Zbliżająca się implementacja dyrektywy NIS2 nałoży nowe obowiązki nie tylko na duże, ale również na mniejsze podmioty. Aby to lepiej zobrazować, posłużymy się przykładem jednego z wdrożeń, jakie miały miejsce w firmie wodno-kanalizacyjnej z północnej części Polski. Przy czym od razu trzeba podkreślić, że specyfiką działalności podmiotów z tego sektora jest odseparowanie poszczególnych części systemu – punktów ujęcia wody, jej uzdatniania czy przepompowni ścieków – co zwiększa ryzyko ataku. Jednocześnie efektywne zarządzanie nimi odbywa się w coraz większym stopniu w oparciu o dostęp online.

Celem omawianego projektu było wdrożenie solidnego rozwiązania w zakresie bezpieczeństwa sieci, które skutecznie oddziela i zabezpiecza sieci operacyjne (OT) od sieci informatycznych (IT) w wielu lokalizacjach – przepompowniach i ujęciach wody. Strategia trwającego około miesiąca projektu obejmowała separację sieci w oparciu o firewalle Stormshield SNi20 na obrzeżach każdej z sieci OT.

Wybór lokalizacji zapór został oparty na rygorystycznej ocenie ryzyka i działających już połączeniach sieciowych. Urządzenia zostały umieszczone jak najbliżej urządzeń automatyki przemysłowej, często na tej samej szynie DIN, co sterowniki PLC. Ułatwia to szybkie wykrywanie zagrożeń i reagowanie na nie. Minimalizuje przy tym powierzchnię ataku i maksymalizuje ochronę infrastruktury przemysłowej.

Zamiast wprowadzać znaczące zmiany w topologii sieci, rozwiązanie Stormshield wykorzystuje interfejsy w konfiguracji bridge do segmentacji. Technika ta pozwala na izolację różnych segmentów przy zachowaniu ogólnej struktury sieci. Ogranicza to zakres wymaganych modyfikacji, zmniejszając ryzyko zakłóceń operacyjnych.

Znaczenie miała również centralizacja zapewniająca, że tylko autoryzowane urządzenia i podmioty mogą wchodzić w interakcje z krytycznymi zasobami, minimalizując potencjalną powierzchnię ataku. Dzięki wykorzystaniu SMC, zmiennych i możliwości oskryptowania łatwo zarządzać, zmieniać politykę i aktualizować centralnie wszystkie podłączone firewalle SNi20 i EVA, mimo że cechuje je indywidualna polityka w każdej lokalizacji.

Kontrola odbywa się w ramach standardowych prac konserwatorskich i nastawczych. Pierwszorzędne znaczenie ma autoryzacja pracowników z użyciem istniejących Active Directory i integracji poprzez mechanizm SSO. Następnie monitorowane i zapisywane są wszystkie działania w ramach protokołów przemysłowych, przepuszczanych na urządzeniach. Zdarzenia są rejestrowane w centralnym systemie SIEM, a całość zarządzana z centralnego systemu Stormshield Management Center.

Wymogi NIS2 pod kontrolą

Dyrektywa NIS2 wprowadza obowiązki stosowania określonych środków ochrony oraz szereg wymogów, np. raportowanie incydentów naruszenia bezpieczeństwa, zapewnienie odpowiedniego poziomu bezpieczeństwa produktów i przekazywania informacji o zagrożeniach i wadach. Dyrektywa wprowadza przy tym dwie kategorie podmiotów – kluczowych i istotnych – wobec których obowiązki są zróżnicowane. Obejmują zgłaszanie incydentów i zagrożeń, zarządzanie kryzysowe, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także stosowanie rozwiązań technologicznych adekwatnych do ryzyka.

Powyższe oznacza, że wdrożenie rekomendowanych rozwiązań będzie czasochłonne, a wobec skali wyzwania nawet uwzględnienie czasu przewidzianego w vacatio legis może okazać się niewystarczające. Tym bardziej stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Zwłaszcza, że podmioty, które nie będą przestrzegać dyrektywy, mogą być ukarane między innymi grzywnami.

Osiągnięte główne cele projektu to…

  • Separacja – skutecznie oddzielono sieci OT od sieci IT przy pomocy firewalli SNi20, minimalizując ryzyko zagrożeń z wewnętrznej sieci IT.
  • Centralizacja – każdy firewall SNi20 w konfiguracji bridge, pomimo wspólnych cech ma niestandardową politykę bezpieczeństwa, która kontroluje dostępy do wyznaczonych zasobów w segmencie.
  • Bezpieczeństwo – monitorowanie w czasie rzeczywistym przy pomocy systemu SIEM i scentralizowane zarządzanie firewallami brzegowymi z pomocą SMC przyspiesza reakcję i rekonfigurację.
  • Zgodność z przepisami – anonimizacja danych osobowych zgodnie z wytycznymi RODO.
  • Ulepszona ochrona SCADA – wirtualny firewall EVA zapewnia dodatkową warstwę zabezpieczeń do systemów SCADA.
  • Niezawodność – firewalle SNi20 mają możliwość funkcji bypass, co oznacza ciągłość transmisji.

Kontakt dla partnerów: Piotr Zielaskiewicz, Senior Product Manager w DAGMA Bezpieczeństwo IT, zielaskiewicz.p@dagma.pl