckPoint;
- przełączniki i punkty dostępowe sieci komputerowych, Cisco;
- macierze dyskowe, IBM XIV;
- przełączniki sieci SAN, Brocade (Broadcom).
2. Odkrywanie powiązań i topologii w środowisku IT:
- narzędzie odkrywa typy podpiętych elementów i ich składniki, np. porty, instancje,metryki i parametry, a także rysuje powiązania między elementami, ich składnikami w zależności od ich faktycznej relacji, np. na jakiej maszynie wirtualnej jest aplikacja?, na jakich obszarach dyskowych są umieszczone maszyny wirtualne?, jakie porty są w przełączniku sieciowym?, jakie dyski są wystawione z macierzy dyskowej?, jakie bazy są w instancji silnika bazodanowego?, jakie instancje aplikacji stanowią aplikacje i na jakich systemach są uruchomione?
- odkrywanie jest automatyczne, choć istnieje możliwość ręcznego lub semi automatycznego budowania powiązań na bazie nakładanych schematów nazewnictwa lub tagów.
3. Wgląd w dane strukturalne i niestrukturalne:
- narzędzie posiada silniki do danych strukturalnych i niestrukturalnych, które dopasowane są danego typu danych, a z drugiej strony umożliwia powiązanie danych strukturalnych i niestrukturalnych danego obiektu na potrzeby jednolitego alertowania,
- dodatkowo, dane niestrukturalne automatycznie strukturyzuje, by umożliwić ich śledzenie w sposób zbliżony do metryk, wykonuje na nich analizy umożliwiające automatyczne grupowanie w aplikacje, wykrywanie sygnatur ataków lub operacyjne wykrywanie nieprawidłowości.
4. Wspólny widok na całe środowisko IT:
- narzędzie udostępnia jeden centralny system widoków, które mogą być przydzielane do wybranych odbiorców (także spoza organizacji) i dopasowywane do własnych potrzeb przez modyfikacje lub tworzenie własnych widoków od zera, mimo, że posiada predefiniowane widoki do troubleshootingu, optymalizacji pojemności, wydajności, kosztów oraz optymalizacji i zużycia energii, w tym redukcji CO2 (ang. sustainability),
- widoki dają zestandaryzowany wgląd w powiązania, metryki, przewidywania, parametry, alerty i objawy wszystkich monitorowanych elementów niezależnie od ich typu, a także podpinanie zewnętrznych elementów dla jednolitego doświadczenia użytkownika i przekierowanie do narzędzi dziedzinowych w przypadku potrzeby głębszej analizy.
5. Optymalizacja zasobów i planowanie pod kątem wydajności, pojemności i kosztów:
- na bazie przechowywanej historii, narzędzie buduje trendy zachowania i wylicza automatyczne progi dla każdej metryki każdego monitorowanego obiektu, co umożliwia przewidywanie zachowania i wprowadzanie rekomendacji na różnych podzbiorach definiowanych w narzędziu (całych data center, grupach systemów, zdefiniowanych aplikacjach biznesowych, w zakresie migracji, przenoszenia, zwiększania zasobów, jak i ich odzyskiwania, w przypadku zbyt niskiego wykorzystania np. odzyskanie nieużywanej pamięci RAM, wyszukiwanie porzuconych zasobów,
- umożliwia kalkulacje kosztów data center z definicjami własnych stawek dla kosztów sprzętu, oprogramowania i porównanie z kosztami chmury publicznej w przypadku przenoszenia obciążenia (głębsza analiza przez integrację z narzędziem CloudHealth).
6. Zaawansowane alertowanie wraz z raportowaniem:
- zamiast alertowania opartego o przekroczone progi, narzędzie stosuje alertowanie w oparciu o objawy, w którym o nieprawidłowości świadczy jeden lub więcej objawów, które dopiero składają się na alert (ważne: mogą występować objawy bez utworzenia alertu), przy czym oba posiadają własne niezależne priorytety i rekomendacje, które operatorzy mogą wykorzystywać przy rozwiązywaniu problemów,
- alertowanie wykorzystuje automatyczne trendy i progi, dzięki czemu istnieje możliwość wykrycia niespodziewanych wzrostów obciążenia w jednym lub wielu systemach, które mogą świadczyć o ataku lub włamaniu,
- alertowanie posiada predefiniowane szablony raportów, z możliwością tworzenia indywidualnych raportów z wybranych dowolnych elementów, a także eksportów do pdf i xlsx oraz wysyłki automatycznej przez e-mail.
7. Monitorowanie usług biznesowych i SLA:
- narzędzie posiada metryki uniwersalne o wartościach procentowych dla każdego monitorowanego elementu, co umożliwia porównywanie różnych typów elementów ze sobą (np. wirtualnej maszyny i zasilacza) oraz budowanie z nich logicznych kontenerów stanowiących zbiory elementów i reprezentujących komponenty, a w szczególności usługi biznesowe, umożliwiające proste monitorowanie zdrowia i SLA tych komponentów (usług),
- szczególnym przypadkiem jest możliwość tworzenia widoków odbiorców i dostawców usługi poprzez budowanie kontenerów dla różnych warstw IT, różnych obszarów i lokalizacji.
8. Weryfikacja monitorowanych elementów pod kątem zgodności w zakresie bezpieczeństwa:
- wbudowany mechanizm polityk zgodności dla różnych typów monitorowanych obiektów, zintegrowany z mechanizmem alertowania i raportowania, z dostarczanymi domyślnie politykami sprawdzania zgodności z przepisami oraz politykami dla infrastruktury VMware vSphere, NSX-T, vSAN oraz regulacji międzynarodowych CIS,
DISA, FISMA, HIPAA, ISO i PCI. Mechanizm daje jednocześnie możliwość tworzenia własnych standardów „Custom Compliance”na potrzeby monitorowania zgodności.
Kluczowa dla wdrożenia NIS2 staje się analiza bezpieczeństwa systemu informatycznego, utrzymanie ciągłości działania i ocena skuteczności już wdrożonych środków. W tym celu ważne jest, zgodnie z normą ISO19011 dotyczącą audytowania systemów zarządzania, aby firma miała odpowiednią ilość informacji, które po analizie staną się dowodami audytowymi. Na ich podstawie audytor poczyni ustalenia audytowe, rozstrzygając o zgodności lub jej braku z normami w dyrektywie NIS2. System z ww. zestawem cech jest w stanie wesprzeć podmiot w biznesowym aspekcie obserwowania jego środowiska IT, ale także dostarczy informacje, które będą przydatne we wdrażaniu i utrzymaniu NIS2.
Jak INDEVOPS wspiera firmy we wdrażaniu wymagań NIS2?
INDEVOPS wypełnia opisane role dla integratora w łańcuchu dostaw i realizuje potrzebne zadania dla podmiotu objętego wymaganiami dyrektywy NIS2. Firma powstała w 2017 r. na potrzeby specjalizacji w monitoringu oraz automatyzacji utrzymania infrastruktury i usług IT. Realizuje swoje usługi w oparciu o własne doświadczenie eksperckie zgromadzone podczas kilkunastu lat pracy z systemami IT, wykorzystując oprogramowanie VMware Aria Operations, na przykładzie którego opisane zostały cechy systemu umożliwiającego realizację idei Observability, poprzez doposażenie go o rozszerzenia firm trzecich oraz autorskie wtyczki powstające we współpracy z partnerami technologicznymi, rozszerzające możliwości narzędzia Aria Operations o monitorowanie kompletu warstw infrastruktury IT:
- VMware Network Insight – analiza bezpieczeństwa sieciowego aplikacji wraz z mechanizmami wykrywania anomalii w sieci poprzez przepływy sieciowe (Netflow)
- Flopsar - wgląd w aplikacje, zgodnie z trendem Application Performance Monitoring,
- UptimeDC - monitorowanie elementów data center (tzw. Data Center Inventory Management),
- Greenbone - skanowanie bezpieczeństwa tzw. Security Scanner.
Dodatkowo INDEVOPS wdrażając też inne rozwiązania VMware może Państwa doprowadzić do spełnienia nowych wymagań bezpieczeństwa NIS2. Poniżej lista rozwiązań:
- VMware Carbon Black - platforma ochrony punktów końcowych oparta na chmurze, która zapewnia wykrywanie i zapobieganie zaawansowanym zagrożeniom, analizę zachowań użytkowników i urządzeń, izolację i usuwanie zagrożeń oraz integrację z innymi systemami bezpieczeństwa,
- VMware Workspace ONE/Inteligent/Mobile Threat Defense - platforma zarządzania cyfrowym miejscem pracy, która umożliwia bezpieczne dostarczanie i zarządzanie dowolną aplikacją na dowolnym urządzeniu, gdziekolwiek się znajduje, z wykorzystaniem wieloczynnikowego uwierzytelniania, warunkowego dostępu i jednokrotnego logowania.
- VMware NSX Advanced Threat Prevention - platforma wirtualizacji sieciowej i bezpieczeństwa, która jest zbiorem narzędzi analitycznych zaprojektowanych do obrony przed zaawansowanymi zagrożeniami, które wykorzystują znane i nieznane wektory ataku. Umożliwia on pełną inspekcję ruchu sieciowego i wykrywanie, i zapobieganie znanych zagrożeniom, takim jak ransomware, malware, komunikacja typu command-and-control, próby ruchu bocznego i wykradanie danych. Wykorzystuje sztuczną inteligencję (AI) i uczenie maszynowe (ML) do analizy zaawansowanych zagrożeń i szybkiej reakcji na nie. Oferuje również kompleksową widoczność zarówno ruchu północ-południe, jak i wschód-zachód, w tym przegląd nieprawidłowego zachowania
- VMware Cloud Disaster Recovery – rozwiązanie do szybkiego i efektywnego odzyskiwania się po awarii lub ataku Ransomware w chmurze VMware
Podsumowanie
We wdrażaniu dyrektywy NIS2, monitorowanie infrastruktury IT staje się niezbędne do weryfikacji spełnienia jej wymagań. Dostarczając aktualnych danych o stanie systemów informatycznych, technologie te mogą pomóc organizacjom spełnić wymagania dyrektywy i zwiększyć ogólny poziom cyberbezpieczeństwa. Przy czym w dzisiejszych skomplikowanych i obszernych środowiskach, nowoczesny system realizujący ideę Observability jest w stanie w znacznym stopniu podnieść poziom obserwacji poprzez automatyczne wykrywanie niestandardowych zachowań pochodzących z wielu źródeł, wykorzystując mechanizmy machine learning. Pozwala to na optymalizację środowiska, mierzenie wydajności, kosztów czy zgodności z naszymi politykami, niezależnie czy dane są przetwarzane w naszym data center czy w publicznej chmurze obliczeniowej.
Rolą INDEVOPS jest zapewnienie bezpieczeństwa dostarczanych rozwiązań do podmiotów, które będą objęte wytycznymi dyrektywy NIS2, wsparcie techniczne zapewniające ciągłość działania, przeszkolenie Pracowników Klienta, a także zapewnienie, że dostarczane rozwiązania do Klienta, jak i forma samej współpracy pomiędzy podmiotem a dostawcą, są zgodne z regulacjami. INDEVOPS wspiera swoich Klientów w optymalizacji wydajności, zarządzania pojemnością, zarządzania kosztami, zarządzania zdarzeniami, zgodnością z wytycznymi i raportowaniem z różnych elementów systemu.
INDEVOPS jest jedynym wywodzącym się z Polski partnerem VMware, który posiada partnerstwo usługowe (Master Services Competency) na poziomie Principal, a także partnerstwo providera chmurowego (Cloud Services Provider) i partnerstwo twórcy oprogramowania Technology Alliance - Standard. W ramach EMEA jesteśmy jedynym podwykonawcą DellEMC w Operations i Automation. Od 2017 roku dostarczamy kluczowe rozwiązania klientom, w tym renomowanym firmom, takim jak PKN Orlen, ING Tech, Poczta Polska, Inpost, Alior, PERN, PCSS, MBank, Polkomtel, Polpharma i wiele innych.
INDEVOPS to ponad 30 czołowych klientów i setki użytkowników korzystających z dostarczonych przez nas rozwiązań. Współpracujemy z partnerami takimi jak VMware, DellEMC, Bluemedora, NetFlow Logic i Greenbone, co gwarantuje najwyższą jakość naszych usług.
Zapraszamy do kontaktu, jeśli chcesz uzyskać więcej informacji wejdź: TUTAJ
Źródła:
https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022L2555&qid=1697431135136, s. 48, art. 21 (dostęp z dn. 16.10.2023)
https://www.vmware.com/ (dostęp z dn. 17.10.2023)
https://docs.vmware.com/en/VMware-Aria-Operations/index.html (dostęp z dn. 16.10.2023)
Autorzy: Paweł Orzechowski Agnieszka Kowalkowska
Autorzy dziękują Krzysztofowi Kowalskiemu (Kowalski ORG) za materiały źródłowe o dyrektywie NIS2 i Ewie Szymczak (Indevops) za koordynację prac i kampanię marketingową.