NIS2_Dora_PC

1. Wprowadzenie do NIS2 i DORA

NIS2 (Network and Information Security Directive 2):

Dyrektywa NIS2 to aktualizacja pierwotnej dyrektywy NIS, która miała na celu zwiększenie odporności na cyberzagrożenia w sektorach kluczowych dla funkcjonowania gospodarki, takich jak energetyka, transport, zdrowie czy infrastruktura finansowa. NIS2 nie tylko poszerza listę sektorów objętych regulacją, ale także zaostrza wymagania dotyczące zarządzania ryzykiem cybernetycznym, wprowadzając obowiązek wprowadzenia odpowiednich środków ochrony i reagowania na incydenty. Ponadto, dyrektywa wprowadza obowiązek ścisłego monitorowania bezpieczeństwa dostawców usług chmurowych, zewnętrznych partnerów oraz firm outsourcingowych.

DORA (Digital Operational Resilience Act):

DORA jest regulacją skierowaną głównie do sektora finansowego, mającą na celu zapewnienie, że instytucje finansowe w UE są odpowiednio przygotowane na zagrożenia cyfrowe. Obejmuje szeroki zakres działań, od zarządzania ryzykiem ICT, przez zarządzanie incydentami, po regularne testowanie odporności operacyjnej. DORA wymusza na firmach wdrożenie solidnych ram zarządzania ryzykiem cybernetycznym, które muszą być zintegrowane z całościowym zarządzaniem ryzykiem w organizacji.

2. Nowe wyzwania dla firm pod kątem pentestów

a) Rozszerzone zakresy testów:

  • WiÄ™ksza liczba systemów objÄ™tych testami: NIS2 i DORA znaczÄ…co rozszerzajÄ… zakres systemów, które muszÄ… być testowane pod kÄ…tem bezpieczeÅ„stwa. Obejmuje to nie tylko klasyczne Å›rodowiska IT, ale także systemy OT (Operational Technology), które zarzÄ…dzajÄ… fizycznymi operacjami przedsiÄ™biorstwa, takimi jak produkcja czy logistyka. W kontekÅ›cie NIS2, szczególnÄ… uwagÄ™ należy poÅ›wiÄ™cić systemom SCADA, które mogÄ… być celem cyberataków, majÄ…cych na celu zakłócenie funkcjonowania krytycznej infrastruktury.
  • Testy dostawców zewnÄ™trznych: Dyrektywa NIS2 wprowadza obowiÄ…zek monitorowania i testowania systemów zewnÄ™trznych dostawców usÅ‚ug, takich jak dostawcy chmurowi, co wymaga nowego podejÅ›cia do pentestów, uwzglÄ™dniajÄ…cego również wektory ataków zwiÄ…zane z integracjami miÄ™dzy systemami firmowymi a chmurowymi. W praktyce może to oznaczać konieczność prowadzenia audytów bezpieczeÅ„stwa u dostawców lub wymagania od nich regularnego dostarczania wyników testów penetracyjnych.

b) Obowiązek regularnych testów:

  • Cykliczność i dokumentacja: Wymóg regularnych testów, okreÅ›lony w DORA, wiąże siÄ™ z koniecznoÅ›ciÄ… stworzenia harmonogramu testów penetracyjnych oraz zapewnienia ich cyklicznego przeprowadzania. Firmy muszÄ… być przygotowane na to, że regulatorzy bÄ™dÄ… wymagać udokumentowania zarówno wyników testów, jak i podjÄ™tych dziaÅ‚aÅ„ naprawczych. W praktyce oznacza to konieczność prowadzenia szczegółowej dokumentacji, która może obejmować np. raporty z audytów, analizy ryzyka, czy plany naprawcze.
  • Eskalacja wyników: DORA podkreÅ›la potrzebÄ™ raportowania wyników testów wyższemu kierownictwu, co oznacza, że wyniki pentestów muszÄ… być przedstawiane w formie zrozumiaÅ‚ej nie tylko dla zespołów IT, ale także dla zarzÄ…du. Może to wymagać przygotowania szczegółowych raportów, zawierajÄ…cych zarówno techniczne wyniki, jak i ocenÄ™ ryzyka dla biznesu.

c) Testy odporności na cyberataki:

  • Red Teaming i TIBER-EU: Testy odpornoÅ›ciowe w ramach DORA wymagajÄ… przeprowadzenia symulacji rzeczywistych ataków, które sÄ… szczególnie istotne w kontekÅ›cie testów TIBER-EU (Threat Intelligence-based Ethical Red Teaming). Tego rodzaju testy polegajÄ… na wykorzystaniu zaawansowanych technik ataków przez tzw. Red Team, który symuluje dziaÅ‚ania potencjalnych napastników. Takie podejÅ›cie umożliwia ocenÄ™ rzeczywistej zdolnoÅ›ci firmy do wykrywania i reagowania na incydenty bezpieczeÅ„stwa. Testy TIBER-EU muszÄ… być prowadzone z zachowaniem Å›cisÅ‚ych procedur, a wyniki muszÄ… być szczegółowo raportowane.
  • Ocena zdolnoÅ›ci do reakcji na incydenty: Poza standardowymi testami penetracyjnymi, wymagane sÄ… również testy zdolnoÅ›ci reagowania na ataki, w tym scenariusze awaryjne (np. symulowane ataki ransomware). Ważne jest, aby te testy obejmowaÅ‚y ocenÄ™ caÅ‚ego procesu reagowania na incydenty, od wykrycia zagrożenia, przez zarzÄ…dzanie incydentem, aż po odtworzenie normalnej pracy systemów. W przypadku wykrycia sÅ‚abych punktów, niezbÄ™dne jest opracowanie i wdrożenie planów naprawczych.

d) Raportowanie wyników:

  • Wymagania dotyczÄ…ce raportowania: Zarówno NIS2, jak i DORA wprowadzajÄ… Å›cisÅ‚e wymagania dotyczÄ…ce raportowania wyników testów penetracyjnych. Wymaga to od firm opracowania procesów umożliwiajÄ…cych dokÅ‚adne i terminowe raportowanie do odpowiednich organów regulacyjnych. Raporty muszÄ… zawierać szczegółowe informacje o przeprowadzonych testach, zidentyfikowanych lukach bezpieczeÅ„stwa, podjÄ™tych dziaÅ‚aniach naprawczych oraz planach na przyszÅ‚ość.
  • Zgodność z przepisami o ochronie danych: Raportowanie wyników pentestów musi być zgodne z przepisami dotyczÄ…cymi ochrony danych osobowych (np. RODO). Oznacza to, że dane osobowe nie mogÄ… być bezpoÅ›rednio ujawniane w raportach, a wszelkie informacje o incydentach zwiÄ…zanych z danymi osobowymi muszÄ… być odpowiednio anonimizowane lub agregowane.

e) Zaangażowanie zarządu:

  • Edukacja i zaangażowanie kierownictwa: DORA wymaga, aby najwyższe kierownictwo byÅ‚o bezpoÅ›rednio zaangażowane w proces zarzÄ…dzania ryzykiem cybernetycznym, co oznacza konieczność edukowania zarzÄ…du na temat zagrożeÅ„ cybernetycznych oraz znaczenia pentestów. W praktyce może to wymagać regularnych szkoleÅ„ oraz spotkaÅ„ z zarzÄ…dem, podczas których omawiane bÄ™dÄ… wyniki testów, ryzyka oraz planowane dziaÅ‚ania.
  • Integracja wyników pentestów w strategiÄ™ firmy: Wyniki pentestów powinny być wykorzystywane do podejmowania strategicznych decyzji dotyczÄ…cych bezpieczeÅ„stwa IT. Oznacza to, że na poziomie zarzÄ…du muszÄ… być uwzglÄ™dniane zarówno w budżetowaniu, jak i planowaniu dÅ‚ugoterminowych strategii bezpieczeÅ„stwa.

3. Praktyczne aspekty i narzędzia

Automatyzacja pentestów:

  • NarzÄ™dzia do automatyzacji: Ze wzglÄ™du na rosnÄ…ce wymagania w zakresie testowania, firmy coraz częściej siÄ™gajÄ… po narzÄ™dzia do automatyzacji pentestów, takie jak OpenVAS (do skanowania luk bezpieczeÅ„stwa), Metasploit (platforma do testów eksploitacyjnych) oraz Burp Suite (do testowania bezpieczeÅ„stwa aplikacji webowych). Automatyzacja umożliwia regularne przeprowadzanie testów, szybsze identyfikowanie luk i natychmiastowe podejmowanie dziaÅ‚aÅ„ naprawczych.
  • Integracja z CI/CD: Automatyzowane testy penetracyjne mogÄ… być zintegrowane z pipeline’ami CI/CD (Continuous Integration/Continuous Deployment), co pozwala na ciÄ…gÅ‚e monitorowanie bezpieczeÅ„stwa aplikacji na każdym etapie ich rozwoju. DziÄ™ki temu możliwe jest szybkie wykrywanie i naprawianie bÅ‚Ä™dów bezpieczeÅ„stwa już na wczesnym etapie produkcji.

Współpraca z zewnętrznymi ekspertami:

  • Outsourcing pentestów: W przypadku firm, które nie posiadajÄ… wewnÄ™trznych zespołów ds. bezpieczeÅ„stwa, współpraca z zewnÄ™trznymi ekspertami może okazać siÄ™ niezbÄ™dna. Specjalistyczne firmy oferujÄ… usÅ‚ugi pentestingu, w tym testy typu Red Team oraz audyty zgodnoÅ›ci z NIS2 i DORA. Korzystanie z usÅ‚ug takich firm może być szczególnie korzystne dla mniejszych przedsiÄ™biorstw, które nie majÄ… zasobów na budowanie wÅ‚asnych kompetencji w tym zakresie.
  • Audyt i certyfikacja: W przypadku współpracy z zewnÄ™trznymi dostawcami usÅ‚ug, ważne jest, aby dostawcy ci posiadali odpowiednie certyfikaty potwierdzajÄ…ce zgodność z wymaganiami NIS2 i DORA, takie jak ISO 27001, SOC 2, czy certyfikaty specyficzne dla sektora finansowego.

Polecam artykuł: https://piotrczubkowski.pl/wplyw-nis2-i-dora-na-zgodnosc-z-iso-27001-podczas-audytow/

Szkolenie zespołów IT:

  • Rozwój kompetencji: Wymagania NIS2 i DORA oznaczajÄ…, że zespoÅ‚y IT muszÄ… stale podnosić swoje kompetencje w zakresie bezpieczeÅ„stwa. Regularne szkolenia, warsztaty oraz udziaÅ‚ w konferencjach branżowych sÄ… kluczowe, aby pracownicy byli na bieżąco z najnowszymi technikami ataków oraz metodami ich wykrywania i neutralizacji.
  • Szkolenia praktyczne: Praktyczne szkolenia, takie jak Capture The Flag (CTF) czy warsztaty z zakresu Red Teaming, mogÄ… pomóc zespoÅ‚om IT lepiej zrozumieć metody dziaÅ‚ania potencjalnych napastników oraz przygotować siÄ™ na realne zagrożenia.

4. Bezpieczeństwo i ochrona danych

Zgodność z RODO:

  • Ochrona danych osobowych podczas pentestów: Podczas przeprowadzania testów penetracyjnych, szczególnÄ… uwagÄ™ należy zwrócić na ochronÄ™ danych osobowych, aby nie doszÅ‚o do ich nieuprawnionego ujawnienia. Konieczne jest przestrzeganie zasad minimalizacji danych, co oznacza, że testy powinny być tak zaprojektowane, aby jak najmniej dotyczyÅ‚y danych osobowych. JeÅ›li testy muszÄ… obejmować takie dane, należy zastosować odpowiednie Å›rodki, takie jak szyfrowanie, anonimizacja lub pseudonimizacja.
  • Dokumentacja zgód: W przypadku testów, które mogÄ… obejmować dane osobowe, konieczne może być uzyskanie odpowiednich zgód od wÅ‚aÅ›cicieli danych lub klientów. Ważne jest, aby caÅ‚y proces byÅ‚ dokÅ‚adnie udokumentowany i aby firma byÅ‚a w stanie wykazać zgodność z przepisami RODO na wypadek kontroli ze strony organów nadzoru.

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *