Podsumowania grup roboczych KSC Forum
Grupa 7: OSINT jako element budowania cyberbezpieczeństwa organizacji.
Główne rekomendacje, dobre praktyki wynikające z dyskusji:
- do strategii cyberbezpieczeństwa warto włączyć OSINT zarówno wykonywany przez wew. zespoły, ale także przez zew. podmioty
- OSINT powinien być wykonywany wg określonych ustalonych kryteriów oraz w granicach prawa
- OSINT powinien być też elementem szkoleń z tematyki cyberbezpieczeństwa dla wszystkich pracowników, ale też dla kadry zarządzającej organizacji
Główne wnioski z dyskusji
Eksperci biorący udział w dyskusji zgodnie wskazywali, że OSINT powinien być prowadzony jako element budowania wiedzy w organizacji. Powinien być jednym z elementów różnych procesów np. weryfikacji podmiotów ubiegających się o podpisanie umowy o współpracy. W trakcie dyskusji wskazywano na konieczność realizacji OSINT w ramach określonych wytycznych i ustalonych wymagań co do jego zakresu. Ma to na celu etyczne wykonywanie OSINT, ale także nie przekraczanie granic prawa. Podawany był przykład sprawdzania w mediach społecznościowych informacji o pracownikach na etapie rekrutacji. Przetwarzane w ten sposób dane osobowe mogą być niezgodne z prawem. Jednak zakres OSINT powinien być zgodny z potrzebami organizacji, ale też jak to określił jeden z ekspertów „apetytem na ryzyko” w organizacji.
W trakcie prac eksperci rekomendowali prowadzenie OSINT zarówno przez zespoły wewnątrz organizacji jak i korzystanie z podmiotów zewnętrznych, świadczących usługi w tym zakresie. Takie podejście ma na celu poszerzenie wiedzy o tym jakie informacje o organizacji mogą być pozyskane z dostępnych źródeł.
Jako, że szkolenia uświadamiające z tematyki cyberbezpieczeństwa maja na celu przeciwdziałać błędom pracowników to OSINT powinien być jednym z zagadnień poruszanych podczas szkoleń. Przedstawienie pracownikom, że podawanie niektórych informacji o firmie w mediach społecznościowych może być dla adwesarzy źródłem wiedzy o organizacji i negatywnie wpływać na cyberbezpieczeństwo. Przedstawiciele organizacji biorący udział w panelu dzielili się doświadczeniem oraz podejściem z własnych organizacji, gdzie szkolenia dla zarządów przeprowadzane są osobno. W OSINT, a później testy bezpieczeństwa należy także włączyć osoby kluczowe czyli zarząd, prezesów, dyrektorów, kierowników - są to osoby, które szczególnie są narażone na ataki, a ich wiedza o organizacji i możliwość kompromitacji takiego użytkownika może prowadzić do olbrzymich szkód organizacji.
Eksperci rozważali także zasadność tworzenia programów „bug bounty”, które pozwalają na przeprowadzenie OSINT i testów z zewnątrz organizacji, chociaż też pojawiały się głosy, które w kontrze uzasadniały, że taki program może skutkować dużą ilości "legalnych ataków".
Moderatorzy
DAGMA Bezpieczeństwo IT
DAGMA Bezpieczeństwo IT
Grupa 8: Jak skutecznie zarządzać obowiązkami wynikającymi z NIS2. Obowiązki informacyjne, zarządzanie ryzykiem, bezpieczeństwo łańcucha dostaw
Podczas grupy roboczej zostały poruszone trzy kategorie wynikające z dyrektywy NIS2:
- Obowiązki informacyjne: zarządzanie i informowanie o incydentach bezpieczeństwa
- Zarządzanie ryzykiem: analiza, ewaluacja i aktualizacja ryzyka cyber
- Bezpieczeństwo łańcucha dostaw: ewaluacja i monitorowanie ryzyka cyber dla współpracujących z nami dostawców
W spotkaniu uczestniczyły osoby z dużym doświadczeniem w zakresie audytów bezpieczeństwa, oraz takie, które planują wdrożenie zadań wynikających z dyrektywy NIS2.
Dyskusja rozpoczęła się od tego w jaki sposób, obecnie podmioty zarządzają informacjami oraz na jakich zasadach odbywa się klasyfikacja, która informacja może nieść za sobą aspekt bezpieczeństwa. Uznano, że dla większości jednostek sektora publicznego wyzwaniem jest wykazywanie incydentów bezpieczeństwa, ze względu na niewystarczające narzędzia lub ich brak. Został poruszony temat urządzeń klasy SIEM, które w swojej ofercie mają możliwość zbierania, archiwizowania jak i korelacji informacji. Dodatkowo niektóre z nich są w stanie określić priorytet danego zdarzenia, z uwzględnieniem kontekstu biznesowego na podstawie np. ważności zasobu dla organizacji lub krytyczności procesu biznesowego. Uczestnicy dyskusji również zwrócili uwagę na audyty bezpieczeństwa, które powinny wykazywać potencjalne luki w organizacji, ale również powinny przekazywać wiedzę w jaki sposób takie luki zniwelować. Bardzo ciekawym aspektem tej debaty było podejście uczestników do informowania o incydentach bezpieczeństwa organizację przez pracowników. Padł pomysł wprowadzenia tzn. „Incident bounty”, które miało być odpowiednikiem „Bug bounty” w organizacjach. Czyli pracownicy poprzez zgłaszanie incydentów bezpieczeństwa mieliby otrzymywać gratyfikację. Poruszony był również aspekt napływu dużej ilości fałszywych alarmów wynikających z wdrożenia takiego rozwiązania. Grupa w większości stwierdziła, że w przypadku braku odpowiednich narzędzi IT „Lepiej aby pracownicy zgłaszali fałszywe alarmy i budowali w ten sposób własną świadomość, niż pomijali incydenty bezpieczeństwa i narażali organizację na ryzyko”. Uczestnicy zapytani o wnioski tej części debaty stwierdzili, że:
- Wprowadzone zmiany w NIS2 mogą mieć wpływ na zdolność operacyjną organizacji
- Potrzebne jest budowanie większej świadomości w organizacjach w zakresie świadomego korzystania z informacji i jej ochrony
- Należy poprawić poziom edukacji pracowników z obszaru cyberbezpieczeństwa
Następnie uczestnicy debaty, opowiedzieli o swoich doświadczeniach wynikających z zarzadzania ryzykiem. Jedne z uczestników nawiązał do sytuacji, kiedy informatyk, przez kilka dni tworzył rozbudowaną analizę ryzyka, która była aktualna przez jeden dzień, ponieważ została zbudowana statycznie przy wykorzystaniu arkuszy tekstowych. Uczestnicy stwierdzili, że na ten moment bardzo ciężko jest zbudować analizę ryzyka cyberzagrożeń wewnątrz organizacji, ponieważ nie ma sprecyzowanych wytycznych, na których taka analiza mogłaby się opierać. Omawiano dostępne narzędzia z zakresu analizy ryzyka i możliwości ich wykorzystania pod kątem spełnienia wymogów NIS2. Ustalono, że w zakresie cybrzagrożeń istnieją rozwiązania, które pozwalają na analizę ryzyka w czasie rzeczywistym, zawsze aktualną. Uczestnicy po dłuższej dyskusji nad sposobem zarządzania ryzykiem stwierdzili, że brakuje jasnych wytycznych, jednolitych koncepcji jak i metod do oceny ryzyka. Obawiają się zarzutów jednostek kontrolnych odnośnie niewłaściwej identyfikacji zagrożeń, oceny ryzyka oraz planowania działań zapobiegawczych.
Ostatni temat poruszony podczas debaty opierał się o bezpieczeństwo łańcucha dostaw. Uczestnicy wskazali na zapisy NIS2 precyzujące, że podmioty, które podlegają jej regulacjom, powinny wziąć pod uwagę specyficzne podatności każdego dostawcy (również dostawców usług). Oprócz oceny jakości i kosztów oferowanych przez nich produktów i usług, firmy, powinny również zwracać uwagę na stosowane przez dostawców procesy związane z cyberbezpieczeństwem czy ochroną informacji. Uczestnicy wskazali na możliwość wykazania łańcucha dostaw jako procesu biznesowego w organizacji. Każde przerwanie takiego łańcucha wiąże się z kosztami. Podczas dyskusji nawiązano do zarządzania ryzykiem w kontekście łańcucha dostaw, jak i w jaki sposób można wyznaczyć taką analizę oraz jak można w rzetelny sposób podejść do wyceny np. kosztów godziny awarii. Uczestnicy na koniec poruszanego tematu stwierdzili, że ewaluacja jak i monitorowanie ryzyka dostawców są kluczowe dla wzmocnienia bezpieczeństwa w łańcuchu dostaw.
Moderatorzy
SecureVisio
SecureVisio