Termin już minął. NIS2, zaktualizowana unijna dyrektywa o cyberbezpieczeństwie, miała zostać przeniesiona do prawa krajowego w całej Unii do 17 października 2024 roku. Jeśli organizacja świadczy usługi kluczowe lub odgrywa istotną rolę w jednym z objętych sektorów, pytanie nie brzmi już czy przepisy mają zastosowanie, lecz czy przed regulatorem da się wykazać, że mechanizmy kontroli dostępu je spełniają. I po raz pierwszy pytanie to trafia na biurko zarządu, a nie wyłącznie działu IT.
Uwierzytelnianie jest dziś wpisane w prawo, nie tylko w wytyczne
Wcześniejsze zbiory dobrych praktyk zalecały uwierzytelnianie wieloskładnikowe. NIS2 idzie dalej. Podstawowe środki zarządzania ryzykiem (artykuł 21) nakładają na organizacje obowiązek wdrożenia mechanizmów technicznych obejmujących polityki kontroli dostępu, kryptografię oraz (wprost wskazane) stosowanie uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania tam, gdzie jest to właściwe.
W praktyce słaby lub opcjonalny drugi składnik nie jest już stanowiskiem możliwym do obrony. Gdy audytor zapyta, w jaki sposób uprzywilejowany administrator loguje się do VPN, serwerów Windows czy konsoli zarządzającej, odpowiedź „hasło i czasami kod SMS“ otwiera ustalenie audytowe.
Kogo to dotyczy
NIS2 dzieli organizacje na podmioty kluczowe i ważne w szerokim zbiorze sektorów: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, administracja publiczna i inne. Drugi poziom obejmuje usługi pocztowe, gospodarowanie odpadami, produkcję, żywność, chemikalia i dostawców usług cyfrowych. Wiele organizacji, które pozostawały poza pierwotną dyrektywą NIS, znajduje się teraz w pełni w zakresie jej następczyni.
Dwie zmiany przenoszą to poza rubrykę na liście zgodności:
- Odpowiedzialność zarządu. Organy zarządzające muszą zatwierdzać i nadzorować środki zarządzania ryzykiem w cyberbezpieczeństwie i mogą ponosić osobistą odpowiedzialność za uchybienia.
- Realne kary. Organy nadzoru mogą nakładać dotkliwe grzywny: do 10 milionów euro lub 2% globalnego rocznego obrotu, w zależności od tego, która wartość jest wyższa, w przypadku podmiotów kluczowych.
Jak naprawdę wygląda uwierzytelnianie „na poziomie NIS2“
Posiadanie jakiegokolwiek MFA to nie to samo, co spełnienie intencji dyrektywy. Trzy rzeczy odróżniają mechanizm, który satysfakcjonuje audytora, od takiego, który dobrze wygląda jedynie na slajdzie:
- Odporność na phishing. Kody SMS można przechwycić lub przejąć techniką SIM-swap, a zarówno one, jak i proste jednoklikowe powiadomienia push ulegają przekazaniu w ataku z udziałem pośrednika (adversary-in-the-middle). Klucz powiązany ze sprzętem wewnątrz urządzenia użytkownika, którego nie da się skopiować ani odtworzyć, eliminuje tę klasę ryzyka. Zmęczenie powiadomieniami to odrębny problem, którego żaden klucz ani biometria nie powstrzymają, gdy monit dotrze już do telefonu: pokonuje go wyłącznie to, co monit pokazuje, czyli precyzyjny, czytelny opis dokładnie tego, co jest zatwierdzane, dzięki czemu nic nie zostaje nigdy zatwierdzone na ślepo.
- Objęcie dostępu uprzywilejowanego i zdalnego. Wymóg nie brzmi „MFA na poczcie internetowej“. Chodzi o każdą ścieżkę, z której realnie skorzystałby atakujący: VPN, pulpit zdalny, logowania do serwerów, konsole administracyjne.
- Dowody. NIS2 dotyczy w równym stopniu wykazania kontroli, co jej posiadania. Każde uwierzytelnienie powinno pozostawiać możliwy do audytu, odporny na manipulację zapis tego, kto co zatwierdził i kiedy.
Gdzie w to wpisuje się Notakey
Notakey powstało z myślą dokładnie o takim profilu organizacji: regulowanej, świadomej bezpieczeństwa i odpowiadającej przed audytorami.
- Klucz użytkownika jest generowany w bezpiecznym sprzęcie telefonu i nigdy go nie opuszcza. Nie ma współdzielonego sekretu do wykradzenia ani niczego, co można by wyłudzić phishingiem.
- Każde logowanie i każda transakcja to kryptograficznie podpisane, opatrzone znacznikiem czasu zdarzenie (ślad audytowy, którego oczekuje ocena NIS2), wytwarzany automatycznie zamiast rekonstruowany po fakcie.
- Obejmuje istotne ścieżki dostępu, przy użyciu protokołów, którymi Państwa systemy już się posługują. Zobacz praktyczne przewodniki: 2FA w VPN przez RADIUS, pulpit zdalny Windows oraz SSH w systemie Linux.
- Działa we własnej infrastrukturze lub w chmurze, dzięki czemu dane uwierzytelniające mogą pozostać pod Państwa kontrolą, ze zgodnością z PSD2, eIDAS i RODO wbudowaną, a nie dokładaną na siłę.
Świadomie nie powiemy, że Notakey „zapewnia zgodność z NIS2“. Żaden produkt nie robi tego samodzielnie. To, co robi, to zamknięcie tej części luki, która ma kształt uwierzytelniania, oraz dostarczenie dowodów pozwalających to wykazać.
Zacznij od pilotażu, nie od dokumentu polityki
Najszybszym sposobem, by sprawdzić, czy uwierzytelnianie spełnia wymogi NIS2, jest przetestowanie go we własnym środowisku: prawdziwy VPN, prawdziwe logowanie administratora, garstka prawdziwych użytkowników. To powie więcej o Państwa luce i o dowodach w tydzień, niż tabela funkcji powie w kwartał.
Wypróbuj demo na żywo, aby podpisać transakcję z własnego telefonu w około dwie minuty, lub poproś o prezentację, a odwzorujemy Państwa dostęp do VPN, SSO lub Windows w działający pilotaż.
Ten artykuł stanowi informację ogólną, a nie poradę prawną. NIS2 jest wdrażana do prawa krajowego odrębnie przez każde państwo członkowskie UE; konkretne obowiązki, progi i terminy mające zastosowanie do Państwa organizacji należy potwierdzić z wykwalifikowanym doradcą prawnym.