Dyrektywa NIS2[1] określa, czym jest podatność i wskazuje przyczyny, dla których wymiana informacji o podatnościach i sposobach ich neutralizowania jest ważna. Biorąc pod uwagę, że cyberzagrożenia stają się coraz bardziej złożone i zaawansowane, skuteczne wykrywanie podatności i wdrożenie właściwych środków zapobiegania jest w dużej mierze zależne od wymiany informacji między podmiotami. Wzajemna komunikacja na temat zagrożeń i podatności zapobiega przeradzaniu się takich zagrożeń w incydenty. Z tego artykułu dowiesz się, jakie są zasady zgłaszania podatności w NIS2 i wymiany informacji.
Czym są podatności?
Zgodnie z dyrektywą „podatność” oznacza słabość, wrażliwość lub wadę produktów ICT, lub usług ICT, które to cechy mogą zostać wykorzystane poprzez cyberzagrożenie. Wykorzystanie podatności sieci i systemów przez osoby trzecie może powodować znaczące zakłócenia i szkody dla organizacji. Ważnym czynnikiem w ograniczaniu ryzyka jest szybkie identyfikowanie takich podatności i ich eliminowanie. Pomoże w tym ustanowienie odpowiednich procedur postępowania w przypadku wykrycia podatności. Motyw 58 NIS2 wskazuje, że normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29147 zawierają wskazówki odnoszące się do postępowania w przypadku podatności i do ujawniania podatności.
Skoordynowane ujawnianie podatności na poziomie krajowym
Ujawnianie podatności odbywa się na zasadzie dobrowolności. Osoby fizyczne lub prawne mogą zgłaszać anonimowo podatność wyznaczonemu na koordynatora Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). CSIRT przeprowadza działania w związku ze zgłoszoną podatnością oraz zapewnia anonimowość osoby zgłaszającej podatność. Jeżeli zgłoszona podatność może mieć znaczący wpływ na podmioty w więcej niż jednym państwie członkowskim, CSIRT współpracują ze sobą w ramach sieci CSIRT w państwach członkowskich.
CSIRT ma więc charakter zaufanego pośrednika między osobą zgłaszającą podatność a producentem lub dostawcą produktów i usług ICT i może ułatwiać interakcje między nimi.
W zakresie wykrywania oraz ujawniania podatności CSIRT:
a) identyfikuje dane podmiotów i kontaktuje się z nimi;
b) udziela pomocy osobom zgłaszającym podatność;
c) negocjuje harmonogram ujawniania oraz zarządza podatnościami, których skutki mają wpływ na wiele podmiotów;
d) na wniosek podmiotu kluczowego lub ważnego CSIRT przeprowadza także aktywne skanowania sieci i systemów informatycznych danego podmiotu w celu wykrycia podatności o potencjalnym znaczącym wpływie;
e) CSIRT mogą również udzielić pomocy zainteresowanym podmiotom w zakresie monitorowania ich sieci i systemów informatycznych, a także ostrzegać i alarmować o wykrytych podatnościach czy incydentach.
Firmy mogą również między sobą wymieniać się informacjami na temat podatności, oznak naruszenia integralności systemu, ostrzeżeń i zaleceń dotyczących cyberbezpieczeństwa, jeżeli ma to na celu zapobieganie incydentom, eliminowanie i ujawnianie podatności oraz zwiększa poziom cyberbezpieczeństwa.
Skoordynowane ujawnianie podatności na poziomie europejskim
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opracowuje i prowadzi europejską bazę danych dotyczącą podatności. Baza danych zawiera:
a) informacje opisujące podatność;
b) produkty ICT lub usługi ICT, których dotyczy podatność, oraz dotkliwość podatności;
c) dostępność powiązanych aktualizacji lub wytyczne na temat sposobów ograniczania ryzyka wynikającego z ujawnionych podatności.
Baza ma na celu umożliwić wszystkim podmiotom ujawnianie i rejestrowanie – na zasadzie dobrowolności – znanych publicznie podatności występujących w produktach ICT lub usługach ICT. Wszyscy zainteresowani otrzymają dostęp do bazy.
Podatności a środki zarządzania ryzykiem
NIS2 zwraca uwagę, że postępowanie w przypadku wystąpienia podatności powinno stanowić jeden z elementów środków zarządzania ryzykiem. Więcej na temat środków zarządzania ryzykiem pisaliśmy w artykule. Środki zarządzania ryzykiem bazują na podejściu uwzględniającym wszystkie zagrożenia, w tym podatności, ponieważ mogą one się przerodzić w incydenty i spowodować znaczne szkody dla przedsiębiorstwa, w tym straty finansowe i utratę zaufania użytkowników. Zgodnie z NIS2 środki zarządzania ryzykiem obejmują bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie. Może to polegać w szczególności na regularnym przeprowadzaniu skanowania podatności oraz testów penetracyjnych, a wyniki testów powinny prowadzić do opracowania planów naprawczych w celu usuwania zidentyfikowanych podatności.
Również w zakresie bezpieczeństwa łańcucha dostaw firmy powinny wziąć pod uwagę podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy.
Wnioski i rekomendacje
Zarządzanie podatnościami jest jednym z kluczowych elementów zgodności z dyrektywą NIS2. Dyrektywa wzmacnia wymianę informacji na temat podatności i koordynację CSIRT między zgłaszającymi podatność a producentami lub dostawcami produktów i usług ICT. Ma to pomóc w zdiagnozowaniu i wyeliminowaniu danej podatności, zanim dotyczące jej szczegółowe informacje zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Podmioty kluczowe i ważne mogą także wymieniać się informacjami na temat podatności między sobą lub zasięgać informacji o podatnościach w bazie danych prowadzonej przez ENISA. Zgłaszanie podatności opiera się na zasadzie dobrowolności. NIS2 ma na celu wspierać kulturę ujawniania podatności, dlatego ujawnianie podatności nie powinno mieć na gruncie dyrektywy negatywnych skutków dla osoby zgłaszającej.
Jeśli potrzebujesz pomocy w zapewnieniu zgodności z NIS2 w zakresie podatności – skontaktuj się z nami.
Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy.
*[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., Dyrektywa – 2022/2555 – EN – EUR-Lex
Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.
E-mail: klaudia.szymanska@lawspective.pl
Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.