Cristian

Cristian

Implementare Directiva NIS

Despre Legea NIS și cerințele sale

Legea NIS 1 (Legea 362/2018) este transpunerea Directivei UE 2016/1148 în România și reglementează securitatea rețelelor și a sistemelor informatice iar Directiva UE 2022/2555″ (Directiva NIS 2) este actualizarea Directivei NIS pentru a răspunde noilor provocări în securitatea cibernetică.

Prin acest act normativ se reglementează standarde tehnice și organizatorice minime ce trebuie respectate de entitățile care au calitatea de operatori de servicii esențiale, în scopul de a institui un nivel minim de securitate în tot spațiul economic european (SEE). Cu alte cuvinte, odată cu intrarea în vigoare a Legii NIS (vezi un articol detaliat aici), orice operator de servicii esențiale trebuie să implementeze standardele tehnice și organizatoriceprevăzute de aceasta.

Descrierea clientului și provocările sale
Un operator regional de alimentare cu apa și canalizare din România se încadrează în categoria operatorilor de servicii esențiale conform Legii NIS1 și Directivei NIS 2 care stabilește cerințele minime de securitate pentru rețele și sisteme informatice. În urma analizei, compania a constatat că nu este complet aliniată cu cerințele tehnice și procedurale, astfel că a decis să demareze achiziții pentru a remedia aceste neconformități:

Identificarea și Clasificarea Vulnerabilităților: Necesitatea implementării unui software dedicat pentru monitorizarea continuă și proactivă a securității prin identificarea și clasificarea vulnerabilităților.
Inventarierea Proceselor IT si Crearea unei Diagrame de Conexiuni : Provocarea de a realiza o inventariere completă a proceselor IT, sistemelor și componentelor rețelelor informatice pentru gestionarea eficientă a resurselor IT.
Prevenirea și Detectarea Atacurilor Cibernetice: Dezvoltarea și integrarea eficientă a serviciilor pentru prevenirea, detectarea timpurie, investigarea și răspunsul la atacuri cibernetice.
Filtrarea Traficului Intern și Autentificare Duală a Utilizatorilor: Implementarea unei soluții de filtrare a traficului intern pentru prevenirea accesului neautorizat și protejarea datelor sensibile.
Crearea si documentarea unei solutii de recuperare in caz de dezastru: Elaborarea unui plan detaliat care să includă proceduri pentru recuperarea rapidă a datelor și a infrastructurii critice după un incident major.
Stabilirea unor politici de securitate in exploatarea echipamentelor IT: Definirea unor reguli clare privind utilizarea, întreținerea și protecția echipamentelor IT pentru a preveni accesul neautorizat și pierderea datelor.
Monitorizarea si alertarea incidentelor de securitate: Implementarea unui sistem de supraveghere continuă pentru detectarea și raportarea imediată a activităților suspecte sau neautorizate. Sistemul trebuie să includă mecanisme de alertă care să permită intervenția rapidă a echipei de securitate IT.
Gestionarea echipamentelor utilizate si a actualizarilor software: Menținerea unui inventar detaliat al tuturor echipamentelor IT și asigurarea că toate dispozitivele funcționează cu cele mai recente versiuni de software și patch-uri de securitate.

Componenta tehnologică propusă

Soluția propusă, Fortinet Fortigate 200F, oferă o gamă extinsă de funcționalități pentru securitatea cibernetică, inclusiv protecție avansată pentru rețelele SCADA/OT. Echipamentul include capacități puternice de firewall, VPN IPSec și SSL, protecție împotriva malware-ului și a atacurilor de tip botnet, precum și capacitatea de a gestiona peste 4492 de aplicații. Este echipat cu funcții de NAT, PAT, routing dinamic, VLAN tagging și suport VoIP SIP/H.323/SCCP. ITPS a furnizat două echipamente în configurație HA pentru redundanță, asigurând implementarea, integrarea și configurarea completă în rețeaua clientului.

ITPS a implementat soluția Cisco Duo MFA pentru client, acoperind diverse metode de acces precum VPN Dial-In și Remote Desktop. Soluția include autentificare multifactorială prin aplicații mobile sau SMS, SSO pentru aplicații, portal de auto-înrolare și integrare cu Active Directory și Azure. A fost instalată pe o platformă VMware, configurată pentru integrare cu firewall-ul și serviciul RDP, pentru până la 50 de utilizatori timp de 12 luni, inclusiv suport și actualizări de software.

ITPS a implementat soluția Veeam Backup & Replication pentru backup și replicare zilnică a datelor aflate pe un cluster VMware vSphere 7. Backup-ul local se realizează zilnic și include 19 puncte de restaurare.

Utilizând Veeam Cloud Connect, o copie de rezervă a fiecăruia dintre serverele virtuale este replicată zilnic în Datacenter-ul ITPS, cu un spațiu alocat. Politica de backup include 14 puncte de restaurare zilnică, 3 săptămânale (sâmbătă) și 2 lunare.

Arhitectura soluției oferă:

  • Replicare completă la nivel de mașini virtuale, transportate integral (sistem de operare, baze de date și date stocate).
  • Spațiu disponibil pentru păstrarea mașinilor virtuale replicate, cu posibilitatea restaurării și reluării lor în regim „live” pentru până la 30 de zile.
  • Utilizarea criptării autonome pentru datele replicate.
  • Gestionarea unei platforme sigure pentru transportul datelor criptate, folosind certificate digitale sau o conexiune de fibră optică dedicată.
  • Mașinile virtuale replicate păstrează aceleași configurații IP, simplificând procesul de FailOver în caz de dezastru.
  • Infrastructura de servere necesară pentru repornirea clusterului VMware vSphere 7, cu datele replicate, în caz de dezastru, este furnizată de ITPS.

Soluția software implementată, LANSWEEPER, este concepută pentru a gestiona și monitoriza automat echipamentele și sistemele din rețelele IT, utilizând protocolul SNMP și eliminând necesitatea de a furniza credențiale de acces sau a instala programe suplimentare pe dispozitivele rețelei. Aceasta oferă un inventar detaliat al componentelor hardware și software, inclusiv specificații precise și detalii despre utilizatori, permițând inventarierea până la 2000 de echipamente și sisteme, cum ar fi stațiile de lucru, serverele și echipamentele de rețelistică. LANSWEEPER automatizează detectarea dispozitivelor conectate la switch-uri, furnizând informații precum adresele MAC, IP și numele host-urilor asociate. Soluția permite, de asemenea, scanarea periodică a rețelei, actualizarea continuă a bazei de date cu noile dispozitive și generarea de rapoarte detaliate pentru a asigura conformitatea și securitatea rețelei.

ITPS a implementat software-ul Nessus Professional Scanner pentru identificarea și clasificarea vulnerabilităților, cu evaluări periodice la fiecare 6 luni. Compatibil cu diverse sisteme de operare, acest software identifică vulnerabilități software, lipsa patch-urilor, malware și configurări greșite, oferind actualizări automate. Evaluările includ scanări de porturi TCP/UDP, testarea aplicațiilor web, auditarea bazelor de date și serverelor, scanarea vulnerabilităților rețelei și testarea aplicațiilor și configurațiilor routerelor. Rapoartele furnizează detalii despre vulnerabilități, documente oficiale și soluții de remediere, fiind generate de cel puțin trei ori pe durata contractului.

Soluția propusă de ITPS permite descoperirea și managementul automat al echipamentelor din rețea prin protocolul SNMP, fără credențiale de acces și programe adiționale. Colectează detalii complete despre hardware, software și utilizatori, inventariind până la 2000 de echipamente. Detectează echipamentele conectate la switch-uri, permite scanări ale calculatoarelor din Active Directory și monitorizarea imprimantelor. Gestionează instalarea și dezinstalarea programelor, rularea scripturilor și închiderea proceselor, actualizând baza de date a echipamentelor și evidențiind dispozitivele noi sau neaprobate. Implementarea include instalare, integrare, scanare inițială și generarea de rapoarte detaliate, configurând baze de date consolidate și alerte automate.

Software-ul Rapid 7 InsightIDR este un serviciu cloud pentru securitatea cibernetică, licențiat pe baza numărului de active din Active Directory. Include procesarea și stocarea jurnalelor de la echipamente de rețea diverse, gestionând până la 250 de echipamente fără limite de trafic sau log-uri. Abonamentul este pentru 12 luni și oferă o perioadă de retenție a jurnalelor tot de 12 luni.

Funcționalitățile cheie includ integrarea cu sistemele de management al vulnerabilităților, acceptarea jurnalelor text și integrarea prin API cu servicii precum AWS, Microsoft Azure și Google Cloud. Soluția permite accesul pe bază de roluri definite, se integrează cu Active Directory și Azure AD, oferind analize de comportament al utilizatorilor și detectarea incidentelor de securitate.

De asemenea, include module pentru analiză a traficului de rețea, monitorizarea integrității fișierelor, integrare cu sisteme de ticketing, reguli de detecție predefinite și automatizare a răspunsurilor la incidente. Livrarea soluției include consultanță completă, instalare, configurare și training pentru utilizarea eficientă a soluției.

În cadrul platformei Rapid7 implementate de ITPS, componenta de alertare joacă un rol esențial în asigurarea securității cibernetice prin monitorizarea și analiza continuă a activităților din rețeaua IT a clientului. Sistemul colectează și examinează datele de logare și traficul de rețea pentru a identifica anomalii și posibile incidente de securitate. Atunci când se detectează un comportament suspect, platforma generează alerte automate, care sunt trimise către echipa de securitate IT a clientului. Aceste alerte includ detalii despre natura și severitatea potențialei amenințări, permițând echipei IT să răspundă prompt și eficient. În plus, Rapid7 oferă instrumente avansate de raportare și analiză, care ajută la investigarea incidentelor și la îmbunătățirea strategiilor de securitate pe termen lung.

ITPS a furnizat servicii de securitate cibernetică prin intermediul unei echipe SOC, operând 24/7 pentru monitorizarea, prevenirea și răspunsul la atacuri cibernetice timpurii. Serviciile sunt garantate pentru 12 luni și includ conformitatea cu reglementările, protejând datele sensibile ale clientului prin monitorizarea rețelelor, serverelor și dispozitivelor.

Echipa SOC, compusă din șase membri, gestionează alertele utilizând soluții SIEM și alte echipamente de alertare, inclusiv o consolă antivirus centralizată cu EDR/XDR. Incidentele sunt tratate rapid, cu verificare inițială în maxim 2 ore și escaladare la tehnicieni specializați în funcție de complexitate.

Trasabilitatea operațiunilor este asigurată prin intermediul unei adrese de email dedicate și un sistem automat de ticketing. Infrastructura monitorizată include diverse soluții tehnologice, precum Cisco Email Security Appliance, PaloAlto Networks PA 850 firewall, cluster VMware pe servere Dell PowerEdge și echipamente Cisco pentru rețele.

Membrii echipei SOC sunt certificați în tehnologii precum PaloAlto Networks, Cisco, NetApp, Microsoft și VMware, aducând expertiză necesară pentru securitatea infrastructurii.

Componenta de documentație și proceduri

ITPS a formulat politici și proceduri în conformitate cu Normele Tehnice din Ordinul 1323/2020 referitoare la securitatea rețelelor și sistemelor informatice pentru operatorii de servicii esențiale:

  1. Elaborarea procedurilor principale:
    • ARNIS: Analiza riscurilor de securitate pentru identificarea sistemelor critice.
    • MEGRE: Gestionarea riscurilor pentru serviciile esențiale.
    • PONIS: Menținerea și implementarea politicilor de securitate.
    • PGASP: Asigurarea securității personalului.
    • PRASA, PRISA, PRECDI: Politici de securitate specifice pentru accesul la rețele și sisteme informatice.
    • SICAE, PROSRE, SANIS: Documentarea ecosistemului și arhitecturii rețelelor și sistemelor informatice.
    • PRUSME, PROSES, PROFIT: Proceduri pentru protecția traficului și filtrarea datelor.
    • PRACP, PRAPMA: Protecția criptografică și împotriva malware-ului.
    • PRUSIA, PROLD: Utilizarea și securitatea sistemelor informatice pentru administrarea NIS și lucrul la distanță.
    • PROMMIS, PRORUVI: Menținerea securității și gestionarea riscurilor versiunilor software învechite.
    • PRASI, PRODAIS: Accesul și detectarea incidentelor de securitate.
    • PRORAI, PRORIS: Gestionarea și raportarea incidentelor de securitate.
    • PISAC, PRIMSA: Interconectarea și gestionarea informațiilor primite și măsurilor de securitate adoptate.
    • PRADE, PROMRE: Asigurarea disponibilității serviciilor esențiale și managementul recuperării datelor în caz de incidente.

Aceste măsuri sunt menite să asigure conformitatea cu normele legislative în domeniul securității cibernetice pentru operatorii de servicii esențiale, implicând o abordare complexă și specializată pentru fiecare aspect al securității rețelelor și sistemelor informatice.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *