Audyty Cyberbezpieczeństwa

Branża wydobywcza jest jedną z najbardziej wymagających - nie tylko pod względem bezpieczeństwa fizycznego, ale również cyfrowego. Poniżej przedstawiamy case study z wdrożenia systemów bezpieczeństwa XDR i NDR przez zespół ekspertów JSW IT Systems i Integrity Partners.

Tam, gdzie infrastruktura IT i OT przenika się na wielu poziomach, każdy incydent może mieć realny wpływ na ciągłość produkcji, bezpieczeństwo pracowników i stabilność procesów technologicznych. 

Wyzwania bezpieczeństwa w sektorze górniczym

W przypadku wdrożenia, które realizowaliśmy, głównym wyzwaniem była rosnąca liczba punktów styku między siecią biznesową a technologiczną. Organizacja potrzebowała rozwiązania, które zapewni pełną widoczność ruchu, pozwoli wykrywać anomalie w czasie rzeczywistym i umożliwi skuteczną reakcję na incydenty - również na urządzeniach, na których nie można instalować agentów bezpieczeństwa.

Dodatkowo mierzyliśmy się z problemami typowymi dla bardzo dużej organizacji: koniecznością ochrony ogromnej liczby systemów automatyki przemysłowej, cyberochroną urządzeń takich jak kamery IP czy sterowniki, a także potrzebą korelacji zdarzeń z wielu źródeł, aby skutecznie wykrywać złożone incydenty. 

Firmie zależało również na pełnej widoczności sieci wewnętrznej.

- mówi Konrad Tarsała, Network Security Engineer w Integrity Partners. 

Cele projektu

Przystępując do projektu zespół JSW IT Systems i Integrity Partners postawił sobie konkretne cele:

• zwiększenie odporności infrastruktury IT i OT na cyberzagrożenia,
• uzyskanie pełnej widoczności ruchu sieciowego,
• ochronę urządzeń i systemów, na których nie można instalować agentów,
• eliminację ryzyka wystąpienia zagrożeń w środowisku produkcyjnym.

Obszar sieci biznesowej i technologicznej posiada coraz więcej punktów styku, dlatego głównym celem naszych inżynierów jest eliminowanie ryzyka wystąpienia zagrożenia. Tak naprawdę jest to proces, który nigdy się nie kończy.

- mówi Roman Jordan, Starszy Specjalista w Dziale Bezpieczeństwa JSW IT Systems. 

Zastosowane rozwiązania

System klasy XDR – fundament bezpieczeństwa

Kilka lat wcześniej wdrożyliśmy u Klienta rozwiązanie XDR, które stało się centralnym punktem zbierania i analizy informacji o zagrożeniach. System chroni komputery użytkowników końcowych i automatyzuje reakcję na incydenty.

System klasy NDR – dodatkowa ochrona

Naturalnym uzupełnieniem XDR było wdrożenie systemu NDR, który analizuje ruch sieciowy w czasie rzeczywistym i wykrywa anomalie w środowisku IT i OT. Wybraliśmy rozwiązanie, które monitoruje sieć technologiczną i biznesową, analizuje kopię ruchu, nie ingerując w procesy, wykrywa anomalie i nietypowe zachowania urządzeń, a także umożliwia korelację zdarzeń i szybką reakcję na incydenty. Działanie wyłącznie na kopii ruchu, co oznacza, że w żaden sposób nie wpływamy na funkcjonowanie procesów biznesowych czy technologicznych.

Model współpracy i przebieg wdrożenia

Kluczowym elementem sukcesu było zaangażowanie zespołu Klienta. Pracownicy aktywnie uczestniczyli w procesie wdrożenia, brali udział w szkoleniach i zdobyli kompetencje pozwalające na samodzielne zarządzanie systemem. Dzięki temu mogą samodzielnie zarządzać systemem i wprowadzać zmiany.

Dodatkowym atutem była bardzo dobra znajomość architektury sieci technologicznej po stronie Klienta, co znacząco przyspieszyło implementację. Dokładnie wiedzieliśmy, skąd i jakimi danymi zasilać system.

Efekty wdrożenia

Wdrożenie XDR i NDR przyniosło wymierne korzyści operacyjne:

• pełna widoczność ruchu w sieci OT,
• możliwość korelacji zdarzeń z wielu źródeł,
• wykrywanie incydentów wcześniej trudnych do zdiagnozowania,
• bliższa współpraca z kopalniami w analizie zagrożeń i redukcji false positive,
• zwiększenie odporności całej infrastruktury na cyberataki.

Wdrożenie diametralnie zmieniło widoczność i możliwości analizy ruchu. Obecnie korelujemy zdarzenia i rejestrujemy incydenty, które dotychczas były bardzo trudne do zdiagnozowania.

- podsumowuje Roman Jordan. 

Wyzwanie: 

• Konieczność dostosowania do wymogów NIS2
• 200+ systemów przemysłowych
• Krytyczna infrastruktura IT/OT
• Ograniczony budżet na bezpieczeństwo 

Rozwiązanie: 

• Kompleksowy audyt środowiska IT/OT
• Analiza luk w zabezpieczeniach
• Ocena zgodności regulacyjnej
• Przygotowanie planu działań naprawczych 

Rezultaty: 

• 90% redukcja krytycznych luk w zabezpieczeniach
• Zgodność z wymogami NIS2
• 40% optymalizacja budżetu bezpieczeństwa
• Certyfikacja kluczowych aplikacji 

Proces Realizacji: 

• Analiza wstępna i określenie zakresu
• Zbieranie danych i wywiady z pracownikami
• Szczegółowa analiza techniczna
• Prezentacja wyników i rekomendacji
• Wsparcie we wdrożeniu zaleceń 

Przykładowy Raport: 

• Executive Summary dla zarządu
• Szczegółowa analiza techniczna
• Mapa ryzyk z priorytetyzacją
• Konkretne rekomendacje z ROI
• Plan działań naprawczych 

ROI z Audytu: 

• Uniknięcie kar za brak zgodności (do 10M EUR)
• Redukcja ryzyka przestojów produkcyjnych
• Optymalizacja kosztów zabezpieczeń
• Wzrost zaufania klientów i partnerów
• Zwiększenie świadomości sytuacyjnej 

Dyrektywa NIS2 ujednolica poziom cyberbezpieczeństwa w UE i rozszerza obowiązki organizacji z sektorów kluczowych i ważnych (m.in. energetyka, zdrowie, transport, finanse, infrastruktura cyfrowa, administracja publiczna, kosmiczny, chemiczny, spożywczy, wod-kan). Celem jest podniesienie odporności na rosnące zagrożenia.

Kogo obejmują wymagania NIS2?

Dyrektywa NIS2 obejmuje dwa główne typy organizacji:

• podmioty kluczowe – instytucje, których działalność ma bezpośredni wpływ na bezpieczeństwo i funkcjonowanie społeczeństwa, np. firmy z sektora energetycznego, ochrony zdrowia czy finansów
• podmioty ważne – organizacje o istotnym znaczeniu, choć ich wpływ na infrastrukturę krytyczną jest mniejszy

Obie grupy muszą spełniać konkretne wymagania w zakresie cyberbezpieczeństwa, w tym:

• opracowanie i wdrożenie procedur zarządzania incydentami
• stosowanie odpowiednich środków technicznych chroniących przed zagrożeniami
• utrzymywanie zgodności z aktualnymi normami i standardami bezpieczeństwa.

W centrum uwagi dyrektywy NIS2 znajduje się infrastruktura krytyczna. Obejmuje ona sektory takie jak:

• energetyka
• ochrona zdrowia
• transport
• finanse 

NIS2 znacząco poszerza zasięg dyrektywy NIS, obejmując również branże, które dotąd nie podlegały tak surowym przepisom. Nowo objęte sektory to:

• administracja publiczna
• przemysł kosmiczny
• sektor chemiczny
• branża spożywcza 

Objęte dyrektywą są także przedsiębiorstwa wodociągowe, które w ostatnim czasie są celem zwłaszcza rosyjskich cyberataków.
Przeczytaj więcej o NIS2 w kontekście sektora wod-kan 

Kompleksowo weryfikuje zgodność z dyrektywą i realną odporność organizacji. Obejmuje przegląd dokumentacji, procedur i praktyk, a efektem jest mapa drogowa z rekomendacjami.

Zakres audytu

• Analiza infrastruktury IT i konfiguracji.
• Przegląd polityk bezpieczeństwa i procedur reagowania.
• Analiza ryzyka (fundament audytu).
• Testy penetracyjne i audyt techniczny.
• Ocena skuteczności istniejących zabezpieczeń.
• Weryfikacja SZBI (np. wg ISO/IEC 27001).
  Wspierająco stosuje się ISO 27001 (bezpieczeństwo informacji) i ISO 31000 (zarządzanie ryzykiem).

Kluczowe elementy i dokumenty

• Audyt zerowy (audyt luki) – start do planu naprawczego.
• Kompletna dokumentacja: polityki dostępu, zarządzanie incydentami, plany ciągłości działania (BCP), instrukcje operacyjne.
• Plan ciągłości działania i procedury IR – decydują o skali skutków incydentów.

Wyniki audytu

• Raport: ocena stanu zabezpieczeń, zidentyfikowane luki, rekomendacje.
• Roadmapa NIS2: harmonogram działań, priorytety, przypisanie zasobów i odpowiedzialności.

Korzyści

• Wyższa odporność i stabilność operacyjna.
• Szybsza i skuteczniejsza reakcja na incydenty.
• Mniejsze ryzyko kar i strat wizerunkowych.
• Budowanie zaufania klientów i partnerów.

Sankcje i odpowiedzialność
Brak zgodności grozi wysokimi karami i odpowiedzialnością osobistą członków zarządu. Zabezpieczenia muszą być regularnie testowane i doskonalone.

Jak się przygotować

1. Wewnętrzna analiza procedur i zabezpieczeń.
2. Identyfikacja niezgodności z NIS2.
3. Plan naprawczy z celami, terminami i właścicielami.
4. Wdrożenie i testy (np. ćwiczenia IR/BCP).

Wybór audytora
Liczy się doświadczenie sektorowe, referencje i elastyczność – audytor ma wskazać problemy i pomóc w ich praktycznym rozwiązaniu.

Najczęstsze błędy

• Nieaktualna lub niespójna dokumentacja.
• Zaniżanie ryzyk.
• Brak przeglądów polityk.
• Brak próbnego audytu wewnętrznego.

FAQ 

• Jak często audyt? Minimum raz w roku oraz po zmianach/incydentach.
• Czym różni się od audytu IT? Obejmuje nie tylko technologię, ale i polityki, raportowanie, zarządzanie ryzykiem i gotowość operacyjną.
• Co wchodzi w skład? Analiza ryzyka, przegląd dokumentacji, ocena polityk i skuteczności zabezpieczeń.
• Jak wybrać dostawcę? Doświadczenie w cyberbezpieczeństwie i w Twoim sektorze, dobre referencje, dopasowanie do specyfiki organizacji.

• Zarządzanie ryzykiem – ciągła identyfikacja, ocena i minimalizacja ryzyk; regularna aktualizacja analiz (nowe techniki ataków, ransomware).
• Raportowanie incydentów – szybkie, precyzyjne zgłaszanie; jasno określone role, kanały komunikacji i pełna dokumentacja działań.
• Odpowiedzialność zarządów – osobiste konsekwencje za poważne zaniedbania; obowiązek aktywnego nadzoru nad bezpieczeństwem.
• Szkolenia i świadomość – cykliczne, aktualizowane programy dla całej organizacji.