Minulý díl seriálu Regulace podle NIS2 jsme věnovali více teorii. Nahlédli jsme do recitálů směrnice NIS2, které poskytují výkladová vodítka k jednotlivým regulačním ustanovením. Víme, že co se týče například bezpečnosti dodavatelského řetězce, jakožto ustanovení, které jednoznačně míří zejména na bezpečnost mobilních sítí a vliv Číny na jejich výstavbu, Evropa razí cestu koordinovaného posuzování rizik.
Oproti tomu náš Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) by si rád ponechal rozhodování o eliminaci čínských dodavatelů ve svých rukou. Zdali tato námitka podnikatelského sektoru vůči připravovanému novému zákonu o kybernetické bezpečnosti dopadne na úrodnou půdu a kritizované paragrafy z předkládané normy zmizí, to se dozvíme, až NÚKIB pošle zákon na Legislativní radu vlády (LRV). Moc času mu na to už nezbývá, když podle ujištění Adama Kučínského, který má na NÚKIBu zákon o kybernetické bezpečnosti na starosti, má být zákon předložen LRV do konce listopadu. Jakmile se tak stane, projdeme jednotlivé změny oproti předchozímu zveřejněnému znění dopodrobna, aby bylo jasné, s čím počítat.
Tentokrát se ale od teorie vrátíme zpět do praxe. Ačkoliv zatím na národní úrovni nemáme novou úpravu kyberbezpečnosti, podniky se už na nová pravidla připravují. A to jak ty, které jsou pod regulací na základě stávajícího zákona, tak ty, pro něž bude kybernetický zákon novinkou.
Chystáme se, i když přesně nevíme, na co
Například pražský dopravník podnik je už dnes definovaný provozovatel základní služby, a musí tedy splňovat celou řadu pravidel dle zákona č. 181/2014 Sb. a prováděcích vyhlášek. Dostává tak díky tomu i včasné varování proti hrozbám. „Náš bezpečnostní tým má o nových pravidlech dostatek informací. Účastníme se řady konferencí a přednášek na téma transpozice NIS2 do českého právního řádu, a aktivně sledujeme proces tvorby zákona,“ říká mluvčí DPP Aneta Řehková.
Přípravy zahájilo i dejvické datacentrum DC6 provozované společností Greendata. Její jednatel Zdeněk Maršál vidí dokonce v nové úpravě příležitost, která datacentru může ušetřit práci. „Velká řada firem si neuvědomuje, kam se hrozba kybernetických útoků posunula jen za poslední dva roky. Jako provozovatel telekomunikačních služeb, housingu a hostingu vítáme jakákoliv legislativní zpřísnění, která povedou k zabezpečení provozů jednotlivých podniků,“ vysvětluje.
Pokud zákazníci datacentra začnou kybernetickou bezpečnost brát vážně, budou z toho podle něj profitovat všichni. „Firmy to naučí hospodařit s daty a věřím, že v konečném důsledku to ochrání i koncové uživatele,“ dodává Maršál s tím, že s lepším zabezpečením ubyde incidentů k řešení.
Forpsi jako další z předních českých IT firem vnímá jako problém, že legislativa ke kyberbezpečnosti zatím nemá ostré kontury. „Přesně nevíme, jaká bude transpozice směrnice do českého práva, průběžně dochází ke změnám,“ vysvětluje Ilona Filípková. Firma ale už teď byla NÚKIBem určena za poskytovatele základní služby, protože poskytuje DNS, a počítá s tím, že jako registrátor domén a poskytovatel webhostingu spadne do režimu přísnější regulace.
„Více než ze tří čtvrtin požadavky kladené NIS2 splňujeme. Jsme členem nadnárodní skupiny a naše mateřská společnost věnuje tomuto tématu velkou pozornost,“ dodává Filipková. Přiznává také, že nová regulace bude vyžadovat další finanční a personální zdroje.
A přípravy jsou v plném proudu i na druhém břehu Vltavy, u vršovického datacentra Master Internet. To minulý rok zažilo na vlastní kůži mnohahodinovou nedostupnost všech služeb po požáru elektrorozvodny na Chodově. Výpadek tehdy postihl weby veřejnoprávních médií, stejně jako vydavatele Lupy, firmy Internet Info. Důvodem bylo nezvládnutí při běžné přípravě vcelku banální situace s přerušením dodávky proudu na jedné z větví. Chyby se nabalovaly jedna za druhou a výsledkem toho bylo, že v konečném důsledku kvůli zkratu přestaly fungovat i servery připojené na druhou z větví, případně ty s duálním napájením.
NIS2 přitom na tyto situace pamatuje a přikazuje mít připravované scénáře pro každou z eventualit přicházejících v úvahu a podrobovat systémy pravidelným zátěžovým testům. Pak se pravděpodobnost, že selže UPS, dieselgenerátor i přepojení na náhradní napájecí zdroj snižuje na minimum.
Analýza protokolů odhalí připravovaný útok
Master Internet se doufejme z tohoto selhání poučil a bere i energetickou bezpečnost svého zařízení vážně. V rámci NIS2 se připravuje na to, že regulované subjekty musejí NÚKIBu bez odkladu hlásit každý incident, který má závažný dopad na poskytování služeb, i každou významnou kybernetickou hrozbu, kterou zjistí.
„Aby bylo možné incidenty zpracovávat a hlásit, je potřeba mít plnohodnotný SIEM systém. Ten shromažďuje logy o aktivitě všech IT systémů, strukturovaně je ukládá a vyhodnocuje. Podle nastavených pravidel podniku pak vytváří alerty a reporty. Na alerty je nutné reagovat hned, reporty se ukládají pro pozdější užití,“ říká provozní ředitel datacentra Filip Špaček.
SIEM systém (Security Information and Event Management) je analytický software, který dokáže identifikovat podezřelé události, jako jsou stažení souborů nebo příliš vysoký přenos dat. Na rozdíl od jiných bezpečnostních softwarů hrozbu přímo neodstraňuje, ale zaznamenanými daty pomáhá správcům sítí v dalších obranných krocích. Také dokáže generovat bezpečnostní reporty, které například zjednoduší bezpečnostní audity.
Pro podnik pod regulací NIS2 může být velmi dobrým pomocníkem, ostatně směrnice v jistém ohledu jeho používání dokonce nařizuje. V rámci řízení rizik totiž předepisuje kontrolu protokolování zabezpečení. Dává tím správcům čas zareagovat dřív, než útok způsobí významné škody. Log management a SIEM tak pomáhají předcházet hrozbám, ztrátám dat a zvyšuje efektivitu provozu.
Mimo jiné jej lze použít i na rozpoznání nadbytečného nebo neefektivního využití zdrojů a plánování potřebné budoucí kapacity. Ale hlavním důvodem, proč takový systém mít nasazený, je včas odhalit pokusy o neoprávněný průnik do systémů, možnou kompromitaci přístupů, hledat souvislosti mezi událostmi a identifikace hrozeb.
Tak jako NIS2 po firmách vyžaduje úvodní analýzu, kde jsou důležitá aktiva a jak je chránit, prvotní fázi není radno podcenit ani u zavádění SIEM. Podnik by měl vědět, kde má uložena nejcitlivější data, co je může ohrozit, odkud toto nebezpečí může přijít (kde jsou nejzranitelnější body), jak chce na bezpečnostní incidenty reagovat. Následuje inventura firemního IT, tedy soupis všech relevantních IT zařízení a systémů pro sledovanou oblast.
Firmy mohou využít některý z open source nástrojů, stejně tak z komerčních produktů, nebo nakoupit SIEM jako poskytovanou službu.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU