Zarządzanie aktywami i kontrola dostępu do sieci nie są technicznym dodatkiem do dyrektywy NIS2 ani do przepisów ustawy o krajowym systemie cyberbezpieczeństwa, która przenosi wymagania NIS2 do polskiego porządku prawnego. To jeden z rdzeni zgodności. Wynika to z prostej przyczyny: bez wiedzy o tym, jakie urządzenia i użytkownicy pojawiają się w sieci, firmy i instytucje nie są w stanie rzetelnie szacować ryzyka czy egzekwować polityk bezpieczeństwa.
W tym kontekście szczególne znaczenie mają rozwiązania klasy Network Access Control, czyli kontroli dostępu do sieci, określane skrótowo jako NAC. Systemy te działają na wejściu do sieci: identyfikują użytkowników i urządzenia końcowe, weryfikują warunki dostępu, egzekwują przyjęte polityki bezpieczeństwa oraz umożliwiają ograniczenie dostępu, gdy pojawia się ryzyko. W ten sposób łączą kilka obszarów istotnych z perspektywy zgodności i cyberodporności: widoczność aktywów, kontrolę dostępu, segmentację, monitoring zdarzeń, raportowanie oraz dane potrzebne przy analizie incydentu lub audycie.
Jakie wymagania dotyczące kontroli dostępu do sieci wynikają z NIS2 i KSC?
Ustawa o KSC (tj. krajowym systemie cyberbezpieczeństwa), podobnie jak dyrektywa NIS2, nie narzuca organizacjom konkretnego rozwiązania technologicznego. Wymaga jednak wdrożenia adekwatnych środków technicznych i organizacyjnych, które pozwalają zarządzać ryzykiem, chronić systemy informacyjne, monitorować ich bezpieczeństwo, kontrolować dostęp, zarządzać aktywami oraz reagować na incydenty.
W warstwie sieciowej oznacza to konieczność odpowiedzi na kilka podstawowych pytań: jakie urządzenia są podłączone do sieci, kto z nich korzysta, czy mają właściwe uprawnienia, czy dostęp jest zgodny z politykami organizacji i czy można go szybko ograniczyć, gdy pojawi się ryzyko.
System NAC nie zastępuje całego systemu zarządzania bezpieczeństwem informacji, ale może istotnie wspierać jego techniczną realizację tam, gdzie mowa o dostępie do sieci. Właśnie dlatego rozwiązanie klasy Network Access Control warto traktować jako jeden z fundamentów cyberbezpieczeństwa, gdyż działa na wejściu do sieci, pomagając sprawdzić, kto lub co próbuje się z nią połączyć, czy ma do tego prawo i jaki poziom dostępu powinien otrzymać. W praktyce rolę NAC w realizacji wymagań NIS2 i KSC można uporządkować w niżej omówionych sześciu obszarach.
1. Widoczność aktywów
Pierwszym warunkiem skutecznej kontroli dostępu jest widoczność użytkowników i urządzeń, które próbują połączyć się z siecią. Organizacja nie może właściwie zarządzać ryzykiem, jeśli nie wie, czy połączenia żąda pracownik, gość, administrator, urządzenie firmowe, prywatny laptop, telefon, kamera, drukarka, czujnik IoT albo inny endpoint działający poza standardowym procesem rejestracji. Systemy klasy Network Access Control wykrywają i identyfikują użytkowników oraz urządzenia końcowe już na wejściu do sieci, zanim zostanie podjęta decyzja o przyznaniu, ograniczeniu albo odmowie dostępu. Dzięki temu organizacja zyskuje uporządkowaną wiedzę o tym, kto i co próbuje uzyskać dostęp do jej zasobów sieciowych. Ma to znaczenie szczególnie w kontekście obowiązków dotyczących zarządzania ryzykiem, ochrony systemów informacyjnych i zarządzania aktywami, wynikających m.in. z art. 2 pkt 14 lit. b – „urządzenie lub grupę połączonych urządzeń”; art. 8 ust. 1 pkt 1; art. 8 ust. 1 pkt 2 lit. m – „zarządzanie aktywami”. W przypadku podmiotu ważnego będącego podmiotem publicznym właściwym punktem odniesienia jest art. 8 ust. 3 w zw. z załącznikiem nr 4 do ustawy, który przewiduje m.in. inwentaryzację produktów ICT, usług ICT i procesów ICT (w cz. I pkt 1 – „inwentaryzację produktów ICT, usług ICT i procesów ICT”).
2. Kontrola dostępu
Sama wiedza o tym, jakie urządzenia znajdują się w sieci, nie wystarcza, jeśli organizacja nie potrafi przełożyć tej wiedzy na decyzje dostępowe. Kluczowe jest egzekwowanie zasad określających, kto, co, skąd i na jakich warunkach może korzystać z zasobów sieciowych. W praktyce oznacza to możliwość dopuszczenia uprawnionego użytkownika lub urządzenia, ograniczenia dostępu gościom, odseparowania urządzeń IoT, przypisania właściwego segmentu sieci albo odmowy połączenia, gdy warunki bezpieczeństwa nie są spełnione. System NAC wspiera ten obszar, pozwalając wdrażać polityki dostępu w sieci przewodowej, bezprzewodowej i w wybranych scenariuszach zdalnych – m.in. na podstawie tożsamości użytkownika, typu urządzenia, lokalizacji, metody uwierzytelnienia czy przynależności do określonej grupy. Dzięki temu polityki bezpieczeństwa nie pozostają wyłącznie zapisem w dokumentacji, lecz stają się realnym mechanizmem kontroli na wejściu do sieci. Te zagadnienia wiążą się przede wszystkim z wymaganiami dotyczącymi polityk kontroli dostępu, ochrony systemów informacyjnych i zarządzania ryzykiem, wynikającymi m.in. z art. 8 ust. 1 pkt 2 lit. c – „kontrole dostępu”; lit. l – „uwierzytelnianie wieloskładnikowe”; lit. n – „polityki kontroli dostępu” oraz uzupełniająco art. 8 ust. 1 pkt 1.
3. Monitoring zdarzeń dostępowych
Kontrola dostępu nie kończy się w momencie przyznania połączenia z siecią. Organizacja powinna wiedzieć, co dzieje się w warstwie dostępu: które próby autoryzacji zostały zaakceptowane, które odrzucone, z jakiego miejsca nastąpiło połączenie, do jakiego segmentu przypisano użytkownika lub urządzenie końcowe i czy pojawiają się zdarzenia wymagające dalszej analizy. Systemy klasy Network Access Control rejestrują takie zdarzenia i porządkują je w sposób przydatny dla zespołów IT i bezpieczeństwa. Dzięki temu organizacja zyskuje bieżący obraz aktywności na wejściu do sieci oraz dane, które mogą zostać wykorzystane przy wykrywaniu nieprawidłowości, analizie zdarzeń lub korekcie polityk dostępu. Ten obszar wiąże się przede wszystkim z wymaganiami dotyczącymi ciągłego monitorowania systemów informatycznych, zbierania informacji o zagrożeniach i podatnościach oraz prowadzenia dokumentacji operacyjnej, wynikającymi m.in. z art. 8 ust. 1 pkt 2 lit. g – „monitorowania w trybie ciągłym”; art. 8 ust. 1 pkt 3 – „zbieranie informacji o cyberzagrożeniach i podatnościach”; art. 10 ust. 4 – „zapisy …w dziennikach systemów informacyjnych” ustawy o krajowym systemie cyberbezpieczeństwa. W NIS2 monitoring warstwy dostępu nie jest nazwany literalnie, ale wynika pośrednio z konieczności oceny skuteczności środków i przygotowania danych do notyfikacji incydentów.
4. Ograniczanie ryzyka
Jednym z praktycznych wymiarów kontroli dostępu jest możliwość szybkiego ograniczenia uprawnień, gdy użytkownik, urządzenie końcowe lub sposób połączenia przestaje spełniać wymagania bezpieczeństwa. Nie chodzi wyłącznie o odmowę dostępu na etapie logowania, ale także o reakcję na sytuacje, w których ryzyko pojawia się już po stronie działającej infrastruktury: nieznane urządzenie próbuje połączyć się z siecią, sprzęt nie spełnia wymagań polityki, dostęp gościa powinien zostać zawężony, albo wybrany segment sieci wymaga odseparowania od pozostałych zasobów. Systemy klasy Network Access Control pozwalają egzekwować takie decyzje technicznie – przez blokadę połączenia, przypisanie do odpowiedniego segmentu, ograniczenie uprawnień, przeniesienie do kwarantanny albo odcięcie dostępu do określonych zasobów. Dzięki temu organizacja nie tylko definiuje zasady bezpieczeństwa, ale może realnie ograniczać wpływ zdarzeń, podatności lub zagrożeń w warstwie dostępu do sieci. Ten obszar wiąże się przede wszystkim z wymaganiami dotyczącymi zarządzania incydentami, działań zapobiegających lub ograniczających wpływ incydentów oraz podejmowania działań po dostrzeżeniu podatności lub cyberzagrożeń, wynikającymi m.in. z art. 8 ust. 1 pkt 4 – „zarządzanie incydentami”; art. 8 ust. 1 pkt 5 lit. d – „czasowe ograniczenie ruchu sieciowego przychodzącego”; szerzej także art. 8 ust. 1 pkt 5 lit. a–c ustawy o KSC.
5. Dokumentowanie działań
Wymagania regulacyjne nie kończą się na wdrożeniu środków technicznych. Organizacja powinna również móc wykazać, że stosowane mechanizmy bezpieczeństwa działają i są możliwe do odtwórczej weryfikacji. W obszarze dostępu do sieci oznacza to potrzebę gromadzenia danych o tym, kto i co uzyskiwało dostęp, jakie decyzje dostępowe zostały podjęte, które próby połączenia zostały odrzucone, jakie segmenty sieci zostały przypisane użytkownikom lub urządzeniom końcowym oraz czy działania były zgodne z przyjętymi politykami. Systemy klasy NAC rejestrują zdarzenia dostępowe, historię autoryzacji, odmowy dostępu, przypisania do segmentów oraz informacje o użytkownikach i urządzeniach końcowych korzystających z sieci. Dzięki temu dostarczają danych potrzebnych do dokumentacji operacyjnej, przeglądów bezpieczeństwa, audytów oraz kontroli. Te kwestie są powiązane przede wszystkim z wymaganiami dotyczącymi prowadzenia dokumentacji bezpieczeństwa systemu informacyjnego, dokumentacji operacyjnej oraz audytu bezpieczeństwa systemu informacyjnego, wynikającymi m.in. z art. 10 ust. 1 omawianej ustawy, tj. „opracowuje, stosuje i aktualizuje dokumentację”; art. 10 ust. 3 pkt 4 – „dokumentacja techniczna”; art. 10 ust. 4 – „w dziennikach systemów informacyjnych”; art. 10 ust. 6 – „nadzoru nad dokumentacją”; art. 15 ust. 1 – „co najmniej raz na 3 lata, audyt”.
6. Wsparcie obsługi incydentów
W przypadku incydentu znaczenie ma nie tylko szybka reakcja, ale także możliwość odtworzenia, co wydarzyło się w warstwie dostępu do sieci przed wykryciem zdarzenia i w jego trakcie. Zespół odpowiedzialny za cyberbezpieczeństwo musi ustalić, jakie konto, urządzenie końcowe, adres IP, port, SSID lub segment sieci były powiązane z daną aktywnością, czy dostęp został przyznany zgodnie z polityką oraz czy wystąpiły wcześniejsze próby połączenia, odmowy autoryzacji lub zmiany uprawnień. Systemy klasy Network Access Control dostarczają takich danych, porządkując informacje o zdarzeniach dostępowych, użytkownikach, urządzeniach końcowych i decyzjach podejmowanych na wejściu do sieci. Dzięki temu wspierają analizę incydentu, ocenę jego zasięgu, przygotowanie informacji dla właściwych zespołów oraz wyciąganie wniosków potrzebnych do korekty polityk bezpieczeństwa. Ten obszar wiąże się przede wszystkim z wymaganiami dotyczącymi obsługi incydentów, analizy aktywności, zarządzania incydentami oraz współdziałania z właściwym CSIRT, wynikającymi m.in. art. 3a – „analizy aktywności, w tym ruchu sieciowego”; art. 11 ust. 1 pkt 1–6 – „zapewnia obsługę incydentu”, „wczesne ostrzeżenie”, „incydent poważny”; art. 12a – „szczegółowy opis incydentu”; art. 12b – „sprawozdanie z postępu obsługi”.
Wdrożenie rozwiązania klasy Network Access Control jest najskuteczniejsze wtedy, gdy organizacja traktuje je jako uporządkowanie zasad dostępu do sieci, a nie wyłącznie projekt infrastrukturalny. Technologia egzekwuje polityki, ale ich jakość zależy od tego, jak dobrze zostaną zdefiniowane cele, zakres i scenariusze dostępu.