Rozwiązania dziedzinowe

Wdrożenie KSC: wnioski z dyskusji podczas KSC Forum 2019

Autor Data

Z jakimi wyzwaniami trzeba się mierzyć podczas wdrażania wymogów Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)? Jakie zadania stoją przed organizacjami uznanymi za operatorów usług kluczowych? Jak poprawiać współpracę między firmami? Jak kształcić specjalistów? Gdzie szukać optymalnych rozwiązań i narzędzi wspomagających? Na te i podobne tematy dyskutowano w grupach roboczych podczas KSC Forum 2019 w Zakopanem. Przedstawiamy wnioski i postulaty wypracowane przez poszczególne grupy.

Grupa 1. Skuteczna Ochrona Infrastruktyry Krytycznej –  pasywna  detekcja anomalii czy aktywne reguły zwrotne – procesy i obiekty a infrastruktura informatyczna

Grupa 2. Współpraca sektorowa – klucz do budowania świadomości i efektywnej kooperacji

Grupa 3. Zasoby ludzkie, finansowe i technologiczne

Grupa 4. Dobre dopasowanie narzędzi i drogi działania do specyfiki danej organizacji

Grupa 5. Zagrożenia dotyczące spłycenia wdrożenia ustawy

Grupa 1. Skuteczna Ochrona Infrastruktury Krytycznej –  pasywna  detekcja anomalii czy aktywne reguły zwrotne – procesy i obiekty a infrastruktura informatyczna

W ramach grupy omówimy architekturę skutecznej ochrony Infrastruktury Krytycznej bazując na wypracowanych w naszych firmach wdrożeniach. Porozmawiamy o wypełnieniu poszczególnych zaleceń ustawy KSC mapując poszczególne rozwiązania architektury, które za nie odpowiadają. Porozmawiamy o sytuacji na polskim rynku w sektorze Utilities i Industry – czy jesteśmy gotowi by Ochronę Infrastruktury Krytycznej oprzeć o aktywne reguły bezpieczeństwa czy pozostać przy pasywnej detekcji incydentów i procedurach obsługi anomalii zasobami ludzkimi i czy będzie to skuteczne?

Ustawa o KSC znacząco zmienia odpowiedzialność operatora infastruktury krytycznej i wymogi dotyczące usług, jakie powinien uruchomić. Powinien on w szczególności posiadać narzędzia, które umożliwią mu rozpoznanie, że właśnie doszło do przerwania ciągłości świadczenia usług lub poważnego obniżenia ich jakości. A gdy to wykryje, powinien móc:

  • identyfikować incydenty, rejestrować incydenty, klasyfikować incydenty, w tym identyfikować incydenty poważne*;
  • zgłaszać incydent poważny za pośrednictwem systemu teleinformatycznego do właściwego CSIRT;
  • opisać wpływ incydentu poważnego na usługi kluczowe;
  • w przypadku incydentu, który mógł mieć wpływ na usługi kluczowe, opisać przyczyny tego incydentu, sposób jego przebiegu oraz prawdopodobne skutki oddziaływania na systemy informacyjne.

Powinien ponadto:

  • objąć świadczone usługi kluczowym systemem monitorowania w trybie ciągłym;
  • zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
  • stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo;
  • zarządzać ryzykiem zakłócenia ciągłości świadczenia usługi kluczowej;
  • posiadać odpowiednie i proporcjonalne środki techniczne oraz organizacyjne w celu analizowania ryzyk i zarządzania nimi.

Pytania do dyskusji

Jako podstawę do dyskusji przyjęto modelowe rozwiązanie: wielopoziomową architekturę referencyjną Check Point, składającą się z mikrosegmentacji i wyższych warstw.

Przed podjęciem dyskusji sformułowano zestaw otwartych pytań, które stanowiły podstawę do dalszych prac grupy:

  • Czy skuteczność separacji fizycznej infrastruktury krytycznej to mit, relikt poprzedniej epoki?
  • Czy separować z zastosowaniem rozwiązań NGTW lub za pomocą diody jednokierunkowej, a jeśli tak, to jak uaktywniać subskrypcje w zamkniętym środowisku?
  • Czy separacja i segmentacja to wymóg bezpośrednio wynikający z ustawy o  KSC – czy traktować to jako niedopełnienie należytej staranności?
  • Co separować – podsieci SCADA, komunikację opartą na protokołach? A co z mapowaniem podatności rozwiązania i wykorzystaniem IPS?
  • Ochrona stacji dyspozytorskich – co to właściwie ma być?
  • Czy rozwiązania wyższych warstw – typu Asset & Anomaly Detection – to rozwiązanie wynikające z zaleceń ustawy KSC?
  • Korelacja zdarzeń, wspólne zarządzanie, analityka śledcza, raportowanie zgodność z normami, zarządzanie incydentami – jakie narzędzia powinien mieć SOC w infrastrukturze krytycznej?
  • A co z rozwiązaniami alternatywnymi Sanblast? Czy tego typu rozwiązania powinny znaleźć zastosowanie w ochronie infrastruktury krytycznej?
  • Skuteczna architektura ochrony infrastruktury krytycznej – jak powinien wyglądać model referencyjny CHP?
  • Czy wykrywanie incydentów, czy aktywne reguły zwrotne i blokowanie anomalii na Firewall-ach separujacych – czy jesteśmy na to gotowi?

Mapowanie obszarów ustawy KSC versus model referencyjny skutecznej ochrony infrastruktury krytycznej

W świetle ustawy o Krajowym Systemie Cyberbezpieczeństwa konieczna jest kompletna architektura w pełni adresująca wszystkie wymogi KSC dla operatorów infrastruktury krytycznej. Dotyczy to zarówno wykrywania incydentów, jak i zapobiegania ich rozprzestrzenianiu się, ich obsługi, tj. określania poziomu ważności oraz raportowania i analizy ich wpływu na poziom świadczenia usługi.

Rozwiązanie AAD (Asset & Anomaly Detection) pozwala na spełnienie następujących wymogów:

  • identyfikowanie incydentów, rejestrowanie incydentów, klasyfikowanie incydentów – rozumiane i widziane w tym systemie jako anomalie;
  • opis wpływu incydentu poważnego na usługi kluczowe – raport z wpływu incydentu na usługę lub przeprowadzenie symulacji wpływu incydentu na procesy w organizacji;
  • opis przyczyn tego incydentu, sposobów jego przebiegu oraz prawdopodobnych skutków oddziaływania na systemy informacyjne – poprzez analizę śledczą forensic;
  • monitorowanie podatności systemu – możliwy Paching podatnych wersji systemów tak w stacjach dyspozytorskich, jak i w sterownikach PLC poprzez wskazanie podatnych, przestarzałych wersji firmware’u systemu;
  • raportowanie, klasyfikacja i zgłaszanie incydentów poważnych –  oprogramowanie wspólnie zarządzające R80.xxx umożliwia zarządzanie incydentem, raportowanie z analityką śledczą skutków, jak również bieżące sprawdzenie poprawności konfiguracji z normami tzw. Compliance Check Point.

W ramach infrastruktury FW-s + AAD+ EndPoint + DDOS/WAF, spiętej jednym systemem zarządzania zgodnie z dyrektywą, możliwe jest spełnienie wymogów w obszarach:

  • zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty – system AAD;
  • zastosowanie odpowiednich oraz proporcjonalnych środków technicznych i organizacyjnych w celu analizowania rodzajów ryzyka i zarządzania ryzykami – zarządający administratorzy R80.xxx;
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo – systemy FWs CHP analizujące protokoły i zagrożenia w sieci, mikrosegmentacja sieci;
  • zarządzanie ryzykiem zakłócenia ciągłości świadczenia usługi kluczowej R80.xxx
  • objęcie świadczonych usług kluczowych systemem monitorowania w trybie ciągłym – R80.xxx.

Wnioski z dyskusji

Wśród uczestników naszej grupy roboczej byli przedstawiciele wielu sektorów: energetycznego, górniczego, paliwowego, przemysłu, transportu. Poddaliśmy dyskusji model referencyjnej architektury, opierając się na przykładowym rozwiązaniu firmy Check Point. Wynikiem wspólnej dyskusji są poniższe wnioski:

  1. Bezpieczeństwo sieci infrastruktury krytycznej nie opiera się na separacji fizycznej, obecnie separacja fizyczna to mit i niebezpieczna praktyka.
  2. Separacja środowisk infastruktury krytycznej i mikrosegmentacja to pierwszy krok konieczny do minimalizacji zagrożenia w segmentach, jak również do świadomej ochrony infrastruktury krytycznej przed nieuprawnionym dostępem, eliminacji znanych lub nieznanych ataków z wykorzystaniem rozwiązań Sandboxingowych oraz mapowania podatności. Przedstawiciele obecnych sektorów potwierdzili, że działania w tym kierunku są zaawansowane lub zostały już wdrożone konkretne rozwiązania z tego zakresu.
  3. Diody to rozwiązania do specyficznych zastosowań i mogą być wykorzystywane w określonych miejscach infrastruktury, jednak efekty, jakie przynoszą, są identyczne jak przy firewallach. W przypadku zastosowania rozwiązań NGFW lub NGTP firewall spełnia dodatkowo funkcję ochrony środowiska, które separuje, co w dzisiejszych sieciach jest niezbędne.
  4. Rozwiązanie Asset & Anomaly Detection to narzędzie umożliwiające wykrycie incydentu, klasyfikację i zobrazowanie wpływu, jaki miała anomalia na infrastrukturę; w świetle ustawy o KSC jest to ważne przy raportowaniu incydentu. Ta działalność jest naturalną kontynuacją pierwszego kroku, czyli separacji.
  5. Wykorzystanie firewalli separujących jako sondy ruchu do analizy w Asset & Anomaly Detection to naturalne oszczędności dzięki uproszczeniu infrastruktury poprzez pozwolenie na spełnienie podwójnej roli przeznaczonym do pracy w środowiskach przemysłowych urządzeniom.
  6. Jednorodność ochrony w sieci SCADA z wykorzystaniem jednego vendora w kilku miejscach i warstwach ochrony infrastruktury krytycznej daje szersze możliwości analizy powiązania wektorów ataku poprzez korelacje zdarzeń, raportowania stanu bezpieczeństwa całej infrastruktury, analizy śledczej po incydencie. Jednorodne rozwiązania to skuteczny monitoring i ochrona, lepsze zapobieganie incydentom oraz niższe koszty i większa szczelność ochrony dzięki zastosowaniu jednorodnych reguł blokujących.
  7. Rozwiązania kompleksowej ochrony stacji dyspozytorskiej jako element systemu bezpieczeństwa infrastruktury krytycznej: zabezpieczenie antywirusowe, zabezpieczenie portów przed włożeniem nieuprawnionych urządzeń, zabezpieczenia antyransomware, bezpieczne szyfrowane VPN, szyfrowanie dysku, analityka śledcza (forensic).
  8. Spójny system raportowy z zgodny w wytycznymi ustawy o KSC – sprawdzenie stopnia spełnienia specjalnych norm branżowych w zaprojektowanym środowisku.
  9. Automatyzacja w procesach ochrony sieci krytycznej, reguły zwrotne blokujące wykryte anomalie/incydenty w chwili ich wykrycia to najskuteczniejsza i dostępna metoda ochrony w ramach prezentowanej architektury i rozwiązań referencyjnych. Niemniej w systemach wyższych warstw, takich jak system Asset & Anomaly Detection korzystający z procesów machine learnig, nauka relacji procesowych włączana jest na określony czas, co nie daje pewności uchwycenia wszystkich złożonych procesów komunikacji w infrastrukturze krytycznej, w której pewne procesy pojawiają się rzadko, np. tylko raz do roku. Wskazane jest wobec tego oparcie się w trakcie wdrożenia na detekcji incydentów i w miarę nabywania doświadczeń stopniowe włączanie reguł blokujących proces tylko w sytuacjach potwierdzonych anomalii. W przypadku uruchomienia decyzja o dalszych działaniach związanych z incydentem pozostaje w gestii administratora systemu i poparta powinna być procedurami działania w chwili wykrycia.   

Podsumowanie

Aby spełnić wymogi ustawy o KSC, nie wystarczy posiadanie SOC-u. Potrzeba świadomie zaplanowanej, skutecznej i bezpiecznej architektury infrastruktury krytycznej z mikrosegmentacją, minimalizującej skutki ewentualnego incydentu. Potrzeba narzędzi wyższych warstw pracujących na procesach i obiektach, takich jak: sterowniki, stacje dyspozytorskie, serwery SCADA – analizujących procesy i wskazujących potencjalne incydenty czy anomalie w pracy, określających ich poziom i wpływ na świadczoną usługę krytyczną. Takimi narzędziami są rozwiązania firewall pracujące równocześnie jako sondy dla rozwiązań typu Asset & Anomaly Detection. W połączeniu z ochroną stacji końcowych, umożliwiającą analitykę forensic rozprzestrzeniania się incydentu,  przy wspólnej platformie zarządzania zapewniają kompletny i skuteczny system ochrony infrastruktury krytycznej.

Opracował: Mirosław Żukowski, dyrektor Sektora Utilities & Industry, Check Point Software Technologies, moderator grupy roboczej „Skuteczna Ochrona Infrastruktury Krytycznej – pasywna  detekcja anomalii czy aktywne reguły zwrotne – procesy i obiekty a infrastruktura informatyczna” na „KSC Forum 2019”.

Grupa 2. Współpraca sektorowa – klucz do budowania świadomości i efektywnej kooperacji

W jaki sposób współpraca w ramach sektora pozwala na tańsze i efektywniejsze wdrożenia? Jakie daje korzyści? W jaki sposób pobudzić sektory do takiego działania i współpracy podmiotów, które często rynkowo są wobec siebie konkurencyjne? Jak współdziałać z regulatorem rynku (gdy jest) i jak radzić sobie, gdy go nie ma?

Co ułatwia a co utrudnia współpracę

Czynniki determinujące udaną współpracę Czynniki utrudniające współpracę
  • Kontakty nieformalne – uczestnicy  podkreślali wagę nieformalnych kontaktów i relacji, które ułatwiają wymianę informacji i dobrych praktyk oraz pozwalają zbudować osobiste zaufanie pomiędzy przedstawicielami  instytucji. Nieformalne kontakty dają także większą pewność reakcji – uzyskania odpowiedzi na zapytanie lub informacji na temat incydentu.
  • Otwartość – otwartość na kontakty z innymi instytucjami oraz traktowanie ich na zasadzie partnerskiej wspierają realną współpracę pomiędzy organizacjami. Ważnym czynnikiem, wymienianych przez uczestników, było niekonkurowanie pomiędzy sobą w zakresie cyberbezpieczeństwa.
  • Przynależność do zamkniętej grupy/ forum – przynależność do zamkniętej grupy ułatwia zarówno kontakty osobiste jak i budowanie zaufania. Ważne jest także wsparcie technologiczne, które ułatwia komunikację w obrębie grupy i zapewnia bezpieczeństwo przekazywanych informacji. Jako przykład podawany był m.in. Program Partnerstwo dla Cyberbezpieczeństwa, prowadzony przez PIB NASK
  • Znajomość specyfiki sektorowej – ważnym elementem budującym współpracę jest znajomość specyfiki sektorowej. Ułatwia ona współpracę zarówno w obrębie sektora, jak i pomiędzy sektorami.
  • Obawa, że informacja o incydencie zostanie upubliczniona – upublicznienie informacji o incydencie może spowodować brak zaufania do firmy i znaczne szkody wizerunkowe. Dlatego większość uczestników wskazywała te obawy jako główny czynnik utrudniający współpracę.
  • Obawa, że zgłoszenie incydentu pociągnie za sobą sankcje – operatorzy mają obawy, że zgłoszenie incydentu będzie skutkowało dodatkową kontrolą ze strony organów właściwych
  • Konkurencja biznesowa – fakt, że firmy w obrębie jednego sektora konkurują ze sobą także w obszarze bezpieczeństwa, został zidentyfikowany jako czynnik znacznie utrudniający współpracę
  • Brak zaufania – brak zaufania pomiędzy instytucjami jest bezpośrednio powiązany z konkurencją biznesową i obawą ujawnienia informacji o incydencie. Uczestnicy zaznaczyli także, że zespoły CERT traktowane są przez sektor prywatny jako część administracji, a co za tym idzie: istnieje pewna „podejrzliwość” w zakresie przekazywania informacji i niechęć do przekazywania ich w większym zakresie, niż jest to zdefiniowane w ustawie.
  • Czynnik ludzki – uczestnicy wielokrotnie podkreślali, że tym co najbardziej zawodzi przy współpracy są sami ludzie, którzy często utrudnią wiele kwestii i nie mają w sobie otwartości oraz nie traktują innych w partnerski sposób.
Regulacje prawne – uczestnicy gruoy roboczej mieli ambiwalentny stosunek do regulacji prawnych. Ich zdaniem, z jednej strony ułatwiają one współpracę, ponieważ dają jasne podstawy prawne w określonym zakresie. Jedocześnie mogą przyczyniać się do zbytniego formalizmu, który może utrudniać współpracę.

Partnerstwa publiczno – prywatne  (PPP)

PPP zostało zidentyfikowane jako forma współpracy, która może wspierać regulacje prawne i przyczyniać się do podnoszenia poziomu cyberbezpieczeństwa, zarówno w pojedynczych organizacjach, jak i w skali kraju.

PPP było rozumiane w trzech aspektach:

  1. Współpraca w obrębie sektora publicznego – instytucje państwowe powinny mieć spójny przekaz w zakresie cyberbezpieczeństwa, a w związku z tym powinny między sobą współpracować.
  2. Współpraca w obrębie sektora prywatnego – organizacje objęte UoKSC powinny podejmować ze sobą współpracę zarówno w obrębie własnego sektora, jak i pomiędzy sektorami.
  3. Współpraca pomiędzy sektorem prywatnym i publicznym – współpraca pomiędzy administracją publiczną i sektorem prywatnym jest łatwiejsza, kiedy sektor publiczny ma spójny komunikat, a sektor prywatny już między sobą współpracuje.

W tym zakresie uczestnicy zidentyfikowali kilka wyzwań:

  • standardy i kodeksy dobrych praktyk – określenie jasnych i precyzyjnych standardów dla współpracy oraz opracowanie kodeksów dobrych praktyk sprzyja budowaniu partnerstw publiczno – prywatnych;
  • budowanie świadomości – zwiększanie świadomości na temat potrzeby współpracy w zakresie cyberbezpieczeństwa sprawia, że łatwiej podejmować wspólne działania;
  • zarządzanie zmianą – nowe regulacje prawne są znacznym wyzwaniem dla każdej organizacji, dlatego właściwe zarządzanie zmianą jest jednym z istotniejszych czynników w budowaniu PPP;
  • systematyczne budowanie relacji – PPP opiera się na współpracy, ale musi być ona systematyczna. Warto także wydelegować do niej konkretne osoby, ponieważ ciągła rotacja nie sprzyja budowaniu relacji i zaufania;
  • jasne i precyzyjne komunikaty – ważne, aby komunikaty wymieniane miedzy różnymi organizacjami i sektorami były jasne i precyzyjne, dzięki temu łatwiej uniknąć nieporozumień i osiągnąć zamierzone cele;
  • synergia miedzy sektorami – współpraca w ramach PPP powinna być nastawiona na osiąganie synergii pomiędzy sektorami, dzięki temu może realnie przyczyniać się do podnoszenia poziomu cyberbezpieczeństwa;
  • CSIRT sektorowy – pożądaną formą współpracy w zakresie cyberbezpieczeństwa jest CSIRT sektorowy lub inne formy wspierające działania operacyjne.

Sektorowe zespoły ds. cyberbezpieczeństwa

Uczestnicy dyskutowali na temat powołania sektorowych zespołów ds. cyberbezpieczeństwa. Jako powody braku powstawania takich form współpracy zidentyfikowano:

  • czas – od przyjęcia UoKSC nie upłynęło jeszcze dość czasu. W niektórych sektorach dopiero niedawno zakończyło się wyznaczanie operatorów, którzy teraz dostosowują się do nowych wymagań ustawowych;
  • brak środków – powołanie sektorowego zespołu ds. cyberbezpieczeństwa wymaga znacznych nakładów finansowych oraz zatrudnienia ludzi o konkretnych kompetencjach, których nie jest łatwo pozyskać.

Zidentyfikowano także potrzebę tzw. „poruszyciela” sektorowego – instytucji/osoby, która zintegrowałaby sektor.

Inicjatywa sektorowego zespołu powinna być przy tym dobrze rozumiana przez operatorów. Nie może być to tylko nakaz ze strony administracji, bo wtedy taka struktura nie doniesie sukcesu i nie spełni swojej roli.

W kontekście sektorowego zespołu ds. cyberbezpieczeństwa dyskutowana była formuła CSIRT sektorowego oraz ISAC sektorowego jako bardziej elastycznej struktury.

Opracowała: Magdalena Wrzosek, Kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii NASK PIB, moderator grupy roboczej „Współpraca sektorowa – klucz do budowania świadomości i efektywnej kooperacji” na KSC Forum 2019. 

Grupa 3. Zasoby ludzkie, finansowe i technologiczne

Jak sprostać wyzwaniom ustawy w obecnym otoczeniu konkurencyjnym na rynku pracy i niedoinwestowaniu cyberbezpieczeństwa, także pod względem liczebności i jakości zespołów bezpieczeństwa. Jak mają działać sektory, w których brak kompetencji i zainteresowania tematem cyberbezpieczeństwa i bezpieczeństwa informacji jest nadto wyraźny. Jak osiągnąć możliwie dobry efekt wobec (rażącej) nieadekwatności zasobów?

Z uwagi na bardzo szeroki zakres zadanego tematu grupa postanowiła skupić się na największej przeszkodzie w realizacji zadań związanych z wdrożeniem wymogów ustawy o KSC: braku wykwalifikowanych specjalistów bezpieczeństwa IT.

Sytuacja na rynku

Trudności z zatrudnieniem specjalistów do działów bezpieczeństwa IT są wymieniane przez CISO jako jedno z głównych zagrożeń w realizacji ich zadań. Problem ten jest powszechny i najprawdopodobniej będzie aktualny przez kilka nadchodzących lat. Szacuje się, że globalnie do roku 2023 będzie brakowało 5 mln specjalistów cyberbezpieczeństwa. Według raportu Enterprise Strategy Group z 2019 roku, 53% CIO wymienia brak specjalistów w obszarze bezpieczeństwa jako największe wyzwanie.

Problem ten będzie narastał wraz z rozwojem kolejnych technologii, które będą wymagały zabezpieczeń: 5G, chmura, IoT itp.

Polska nie jest pod tym względem wyjątkiem. Wprowadzane obecnie regulacje (np. Ustawa o KSC) powodują wzrost nakładów na bezpieczeństwo IT, co zwiększa popyt na pracowników. Większość CISO planuje zatrudnić dodatkowych pracowników w tym roku i w kolejnych latach. Popyt na polskim rynku jest dodatkowo zwiększany przez międzynarodowe korporacje, które umieszczają w Polsce tzw. centra usług wspólnych, zatrudniające nierzadko po kilkudziesięciu wysokiej klasy fachowców.

Podsumowując, sytuacja w tym obszarze jest już trudna, a może jeszcze ulec pogorszeniu.

Zdefiniowane obszary działania

Grupa zdefiniowała cztery obszary do dyskusji. Wypracowane w jej ramach wnioski i postulaty mogą pomóc w rozwiązaniu zdefiniowanego na początku problemu lub przyczynić się do złagodzenia jego skutków.

  1. Szkolenia – czyli jak zwiększyć podaż specjalistów.
  2. Technologia, usługi zewnętrzne – na ile AI (artificial intelligence), ML (machine learning), czy usługi MSS (Managed Security Services) będą w stanie zmniejszyć liczbę osób niezbędnych w dziale bezpieczeństwa lub przynajmniej zahamować aktualny wzrost zapotrzebowania na pracowników.
  3. Synergie sektorowe – na ile współpraca pomiędzy przedsiębiorstwami w danym sektorze jest w stanie usprawnić działania poszczególnych działów bezpieczeństwa. Czy jest możliwy podział zadań skutkujący możliwością współdzielenia zasobów?
  4. Klimat pracy – czyli jak przez kulturę organizacji zwiększać atrakcyjność stanowiska pracy, żeby przyciągać i utrzymywać pracowników.

Wnioski z dyskusji

Ad 1. Szkolenia

Dyskusji na ten temat grupa poświęciła najwięcej czasu, rozumiejąc, że jest to obszar mający największy wpływ na zwiększenie podaży nowych pracowników. Jednocześnie uczestnicy spotkania zgodzili się, że szkolenia z zakresu bezpieczeństwa IT będą dotyczyły osób posiadających podstawowe umiejętności techniczne, a szczegółowa wiedza dotycząca konkretnych rozwiązań wymagać będzie dokształcenia podczas pracy w ich organizacjach.

Obecnie w Polsce jest już kilka inicjatyw wspierających system szkolenia w obszarze cyberbezpieczeństwa, np. Liceum przy WAT o specjalizacji cyberbezpieczeństwo czy kursy dostępne na wyższych uczelniach w ramach ich współpracy z firmami komercyjnymi z branży bezpieczeństwa IT. Jednak te godne pochwały działania z uwagi na swoją niewielką skalę nie będą miały dużego wpływu na sytuację na rynku pracy.

Potrzebna jest inicjatywa, która znacznie zwiększy dostęp do nauki podstaw bezpieczeństwa IT osobom o bardzo zróżnicowanym doświadczeniu i wykształceniu. Zawężanie takiej inicjatywy, np. tylko do studentów wyższych uczelni technicznych, nie zmieni w sposób istotny obecnej sytuacji.

Jako przykład programu edukacyjnego, który odniósł sukces na masową skalę, można przywołać tzw. Akademie Cisco. Stworzenie w Polsce na ich wzór co najmniej stu lokalnych „Akademii Cyberbezpieczeństwa” spowodowałoby z pewnością zwiększenie podaży pracowników o podstawowych umiejętnościach. W ramach dalszego rozwoju w działach IT powstałaby spośród nich znacząca grupa wysokiej klasy specjalistów. Nie jest to rozwiązanie, które przyniesie szybki rezultat, ale może w sposób trwały i usystematyzowany pomóc w przygotowywaniu kolejnych specjalistów ds. cyberbezpieczeństwa do pracy w nadchodzących latach.

Idea „Akademii Cyberbezpieczeństwa” to stworzony centralnie program, który w nieodpłatny sposób byłby dostępny dla szerokiego grona chętnych instytucji, uczelni, szkół średnich itp. w formule „train the trainer”. Podstawą sukcesu jest przygotowanie gotowego planu uwzględniającego pełen program szkolenia, który odpowiada na aktualne zapotrzebowanie rynku, przy jednoczesnym zapewnieniu łatwej i szybkiej realizacji (sprzęt, oprogramowanie, wiedza prowadzącego).

Kształcenie powinno trwać optymalnie 1 rok i mieć charakter zajęć weekendowych lub wieczorowych. Szkolenia powinny być otwarte i przystosowane dla osób nieposiadających doświadczenia w cyberbezpieczeństwie lub w IT. Program powinien obejmować zagadnienia teoretyczne i praktyczne.

Pożądane byłoby stworzenie specjalnej grupy, np. w Ministerstwie Cyfryzacji, której zadaniem byłoby przygotowanie studium wykonalności takiego projektu.

Dobry fachowiec ds. cyberbezpieczeństwa powinien cechować się ciekawością i kreatywnością, które mogą okazać się ważniejsze niż zasób wiedzy technicznej, z jaką rozpoczyna kurs cyberbezpieczeństwa. Dla przykładu w Stanach Zjednoczonych powstają programy rozwoju tych umiejętności dla weteranów wojskowych, którzy nie mają umiejętności technicznych, ale posiadają odpowiednie przygotowanie mentalne, psychiczne, bardzo pomocne w tej branży.

Ad 2. Technologia

Nie ulega wątpliwości, że technologie ML (machine learning), a w szczególności AI (artificial intelligence) mają i będą miały coraz większy wpływ na funkcjonowanie działów bezpieczeństwa IT. Wspólnym mianownikiem stworzonych na ich bazie rozwiązań jest automatyzacja działań obronnych. Już dzisiaj CISO powinni budować architekturę bezpieczeństwa w taki sposób, aby była możliwa integracja poszczególnych jej elementów, a dzięki automatyzacji nie wymagała dużych nakładów pracy.

Na pytanie, czy rozwój rynku zarządzanych usług bezpieczeństwa (MSS) może mieć istotny wpływ na poprawę sytuacji braku specjalistów, nie uzyskaliśmy jednoznacznej odpowiedzi. Jest on możliwy w obszarach niewymagających dużego doświadczenia, np. pierwsza linia Security Operation Center. Jednocześnie uczestnicy grupy wyrażali opinie o konieczności posiadania krytycznych umiejętności „inhouse”. Z tej perspektywy usługi zarządzane jawią się bardziej jako dobre uzupełnienie własnych działów bezpieczeństwa niż zastąpienie ich części.

Ad 3. Synergie sektorowe

W tym obszarze sektor finansowy został wybrany jako przykład tzw. best practise. Już dzisiaj w ramach Związku Banków Polskich istnieją zespoły, które na bieżąco wymieniają się nie tylko doświadczeniami, ale również informacjami o aktualnych atakach. Docelowo, w miarę rozwoju otoczenia prawnego, pożądane byłoby umożliwienie wymieniania się informacjami na poziomie IoC (Indication of Compromise). Taka współpraca znacznie usprawniłaby szybkość reagowania całego sektora na bieżące zagrożenia.

Ścisła współpraca w ramach sektora, podobnie jak edukacja personelu,  została uznana za kluczowy element podniesienia bezpieczeństwa, a także usprawnienia działania odpowiedzialnych zespołów.

Ad 4. Klimat i środowisko pracy

Szeregowi pracownicy działów bezpieczeństwa muszą dziś stawiać czoła co chwilę nowym wyzwaniom i nieznanym zagrożeniom, które ewoluują w niesamowitym tempie. Bardzo często napotykają przy tym w swojej działalności na różne bariery wewnątrz organizacji, takie jak: brak budżetów na szkolenia, brak czasu, ograniczenia technologiczne i kadrowe czy brak decyzyjności. Nieustanna presja ze strony przełożonych, połączona często z brakiem zrozumienia i odizolowaniem działów bezpieczeństwa od biznesu, oraz brak jasnego podziału odpowiedzialności powodują, że klimat i środowisko pracy stają się jednym z najistotniejszych czynników przy wyborze pracy w dziale bezpieczeństwa.

Przy nieodpowiednim wyposażeniu technologicznym i przestarzałym podejściu do zabezpieczeń ochrona szybko zmieniającego się środowiska jest trudna, a czasem niemożliwa. Świat cyberzagrożeń zmienia się tak dynamicznie, że kluczowe staje się nadążenie za trendami, praca pod presją czasu czy praca w rozproszonym zespole. Wymaga to od specjalistów konkretnych umiejętności i określonych cech charakteru.

Niewystarczająco wyposażone działy bezpieczeństwa często są wręcz zasypywane pracą z dokumentami oraz raportami spełniającymi kryteria i wymogi regulacyjne. Skutkuje to niekiedy zaniedbaniami w zakresie podstawowych zadań zespołu cyberbezpieczeństwa, czyli wykrywania i reagowania na incydenty bezpieczeństwa. Uczestnicy dyskusji zwrócili uwagę na odpowiedni podział ról i dobieranie pracowników do zespołu bezpieczeństwa nie tylko pod kątem wiedzy technologicznej, lecz także ze względu na kompetencje miękkie i osobowość. Nadmiar obowiązków i wydłużony czas pracy mają też negatywny wpływ na tzw. work/life balance, skutkujący obniżeniem efektywności, a w rezultacie brakiem lojalności pracowników oraz częstą zmianą pracodawcy.

Wyzwania związane z bezpieczeństwem nie ograniczają się dziś wyłącznie do działu bezpieczeństwa IT. Bezpieczeństwo informatyczne powinno być wpisane w kulturę organizacyjną przedsiębiorstwa. Należy ją kształtować, począwszy od zaangażowania kierownictwa firmy, które cyberbezpieczeństwo powinno wpisać w strategię organizacji. Poza jasnym podziałem odpowiedzialności, zapewnieniem zasobów ludzkich, finansowych i technologicznych należy pamiętać też o regularnych szkoleniach z higieny bezpieczeństwa IT dla wszystkich pracowników. Tego typu szkolenia powinny być obowiązkowe tak jak szkolenia BHP dla każdego nowego pracownika oraz regularnie powtarzane i odświeżane wraz ze zmieniającym się krajobrazem zagrożeń. Troska kadry kierowniczej o cyberbezpieczeństwo, wpisana w kulturę organizacyjną firmy, to troska o dane wrażliwe klientów, finanse przedsiębiorstwa, reputację marki oraz znaczącą poprawę pracy osób działów bezpieczeństwa.

Opracował: Paweł Malak, CEE Sales Director, Trend Micro, moderator grupy roboczej „Zasoby ludzkie, finansowe i technologiczne” na „KSC Forum 2019”.

Grupa 4. Dobre dopasowanie narzędzi i drogi działania do specyfiki danej organizacji

„Moja firma została wyznaczona jako Operator Usługi Kluczowej! I co teraz?”Czy istnieje optymalny przepis na wdrożenie i jakie błędy łatwo popełnić – czy firmy będą wiedziały, co i w jakiej kolejności robić? Czy powinny rozwijać własne kompetencje czy pozyskać je na zewnątrz?

Co oznacza dla firmy wdrożenie KSC? Odpowiedź na to pytanie nie jest jednoznaczna, gdyż specyfika każdej organizacji oznacza inną ścieżkę dojścia do osiągnięcia zgodności z wymaganiami Ustawy. Można jednak stworzyć mapę drogową, która będzie pomocna w wyznaczeniu optymalnej formuły działania.

1. Należy zacząć od poznania własnej organizacji, czyli identyfikacji krytycznych procesów z dwóch perspektyw: realizacji celów biznesowych oraz bycia operatorem usługi kluczowej.

2. Kiedy już określimy procesy krytyczne, musimy ustalić jakie systemy teleinformatyczne wspierają ich realizację.

3. Kolejnym krokiem jest weryfikacja wpływu niedostępności tychże systemów teleinformatycznych na realizację procesów krytycznych.

4. Następnie budujemy profil ryzyka dla powyższych systemów, aby określić potencjalne zagrożenia.

5. W kolejnym kroku musimy wykonać analizę ryzyka, biorąc pod uwagę istniejące zabezpieczenia i kontrole ograniczające materializację ryzyka.

6. Teraz jesteśmy gotowi, aby wykrytym słabościom nadać adekwatne priorytety, określić czas ich usunięcia oraz sposób sfinansowania wymaganych zmian.

Hybrydowy model wsparcia

Okazuje się, że bez względu na profil organizacji najczęściej brakuje wewnętrznych zasobów na realizację dużych projektów, szczególnie w obszarze cyberbezpieczeństwa. Nie wynika to z braku kompetencji zespołu, lecz z obciążenia bieżącymi zadaniami. Przy jednoczesnym niedoborze wykwalifikowanych kadr na rynku pracy zasadne wydaje się skorzystanie z zewnętrznych usług wsparcia.

Szczególnym obszarem jest monitorowanie bezpieczeństwa, gdyż wymaga powołania specjalnego zespołu, i to najczęściej w trybie 24/7. Należy jednak pamiętać, że proces monitorowania bezpieczeństwa wymaga ciągłych poprawek i strojenia narzędzi, więc w sytuacji pełnego outsourcingu usługi istnieje ryzyko dużego uzależnienia się od dostawcy. Warto zastanowić się nad modelem hybrydowym, w którym pierwsza linia dostawcy usług pracuje, korzystając z naszych narzędzi. W sytuacji zakończenia kontraktu nie tracimy konfiguracji powstałej w wyniku ciągłego dopasowywania narzędzi do aktualnych zagrożeń i potrzeb.

Wybór narzędzi

Nie ma narzędzi dobrych dla każdej organizacji. Ich wybór musi być podyktowany realizacją funkcji celu, opierając się na analizie ryzyka. Wdrożenie rozwiązania za 10X, które minimalizuje ryzyko straty w wysokości 2X, nie ma żadnego uzasadnienia biznesowego. Doskonałym pomysłem są wizyty referencyjne, w trakcie których będziemy mogli z pierwszej ręki uzyskać informacje, jak wygodnie pracuje się z danym rozwiązaniem, czy też jakie są jego silne i słabe strony.

Najważniejsze aspekty związane z wyborem narzędzi:

1. Poziom pokrycia wymagań organizacji (realizacja funkcji celu).

2. Możliwości integracji z istniejącą infrastrukturą.

3. Posiadane kompetencje w przyszłym zespole utrzymaniowym.

4. Źródła finansowania.

5. Poziom wsparcia na polskim rynku.

Opracował: Wojciech Kubiak, ICT Security Director, PKP Energetyka, moderator grupy roboczej „Dobre dopasowanie narzędzi i drogi działania do specyfiki danej organizacji” na „KSC Forum 2019”. 

Grupa 5. Zagrożenia dotyczące spłycenia wdrożenia ustawy

Syndrom bezpieczeństwa papierowego – czyli pójście po linii najmniejszego oporu. Syndrom małpki – Lepiej nie wiedzieć, nie zgłaszać, nie robić. Syndrom KRI – czyli „pożyjemy, zobaczymy, a może im przejdzie”. Syndrom zmęczenia po RODO – tyle zrobiliśmy i w sumie czy warto było?

Spotkanie grupy roboczej rozpoczęliśmy od przeformułowania tematu. Użyte w nim słowo „spłycenie” niesie negatywny wydźwięk kojarzący się z celowymi działaniami. Dlatego grupa zaproponowała, aby ostateczna postać dyskusji była zawarta w temacie „Zagrożenia wynikające z uproszczenia wdrożenia ustawy o krajowym systemie cyberbezpieczeństwa”.

Terminologia

W oryginalnym tytule i tekście dyrektywy NIS występuje termin „information systems”. Natomiast w ustawodawstwie polskim posłużono się określeniem „system informatyczny”, co należy uznać za wadliwe formalnie i błędnie skupiające uwagę na systemach IT, zamiast na ochronie informacji, co było zamierzeniem autorów NIS. Niewłaściwa interpretacja może być przyczyną uproszczeń we wdrożeniu ustawy, gdyż wskazuje na systemy IT, a nie na informacje, które powinny być chronione. Podobnych przykładów niewłaściwego tłumaczenia bądź interpretacji można zauważyć więcej.

Postulujemy skorygowanie oficjalnego przekładu tej dyrektywy na język polski i zastąpienie określenia „system informatyczny” określeniem „system informacyjny”, a także przegląd innych, użytych w ustawie terminów.

Forum współpracy

Ustawa wyznacza wiele organów właściwych, które wskazują m.in. operatorów usług kluczowych. Wdrożenie ustawy narzuca konieczność spełnienia określonych wymagań, które są wspólne dla każdego operatora. Z tym zadaniem wiążą się określone ryzyka i problemy, które operatorzy muszą sami rozstrzygać, co może skutkować uproszczeniem wdrożenia bądź niewłaściwym realizowaniem zadań w przyszłości. Zauważyliśmy, że bardzo pomocne byłoby powołanie forum współpracy – zarówno między operatorami danego sektora, jak i między organami właściwymi. Znacznie zaoszczędziłoby to koszty wdrożenia, a przede wszystkim pozwoliło wypracować jednolite stanowisko odnośnie do rozwiązania określonych problemów i wyzwań.

Postulujemy powołanie forum lub innej, podobnej struktury, gdzie organy właściwe mogłyby prezentować problemy swego sektora, aby wspomóc wdrażanie ustawy, a potem wypełniać jej zapisy i rozporządzenia z nią powiązane. Analogicznie wskazane jest, aby organ właściwy pomógł wymieniać doświadczenia pomiędzy operatorami usług kluczowych.

Pewność prawa

Mimo obowiązywania ustawy o krajowym systemie cyberbezpieczeństwa nie wszystkie podmioty otrzymały jeszcze decyzję o uznaniu za operatora usługi kluczowej, inne taką decyzję otrzymały już wcześniej. Ustawa i rozporządzenia obligują do podjęcia określonych zadań. Jednocześnie prowadzone są zmiany rozporządzeń, mówi się o zmianie ustawy, co wprowadza niepewność wśród tych, którzy już się podjęli wdrożenia. Jeśli nowe wydania aktów prawnych wprowadzą znaczące zmiany w już wdrożonych rozwiązaniach, wiele podmiotów znajdzie się w sytuacji braku stabilności działania.

Postulujemy powstrzymanie wdrażania nowych regulacji do czasu, aż wszyscy operatorzy otrzymają decyzje i tym samym dostosują się do tych samych standardów, bądź powstrzymanie audytów i wyciągania konsekwencji prawnych do czasu wdrożenia ostatecznej postaci ustawy i rozporządzeń, aby wszyscy operatorzy mieli wystarczająco dużo czasu na przystosowanie się do nowych warunków.

Harmonogram

Zarówno ustawa, jak i rozporządzenia z nią powiązane ustalają ścisły harmonogram działań dla niektórych zadań. Różny jest poziom dojrzałości organizacji objętych ustawą. Niektóre z nich nie wdrożyły wcześniej systemu zarządzania bezpieczeństwem informacji. Ustawa funkcjonuje w pewnych cyklach, które wieńczone są audytami. Pierwszy audyt musi zostać zrealizowany w ciągu roku od wydania decyzji o ustanowieniu operatora usługi kluczowej. Samo wdrożenie systemu zarządzania bezpieczeństwem informacji w zależności od wielkości organizacji i liczby realizowanych procesów biznesowych może zajmować od kilku do kilkunastu miesięcy. Nie jest zatem możliwe w tak krótkim czasie prawidłowe wypełnienie zobowiązania nakładanego przez ustawę. I tym samym potwierdza się teza postawiona w temacie: uproszczenie wdrożenia.

Należy także wziąć pod uwagę, że podmioty publiczne zobowiązane są prawem zamówień publicznych, które samo w sobie nakłada określone terminy procedur przetargowych, a właściwe podejście do wdrożenia wymaga przygotowania dobrej jakości opisu przedmiotu zamówienia. W przypadku pośpiechu dokumentacja zostanie opracowana pobieżnie, a tym samym nie otrzymamy tego, co powinniśmy.

Postulujemy skonsultowanie poszczególnych zdań pod względem ich złożoności, pracochłonności, a także uwzględnienia specyfiki budżetu – gdzie wydatki trzeba zaplanować z wielomiesięcznym wyprzedzeniem. Dotyczy to szczególnie wdrożenia SZBI, uruchomienia SOC itp.

Swoboda biznesowa

Artykuł 14 ust. 4 ustawy o KSC stanowi, że minister właściwy do spraw informatyzacji określi w drodze rozporządzenia warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo operatorów usług kluczowych. Mają one uwzględniać polskie normy oraz konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Upoważnienie to jest oczywiście zgodnie z zasadami prawodawstwa, ale znacznie ogranicza swobodę decyzyjną podmiotów co do rozwiązań techniczno-organizacyjnych. Dyskusje nad rozporządzeniem były bardzo burzliwe i, zdaniem grupy, wiele rozwiązań zostało narzuconych bez znajomości tematu. Punktem wyjścia powinna być analiza ryzyka, na podstawie której poszczególne podmioty samodzielnie zadecydują o tym, jakie rozwiązania techniczne wdrożyć. Organizacje powinny być rozliczane za efekty, a nie za użyte środki techniczne – te powinny być adekwatne do oszacowanego ryzyka.

Postulujemy pozostawienie większej swobody operatorom usług kluczowych w wyborze zabezpieczeń fizycznych, bez tworzenia szczegółowych rozporządzeń.

Opracował: Eryk Trybulski, moderator grupy roboczej „Zagrożenia wynikające z uproszczenia wdrożenia ustawy o krajowym systemie cyberbezpieczeństwa” na „KSC Forum 2019”.

Kategorie: Rozwiązania dziedzinowe

Tagi: ,