Ocena ryzyka NIS2: Ustrukturyzowane ramy identyfikacji i priorytetyzacji Państwa luk cybernetycznych

Art. 21 dyrektywy NIS2 nakłada na istotne i ważne podmioty obowiązek przyjęcia podejścia do cyberbezpieczeństwa opartego na ryzyku. Dyrektywa nie określa jednak konkretnej metodologii. Organizacje muszą wybrać i wdrożyć ramy, które są odpowiednie dla ich wielkości, ekspozycji i sektora. Niniejszy przewodnik przedstawia ustrukturyzowaną sześciostopniową metodologię zgodną z normą ISO 27005:2022 (Zarządzanie ryzykiem w zakresie bezpieczeństwa informacji) i wytycznymi ENISA, dostosowaną do organizacji podlegających NIS2.

Dlaczego struktura ma znaczenie

Doraźne środki bezpieczeństwa, niezależnie od dobrych intencji, nie spełniają standardu NIS2. Artykuł 21 wymaga środków, które są odpowiednie i proporcjonalne, co oznacza udokumentowane uzasadnienie każdej decyzji dotyczącej bezpieczeństwa. Ustrukturyzowane ramy oceny ryzyka zapewniają takie uzasadnienie. Gwarantują one, że zasoby są przydzielane do ryzyk o największym wpływie, że ryzyko rezydualne jest świadomie akceptowane przez kierownictwo i że zgodność z przepisami można wykazać organom nadzorczym.

Przedstawione tu ramy obejmują sześć kolejnych kroków. Każdy z nich tworzy udokumentowane dane wyjściowe, które zasilają kolejne, tworząc kompleksowy i możliwy do skontrolowania proces zarządzania ryzykiem.

Krok 1: Identyfikacja i wycena aktywów

Zanim będą Państwo mogli ocenić ryzyko, muszą Państwo wiedzieć, co chronią. Identyfikacja zasobów tworzy kompleksową inwentaryzację zasobów informacyjnych, sieci i systemów informatycznych oraz infrastruktury wspierającej w Państwa zakresie NIS2.

Kategorie aktywów do inwentaryzacji:

• Zasoby informacyjne: bazy danych klientów, własność intelektualna, rejestry pracowników, dane finansowe, dane operacyjne
• Zasoby sprzętowe: serwery, stacje robocze, sprzęt sieciowy, urządzenia IoT, urządzenia mobilne
• Zasoby oprogramowania: systemy operacyjne, aplikacje, oprogramowanie pośredniczące, oprogramowanie układowe
• Zasoby sieciowe: Infrastruktura LAN/WAN, firewalle, VPN, łączność w chmurze
• Aktywa usługowe: usługi w chmurze, platformy SaaS, usługi zarządzane, interfejsy API innych firm
• Personel: kluczowe role i ich poziomy dostępu

Każdy zasób należy wycenić na podstawie jego krytyczności dla Państwa operacji i wrażliwości przechowywanych danych. Norma ISO 27005 zaleca przypisanie wartości wpływu biznesowego (np. niski, średni, wysoki, krytyczny) w oparciu o potencjalne konsekwencje naruszenia poufności, integralności i dostępności.

Krok 2: Analiza zagrożeń

Analiza zagrożeń identyfikuje potencjalne źródła i zdarzenia, które mogą zagrozić Państwa zasobom. Zagrożenia można podzielić na kategorie:

• Celowe: ukierunkowane cyberataki, oprogramowanie ransomware, zagrożenia wewnętrzne, szpiegostwo, haktywizm
• Przypadkowe: błąd ludzki, błędna konfiguracja, błędy w oprogramowaniu, awarie sprzętu
• Środowisko: klęski żywiołowe, przerwy w dostawie prądu, zakłócenia łańcucha dostaw

Proszę korzystać ze źródeł informacji o zagrożeniach, aby skalibrować swoją analizę. ENISA publikuje coroczny raport Threat Landscape, który identyfikuje najważniejsze zagrożenia dla europejskich organizacji. Sektorowe centra ISAC (centra wymiany i analizy informacji) dostarczają danych wywiadowczych istotnych dla branży. Państwa analiza powinna uwzględniać zarówno prawdopodobieństwo wystąpienia każdego zagrożenia, jak i możliwości odpowiednich podmiotów.

Krok 3: Ocena podatności na zagrożenia

Ocena podatności identyfikuje słabe punkty w Państwa systemach, procesach i mechanizmach kontroli, które mogą zostać wykorzystane przez zagrożenia zidentyfikowane w kroku 2. Obejmuje to:

• Luki techniczne: niezałatane oprogramowanie, słaba konfiguracja, otwarte porty, brak szyfrowania
• Luki organizacyjne: nieodpowiednie polityki bezpieczeństwa, niewystarczające szkolenia, niejasne obowiązki
• Fizyczne słabe punkty: nieodpowiednia kontrola dostępu, brak ochrony środowiska
• Luki w zabezpieczeniach łańcucha dostaw: niesprawdzone oprogramowanie firm trzecich, niezabezpieczone interfejsy API, słabe praktyki bezpieczeństwa dostawców.

Zautomatyzowane narzędzia do skanowania podatności stanowią punkt odniesienia, ale muszą być uzupełnione ręcznymi testami (testami penetracyjnymi) i przeglądami procesów. Artykuł 21 ust. 2 lit. e) NIS2 wyraźnie wymaga możliwości obsługi i ujawniania luk w zabezpieczeniach.

Krok 4: Analiza wpływu

Dla każdej prawdopodobnej pary zagrożenie-podatność proszę ocenić potencjalny wpływ, jeśli ryzyko się zmaterializuje. Skutki należy oceniać w wielu wymiarach:

• Wpływ operacyjny: zakłócenie usługi, czas odzyskiwania, utrata krytycznych możliwości
• Skutki finansowe: koszty bezpośrednie (reakcja na incydent, działania naprawcze), koszty pośrednie (utracone przychody, kary umowne)
• Skutki regulacyjne: Kary NIS2 (do 10 mln EUR lub 2% obrotu dla istotnych podmiotów), grzywny RODO, jeśli dotyczy to danych osobowych.
• Wpływ na reputację: zaufanie klientów, ekspozycja w mediach, pozycja konkurencyjna
• Wpływ na bezpieczeństwo: szkody fizyczne (istotne w sektorach opieki zdrowotnej, energetyki, transportu)

Proszę stosować spójną skalę wpływu (np. nieistotny, niewielki, umiarkowany, poważny, katastrofalny) z określonymi kryteriami dla każdego poziomu. Zapewnia to porównywalność różnych rodzajów ryzyka i pomaga w ustalaniu priorytetów.

Krok 5: Ocena ryzyka i ustalenie priorytetów

Ryzyko jest kombinacją prawdopodobieństwa, że zagrożenie wykorzysta lukę w zabezpieczeniach i skutków, jeśli tak się stanie. Proszę użyć matrycy ryzyka, aby wykreślić każde zidentyfikowane ryzyko:

Poziom ryzyka = prawdopodobieństwo x wpływ. Proszę skategoryzować ryzyko jako: Krytyczne (wymagane natychmiastowe działanie), Wysokie (wymagane działanie w określonych ramach czasowych), Średnie (proszę monitorować i zaplanować działania naprawcze), Niskie (proszę zaakceptować lub monitorować).

Na etapie oceny ryzyka odpowiedzialność kierownictwa zgodnie z art. 20 NIS2 staje się konkretna. Organ zarządzający musi dokonać przeglądu i formalnie zatwierdzić ocenę ryzyka, akceptując ryzyko szczątkowe z pełną świadomością jego potencjalnych konsekwencji.

Krok 6: Planowanie leczenia ryzyka

Dla każdego ryzyka przekraczającego apetyt na ryzyko zdefiniowany przez Państwa organizację, proszę wybrać opcję postępowania:

• Łagodzenie: Wdrożenie mechanizmów kontrolnych w celu zmniejszenia prawdopodobieństwa lub wpływu (najczęstszy sposób postępowania).
• Przeniesienie: Przeniesienie ryzyka na stronę trzecią, zazwyczaj poprzez ubezpieczenie cybernetyczne lub outsourcing do wyspecjalizowanego dostawcy.
• Unikać: Wyeliminowanie ryzyka poprzez zaprzestanie działalności, która je generuje.
• Akceptacja: Świadoma akceptacja ryzyka, gdy koszty leczenia przewyższają potencjalny wpływ (musi być udokumentowane i zatwierdzone przez kierownictwo).

Dla każdej kontroli łagodzącej należy udokumentować oczekiwane zmniejszenie ryzyka, harmonogram wdrożenia, odpowiedzialnego właściciela i wymagania dotyczące zasobów. Staje się to Państwa planem postępowania z ryzykiem, żywym dokumentem, który napędza Państwa inwestycje w cyberbezpieczeństwo i ustala priorytety.

Struktura rejestru ryzyka

Rejestr ryzyka jest centralnym artefaktem Państwa oceny ryzyka. Powinien on zawierać następujące pola dla każdego zidentyfikowanego ryzyka:

• Identyfikator ryzyka: Unikalny identyfikator
• Aktywa: zagrożone aktywa
• Zagrożenie: Źródło zagrożenia i zdarzenie
• Podatność: Wykorzystywana słabość
• Istniejące kontrole: Obecnie stosowane środki
• Prawdopodobieństwo: Ocenione prawdopodobieństwo (np. skala 1-5).
• Wpływ: Ocenione konsekwencje (np. skala 1-5)
• Poziom ryzyka nieodłącznego: Przed dodatkowym leczeniem
• Opcja leczenia: Złagodzenie, przeniesienie, unikanie lub akceptacja
• Planowane kontrole: Dodatkowe środki, które mają zostać wdrożone
• Poziom ryzyka resztkowego: Po planowanym leczeniu
• Właściciel ryzyka: osoba odpowiedzialna za zarządzanie tym ryzykiem
• Data przeglądu: Następna zaplanowana ponowna ocena

Zgodność z normą ISO 27005 i wytycznymi ENISA

Ta sześcioetapowa metodologia jest ściśle zgodna z normą ISO 27005:2022, która zapewnia ramy odniesienia dla zarządzania ryzykiem bezpieczeństwa informacji w ramach systemu zarządzania ISO 27001. Organizacje dążące do uzyskania certyfikatu ISO 27001 przekonają się, że dobrze przeprowadzona ocena ryzyka zgodnie z tą metodologią spełnia wymagania klauzuli 6.1.2 normy ISO 27001.

ENISA opublikowała kilka zasobów pomocniczych, w tym wytyczne dotyczące wdrażania NIS2 i interoperacyjne ramy zarządzania ryzykiem. Zasoby te zapewniają scenariusze ryzyka dla poszczególnych sektorów, katalogi zagrożeń i mapowania kontroli, które można wykorzystać do przyspieszenia oceny ryzyka.

Ciągłe doskonalenie

Ocena ryzyka nie jest ćwiczeniem punktowym. Art. 21 ust. 2 lit. f) NIS2 wymaga polityk i procedur oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa. Oznacza to:

• Ponowna ocena ryzyka co najmniej raz w roku i po każdej istotnej zmianie (nowe systemy, zmiany organizacyjne, pojawiające się zagrożenia).
• Monitorowanie skuteczności wdrożonych kontroli za pomocą wskaźników KPI i wskaźników bezpieczeństwa.
• Przeprowadzenie ćwiczeń i symulacji w celu przetestowania Państwa scenariuszy ryzyka.
• Regularne aktualizowanie informacji o zagrożeniach
• Zgłaszanie wyników oceny ryzyka kierownictwu w ramach cyklu zarządzania NIS2.

Ustrukturyzowana, udokumentowana i regularnie aktualizowana ocena ryzyka nie jest jedynie ćwiczeniem zgodności. Jest to podstawa skutecznego programu cyberbezpieczeństwa, który chroni Państwa organizację, klientów i pozycję konkurencyjną w coraz bardziej wrogim krajobrazie zagrożeń.