Wszystkie drogi prowadzą do SOC
Co warto wiedzieć o „security blind spots” oraz rozwiązaniach EDR/XDR, SIEM/SOAR.
Zapis webinarium o KSC. Kluczowe informacje o Ustawie i jej reperkusjach. Od 24:30 zaczyna się sesja pytań i odpowiedzi. Więcej informacji o Ustawie na stronie https://exatel.pl/krajowy-system-cyberbezpieczenstwa-ksc-exatel/
Webinarium / Ustawa o Krajowym Systemie Cyberbezpieczeństwa
Dawid Piec:
Dzień dobry wszystkim, witamy na naszym webinarium dotyczącym ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nazywam się Dawid Piec i zajmuję się w EXATEL klientami z sektora publicznego. Wraz z moimi dwoma kolegami postaramy się przytoczyć dzisiaj najważniejsze uwagi.
Łukasz Bonczek:
Dzień dobry, nazywam się Łukasz Bonczek i jestem Kierownikiem Zespołu Obsługi Przetargów Publicznych. Miałem okazję wcześniej pracować w Ministerstwie Cyfryzacji i brałem udział w pracach nad ustawą o Krajowym Systemie Cyberbezpieczeństwa.
Paweł Deyk:
Dzień dobry, nazywam się Paweł Deyk. Jestem inżynierem Wsparcia Sprzedaży. Pracowałem również z klientami w Administracji Publicznej.
Dawid:
Temat jest w tym momencie na czasie, ponieważ ustawa weszła niedawno. Co tak naprawdę obejmuje nasza ustawa w największym skrócie?
Łukasz:
Ustawa o Krajowym Systemie Cyberbezpieczeństwa stanowi wdrożenie unijnej dyrektywy NIS. Ustanawia nam ona ramy prawne funkcjonowania KSC w Polsce, wskazuje podmioty wchodzące w skład KSC i nakłada na nie obowiązki. Najwięcej obowiązków ma operator usług kluczowych, ale są też obowiązki dla podmiotów publicznych i dostawców usług cyfrowych. Ustawa wprowadza też kary za nieprzestrzeganie tych obowiązków.
Dawid:
Co tak naprawdę ona obejmuje? Jaki mamy zakres tej ustawy?
Łukasz:
KSC obejmuje bardzo szeroki zakres podmiotów: operatorów usług kluczowych, dostawców usług cyfrowych, trzy CSIRT-y, sektorowe zespoły cyberbezpieczeństwa i organy właściwe. Żeby uporządkować tę materię, chciałem Państwu przedstawić cztery główne kategorie podmiotów, które rozróżniamy w ustawie. Pierwsze to organy państwowe odpowiedzialne wprost za realizację przepisów ustawy: NASK, który odpowiada za CSIRT NASK; ABW, która odpowiada za CSIRT GOV; MON w którym działa CSIRT MON i organy właściwe działające w sześciu sektorach. Druga kategoria to operatorzy usług kluczowych, trzecia to podmioty publiczne, a do ostatniej kategorii zaliczamy dostawców usług cyfrowych. Teraz na slajdzie przedstawimy jak wygląda Krajowy System Cyberbezpieczeństwa. Jak widać jest on dosyć skomplikowany, jest wielu aktorów i odnalezienie się w tych zależnościach nie jest proste.
Dawid:
Czym jest CSIRT i jakie są jego zadania?
Łukasz:
Mamy trzy główne CSIRT-y działające na poziomie krajowym: CSIRT NASK, CSIRT MON i CSIRT GOV. Do ich zadań należy monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym, reagowanie na zgłaszane incydenty, szacowanie ryzyka związanego z ujawnionymi zagrożeniami i w uzasadnionych przypadkach pomoc w obsłudze incydentów.
Dawid:
Oczywiście jest to pewien element całego grafu przedstawionego poprzednio. Jaki jest organ właściwy dla danego sektora? Jak to się prezentuje?
Łukasz:
Głównych sektorów jest sześć, z czego jeden z nich dzieli się na dwa podsektory. Dla każdego z sektorów i podsektorów ustanowiony jest organ właściwy. Dla sektora energii jest to minister właściwy do spraw energii; dla sektora transportu – minister właściwy do spraw transportu; dla sektora transportu wodnego (który został wyróżniony jako podsektor) – minister właściwy do spraw gospodarki morskiej i żeglugi śródlądowej; dla sektora bankowego i całej infrastruktury rynków finansowych – Komisja Nadzoru Finansowego; dla sektora ochrony zdrowia – Minister Zdrowia; dla sektora zaopatrzenia w wodę pitną – minister właściwy do spraw gospodarki wodnej; dla sektora infrastruktury cyfrowej – minister właściwy do spraw informatyzacji. Są tu jeszcze pewne wyłączenia w ramach sektorów, bo jeżeli MON nadzoruje którąś z jednostek w sektorze, to jest on organem właściwym dla tej jednostki, ale to jest drobny element, który tylko utrudnia zrozumienie całej istoty sprawy.
Dawid:
Czyli mamy podział na sektory ministrów właściwych. Jakie są zadania tych ministrów właściwych?
Łukasz:
Główne zadanie organu właściwego to zakwalifikowanie podmiotu jako operatora usługi kluczowej. W tym celu występuje on z takiego podmiotu o uzyskanie informacji i na podstawie zebranych informacji wszczyna postępowanie administracyjne i jeżeli uzna to za stosowne i jeśli wypełnione są wymagania określone ustawą, to wydaje decyzję o uznaniu za operatora usługi kluczowej. Ponadto organ właściwy może powołać sektorowy zespół cyberbezpieczeństwa, do którego zadań należy także kontrola operatorów usług kluczowych. Jego przedstawiciele mogą wchodzić do operatora i sprawdzić czy dotrzymuje on określonych ustawą wymogów.
Dawid:
Jak operator może stwierdzić czy działa w danym sektorze?
Łukasz:
Tak jak wcześniej już wspomniałem, sektory są wskazane w załączniku nr. 1 do ustawy i są to: sektor energii, transportu, bankowości, ochrony zdrowia, sektor zaopatrzenia w wodę pitną i jej dystrybucję oraz sektor infrastruktury cyfrowej. W załączniku do ustawy przy poszczególnych sektorach wypisane są rodzaje działalności, które są uznawane za usługę kluczową i w ten sposób czytając co jest określone w ustawie, możemy stwierdzić czy jesteśmy i działamy w tym sektorze, który jest uznany za usługi kluczowe czy nie działamy.
Dawid:
Kim jest operator kluczowy? Co to za podmiot? Jakie są jego podstawowe zadania?
Łukasz:
Zgodnie z ustawą aby uznać jakiś podmiot za operatora usługi kluczowej, muszą być spełnione trzy główne przesłanki. Pierwszą przesłanką jest świadczenie usługi kluczowej, czyli usługi wymienionej w załączniku nr. 1 do ustawy. Drugą przesłanką jest to, że świadczenie tej usługi uzależnione jest od systemów informacyjnych, czyli jakichś systemów teleinformatycznych. Trzecia przesłanka jest taka, że incydent który mógłby wystąpić, może wywrzeć skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Dawid:
Ustawa wymienia jeszcze podmiot publiczny. Czym jest właściwie podmiot publiczny?
Łukasz:
Podmioty publiczne są wymienione enumeratywnie w ustawie i są to jednostki sektora finansów publicznych, instytuty badawcze, NBP, BGK, Polskie Centrum Akredytacji, Urząd Dozoru Technicznego, Narodowy Fundusz Ochrony Środowiska oraz spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej takie jak wodociągi lub elektrociepłownie. Z tym zastrzeżeniem, że wodociągi albo elektrociepłownie jeżeli są odpowiednio wielkie i spełniają przesłanki ustawowe, mogą też być uznane za operatorów usługi kluczowej.
Dawid:
Czyli tak naprawdę podmiotami publicznymi będzie większość podmiotów dotyczących tej ustawy?
Łukasz:
Tak naprawdę cały sektor finansów publicznych możemy uznać za podmioty publiczne.
Dawid:
Czy ustawa wymienia jeszcze jakiś podmiot?
Łukasz:
Mamy jeszcze dostawców usług cyfrowych, którzy muszą być osobą prawną albo jednostką organizacyjną nieposiadającą osobowości prawnej, działającą na terytorium RP i świadczącą usługę cyfrową. Te usługi cyfrowe zostały wymienione w załączniku do ustawy. Jako usługi cyfrowe wskazane są tutaj usługi wyszukiwarek, usługi przetwarzania danych w chmurze i usługi internetowej platformy handlowej.
Dawid:
Omówiliśmy trzy podstawowe podmioty, które mogą się pojawić. Pytanie które teraz wszystkich nurtuje, to czy mogę być uznany za operatora usługi kluczowej i kiedy to się wydarzy?
Łukasz:
Zgodnie z ustawą, decyzje o uznaniu za operatora usługi kluczowej, powinny były być wydane do dnia 9 listopada 2018 roku, jednak zapewne ze względu na skalę problemu i ogrom podmiotów, które każdy organ właściwy musi ogarnąć, to w listopadzie organy właściwe zaczęły dopiero wszczynać postępowania administracyjne, których celem jest uznanie danego podmiotu za operatora usługi kluczowej. Mamy sygnały z rynku, że w tej chwili co do operatorów usługi kluczowej, decyzje zostały wydane w stosunku do 30 osób, a toczy się 350 postępowań, w których takie decyzje zostaną prawdopodobnie wydane.
Dawid: Czyli w tym momencie jest to cały czas w toku i niedługo będziemy się dowiadywać o decyzjach organów właściwych. Jakie obowiązki będzie miał operator kluczowy jeżeli dostanie taką decyzję?
Łukasz:
Zatrzymałbym się tutaj na chwilę, ponieważ skąd mamy wiedzieć, że będziemy tym operatorem? Przede wszystkim musimy spojrzeć na to czy działamy w którymś z sektorów w których mogą działać operatorzy usług kluczowych. Zbrojeniówka nie jest nigdzie wymieniona, zatem nie ma raczej takiego niebezpieczeństwa, ale jeżeli działamy w którymś z sektorów energii, dystrybucji wody, to istnieje prawdopodobieństwo że taka decyzja zostanie wydana i pewnie jeżeli nie otrzymaliśmy jeszcze pisma, to możemy je na dniach otrzymać i postępowanie w celu wydania decyzji może zostać wszczęte. Jeżeli chodzi o obowiązki, to po wydaniu decyzji musimy sobie zdać sprawę z tego, że ciąży na nas szereg obowiązków. Musimy wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym, wdrożyć odpowiednie i proporcjonalne do oszacowanego ryzyka środki techniczne i organizacyjne, musimy zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach, musimy mieć zespół ludzi do zarządzania incydentami i być w stanie stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, a przez to na bezpieczeństwo świadczenia usługi kluczowej i oczywiście musimy mieć możliwość komunikowania się z właściwym CSIRT-em.
Dawid:
Jakie są obowiązki operatora? Czy wyznaczamy jakąś osobę? Jak to będzie wyglądało w praktyce?
Łukasz:
Musimy wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktu z organem właściwym i z właściwym CSIRT-em. Ponadto ciąży na nas obowiązek zapewnienia użytkownikom usługi kluczowej (np. klientom elektrowni bądź też wodociągów) informacji o tym, że istnieją zagrożenia cyberbezpieczeństwa i że stosowane są skuteczne sposoby zabezpieczania się przed tymi zagrożeniami. Takie informacje powinny być zamieszczone na naszej stronie internetowej. Musimy mieć opracowaną dokumentację dotyczącą cyberbezpieczeństwa systemu, bezpieczeństwa świadczenia usługi kluczowej, utrzymania ciągłości świadczenia takiej usługi. Ta dokumentacja musi być aktualizowana. Wszystko to jest wymienione w rozporządzeniach do ustawy. Są tam szczegółowe wytyczne jak to powinno wyglądać i z tych obowiązków operator usługi kluczowej będzie rozliczany przez organy właściwe.
Dawid:
Jakie są takie codzienne obowiązki operatora?
Łukasz:
Jeżeli jesteśmy operatorem usługi kluczowej to pamiętajmy, że musimy mieć powołany jakiś zespół ds. cyberbezpieczeństwa. Alternatywa jest taka, że usługi takiego zespołu można kupić na zewnątrz. Musimy zapewniać obsługę incydentów, co nie jest proste, ponieważ trzeba umieć zaklasyfikować incydent zgodnie z wytycznymi wynikającymi z rozporządzenia, a w sytuacji w której incydent będzie incydentem poważnym, musimy również poinformować o tym niezwłocznie konkretny CSIRT i w porozumieniu z nim podejmować właściwe kroki polegające na obsłudze tego incydentu, zapobieganiu niebezpieczeństwom powstającym w związku z incydentem i usuwaniu podatności, które powstały w wyniku takiego incydentu.
Dawid:
Jest wiele rzeczy, które musi zrobić operator usługi kluczowej. Większość podmiotów będzie jednak podmiotami publicznymi. Jakie mają one obowiązki w związku z tą ustawą?
Łukasz:
Obowiązków dla podmiotów publicznych jest mniej, ale trzeba przyznać że nie są one też takie proste, ponieważ musimy wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, czyli CSIRT-em i organem właściwym; musimy zapewnić zarządzanie incydentem w podmiocie publicznym, czyli musimy umieć zidentyfikować w ogóle to, że wystąpił jakiś incydent, czyli stwierdzić że doszło do jakiegoś naruszenia bezpieczeństwa, wykrycia podatności w naszych systemach, przefiltrować to i zgłosić taki incydent niezwłocznie, jeżeli jest on incydentem w podmiocie publicznym, nie później niż w ciągu 24 godzin do właściwego CSIRT-u, a potem w porozumieniu z CSIRT-em zapewnić obsługę takiego incydentu. Jest to wyzwanie, przed którym do tej pory pracownicy podmiotów publicznych jeszcze pewnie nie stawali.
Dawid:
Czy w związku z ustawą wynikają też jakieś cykliczne obowiązki, które powinny oba podmioty realizować?
Łukasz:
Cykliczne obowiązki nałożone są głównie na operatorów usług kluczowych. Takim cyklicznym obowiązkiem jest konieczność przeprowadzania raz na dwa lata audytu bezpieczeństwa. Audyt mogą przeprowadzić bądź to wyznaczone jednostki, bądź też audytorzy posiadający stosowne certyfikaty.
Dawid:
Czyli mamy operatora kluczowego i podmiot publiczny i są pewne obowiązki które muszą one wykonywać. Jeżeli ich nie zrealizują, to czy mogą wobec nich zostać nałożone kary? Czy zostało to określone w ustawie?
Łukasz:
Tak, mogą zostać nałożone kary. Będą za to odpowiedzialne organy właściwe, które będą przeprowadzały kontrole operatorów usług kluczowych i dostawców usług cyfrowych i za brak dokumentacji, brak środków technicznych, za nieusunięte podatności, za stwierdzenie niezgłoszenia incydentów do CSIRT lub nieprzeprowadzanie audytów, będą grozić kary. Te kary oscylują od tysiąca do 200 tysięcy złotych, ale jeżeli w wyniku kontroli organ właściwy stwierdzi, że przepisy ustawy były łamane uporczywie, to kara może wynieść nawet milion złotych.
Dawid:
W jaki sposób możemy w tym momencie sprawdzić na jakim etapie przygotowania jesteśmy, jeżeli chodzi o wdrożenie ustawy o KSC?
Paweł:
Najłatwiej będzie to zrobić za pomocą takich narzędzi, którymi dysponują podmioty, które zajmują się ochroną i bezpieczeństwem u klientów. Jedną z takich organizacji jest EXATEL. Można to zrobić za pomocą przeglądu pod kątem wymogów ustawy KSC. Jest to sposób na to by zbadać zarówno procedury jak i infrastrukturę informatyczną. Można to również spełnić za pomocą testów penetracyjnych.
Dawid:
Czy są wymagane jakieś normy żeby przeprowadzić taki przegląd? Jak to wygląda w praktyce?
Paweł:
Taki przegląd, zgodnie ze wskazówkami zawartymi w ustawie, realizowany jest w oparciu o regulacje, ale także rekomendacje, dobre praktyki znane na całym świecie, m.in. standardy normy ISO 27000, standardy normy ISA czy najbardziej znane standardy NIST.
Dawid:
Jak praktycznie coś takiego wprowadzić? Jak przeprowadzić taki przegląd?
Paweł:
Ze strony EXATEL mamy pewną propozycję jak mógłby wyglądać taki przegląd bezpieczeństwa. Podzielony jest na kilka etapów. Zaczyna się od spotkania inicjującego, na którym przedstawiany jest cały problem w organizacji i uzgodniony zostaje plan, harmonogram działania, oraz to jak dużo wsparcia będziemy potrzebować po stronie klienta. Kolejnym etapem jest analiza dokumentacji, która jest zgromadzona u klienta, chodzi tutaj zarówno o polityki bezpieczeństwa, dokumenty analizy ryzyka czy plany ciągłości działania. Kolejnym etapem są wyrywkowe wywiady z osobami, które zostaną wytypowane jako istotne z punktu widzenia działania usług. Mamy tutaj na myśli m.in. administratorów systemowych i menadżerów zarządzających zespołami IT. Takie wywiady są potrzebne do uzupełnienia pewnych informacji, których może brakować w dokumentacji. Następnie po pewnej pracy wykonanej po stronie jednostki przygotowującej przegląd, np. EXATEL, jest przygotowanie pełnego raportu w którym po pierwsze weryfikowane są wszystkie wymogi, a także przygotowywane pewne rekomendacje do wdrożenia. Taki raport może również zostać zaprezentowany osobom decyzyjnym u klienta, np. zarządowi czy dyrektorowi jednostki.
Dawid:
Jakie przykładowe technologie możemy wdrożyć aby nasza organizacja była bezpieczna? Co to za technologie? Jakie to mogą być rozwiązania?
Paweł:
Wszystko zależy od specyfiki danego podmiotu, jakie posiada systemy, w jaki sposób działają, czy mają dostęp do Internetu czy nie. Możemy tutaj wyróżnić kilka najważniejszych elementów. Jednym z nich jest ochrona punktu styku z Internetem. Możemy tutaj zaproponować np. ochronę przed atakami DDoS, zaawansowane zapory sieciowe (np. next-generation firewall). Bardzo często będziemy potrzebować także systemów, które będą chronić przed wyciekiem danych, przed pewnymi atakami na aplikacje i bazy danych. Oprócz tego warto też pomyśleć o ochronie stacji końcowych, na których działają pracownicy. Warto tutaj rozważyć rozwiązania takie jak ochrona przed malware czy kontrola dostępu do sieci. Idealnym uzupełnieniem systemów, które zbierałyby informacje z całego środowiska, byłby system do korelacji logów i zdarzeń klasy SIEM, dzięki któremu część pracy którą należy wykonać, czyli m.in. zweryfikować czy dany incydent jest o odpowiednim poziomie zagrożenia, czy jest faktycznie istotny, czy ma duży wpływ na działanie usługi kluczowej. Taki system może ułatwić klasyfikowanie incydentów, jak również pozwala w lepszy sposób zobaczyć wszelkie incydenty w organizacji. Oprócz tego jako uzupełnienie warto monitorować zarówno całe środowisko, jak i od czasu do czasu przeprowadzać skanowanie podatności lub pentesty, najlepiej firm które świadczą tego typu usługi i mogą np. próbować dostać się do kluczowych zasobów organizacji, nie znając ich środowiska ani specyfiki działania.
Dawid:
Kupimy np. rozwiązanie typu SIEM i co dalej. Nie każda organizacja w tym momencie, może być organizacją, która posiada odpowiednie zasoby ludzkie, wiedzę lub kompetencje do obsługi takiego sprzętu.
Paweł:
Jak najbardziej. Część z podmiotów o których mówiliśmy nigdy wcześniej nie miała do czynienia z zaawansowanymi systemami i z tego względu warto rozważyć usługi, które są świadczone przez zespoły SOC firm zewnętrznych. Jeśli chodzi o EXATEL to mamy cały szereg usług bezpieczeństwa, które możemy oferować w oparciu o nasze wewnętrzne zasoby, o zespół SOC który pracuje w trybie 24 godziny, 7 dni w tygodniu, 365 dni w roku. SOC ma trzy linie – pierwsza zajmuje się monitorowaniem, druga reagowaniem na incydenty i koordynacją współpracy z zespołem po stronie klienta, a trzecia zajmuje się zaawansowanymi usługami bezpieczeństwa. Warto pomyśleć o tym, że są kompetencje z których można skorzystać, niekoniecznie należy je budować we własnej organizacji.
Dawid:
Mamy pewne obowiązki w związku z wejściem ustawy. Skąd tak naprawdę wziąć na to budżet? W tym momencie wiele organizacji jest na pewno zaskoczonych tego typu rozwiązaniami i że muszą je wprowadzić.
Paweł:
Wydaje się, że najbardziej rozsądnym podejściem byłby właśnie przegląd bezpieczeństwa, który zweryfikuje zarówno obecny stan dojrzałości organizacji i pozwoli zidentyfikować obszary które są kluczowe, które wymagają szybkiej reakcji i podjęcia stosownych ruchów. Dzięki temu można również przygotować cały zestaw rekomendacji, które pozwolą przekonać osoby decyzyjne do zaplanowania budżetu na zakup konkretnych systemów czy usług świadczonych przez podmioty komercyjne.
Q&A
D: Czy zakup usług zewnętrznych, nie spowoduje redukcji etatów?
P: Z praktyki wiem, że jest pewna obawa, która rodzi się u klientów. Wiadomo że potrzebne jest często wsparcie kompetencyjne na zewnątrz, natomiast to co jest bardzo istotne z punktu widzenia organizacji takiej jak my, która świadczy usługi bezpieczeństwa, to że potrzebujemy jak najbardziej kompetentnych partnerów po drugiej stronie, czyli osób które znają przede wszystkim środowisko, potrafią zareagować na nasze rekomendacje i na incydenty, które zostały zidentyfikowane. Dlatego bardzo często prezentujemy również taki model świadczenia usługi SOC w którym my świadczymy zarówno linię 1. jak i 3. i monitorujemy przez całą dobę incydenty, zgłaszamy je do koordynatorów po stronie klienta. Drugą linią jest wtedy zespół IT lub zespół bezpieczeństwa u klienta. Następnie w przypadku kiedy incydenty są krytyczne, ma miejsce jakiś duży atak, bądź potrzebne jest wsparcie kompetencyjne na wyższym poziomie, świadczona jest również usługa wsparcia linii 3., która może zrobić zarówno analizę wsteczną złośliwego oprogramowania, jak i przeprowadzić np. szczegółową analizę powłamaniową w przypadku np. wycieku danych.
D: Czy do audytów w rozumieniu ustawy, zobowiązani są tylko operatorzy usług kluczowych?
Ł: Tak. Wymóg przeprowadzania audytów spoczywa tylko na operatorach usług kluczowych, ale tak jak wcześniej mówił kolega, warto jest zrobić u siebie przegląd bezpieczeństwa, żeby pokazać kierownikowi jednostki, w którym miejscu jest organizacja i pokazać że jest dobrze. Taki kierownik sam może zlecić przegląd takiej organizacji zewnętrznej jak my, żeby po prostu mieć pewność, że jest on w stanie realizować obowiązki, które są na niego nałożone jako na podmiot publiczny. Czyli jeżeli dojdzie do jakiegoś incydentu, to czy jest on w stanie zapewnić obsługę incydentu, zidentyfikowanie go, opisanie go w taki sposób jak wymaga tego ustawa i rozporządzenia, przesłanie do właściwego CSIRT-u. Audyt jest więc tylko dla operatorów usług kluczowych, niemniej jednak ja bym doradzał żeby taki przegląd bezpieczeństwa zrobić u siebie raz na jakiś czas i żeby wiedzieć czy nasza organizacja jest w stanie spełnić inne obowiązki, które wynikają z ustawy.
D: Pan Krzysztof prosi o komentarz do rozporządzenia wykonawczego, § 2 – „Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne (…)”.
Ł: Tutaj organ wydający rozporządzenie skupił się chyba raczej na wymogach fizycznych z zakresu świadczenia usług cyberbezpieczeństwa i nie ukrywam, że my też w naszej organizacji musieliśmy wprowadzić pewne zmiany w związku z tymi wymogami. Bo my jako operator któremu można zlecać usługi SOC, podmiot który został uznany za operatora usługi kluczowej i któremu można zlecić świadczenie takich usług, musimy spełniać również wymagania opisane w rozporządzeniu. Skupiono się tutaj na wymogach technicznych, czyli grubości cegieł, murów, odpowiednich drzwi, szaf. Taką decyzję podjął organ wydający rozporządzenie i trzeba się do tego brzmienia dostosować.
D: Co dzieje się z danymi, które są zbierane podczas pentestów?
P: Dane z systemów, które są w ten sposób częściowo pozyskiwane, służą przede wszystkim do zidentyfikowania podatności, do weryfikacji czy odpowiednie informacje z systemu są zbierane. Takie informacje służą przede wszystkim (po wykryciu tych podatności) do znalezienia sposobów i przedstawienia ich w formie rekomendacji. Często są to problemy bardziej organizacyjne, związane z przydzielaniem uprawnień, ale czasem są to po prostu podatności niezaktualizowanych systemów czy pewnych przestarzałych rozwiązań. Dane te służą przede wszystkim temu by opierać się na prawdziwych danych ze środowiska i na ich podstawie jest przygotowywany raport wraz z wszystkimi rekomendacjami. Zawsze wcześniej jest podpisywana umowa o poufności wykonawcy, również po naszej stronie. Dysponujemy certyfikatami i poświadczeniami bezpieczeństwa, jeżeli jest taka potrzeba u klienta, więc wiemy jak obchodzić się z danymi wrażliwymi i niejawnymi.
D: Czy jest możliwość przetestowania rozwiązań bezpieczeństwa o których była mowa?
P: Oczywiście. Większość systemów lub usług możemy zweryfikować w praktyce. Zespół inżynierów po stronie EXATEL jest gotowy również do tego, żeby przeprowadzić, przygotować i zaplanować scenariusze testowe oraz przygotować środowisko do weryfikowania jakiej jakości są systemy, które oferujemy. Tutaj zazwyczaj przygotowywane są testy Proof of Concept, czyli po pewnym zaplanowaniu scenariuszy, po przygotowaniu technologii lub usług które interesują klienta, ustalamy pewien obszar organizacji, który ma być testowany. Może to być jakiś wycinek sieci, jakiś zbiór stacji roboczych czy serwerów, które organizacja chce przetestować, dlatego też po przygotowaniu takiego środowiska, przeprowadzane są np. testy wszystkich kategorii. Po takich testach jest przygotowywany raport po którym klient jest w stanie ocenić czy spełnione są wszystkie wymagania, które postawił temu systemowi lub usłudze. Na tej podstawie weryfikowane jest również czy system spełnia wystarczająco wszystkie potrzeby. Po podjęciu decyzji o zakupie, jest przygotowywana oferta i w zależności od tego czy mamy do czynienia z prawem zamówień publicznych, toczone jest postępowanie zakupowe. Na większości systemów które oferujemy, można przeprowadzić właśnie takie testy POC, żeby zweryfikować po prostu, czy jest to odpowiednie rozwiązanie dla danej organizacji.
D: Czy mają Państwo przykładowe oferty w zakresie przejęcia funkcji SOC w organizacji lub ankietę po której są Państwo w stanie przedstawić taką ofertę?
P: Jak najbardziej. Opieramy się przede wszystkim na informacjach, które pozyskamy od klienta. Przy wycenianiu usług outsourcingu, usług bezpieczeństwa naszego zespołu SOC, bardzo ważne jest zidentyfikowanie tego, jakie są systemy w środowisku klienta, w jaki sposób możemy zbierać logi i w jaki sposób przygotować reguły korelacyjne na systemie SIEM. Jeśli klient nie dysponuje takim systemem, to często w ramach takiej oferty mamy również możliwość zakupu takiego rozwiązania. Jest to dość długotrwały proces, który pozwala nie tylko faktycznie wdrożyć te usługi i podnieść znacząco poziom bezpieczeństwa, ale bardzo często zwiększa też mocno świadomość i dojrzałość organizacji, poprzez sam proces przygotowania się do pozyskania takiej oferty. Przeprowadzamy taką dość szczegółową ankietę związaną zarówno z tymi systemami, użytkownikami, procesami organizacji, pewnymi regulacjami które obowiązują daną organizację, w tym np. KSC, i staramy się na tej podstawie kompleksowo zaproponować usługę, która będzie skrojona na potrzeby klienta.
D: Czy EXATEL świadczy usługę bezpiecznej sieci dla administracji publicznej?
P: Tak. Jest to jedna z podstawowych usług naszej firmy. Łączność to nasza domena od wielu lat. Jesteśmy operatorem od ponad 25 lat i świadczymy te usługi klientom zarówno w sektorze komercyjnym, bankowym, finansowym, energetycznym, jak i dla administracji publicznej. Opieramy się tutaj na kompetencjach naszego zespołu. Mamy również zespół Network Operations Center, który przez całą dobę weryfikuje poprawność działania sieci i czuwa nad tym, by sieć działała poprawnie. Dodatkowo sugerujemy do łączy internetowych ochronę przed atakami DDoS, które potrafią sparaliżować organizację.
D: Czy wymagania techniczne dotyczą wyłącznie pomieszczeń w których jest zlokalizowany zespół ds. cyberbezpieczeństwa, czy dotyczą wszelakich pomieszczeń w których mamy systemy informacyjne?
Ł: Rozporządzenie nie odpowiada wprost na to pytanie, ale wydaje mi się, że kiedy spojrzymy na przepis ustawy, a konkretnie na Art. 14, ustęp 2., to tam jest wskazane, że wymogi techniczne dotyczą wewnętrznych struktur powołanych przez operatora usługi kluczowej oraz przez podmioty świadczące usługi z zakresu cyber. Wydaje mi się, że nie dotyczy to całego budynku lub pomieszczeń gdzie świadczona jest usługa kluczowa, ale wyłącznie pomieszczeń w których działają wewnętrze struktury powołane przez operatora usługi kluczowej. Jak spojrzymy na to zdroworozsądkowo, to nie chodzi o to żeby wszędzie stawiać jakieś okna specjalnej klasy, a tylko wstawiać je w pomieszczeniach gdzie siedzą operatorzy SOC.
D: Czy są jakieś konkretne miasta zarządzające własnymi sieciami telekomunikacyjnymi na potrzeby JST? Czy są one operatorami usługi kluczowej?
Ł: Co do zasady jest to raczej niemożliwe. Operator usługi kluczowej musi działać w jednym z sektorów wskazanych w ustawie. Jak spojrzymy na poszczególne sektory, to działalność telekomunikacyjna jest świadczeniem usług cyfrowych, ale tutaj za operatora usługi kluczowej mogą być uznani ci najwięksi dostawcy usług cyfrowych, czyli ci, którzy świadczą usługi DNS, albo mają najwięcej punktów wymiany ruchu. Na pewno kimś takim nie będzie jednostka samorządu terytorialnego, zatem pod tym względem jednostka nie może być operatorem usługi kluczowej. Ale jeżeli miasto jest duże, to może zostać uznane za operatora usługi kluczowej, ponieważ zarządza systemem transportowym, czyli światłami w mieście, a to już jest usługa kluczowa w sektorze transportu. Tam gdzie jest inteligentne zarządzanie ruchem, a miasto jest duże, istnieje prawdopodobieństwo, że miasto będzie operatorem usługi kluczowej, natomiast miasto które wybudowało u siebie sieć telekomunikacyjną, raczej nie.
Co warto wiedzieć o „security blind spots” oraz rozwiązaniach EDR/XDR, SIEM/SOAR.
Jak mądrze zagospodarować środki na cyberbezpieczeństwo w Twojej firmie?