Implementacja NIS2 – narzędzia i praktyki tworzenia kopii zapasowych

17 października 2024 roku minie termin implementacji zapisów dyrektywy NIS2. W Polsce obejmie swoim działaniem ponad 6000 organizacji istotnych i ważnych z punktu widzenia państwa, gospodarki i społeczeństwa. Do tego czasu zapisy dyrektywy trzeba przełożyć na praktyczne działania tak, aby mieć pewność, że zrobiono wszystko co możliwe, aby uzyskać zgodność z dyrektywą. Kary finansowe za jej nieprzestrzeganie są bardzo dotkliwe.

W największym skrócie dyrektywa NIS wymusza podjęcie działań w dwóch zasadniczych obszarach:

1. przygotowaniami organizacyjnymi przed atakiem, czyli stałą analizą ryzyka i prowadzeniem odpowiedniej polityki bezpieczeństwa systemów informatycznych w celu zapobiegania incydentom cyberbezpieczeństwa,
2. obsługą incydentów, co oznacza wykrywanie i reagowanie na incydenty o różnej skali zagrożenia.

W praktyce implementacja dyrektywy NIS2 wymaga wdrożenia odpowiednich narzędzi i systemów do zarządzania ryzykiem, monitorowania sieci, systemów zarządzania incydentami bezpieczeństwa, narzędzi do analizy ryzyka, a także procedur i protokołów odpowiedzi na incydenty.

W tym całym spektrum niezbędnych działań i systemów najważniejsze wydają się kwestie związane z tworzeniem kopii bezpieczeństwa i procedurami odtwarzania danych. Bez tego incydent cyberbezpieczeństwa może stać się totalną katastrofą i żadne procedury reagowania nie pomogą na bezpowrotną utratę danych. Myśląc o bezpieczeństwie danych nie wolno zapominać, że z reguły systemy informatyczne są żywe, wciąż udoskonalane, poprawiane i modyfikowane – tu także nie wolno dopuścić do utraty efektów pracy zespołów deweloperskich albo sytuacji, gdy nowe fragmenty kodu wykazują podatność na atak.

Jednym z pierwszych kroków, które trzeba podjąć to stworzenie DRP – Disaster Recovery Plan.  Jest to starannie przemyślany i udokumentowany zestaw działań i procedur, których celem jest utrzymanie lub sprawne wznowienie działania infrastruktury IT uszkodzonej w wyniku niepożądanych czynników. Mogą być to na przykład zdarzenia wywołane siłami natury, jak pożar, powódź czy trzęsienie ziemie lub działaniami człowieka – błędem pracownika, atakiem hakerskim albo fizycznym włamaniem do pomieszczeń. W takich sytuacjach dobry plan awaryjnego odtwarzania danych ma przede wszystkim zmniejszyć ryzyko utraty danych i skrócić czas ewentualnego przestoju firmy. Każdy pracownik powinien wiedzieć, co w danym momencie ma zrobić, za co odpowiada, jak i kiedy komunikować się z innymi osobami zaangażowanymi w usuwanie skutków uszkodzenia. Wszystko to ma po prostu zapewnić ciągłości działania organizacji i doprowadzić do możliwie szybkiego wznowienie działania infrastruktury IT w stanie najbardziej zbliżonym do tego sprzed awarii. Nie trzeba nikogo przekonywać, że panika i stres, którego doświadczają pracownicy Data Center w czasie awarii może prowadzić do podejmowania nieprzemyślanych i nietrafnych decyzji – tylko przećwiczone działania i na chłodno podejmowane decyzje mogą chronić firmę przed utratą danych.

Jak zatem poradzić sobie z tym problemem? Po pierwsze, dane trzeba gdzieś zapisać – o zaletach i wadach różnego typu nośników już pisaliśmy w artykule „Jakie są główne zalety i wady różnych typów systemów przechowywania danych?” [tytuł – link do wcześniejszego wpisu]. Mając odpowiedni system do tworzenia kopii zapasowych oraz działające procedury ich tworzenia można spać w miarę spokojne. Dostępne rozwiązania potrafią skutecznie zarządzać magazynami danych, prowadzić deduplikację i replikację danych, czy przenosić strumienie mniej ważnych danych na tańsze nośniki.

Czas i skuteczność odtwarzania infrastruktury IT, skopiowanej całościowo lub częściowo, może się różnić w zależności od wybranego sposobu przechowywania kopii zapasowych. Może być to:

1. Disaster Recovery Center (DRC), czyli dodatkowe centrum danych w oddzielnym budynku, znacznie oddalonym od głównego Data Center tak, aby zmniejszyć ryzyko jednoczesnego wystąpienia np. powodzi. DRC powinno posiadać oddzielne, niezależne źródło zasilania i łącza internetowe oraz przechowywać aktualne backupy danych i systemów produkcyjnych. W przypadku wystąpienia awarii DRC, z reguły w czasie pojedynczych minut, przejmuje zadania głównego centrum danych, co minimalizuje ryzyko utraty wykonanych kopii zapasowych i skraca czas ewentualnego przestoju. Minusem tego rozwiązania jest wysoki koszt utrzymania dodatkowej nieruchomości i jej nadmiarowej infrastruktury IT. ‍
2. ‍Disaster Recovery as a Service (DRaaS) jest alternatywą w stosunku do DRC i polega na awaryjnym odtwarzaniu danych z wykorzystaniem infrastruktury zewnętrznego dostawcy usług. W takiej sytuacji firma nie prowadzi własnego DRC, a skopiowane zasoby przechowuje po prostu w chmurze. Jeśli nastąpi jakaś awaria w głównym centrum danych, to w ciągu kilkunastu minut, a więc nieco dłużej niż w przypadku DRC, dostawca usługi odtwarza niezbędne zasoby. Ocena przydatności tego rozwiązania zależy od wielu czynników – nie każda organizacja, chociażby z powodu regulacji prawnych, może przechowywać swoje dane w chmurze, nie zawsze są dostępni specjaliści od technologii chmurowych. Na ostateczny wybór wpływa także szczegółowa analiza kosztów opłacalności DRasS – po jednej stronie jest brak konieczności inwestowania w infrastrukturę IT własnego DRC, ale z drugiej strony rachunki za usługi chmurowe mogą być bardzo wysokie.
3. ‍‍Backup on-site. Część firm eksploatuje własne systemy pamięci masowych, w których przechowuje kopie zapasowe swoich danych. Z takiej kopii można odtworzyć wcześniej zapisane zasoby i jest to najtańszy, a jednocześnie najmniej bezpieczny sposób przechowywania kopii zapasowej. Czas odtworzenia danych jest bardzo długi, bo może dochodzić nawet do kilku dni. Trzeba przecież pamiętać, że może się zdarzyć sytuacja wymagająca wcześniejszego odtworzenia innych zasobów IT, na przykład serwerów. To wszystko zajmuje czas, a ryzyko utraty danych jest wysokie. Minusem takiego rozwiązania jest również fakt, że przechowywanie kopii zapasowych w tym samym budynku, co główne centrum danych w niczym nie zmniejsza ryzyka narażenia danych na pożar czy powódź. Na plus tego rozwiązania jednak trzeba zaliczyć, że w przypadku ataku ransomware, może być to jedyna dostępna opcja ratująca z opresji.
4. High Availability (HA) to z pewnością najdroższe, ale i chyba najskuteczniejsze rozwiązanie zapewniające bezpieczeństwo zgromadzonym danym i systemom. W praktyce oznacza to konieczność utrzymywania co najmniej dwóch takich samych, równolegle działających infrastruktur IT, a praca odbywa się w lustrzanych środowiskach. Gdy w jednym ze środowisk wydarzy się jakaś awaria, następuje niemal natychmiastowe przełączenie na drugą działającą infrastrukturę, a to oznacza, że nie ma mowy o żadnej utracie danych. Infrastruktura HA może pracować w trybie Active-Active lub Active-Standby, choć w tym drugim przypadku czas przełączenia w razie awarii może być minimalnie dłuższy.

O ile z danymi można sobie względnie łatwo poradzić – tu dobrych praktyk, systemów i narzędzi jest bardzo duży wybór, o tyle zabezpieczenie efektów rozwoju oprogramowania wydaje się nieco trudniejszym zadaniem. Harmonijne połączenie cyberbezpieczeństwa z eksploatacją systemów produkcyjnych oraz z wdrażaniem nowych wersji i aktualizacji w całym cyklu życia i rozwoju oprogramowania wymaga nowych skutecznych metodologii pracy takich, jak DevSecOps.

DevSecOps to jedna z implementacji metodologii SSDLC (Secure Software Development Life Cycle), która w całym cyklu życia rozwoju oprogramowania łączy trzy obszary: rozwój oprogramowania (Development), bezpieczeństwo (Security) i operacje (Operations). Jej celem jest szybkie dostarczanie wysokiej jakości aplikacji, ze szczególnym uwzględnieniem aspektów cyberbezpieczeństwa. Zgodnie z DevSecOps każdy członek zespołu pracującego nad rozwojem oprogramowania odpowiada za wytwarzanie i wdrażanie bezpiecznego kodu. Oznacza to, że w większej mierze niż dotychczas, programiści są odpowiedzialni za sferę bezpieczeństwa – bez usunięcia luk w swoim kodzie nie mogą kontynuować procesu CI/CD.

Obecny stan zagrożeń cybernetycznych wymaga krótkich i częstych iteracji tak, aby szybko uwzględniać pojawiające się nowe luki w zabezpieczeniach. DevSecOps pozwala na sprawne zintegrowanie bezpieczeństwa z technikami ciągłej integracji i dostarczania kodu (CI/CD). W ramach DevSecOps zespoły deweloperskie mogą szybko reagować na pilne problemy związane z bezpieczeństwem. Wprowadzany ciąg drobnych zmian w kodzie, okresowo sprawdzany w repozytorium kodu, jest analizowany pod kątem bezpieczeństwa, zgodnie z metodami SAST (Static Application Security Testing) oraz SCA (Static Code Analysis). Kod źródłowy skanuje się w celu znalezienia luk w zabezpieczeniach aplikacji lub przestarzałych bibliotekach używanych przez programistów. W efekcie otrzymuje się spójny i zautomatyzowany sposób budowania i testowania bezpiecznych aplikacji, chronionych przed najbardziej aktualnymi zagrożeniami.

Sprawna i efektywna kosztowo implementacja zapisów dyrektywy NIS2 wymaga integrowania wielu usług i narzędzi, które mają jeden wspólny mianownik – poprawiają cyberbezpieczeństwo. W tym kontekście warto wspomnieć o kilku innych nie mniej skutecznych rozwiązaniach:

• SASE – Secure Access Service Edge, czyli zintegrowana usługa chmurowa obejmująca kilka technologii sieciowych i bezpieczeństwa: programowo zdefiniowanej sieci obszaru rozległego (SD-WAN), bezpiecznej bramy internetowej (SWG – Secure Web Gateway), brokera bezpieczeństwa dostępu do chmury (CASB – Cloud Access Security Broker), zapory następnej generacji (NGFW) oraz bezpiecznego dostępu do sieci w ramach modelu Zero Trust Network Access (ZTNA). Usługi SASE wzmacniają bezpieczeństwo sieciowe dzięki drobiazgowemu podejściu do ochrony sieci, wykrywania i blokowania ataków sieciowych, takich jak ataki DDoS, MitM (Man-in-the-middle), phishing, podszywanie się pod cudze adresy e-mail czy działania złośliwego oprogramowania. SASE zapewnia łączność sieciową zabezpieczoną na podstawie tożsamości, kontekstu bezpieczeństwa w czasie rzeczywistym i polityk bezpieczeństwa korporacyjnych, w zgodzie z paradygmatem Zero Trust, co zapewnia, że połączenia są domyślnie odrzucane, chyba że zweryfikowana tożsamość ma zezwolenie na dostęp do określonej aplikacji, usługi lub lokalizacji brzegowej.
• SOAR (Security Orchestration, Automation and Response) i SIEM (Security Information and Event Management). Z założenia i w uproszczeniu SIEM służy do zbierania logów i detekcji incydentów bezpieczeństwa. Dzięki korelacji zdarzeń, jest on w stanie wychwycić podejrzane zachowanie użytkowników czy próbę ataku na infrastrukturę IT organizacji. Niestety, trzeba nad nim stale pracować, co jakiś czas modyfikować i dostosowywać jego konfigurację do zmieniającego się środowiska IT oraz pojawiających się nowych typów ataków. Mimo rozbudowanej funkcjonalności, systemy SIEM muszą agregować zdarzenia z kilkuset tysięcy logów dziennie, a to generuje tysiące incydentów, które trzeba dogłębnie przeanalizować, sprawdzić który jest rzeczywistym zagrożeniem, a który tylko false-positive. Słowem – ogrom pracy. To była główna przyczyna pojawienia się technologii SOAR, która potrafi zautomatyzować analizowanie większości incydentów z systemu SIEM. W ten sposób organizacja zmniejsza obciążenie swoich pracowników z działów bezpieczeństwa rutynową i powtarzalną pracą.
• XDR to rozwinięcie znanych już systemów EDR (Extended Detection and Response). O ile EDR zbiera i koreluje dane z urządzeń końcowych, o tyle XDR dodatkowo zapewnia wykrywanie, korelację i analizę dynamiczną informacji, także w sieciach, serwerach, chmurze, systemach SIEM i wielu innych. XDR oznacza także profilowanie zachowań, threat intelligence i szybsze wykrywanie zagrożeń, a przygotowane integracje i wstępnie dostrojone mechanizmy wykrywania w wielu różnych produktach i platformach pomagają zwiększyć produktywność SOC (Security Operations Center). Po prostu decyzje są podejmowane na podstawie większej ilości danych, a działania i akcje dotyczą całego środowiska IT. Trzeba przy tym pamiętać, że XDR i SIEM to odrębne technologie, mimo że dotyczą bardzo podobnych zagadnień zarządzania informacjami i zdarzeniami bezpieczeństwa. SIEM to tylko pasywne narzędzie analityczne, które nie chroni aktywnie urządzeń w organizacji.

Przedstawione powyżej rozwiązania i systemy w oczywisty sposób nie wyczerpują listy dostępnych technologii i działań wspierających implementację dyrektywy NIS2. Wspomnienia i uwagi wymagają chociażby narzędzia ASM do zarządzania powierzchnią ataku (Attack Surface Management), które stale wykrywają, monitorują, oceniają z punktu widzenia bezpieczeństwa wszystkie możliwe punkty wejścia z zewnątrz, które potencjalnie mogą umożliwić atakującym włamanie do aplikacji, systemu, urządzenia lub sieci organizacji. Nie wolno także zapominać o algorytmach szyfrowania baz danych, anonimizacji danych, szczególnie danych osobowych, czy narzędziach do zarządzania tożsamością i dostępem IDM/IAM (Identity Management/Identity and Access Management), które obejmują procesy, technologie i standardy dotyczące zarządzania tożsamościami użytkowników, ich uwierzytelnieniem, autoryzacją, a także zarządzaniem dostępem do zasobów informatycznych.

Bardzo pomocne we wdrożeniu zapisów NIS2 są także systemy PAM/DAM (Privileged Access Management/Database Activity Monitoring) do zarządzania dostępem uprawnionym oraz do monitorowania aktywności baz danych. PAM skupia się na kontrolowaniu, monitorowaniu i zarządzaniu dostępem do uprzywilejowanych kont i zasobów tak, aby zabezpieczyć je przed nieautoryzowanym dostępem, a DAM monitoruje i analizuje aktywności użytkowników baz danych w celu wykrywania potencjalnych zagrożeń i naruszeń.

Cennych informacji na rzecz cyberbezpieczeństwa dostarczają także rozwiązania klasy IRM (Information Rights Management) do monitorowania i zarządzania uprawnieniami informacyjnymi, co w praktyce obejmuje polityki i technologie kontrolujące dostęp do informacji i danych w organizacji.

O skuteczności wdrożonych działań i narzędzi decyduje jednak kompleksowe spojrzenie na cyberbezpieczeństwo w trzech obszarach: governance, risk management i compilance. czyli GRC. Systemy GRC mają za zadanie synchronizację informacji oraz operacji zarządzających, jak również przestrzegania przepisów. Dzięki niemu firma może efektywniej działać, skutecznie wymieniać informacje i lepiej raportować swoją pracę bez powielania wcześniej realizowanych planów.

Bez względu na wszystko, trzeba pamięć, że termin realizacji wszystkich zmian i odniesienia się do szczegółowych wymogów dyrektywy NIS2 minie już 17 października 2024 roku. Dlatego planowanie i niezbędne działania organizacyjne, wdrożeniowe i inwestycyjne należy podjąć bez zbędnej zwłoki, już teraz.