1. Wprowadzenie do NIS2 i DORA
NIS2 (Network and Information Security Directive 2):
Dyrektywa NIS2 to aktualizacja pierwotnej dyrektywy NIS, która miała na celu zwiększenie odporności na cyberzagrożenia w sektorach kluczowych dla funkcjonowania gospodarki, takich jak energetyka, transport, zdrowie czy infrastruktura finansowa. NIS2 nie tylko poszerza listę sektorów objętych regulacją, ale także zaostrza wymagania dotyczące zarządzania ryzykiem cybernetycznym, wprowadzając obowiązek wprowadzenia odpowiednich środków ochrony i reagowania na incydenty. Ponadto, dyrektywa wprowadza obowiązek ścisłego monitorowania bezpieczeństwa dostawców usług chmurowych, zewnętrznych partnerów oraz firm outsourcingowych.
DORA (Digital Operational Resilience Act):
DORA jest regulacją skierowaną głównie do sektora finansowego, mającą na celu zapewnienie, że instytucje finansowe w UE są odpowiednio przygotowane na zagrożenia cyfrowe. Obejmuje szeroki zakres działań, od zarządzania ryzykiem ICT, przez zarządzanie incydentami, po regularne testowanie odporności operacyjnej. DORA wymusza na firmach wdrożenie solidnych ram zarządzania ryzykiem cybernetycznym, które muszą być zintegrowane z całościowym zarządzaniem ryzykiem w organizacji.
2. Nowe wyzwania dla firm pod kątem pentestów
a) Rozszerzone zakresy testów:
- Większa liczba systemów objętych testami: NIS2 i DORA znacząco rozszerzają zakres systemów, które muszą być testowane pod kątem bezpieczeństwa. Obejmuje to nie tylko klasyczne środowiska IT, ale także systemy OT (Operational Technology), które zarządzają fizycznymi operacjami przedsiębiorstwa, takimi jak produkcja czy logistyka. W kontekście NIS2, szczególną uwagę należy poświęcić systemom SCADA, które mogą być celem cyberataków, mających na celu zakłócenie funkcjonowania krytycznej infrastruktury.
- Testy dostawców zewnętrznych: Dyrektywa NIS2 wprowadza obowiązek monitorowania i testowania systemów zewnętrznych dostawców usług, takich jak dostawcy chmurowi, co wymaga nowego podejścia do pentestów, uwzględniającego również wektory ataków związane z integracjami między systemami firmowymi a chmurowymi. W praktyce może to oznaczać konieczność prowadzenia audytów bezpieczeństwa u dostawców lub wymagania od nich regularnego dostarczania wyników testów penetracyjnych.
b) Obowiązek regularnych testów:
- Cykliczność i dokumentacja: Wymóg regularnych testów, określony w DORA, wiąże się z koniecznością stworzenia harmonogramu testów penetracyjnych oraz zapewnienia ich cyklicznego przeprowadzania. Firmy muszą być przygotowane na to, że regulatorzy będą wymagać udokumentowania zarówno wyników testów, jak i podjętych działań naprawczych. W praktyce oznacza to konieczność prowadzenia szczegółowej dokumentacji, która może obejmować np. raporty z audytów, analizy ryzyka, czy plany naprawcze.
- Eskalacja wyników: DORA podkreśla potrzebę raportowania wyników testów wyższemu kierownictwu, co oznacza, że wyniki pentestów muszą być przedstawiane w formie zrozumiałej nie tylko dla zespołów IT, ale także dla zarządu. Może to wymagać przygotowania szczegółowych raportów, zawierających zarówno techniczne wyniki, jak i ocenę ryzyka dla biznesu.
c) Testy odporności na cyberataki:
- Red Teaming i TIBER-EU: Testy odpornościowe w ramach DORA wymagają przeprowadzenia symulacji rzeczywistych ataków, które są szczególnie istotne w kontekście testów TIBER-EU (Threat Intelligence-based Ethical Red Teaming). Tego rodzaju testy polegają na wykorzystaniu zaawansowanych technik ataków przez tzw. Red Team, który symuluje działania potencjalnych napastników. Takie podejście umożliwia ocenę rzeczywistej zdolności firmy do wykrywania i reagowania na incydenty bezpieczeństwa. Testy TIBER-EU muszą być prowadzone z zachowaniem ścisłych procedur, a wyniki muszą być szczegółowo raportowane.
- Ocena zdolności do reakcji na incydenty: Poza standardowymi testami penetracyjnymi, wymagane są również testy zdolności reagowania na ataki, w tym scenariusze awaryjne (np. symulowane ataki ransomware). Ważne jest, aby te testy obejmowały ocenę całego procesu reagowania na incydenty, od wykrycia zagrożenia, przez zarządzanie incydentem, aż po odtworzenie normalnej pracy systemów. W przypadku wykrycia słabych punktów, niezbędne jest opracowanie i wdrożenie planów naprawczych.
d) Raportowanie wyników:
- Wymagania dotyczące raportowania: Zarówno NIS2, jak i DORA wprowadzają ścisłe wymagania dotyczące raportowania wyników testów penetracyjnych. Wymaga to od firm opracowania procesów umożliwiających dokładne i terminowe raportowanie do odpowiednich organów regulacyjnych. Raporty muszą zawierać szczegółowe informacje o przeprowadzonych testach, zidentyfikowanych lukach bezpieczeństwa, podjętych działaniach naprawczych oraz planach na przyszłość.
- Zgodność z przepisami o ochronie danych: Raportowanie wyników pentestów musi być zgodne z przepisami dotyczącymi ochrony danych osobowych (np. RODO). Oznacza to, że dane osobowe nie mogą być bezpośrednio ujawniane w raportach, a wszelkie informacje o incydentach związanych z danymi osobowymi muszą być odpowiednio anonimizowane lub agregowane.
e) Zaangażowanie zarządu:
- Edukacja i zaangażowanie kierownictwa: DORA wymaga, aby najwyższe kierownictwo było bezpośrednio zaangażowane w proces zarządzania ryzykiem cybernetycznym, co oznacza konieczność edukowania zarządu na temat zagrożeń cybernetycznych oraz znaczenia pentestów. W praktyce może to wymagać regularnych szkoleń oraz spotkań z zarządem, podczas których omawiane będą wyniki testów, ryzyka oraz planowane działania.
- Integracja wyników pentestów w strategię firmy: Wyniki pentestów powinny być wykorzystywane do podejmowania strategicznych decyzji dotyczących bezpieczeństwa IT. Oznacza to, że na poziomie zarządu muszą być uwzględniane zarówno w budżetowaniu, jak i planowaniu długoterminowych strategii bezpieczeństwa.
3. Praktyczne aspekty i narzędzia
Automatyzacja pentestów:
- Narzędzia do automatyzacji: Ze względu na rosnące wymagania w zakresie testowania, firmy coraz częściej sięgają po narzędzia do automatyzacji pentestów, takie jak OpenVAS (do skanowania luk bezpieczeństwa), Metasploit (platforma do testów eksploitacyjnych) oraz Burp Suite (do testowania bezpieczeństwa aplikacji webowych). Automatyzacja umożliwia regularne przeprowadzanie testów, szybsze identyfikowanie luk i natychmiastowe podejmowanie działań naprawczych.
- Integracja z CI/CD: Automatyzowane testy penetracyjne mogÄ… być zintegrowane z pipeline’ami CI/CD (Continuous Integration/Continuous Deployment), co pozwala na ciÄ…gÅ‚e monitorowanie bezpieczeÅ„stwa aplikacji na każdym etapie ich rozwoju. DziÄ™ki temu możliwe jest szybkie wykrywanie i naprawianie bÅ‚Ä™dów bezpieczeÅ„stwa już na wczesnym etapie produkcji.
Współpraca z zewnętrznymi ekspertami:
- Outsourcing pentestów: W przypadku firm, które nie posiadają wewnętrznych zespołów ds. bezpieczeństwa, współpraca z zewnętrznymi ekspertami może okazać się niezbędna. Specjalistyczne firmy oferują usługi pentestingu, w tym testy typu Red Team oraz audyty zgodności z NIS2 i DORA. Korzystanie z usług takich firm może być szczególnie korzystne dla mniejszych przedsiębiorstw, które nie mają zasobów na budowanie własnych kompetencji w tym zakresie.
- Audyt i certyfikacja: W przypadku współpracy z zewnętrznymi dostawcami usług, ważne jest, aby dostawcy ci posiadali odpowiednie certyfikaty potwierdzające zgodność z wymaganiami NIS2 i DORA, takie jak ISO 27001, SOC 2, czy certyfikaty specyficzne dla sektora finansowego.
Polecam artykuł: https://piotrczubkowski.pl/wplyw-nis2-i-dora-na-zgodnosc-z-iso-27001-podczas-audytow/
Szkolenie zespołów IT:
- Rozwój kompetencji: Wymagania NIS2 i DORA oznaczają, że zespoły IT muszą stale podnosić swoje kompetencje w zakresie bezpieczeństwa. Regularne szkolenia, warsztaty oraz udział w konferencjach branżowych są kluczowe, aby pracownicy byli na bieżąco z najnowszymi technikami ataków oraz metodami ich wykrywania i neutralizacji.
- Szkolenia praktyczne: Praktyczne szkolenia, takie jak Capture The Flag (CTF) czy warsztaty z zakresu Red Teaming, mogą pomóc zespołom IT lepiej zrozumieć metody działania potencjalnych napastników oraz przygotować się na realne zagrożenia.
4. Bezpieczeństwo i ochrona danych
Zgodność z RODO:
- Ochrona danych osobowych podczas pentestów: Podczas przeprowadzania testów penetracyjnych, szczególną uwagę należy zwrócić na ochronę danych osobowych, aby nie doszło do ich nieuprawnionego ujawnienia. Konieczne jest przestrzeganie zasad minimalizacji danych, co oznacza, że testy powinny być tak zaprojektowane, aby jak najmniej dotyczyły danych osobowych. Jeśli testy muszą obejmować takie dane, należy zastosować odpowiednie środki, takie jak szyfrowanie, anonimizacja lub pseudonimizacja.
- Dokumentacja zgód: W przypadku testów, które mogą obejmować dane osobowe, konieczne może być uzyskanie odpowiednich zgód od właścicieli danych lub klientów. Ważne jest, aby cały proces był dokładnie udokumentowany i aby firma była w stanie wykazać zgodność z przepisami RODO na wypadek kontroli ze strony organów nadzoru.