Ondřej Hubálek zo spoločnosti GreyCortex predstavil NIS2 z technického pohľadu. Ukázal, ako analýza sieťovej prevádzky pomáha plniť kľúčové požiadavky – od inventarizácie aktív po detekciu incidentov. Zvláštnu pozornosť venoval problémom v OT sieťach.
Prehľad aktív a segmentácia siete
Ak nepoznáte svoje aktíva, ťažko spravíte analýzu rizík či plán kontinuity podnikania. Nástroje založené na analýze sieťovej prevádzky dokážu rýchlo odhaliť, ktoré zariadenia skutočne v sieti sú a ako medzi sebou komunikujú. Vidno protokoly, frekvenciu aj objemy dát, takže sa dá presne zmapovať väzba medzi systémami. Na základe toho možno upraviť dokumentáciu a identifikovať nečakané kritické prvky infraštruktúry.
Rovnako sa dá overiť, či segmentácia a interné politiky bezpečnosti fungujú v praxi. Nástroj odhalí neželané spojenia z chránených segmentov do iných častí siete či na internet, alebo prienik zvonka do izolovaných zón. Výnimky sú tak rýchlo kontrolovateľné a viditeľné aj vizuálne.
Moderné protokoly a riadenie prístupu
NIS2 zdôrazňuje používanie moderných kryptografických prostriedkov a vyhýbanie sa autentizácii v otvorenom texte. Analýza prevádzky vie ukázať, kde sa používajú zastarané či rizikové protokoly a kde sa dá posilniť šifrovanie. Ak je prevádzka viazaná na starší systém, je dôležité aspoň poznať riziko a rozhodnúť o jeho akceptácii alebo náprave.
Pri riadení prístupov možno porovnať, či reálne spojenia zodpovedajú prideleným právam zamestnancov. Dá sa skontrolovať, či subdodávateľ pristupuje len k systémom, na ktoré má oprávnenie, a odhaliť zvyškové prístupy po ukončení zmluvy. Tieto kontroly pomáhajú udržať poriadok v dynamických organizačných zmenách.
Detekcia incidentov a špecifiká OT
NIS2 požaduje mať nástroje na detekciu a vyhodnocovanie kybernetických udalostí. Jednou z možností je NDR (Network Detection and Response), ktoré z prevádzky identifikuje škodlivé komunikácie, známe kampane či zneužitia zraniteľností a upozorní aj na anomálie. Udalosti možno ďalej vyhodnocovať, sledovať ich reťazenie a korelovať s údajmi z iných systémov. Informácie sa dajú exportovať do SIEM-u a spracovať v širšom kontexte.
V OT sieťach je problém obzvlášť naliehavý: často chýba šifrovanie aj autentizácia a akékoľvek nové zariadenie môže meniť nastavenia PLC či RTU. Hoci novšie protokoly autentizáciu umožňujú, aplikácie ju často nevyužívajú kvôli dôrazu na rýchlosť a stabilitu výroby. NIS2 preto tlačí na zabezpečenie aj v OT – segmentáciou, jasnými komunikačnými pravidlami (napríklad podľa princípov úrovní Purdue) a detekciou anomálií. Cieľom je včas vidieť, čo sa v sieti deje, a konať skôr, než dôjde k výpadku.
