SOC 24/7 a NIS2: jak zarząd może udowodnić, że firma realnie monitoruje incydenty

Co zrobisz, gdy państwo postawi Cię przed faktem dokonanym: masz 24 godziny na przygotowanie raportu dotyczącego zdarzenia, o którym dopiero co się dowiedziałeś? NIS2 nie wybacza zaniedbań, do których prowadzą przestarzałe praktyki. Wyjaśniamy, na jakiej zasadzie ochroni Cię przed tym SOC 24/7 – i czym taki system różni się od standardów, które dominują w Twojej firmie.
Dlaczego tradycyjny monitoring IT nie obroni firmy przed wymogami NIS2?
Przed erą NIS2 wszystko było prostsze (choć może niekoniecznie dla flow biznesowego!). Klasyczny monitoring IT nie musiał pracować w trybie 24/7, co wcale nie oznacza jeszcze, że działał wydajniej: problemy pozostawały te same, zmieniał się jedynie brak wymogów i nadmiaru biurokracji.
Jak wyglądało to jeszcze jakiś czas temu? Większości biznesów (poza bankami czy telekomunikacją) nie dotyczyły rygorystyczne obowiązki prawne, z wyjątkiem RODO. Administrator raz na jakiś czas wykonywał rutynowy backup i spoglądał na parametry, a jeśli już doszło do nadużyć, sprawa była wewnętrznym problemem zarządu – mógł zapłacić okup, zlecić załatanie luk, tłumaczyć się lub nie, sprawa nie dochodziła jednak bezpośrednio do aparatu państwa.
NIS2 zmienił świat, bo wraz z rozwojem świata urósł również sam wymiar cyberataków. W czasach, gdy hakerzy nie atakują już pojedynczych osób, lecz paraliżują całe systemy komputerowe wielkich sieci, nadużycie wykracza poza problem prezesa – sprawa dotyka kawałka kraju.
Odgórny nakaz prawny, w najprostszych i absolutnie nieprawniczych słowach, sprowadza się do jednego założenia. Jeśli firma jest ważna dla gospodarki (a ciężko znaleźć sektor, który ważny by nie był!), systemy muszą być chronione według rygorystycznych, państwowych standardów.
Tutaj pojawia się problem. Nowe przepisy całkowicie burzą stary sposób pracy wielu działów IT, oparty na kilku kliknięciach admina.
NIS2 wymaga rzeczy, których tradycyjne IT nie jest w stanie zapewnić:
- Firma musi udowodnić, że kontroluje to, co dzieje się w jej sieci przez 24 godziny na dobę. Tradycyjny administrator idzie do domu chwilę po 16 – między tą godziną a następnym porankiem firma porusza się, jak dziecko we mgle. Jeśli atak nastąpi w piątkową noc, a zostanie wykryty w poniedziałek, firma łamie już wymogi dyrektywy.
- Przedsiębiorstwo musi raportować incydenty w 24 godziny po ich wystąpieniu. W starym, zawodnym systemie, firma orientowała się, że wystąpił problem, widząc namacalne skutki – często kilka dni od aktywności hakera.
- Wcześniej za błędy IT płaciła wyłącznie firma. Obecnie, jeśli zarząd nie wdroży procedur nadzoru, członkowie zarządu odpowiadają własnym majątkiem i stanowiskiem, ryzykując tym samym zawieszenie w pełnieniu funkcji.
Stary monitoring nie ma szans obronić się w świetle NIS2, ponieważ działa w oknie czasowym. Nowoczesna firma do spełnienia tych wymogów potrzebuje SOC 24/7 NIS2, czyli maszyny analizującej każdą sekundę w sieci. Nieodłącznymi elementami takiego monitoringu jest odsiewanie fałszywych alarmów, zastosowanie natychmiastowych mechanizmów blokujących i generowanie raportów gotowych do pokazania kontroli państwowej – czyli wszystko, co oprócz samej technologii, zapewnia też zarządowi bezobsługowość i święty spokój.
Od incydentu do raportu na biurku prezesa – jak wygląda proces SOC 24/7 NIS2 w praktyce biznesowej?
SOC 24/7 działający w ramach NIS2 kojarzy się wielu firmom z kolejnym narzędziem do obsługi – włączając to w czas potrzebny na jego naukę. W rzeczywistości działa to inaczej: SOC 24/7 funkcjonuje w tle, a w razie zagrożenia dostarcza gotowy raport akceptowany przez państwo. Sprawdź, co dokładnie zrobi dla Ciebie taka usługa na takim etapie i jak wypada w porównaniu z przestarzałymi taktykami firm.
KROK 1: LOGI
Każde urządzenie w firmie (komputer pani Kasi z księgowości, serwer, router, a nawet drukarka) zostawia po sobie setki ukrytych powiadomień tekstowych o tym, co się w nich dzieje. Niestety, nadmiar i rozproszenie tych informacji nie pozwala na ich ciągłą, ręczną analizę w czasie rzeczywistym – umożliwia to dopiero SOC 24/7 pod NIS2. Rozwiązanie to wdraża system klasy SIEM, który zasysa logi ze wszystkich urządzeń w jedną, bezpieczną i przede wszystkim: zaszyfrowaną bazę. Informacje zamknięte w takim pancernym sejfie są praktycznie nie do złamania i nie sposób łatwo się do nich dostać. Haker nie może tym samym ukryć swojej obecności – znacznie łatwiej ją natychmiastowo wykryć.
KROK 2: ANALIZA
Prawdziwa siła SOC opiera się na powiązywaniu ze sobą zdarzeń – samotny log mówiący o tym, że ktoś pomylił się przy wpisywaniu hasła do poczty nie jest w końcu groźny. Jeśli jednak system powiąże ten sam log z adresem IP z Korei, próbą zmienienia uprawnień minutę później i antywirusem zgłaszającym dziwne zachowania na komputerze omawianego pracownika, algorytm uruchamia alarm najwyższego stopnia. Ludzki mózg nie jest w stanie powiązać tych zdarzeń w ułamku sekundy i patrzy na parametry pozbawione szerszego kontekstu. Silnik analityczny analizuje te i inne kombinacje miliony razy na sekundę, wykrywając, czy dotyczą one błędu człowieka, czy typowego zachowania bota lub hakera.
KROK 3: TRIAGE
Automatyczne systemy generują szum informacyjny. Choć opisana w poprzednim punkcie sekwencja zdarzeń zdecydowanie jest alarmująca, każdego dnia pojawia się kilkaset incydentów, które wcale nie są groźne – gdyby każdy z nich trafiał na biurko prezesa lub głowy działu IT, firmę sparaliżowałaby paranoja. W przypadku usługi SOC 24/7 pod NIS2, zewnętrzni inżynierowie bezpieczeństwa biorą każdy alarm na własny warsztat. Nie dochodzi więc do żadnej skrajności: ani tej, w której firma kryzysuje wszystkie alerty (i jak w bajce o owcach i wilku, w końcu przegapi prawdziwy atak), ani do spędzania 80% czasu na sprawdzaniu, dlaczego system uznał Outlooka za zagrożenie.
KROK 4: INCIDENT RESPONSE
Po wykryciu ataku nadchodzi jego neutralizacja. Również w tym przypadku na światło dzienne wychodzą braki tradycyjnego monitorowania IT – wszystko dzieje się powoli, bo administrator boi się przestojów i narażania firmy na straty. W przypadku oferowanej przez nas usługi SOC 24/7 NIS2, system działa według przygotowanych wcześniej scenariuszy, które przygotowujemy indywidualnie i omawiamy wraz z zarządem firmy. Straty obejmują więc co najwyżej odcięcie jednego komputera naraz – kiedy my zajmujemy się reakcją i obsługą incydentu, 99% Twojej firmy pracuje dalej.
KROK 5: RAPORTOWANIE DLA ZARZĄDU
NIS2 wymusza na polskich firmach konieczność rozliczania się z obsługi incydentów. W razie kontroli należy natychmiastowo udowodnić ścieżkę, obejmującą odkrycie problemu, triage i kroki naprawcze. Zakładając nawet, że najlepszy (choć pozbawiony nowoczesnej automatyzacji) dział IT poradzi sobie z ogarnięciem poprzedzających raport kroków, problemem pozostaje sama dokumentacja: informatycy mówią językiem bitów i bajtów. W automatycznym SOC 24 pod NIS2 przejmujemy te zawiłości na nasze barki – po każdym incydencie przygotowujemy raport techniczny dla inżynierów (co trzeba zrobić) i osobny, przygotowany dla zarządu, napisany językiem biznesu i prawa.
Koszt zaniechania: co ryzykujesz bez wdrożonego mechanizmu SOC 24/7?
Jednym, przewrotnym zdaniem: dla cybersec etaty to… najlepszy i najgorszy wynalazek świata.
Kiedy haker wchodzi do firmy w piątek wieczorem i szyfruje serwery, w poniedziałek rano pracownicy nie mogą się zalogować, magazyn nie wie, co wysłać, a logistyka nie ma tras – scenariusz ten przełożyć można na każdą inną branżę. Firma nie zarabia, choć wciąż musi pokrywać koszty stałe. Usunięcie skutków takiego ataku przez zewnętrzne firmy (Incident Response) w trybie awaryjnym to ogromny rachunek.
Ile kosztuje taki przestój i naprawa jego konsekwencji? W IT-Develop podchodzimy do tych kwestii czysto pragmatycznie: opisz nam swój biznes, a my powiemy Ci, ile stracisz, jeśli nie wdrożysz usługi SOC 24/7 NIS2 już dziś. W kosztorysie obejmiemy Twoje wewnętrzne straty, ale również potencjalny zakres kar nakładanych bezpośrednio przez państwo – zgodnie z obrotami Twojej firmy.
Dla podmiotów kluczowych kary mogą wynosić do 10 milionów euro lub do 2% globalnego rocznego obrotu firmy – przy czym wybierana jest kwota wyższa. Dla mniejszej firmy 2% obrotu jest kwotą relatywnie niską. Ponieważ jednak urząd wybiera to, co wyższe, ma pełne prawo nałożyć karę kwotową (np. 100 000 euro czy 500 000 euro), która dla małego biznesu oznacza natychmiastowe bankructwo.
Przez NIS2 wyjątkowo surowo traktowane są przy tym platformy usługowe, e-commerce oraz systemy rezerwacji (np. w branży medycznej). Jeden dzień przestoju to w nich gigantyczne straty, chaos na rynku i bezpowrotne zniszczenie reputacji marki: nie mówiąc już o partnerach biznesowych, którzy z dnia na dzień zaczynają wymagać od kłopotliwego podmiotu dowodu na zgodność z NIS2.
Zbuduj kompletny proces SOC 24/7 NIS2 z IT-Develop
Większość firm z zakresu cyberbezpieczeństwa wybiera jednego rozmówcę: dział IT lub zarząd, przy okazji uzależniając ten pierwszy od świadczonych usług. W IT-Develop podchodzimy do tego w autorski sposób: łączymy świat biznesowy z technologicznym i wspieramy dział IT we wdrażaniu narzędzi, które zapewniają firmie autonomię. Choć zapewniamy stałą usługę SOC 24/7 (NIS2), w tym samym oknie czasowym nastawiamy Twoją firmę na dalszą edukację i wdrożenia, eliminując ryzyko awarii lub błędu ludzkiego – to wiąże się zaś bezpośrednio ze zmniejszeniem strat finansowych.
Jak działa samo wdrożenie SOC 24/7 NIS2 dla firmy? Zaczynamy od konsultacji i głębokiego wejścia w funkcjonowanie IT Twojej firmy. Z zarządem mapujemy zaś najważniejsze aktywa krytyczne (jak np. platforma, system ERP, baza pacjentów). Sprawdzamy, gdzie występują luki, jak podatne elementy są chronione obecnie i jak dotychczas wdrożone procedury mają się do surowych wymagań dyrektywy.
Następnie technologia IT-Develop zaczyna łączyć się z systemami klienta: podłączamy system klasy SIEM, który od pierwszej chwili zaczyna zasysać logi. Równocześnie wyznaczamy zasady dalszej gry. Tworzymy z zarządem oraz działem IT scenariusze postępowania, wraz z wyznaczeniem granic autonomii systemu. Definiujemy w ten sposób, co SOC może zablokować automatycznie w środku nocy, a przy jakich zdarzeniach automatyka natychmiast eskaluje problem i dzwoni do wyznaczonych osób. Dzięki temu masz pełną kontrolę nad tym, jak działamy – wszystkie ścieżki postępowania akceptujesz jeszcze przed uruchomieniem pełnej ochrony.
Po rozpoczęciu stałego monitorowania i raportowania, rusza proces budowania rzeczywistej autonomii Twojego biznesu. Równolegle z pracą naszych analityków prowadzimy szkolenia dla Twoich pracowników i ściśle współpracujemy z wewnętrznym działem IT – jeśli tylko zażyczysz sobie skompletowania właśnie takich dodatkowych usług.