Czy PAM jest odpowiedzią na NIS 2? - wywiad

Dlaczego zasada zerowego zaufania to konieczność, a nie brak wiary w pracownika? Co ma rozwiązanie klasy PAM (Privileged Access Management) do oszczędności przedsiębiorstwa? Czy organizacje są przygotowane na wdrożenie dyrektywy NIS 2? To główne tematy, które poruszyliśmy w rozmowie z Mateuszem Bielasem, junior product managerem Senhasegura w DAGMA Bezpieczeństwo IT.

W październiku 2024 roku, czyli za mniej niż rok, wiele polskich przedsiębiorstw będzie obowiązywać dyrektywa NIS 2, która nakłada na nie szereg nowych obowiązków z zakresu cyberbezpieczeństwa. Czy firmy zdają sobie sprawę z konieczności wdrożenia NIS 2 w niedługim czasie?

Mateusz Bielas, junior product manager Senhasegura w DAGMA Bezpieczeństwo IT: Jeśli miałbym ocenić, to wskazałbym tę świadomość firm na 50/50. Nie chodzi o samą dyrektywę, bo firmy wiedzą o jej istnieniu. Jednak najczęściej nie są pewne, z czym się ona konkretnie wiąże. Kojarzą np., że mogą być podmiotem kluczowym czy ważnym, który obejmuje dyrektywa NIS 2. Ale to za mało.

Dlaczego?

- Bo należy pamiętać, że to sam podmiot musi się zaklasyfikować do odpowiedniej grupy i spełniać konkretne wymagania, które wynikają z tego dokumentu. A NIS 2 nie wymusza zakupu konkretnych rozwiązań. To po stronie przedsiębiorstwa czy organizacji spoczywa wykonanie odpowiedniego audytu swojej infrastruktury i zastosowanie się do nadchodzących standardów.

Mówimy o NIS 2 nie bez powodu. Jesteś product managerem rozwiązania klasy PAM, Senhasegura. Czy - i jeśli tak, to w jakim zakresie - PAM jest odpowiedzią na wytyczne NIS 2?

- Z dyrektywy wynika wprost, że podmioty kluczowe i ważne powinny przyjąć szeroki wachlarz podstawowych praktyk dotyczących cyberhigieny. Wydawałoby się, że podstawowe praktyki to jakieś absolutne podstawy, które wdrożyła zapewne każda organizacja, a jednak tak nie jest. Gdy wczytamy się w dyrektywę, znajdziemy tam takie wytyczne, jak zasadę zerowego zaufania czy zarządzanie tożsamością i dostępem. A w tych aspektach braki ma wiele firm. Rozwiązaniem jest właśnie PAM.

Senhasegura już w swoich podstawowych funkcjach dba zarówno o weryfikowanie tożsamości użytkownika, zarządzanie jego dostępami, jak i wprowadzenie polityki zerowego zaufania.

Wyobrażam sobie jednak, że często przedsiębiorstwa mają swoje polityki prywatności i bazują na zaufaniu wobec swoich pracowników. Czy PAM jest potrzebny w każdej organizacji?

- Aby odpowiedzieć na to pytanie, należałoby spojrzeć indywidualnie. Ale na pewno PAM jest przydatny, a nawet konieczny, tam gdzie firmy zewnętrzne łączą się z infrastrukturą zleceniodawcy. Tutaj zawsze powinniśmy patrzeć trochę bardziej uważnym okiem na takie sesje. Z doświadczenia klientów, którzy zakupili rozwiązanie klasy PAM, wiem, że zdecydowanie poprawiła się jakość sesji zdalnych. Dzięki rozwiązaniu Senhasegura klient może nadzorować sesję, obejrzeć jej zapis i sprawdzić, ile faktycznie pracował zleceniobiorca. Dzięki temu sesje są realizowane szybciej i bardziej efektywnie, a więc są po prostu wyraźnie tańsze.

Czyli PAM daje realne korzyści nie tylko pod kątem cyberbezpieczeństwa i prawnym, ale też ekonomicznym.

- Tak. Podobnie jak ograniczenie kompetencji użytkowników i automatyzacja w zakresie kontroli oraz ewentualnego reagowania na to, co robią. To również jest elementem wpływającym zarówno na bezpieczeństwo, jak i na oszczędności. Z jednej strony podmioty zewnętrzne mają świadomość, że są nagrywane, więc PAM pełni funkcję prewencyjną. Z drugiej - nie dopuszczamy do incydentów właśnie dzięki ograniczeniu możliwości takiego podmiotu podczas sesji.

Wróćmy do tematu zaufania. Czy pracodawca naprawdę powinien nigdy nie ufać pracownikom?

- Oczywiście naturalnym zachowaniem jest zaufanie, którym obdarzamy naszych własnych pracowników, ale raporty z zakresu cyberbezpieczeństwa jasno wskazują, że to właśnie pracownicy są odpowiedzialni za znaczną część incydentów. I tu muszę podkreślić, że najczęściej nie dzieje się tak celowo. Dlatego tak ważne jest, by w takich sytuacjach mieć odpowiednie zabezpieczenia, a każde potencjalne incydenty powinny być właściwie zewidencjonowane.

Bezpieczeństwo danych, oszczędności, zgodność z dyrektywą NIS 2 - Senhasegura może przynieść organizacji wiele korzyści. Ale jak wygląda wdrożenie oprogramowania klasy PAM?

- Wdrożenie składa się z 2 etapów. Pierwszy to instalacja maszyny wirtualnej i aktualizacja, a drugi to implementacja polityk, dodawanie użytkowników i urządzeń.

O ile pierwszy etap trwa tylko chwilę, to na etap drugi trzeba przeznaczyć zdecydowanie więcej czasu. Ale to nie znaczy, że jest to etap trudniejszy. W każdej organizacji liczba polityk, urządzeń, użytkowników jest różna, stąd długość wdrożenia może być różna: od kilku godzin do nawet kilku miesięcy.

Czy jest to skomplikowane?

- Nie, bo nie zostawiamy klientów z tym samych. Inżynierowie z DAGMA Bezpieczeństwo IT pomagają wdrożyć taką maszynę. Intensywnie szkolimy też naszych klientów przed rozpoczęciem testów, tak by użytkownik mógł podczas „PoC” pod okiem naszego inżyniera skonfigurować rozwiązanie indywidualnie do swoich potrzeb. Dzięki temu po zakończeniu testów wystarczy po prostu nadpisać licencję na produkcyjną, co powoduje, że często wdrożenie mamy już zrealizowane już podczas testów. Taki ciąg postępowania jest najbardziej optymalny dla klienta, który z reguły po testach bez problemu radzi sobie z obsługą całego rozwiązania.

A jak wygląda codzienna obsługa PAM Senhasegura? Pewnie można usłyszeć głosy, że to kolejne rozwiązanie do obsługi, które finalnie generuje więcej pracy.

- To obawa, która ostatecznie nie potwierdza się w praktyce. Konsola administracyjna jest bardzo intuicyjna i user friendly. Warto przekonać się o tym samemu i zobaczyć, jak obsługuje się to rozwiązanie, np. podczas naszych bezpłatnych warsztatów na żywo czy testów. Wtedy też można zadać mi dodatkowe pytania, jeśli cokolwiek jest niejasne, lub umówić się na indywidualną rozmowę ze mną.

Najbliższy bezpłatny webinar Senhasegura pt. „Brak dostępu uprzywilejowanego - raj dla hakerów i insider threat” już 5 grudnia o godzinie 11.00. Lista zbliżających się szkoleń i możliwość zapisu na webinar znajduje się poniżej:

Zobacz szkolenia z PAM