NIS2 i CER w kontekście elektronicznych systemów zabezpieczeń

25 października 2023, Blog
W ostatnim czasie na językach firm działających w sektorze elektronicznych systemów zabezpieczeń, szczególnie mowa tu o producentach i dostawcach systemów telewizji przemysłowej (CCTV), znalazły się dyrektywy NIS2 oraz CER. Dokumenty te są dostępne do wglądu dla każdego zainteresowanego, a w sieci można znaleźć wiele artykułów wyjaśniających najważniejsze założenia dyrektyw oraz zmiany, które wprowadzają. Nie znajdziemy jednak informacji na temat tego, w jaki sposób uchwalone przez Parlament Europejski oraz Radę (UE) przepisy wpłyną na sektor systemów bezpieczeństwa fizycznego. W poniższym tekście postaram się wyjaśnić dlaczego NIS2 oraz CER odbiły się głośnym echem w branży, jakie zapisy wskazują na powiązanie z elektronicznymi systemami bezpieczeństwa (ESB) oraz odwołam się do rozwiązań technologicznych, które wdrażają w swoich urządzeniach producenci, a które mogą mieć kluczowe znaczenie przy spełnieniu wymagań zawartych w NIS2.

NIS2 i CER - o czym mówią?

CER

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (CER) – w art.1 ust. 1 określony został przedmiot i zakres stosowania:
1. W niniejszej dyrektywie ustanawia się:
a) obowiązki państw członkowskich polegające na przyjmowaniu konkretnych środków mających na celu zapewnienie niezakłóconego świadczenia na rynku wewnętrznym usług kluczowych dla utrzymania niezbędnych funkcji społecznych lub niezbędnej działalności gospodarczej, […] w szczególności obowiązki polegające na identyfikowaniu podmiotów krytycznych oraz wspieraniu podmiotów krytycznych w wypełnianiu przez nie nałożonych na nie obowiązków;
[1; art. 1, ust. 1].

CER określa więc szereg przepisów, które mają na celu wzmocnić odporność infrastruktury krytycznej państwa członkowskiego UE – wskazuje na to również zapis:

[…] każde państwo członkowskie przyjmuje w terminie do dnia 17 stycznia 2026 r. strategię mającą na celu zwiększenie odporności podmiotów krytycznych […].W strategii określa się, w oparciu o odpowiednie istniejące strategie krajowe i sektorowe, plany lub podobne dokumenty, cele strategiczne i środki polityczne służące osiągnięciu i utrzymaniu wysokiego poziomu odporności po stronie podmiotów krytycznych oraz obejmujące co najmniej sektory określone w załączniku. [1; art. 4, ust. 1].
W powyższym ustępie zostały przytoczone sektory infrastruktury krytycznej, które wskazuje załącznik uzupełniający dyrektywę. W skrócie są to sektory:

  • energetyczny (dostawcy i wytwórcy energii elektrycznej; podsektory: ropy naftowej, gazu, wodoru),
  • transportu (lotniczy, kolejowy, wodny, drogowy),
  • bankowości,
  • zdrowia (świadczenie usług opieki zdrowotnej; produkcja i dystrybucja produktów leczniczych),
  • wody pitnej,
  • ścieków,
  • infrastruktury cyfrowej (dostawcy sieci, dostawcy usług DNS, rejestry TLD),
  • administracji publicznej,
  • przestrzeni kosmicznej,
  • produkcji, przetwarzania i dystrybucji żywności [2; art. 2].

Należy mieć na uwadze, że infrastruktura może stać się krytyczną tylko w pewnych okolicznościach, np. Stadion Narodowy nie należy do wyżej wymienionych sektorów, ale w obliczu epidemii może zostać przetransformowany w szpital, który będzie w rozumieniu dyrektywy podmiotem krytycznym. Jest to bardzo istotny aspekt, który należy uwzględnić przy tworzeniu dokumentacji projektowej i doborze środków zapewniających wymagany poziom bezpieczeństwa.

Krótki opis wyjaśniający czego dotyczy CER jest konieczny w celu zrozumienia zapisów zawartych w NIS2, ponieważ oba te dokumenty odwołują się do siebie nawzajem.

NIS2

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) – jej celem jest:
Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa [3; pkt 1].

Punkt 30 dyrektywy NIS2 jasno definiuje zapewnienie spójności pomiędzy NIS2 i CER:

Zważywszy na powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym podmiotów, należy zapewnić spójność podejścia między dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2557 a niniejszą dyrektywą. W tym celu podmioty zidentyfikowane jako podmioty krytyczne na mocy dyrektywy (UE) 2022/2557 powinny być uznawane za podmioty kluczowe na podstawie niniejszej dyrektywy[3; pkt 30].

W dokumentach tych można znaleźć wiele wzajemnych odwołań, ja przytoczę w artykule zapisy, które moim zdaniem najdobitniej wskazują na współistnienie NIS2 oraz CER:

Każde państwo członkowskie zapewnia, aby jego właściwy organ na podstawie niniejszej dyrektywy współpracował i wymieniał się informacjami z właściwymi organami na podstawie dyrektywy (UE) 2022/2555 w zakresie ryzyk w cyberprzestrzeni, cyberzagrożeń i cyberincydentów oraz ryzyk, zagrożeń i incydentów poza cyberprzestrzenią wpływających na podmioty krytyczne […] [1; art. 9, ust. 6]

CER odwołuje się do NIS2;

Coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług, wykorzystującej kluczową infrastrukturę w całej Unii w sektorach takich jak energetyka, transport, infrastruktura cyfrowa, woda pitna i ścieki, zdrowie, niektóre aspekty administracji publicznej, a także przestrzeni kosmicznej [3; pkt 37]

– NIS2 odwołuje się do sektorów ujętych w CER.

NIS2 zawiera więc zbiór przepisów, których wdrożenie ma na celu zapewnienie wysokiego poziomu cyberbezpieczeństwa podmiotów krytycznych państw UE, które to podmioty krytyczne zostały ujęte w CER. Należy zaznaczyć, że NIS2 skupia się na interesie całej Unii Europejskiej, a nie pojedynczych jej członków – świadczy o tym przytoczony wyżej cel dyrektywy oraz dalsza treść punktu 37:

Coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczową infrastrukturę w całej Unii […].Wspomniane współzależności oznaczają, że każde zakłócenie, nawet początkowo ograniczające się do jednego podmiotu lub jednego sektora, może wywołać szerzej zakrojony efekt kaskadowy, którego potencjalne negatywne skutki dla świadczenia usług na całym rynku wewnętrznym mogą być dalekosiężne i długotrwałe. [3; pkt 37]

a także wymóg powołania przez danego członka UE jednostki odpowiedzialnej za komunikację w zakresie cyberbezpieczeństwa w ramach państw członkowskich:

Aby ułatwić współpracę i komunikację transgraniczną między organami […] niezbędne jest, by każde państwo członkowskie wyznaczyło pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z bezpieczeństwem sieci i systemów informatycznych oraz współpracą transgraniczną na poziomie Unii. [3; pkt 39]

Bez wątpienia przyczyną uchwalenia dyrektywy NIS2 były wzmożone cyberataki, które objęły całą Unię Europejską oraz podatność podmiotów krytycznych na tego typu działania. Nawiązania do tego zjawiska znajdują się bezpośrednio w dyrektywie:

[..] Nasilone cyberataki podczas pandemii COVID-19 uwydatniły podatność coraz bardziej współzależnych społeczeństw w obliczu ryzyka o niskim prawdopodobieństwie wystąpienia.[3; pkt 37];
W ostatnich latach Unia doświadcza gwałtownego wzrostu liczby cyberataków z użyciem oprogramowania typu ''ransomware'', w których złośliwe oprogramowanie szyfruje dane i systemy oraz domaga się okupu za ich odblokowanie. Coraz większa częstotliwość i dotkliwość cyberataków z użyciem oprogramowania typu „ransomware” może wynikać z szeregu czynników, takich jak różne wzorce ataków, przestępcze modele biznesowe typu „oprogramowanie wymuszające okup jako usługa” i kryptowaluty, żądania okupu oraz wzrost liczby ataków w łańcuchu dostaw […] [3; pkt 54].

Implementacja oraz wdrożenie NIS2 i CER w Polsce

Uchwalone przez Parlament Europejski oraz Radę (UE) dyrektywy stanowią zbiór przepisów, które państwa członkowskie UE, czyli również Polska, muszą zaimplementować i wdrożyć w prawie wewnętrznym. Czas przewidziany na proces implementacji został zawarty w dyrektywach (zarówno NIS2 i CER):

Do dnia 17 października 2024 r. państwa członkowskie przyjmują i publikują przepisy niezbędne do wykonania niniejszej dyrektywy. Niezwłocznie powiadamiają one o tym Komisję.
Państwa członkowskie stosują te przepisy od dnia 18 października 2024 r. [1; art. 26, ust. 1] [3; art. 41, ust. 1].

Ponadto określony został termin identyfikacji podmiotów krytycznych oraz przyjęcia strategii zwiększającej ich odporność (w tym w zakresie cyberbezpieczeństwa):

Do dnia 17 lipca 2026 r. każde państwo członkowskie identyfikuje podmioty krytyczne dla sektorów i podsektorów określonych w załączniku. [1; art. 6, ust. 1; ] [3; art. 6, ust. 1];
[…] każde państwo członkowskie przyjmuje w terminie do dnia 17 stycznia 2026 r. strategię mającą na celu zwiększenie odporności podmiotów krytycznych […] [1; art. 4, ust. 1][3; art. 4, ust. 1].

Do dnia 17 lipca 2027 r. przepisy zawarte w dyrektywach powinny już w pełni funkcjonować i mieć formalny charakter w państwach członkowskich UE:

Do dnia 17 lipca 2027 r. Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym ocenia, w jakim zakresie każde państwo członkowskie przyjęło środki niezbędne do wykonania niniejszej dyrektywy. [1; art. 25] [3; art. 25].

NIS2 a elektroniczne systemy bezpieczeństwa


a) normalizacja

Artykuł 21 dyrektywy NIS2 dotyczy środków zarządzania ryzykiem w cyberbezpieczeństwie. Pojawia się tu pojęcie „środków technicznych”, „środków operacyjnych” i „środków organizacyjnych”, które można odnieść do systemów zabezpieczenia fizycznego:

Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych […]
  1. Środki, o których mowa w ust. 1, bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, i obejmują co najmniej następujące elementy:
    […] c) ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
    […] h) polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
    i) bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
    j) w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego
    lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
    [3; art. 21, ust. 1-2]

Wdrażanie tych środków przez państwo członkowskie UE związane jest z określeniem norm oraz specyfikacji technicznych, do których należy się odwoływać. Zadaniem jednostki, która będzie przeprowadzać proces implementacji dyrektywy NIS2 w Polsce, będzie m. in. określenie tych dokumentów. NIS2 w przypadku obsługi podatności sieci i systemów informatycznych powołuje się na normę ISO/IEC 30111 [3; pkt 58]. Należy jednak traktować to jako propozycję, a sama dyrektywa nie narzuca stosowania konkretnych norm i specyfikacji technicznych:

Aby wspierać spójne wdrażanie art. 21 ust. 1 i 2, państwa członkowskie, nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii, zachęcają do stosowania europejskich i międzynarodowych norm i specyfikacji technicznych istotnych z punktu widzenia bezpieczeństwa sieci i systemów informatycznych.[3; art. 25, ust. 1] .
Warto jednak mieć na uwadze, że ze względu na międzynarodowy charakter dyrektywy, powinny to być normy europejskie, chyba że norma krajowa bazuje na europejskiej oraz dodatkowo wzmacnia ją w pewnych aspektach. Normy, które mogą zostać ujęte przy implementacji NIS2 odnoszące się do systemów zabezpieczeń to, na przykład:

  • PN-EN 50131-1 – Systemy alarmowe – Systemy sygnalizacji włamania i napadu – Część 1: Wymagania systemowe,
  • PN-EN 62676-1-1 – Systemy dozoru wizyjnego stosowane w zabezpieczeniach – Część 1-1: Wymagania systemowe – Postanowienia ogólne,
  • PN-EN 60839-11-1 – Systemy alarmowe i elektroniczne systemy zabezpieczeń - Część 11-1: Elektroniczne systemy kontroli dostępu – Wymagania dotyczące systemów i komponentów,
  • ISO 30111 Technika informatyczna - Techniki bezpieczeństwa - Procesy obsługi podatności;

Należy zaznaczyć, że zarówno CER jak i NIS2 stanowią zbiór wymogów, które należy rozumieć jako minimalne środki zapewniające odpowiedni poziom bezpieczeństwa podmiotów krytycznych. Każde z państw członkowskich ma obowiązek dostosować prawo do wytycznych określonych w tych dokumentach, jednak nie istnieją żadne przeszkody, które uniemożliwiłyby wprowadzenie przepisów zapewniających wyższy poziom bezpieczeństwa niż ten zawarty w dyrektywach. Dlatego w obydwu dokumentach znajduje się zapis mówiący o minimalnej harmonizacji:

Niniejsza dyrektywa nie uniemożliwia państwom członkowskim przyjęcia lub utrzymania przepisów zapewniających wyższy poziom cyberbezpieczeństwa, pod warunkiem że takie przepisy są spójne z obowiązkami państw członkowskich, ustanowionymi w prawie Unii. [3; art. 5]

Bezpośrednie odniesienie do elektronicznych systemów bezpieczeństwa zawarte jest również w punkcie 79 dyrektywy:

Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny […] dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000. [3; pkt 79]

ESB należy kategoryzować jako środki zapewniające bezpieczeństwo fizyczne w rozumieniu dyrektywy, ponadto została przywołana seria norm ISO/IEC 27000, które harmonizują zagadnienia dotyczące systemów zarządzania bezpieczeństwem informacji, także odnosząc się do bezpieczeństwa fizycznego. [9]

b)nadzór i egzekwowanie przepisów zawartych w NIS2

Dotychczasowa dyrektywa NIS, która została zastąpiona dyrektywą NIS2, definiowała dwie kategorie podmiotów:

  • operatorzy usług kluczowych (OUK),
  • dostawcy usług cyfrowych (DUC).

NIS2 wprowadziła nowy podział. W zależności od m.in. przekroczenia pułapów dla średnich przedsiębiorstw oraz od sektora, w którym działa dany podmiot (szerzej kryteria decydujące o rodzaju podmiotu zostały opisane w artykule 3 dyrektywy NIS2) dyrektywa rozróżnia:

  • podmioty kluczowe,
  • podmioty ważne.[4] [3; art. 3, ust. 1-2]

Podmioty kluczowe odpowiadają sektorom infrastruktury krytycznej przywołanych w załączniku do CER (podrozdział CER niniejszego artykułu). Sektory ważne zawarte są w załączniku II dyrektywy NIS2 i są to:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja, wytwarzanie i dystrybucja chemikaliów
  • produkcja, przetwarzanie i dystrybucja żywności,
  • produkcja (wyroby medyczne, elektronika, transport),
  • dostawcy usług cyfrowych (wyszukiwarki internetowe, sieci społecznościowe),
  • badania naukowe. [3; zał. 2]

W zależności od tego z jakim podmiotem mamy do czynienia, należy zastosować inne środki nadzoru i egzekwowania przepisów zawartych w dyrektywie. Różnice dla podmiotów kluczowych i ważnych dotyczące wykonywania zadań nadzorczych przez właściwe organy są następujące:

Przywołuję te różnice, aby już teraz wskazać, że w zależności od klasyfikacji danego podmiotu krytycznego jako podmiot kluczowy lub ważny, obowiązywać będą inne procedury związane z nadzorem poziomu cyberbezpieczeństwa, a przede wszystkim zaznaczyć, że audyty przeprowadzane przez właściwy organ lub jednostkę certyfikującą, będą podstawowym działaniem weryfikującym zdolność podmiotu do spełnienia zapisów dyrektywy NIS2. Podstawy prawne dotyczące rodzajów audytów oraz sposobu ich przeprowadzania zostaną określone w procesie implementacji dyrektywy NIS2 w Polsce w odniesieniu do odpowiednich norm i przepisów. Niedostosowanie się podmiotów do wymogów zawartych w dyrektywie będzie skutkowało nałożeniem kary finansowej. Wysokość kar została określona w artykule 34 i jest różna w zależności od sklasyfikowania podmiotu jako kluczowy lub ważny:

[…] podmioty kluczowe dokonujące naruszeń art. 21 lub 23 podlegały […] karom pieniężnym w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa. [3; art. 34, ust. 4]
[…] podmioty ważne dokonujące naruszeń art. 21 lub 23 podlegały […] karom pieniężnym w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa. [3; art. 34, ust. 5]

System CCTV Bosch w odniesieniu do NIS2

W tym rozdziale postaram się omówić cechy i parametry systemu bezpieczeństwa, który technologicznie jest przygotowany na wejście w życie dyrektywy o cyberbezpieczeństwie. Analizy dokonam na przykładzie systemu CCTV firmy Bosch.


Zgodność BVMS z PN-EN 62676

Przywołana wcześniej przeze mnie norma PN-EN 62676-1 może stanowić jeden z wyznaczników świadczących, że system telewizji przemysłowej zapewnia odpowiedni poziom bezpieczeństwa również w zakresie odporności na cyberataki. Odniosę się do sekcji 1 oraz sekcji 2 normy, które dotyczą odpowiednio:

  • PN-EN 62676-1-1 - Systemy dozoru wizyjnego stosowane w zabezpieczeniach - Wymagania systemowe - Postanowienia ogólne,
  • PN-EN 62676-1-2 - Systemy dozorowe CCTV stosowane w zabezpieczeniach - Wymagania systemowe - Wymagania eksploatacyjne dotyczące transmisji wizji.

System zarządzania monitoringiem firmy Bosch czyli BVMS (Bosch Video Management System) może być skonfigurowany w zgodzie z wymaganiami ww. normy, tak aby zapewnić najwyższy przytoczony w dokumencie stopień zabezpieczenia (tzw. Grade), czyli stopień 4. Charakter systemu o danym stopniu zabezpieczenia według PN-EN 62676-1 został zawarty w tabeli 2.

O zgodności systemu dozoru wizyjnego firmy Bosch z PN-EN 62676-1 w stopniu 4 świadczy dokument, który został opublikowany tutaj. Całość napisana została w języku angielskim, jednak w artykule przytoczę przetłumaczone na język polski wymogi (wraz z moim własnym uzupełnieniem niektórych zapisów), które znajdują odniesienie do cyberbezpieczeństwa:

Wszelka transmisja danych […] dla Grade 4 będzie szyfrowana. Należy stosować AES z kluczem 128-bitowym dla algorytmu symetrycznego i RSA z kluczem 1024-bitowym dla algorytmu asymetrycznego. Szyfrowanie natywne nie jest akceptowane. Urządzenia transmisji wideo nie przechowują żadnych form hasła w postaci czystego tekstu. Wszystkie takie hasła mają być zaszyfrowane. […] [6; str. 36]

– Bosch zapewnia szyfrowanie AES z kluczem 256-bitowym;

Wszystkie przesyłane dane wideo pomiędzy klientem i serwerem powinny być chronione. Urządzenie transmisji wideo wykorzystuje protokół TLS w celu szyfrowania przesyłanych danych. […] [6; str. 36]

– komunikacja pomiędzy kamerą a oprogramowaniem serwerowym i aplikacją kliencką (BVMS) może być szyfrowana wykorzystując bezpieczne połączenie HTTPS (TLS). Podczas korzystania z TLS każde sterowanie komunikacją i obrazem HTTPS jest szyfrowane kluczem AES-256 [7; str. 17];

W celu weryfikacji integralności obrazów i innych danych, system dozoru wizyjnego o stopniu zabezpieczenia 3 i 4 powinien zapewnić sposób (np. znak wodny, suma kontrolna, znacznik) uwierzytelnienia obrazu i metadanych. [6; str. 17]

– uwierzytelnianie materiału wizyjnego w BVMS może być realizowane z użyciem znaku wodnego oraz sumy kontrolnej, które nie bazują na szyfrowaniu, jednak dodatkowo do skonfigurowania dostępne są algorytmy:

  • MD5; generuje wartość skrótu 128-bitowego,
  • SHA-1; generuje wartość skrótu 128-bitowego,
  • SHA-256; praktycznie niepowtarzalna mieszanka 256-bitowa,

co zapewnia autentyczność materiału wideo [7; str. 49];

Obsługa niezawodnej pamięci masowej (np. RAID 5, mirroring) lub automatyczne przełączanie z jednego nośnika danych na drugi w razie awarii magazynu.[6; str. 25]
– w przypadku cyberataku, który zaburzy pracę docelowej pamięci masowej, architektura magazynowania danych w systemie Bosch bazuje na macierzach iSCSI, których niezawodność jest zapewniona poprzez możliwość skonfigurowania RAID, dodanie macierzy w trybie „mirroring” lub macierzy nadmiarowej.


Moduł TPM

Kamery Bosch są fabrycznie wyposażone w moduł TMP (Trusted Platform Module), czyli układ przechowujący dane krytyczne – certyfikaty, klucze szyfrujące, licencje itp. przed próbą ich nieautoryzowanego przejęcia. Wymiana certyfikatów pomiędzy klientami i serwerem może być podatna na cyberatak typu Man-In-The-Middle. Kluczowe jest więc zadbanie o bezpieczeństwo klucza prywatnego, bez którego prawidłowe uwierzytelnienie certyfikatu jest niemożliwe.

End-to-end

NIS2 odwołuje się do technologii szyfrowania end-to-end, która może wskazywać np. na wykorzystanie protokołu HTTPS przy połączeniu pomiędzy klientem i serwerem (np. w systemach kontroli dostępu lub telewizji przemysłowej):

Aby zagwarantować bezpieczeństwo publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej, należy promować korzystanie z technologii szyfrowania, w szczególności szyfrowania end-to-end […]. [3; pkt. 98]

System CCTV Bosch posiada rozwiązania zapewniające zgodność z pojęciem szyfrowania E2EE (end-to-end) zarówno od strony sprzętowej jak i programowej (hardware + software). Sposób komunikacji pomiędzy poszczególnymi elementami systemu jest w pełni bezpieczny i szyfrowany, ponieważ oparty jest o:

  • protokół komunikacji HTTPS (TLS),
  • sieci chronione 802.1x wsparte przez protokół uwierzytelniania EAP-TLS,
  • certyfikaty, w tym fabrycznie zainstalowany unikatowy certyfikat Bosch,
  • układy TPM,
  • Embedded Login Firewall, który zwiększa odporność na ataki typu DoS oraz próby zgadywania haseł,
  • zaawansowane metody uwierzytelniania materiału wideo oparte o algorytmy szyfrujące np. SHA-256,
  • wykorzystanie algorytmu szyfrującego AES-256 (np. komunikacja kamera – serwer).

Polityka haseł oraz wychwytywanie luk systemowych

Ochrona haseł urządzeń CCTV jest kluczowa do zapewnienia odporności na cyberataki. Polityka Bosch w tym zakresie jest ukierunkowana tak, aby żadne hasło nie padło ofiarą osoby nieupoważnionej. Zastosowane rozwiązania służące ochronie haseł to:

  • restrykcyjne wymagania dotyczące formatu hasła (długość hasła, znaki specjalne, wielkie litery, cyfry),
  • rozbudowany moduł zarządzania użytkownikami i ich uprawnieniami,
  • indywidualne hasło CHAP dla urządzeń iSCSI oraz osobne hasło dla urządzenia VRM (Video Recording Manager – aplikacja zarządzająca zapisem materiału wideo),
  • wykorzystywanie bezpiecznych protokołów komunikacyjnych wraz z szyfrowaniem, dzięki czemu hasła nie są widoczne jako „czysty tekst”.

Dyrektywa NIS2 również odwołuje się do polityki haseł oraz wskazuje również potrzebę zapobiegania cyberatakom poprzez stosowanie właściwych działań mających na celu wyeliminowanie wcześniej nieznanego ryzyka:

Polityka cyberhigieny stanowi podstawę pozwalającą chronić infrastrukturę sieci i systemów informatycznych, bezpieczeństwo sprzętu, oprogramowania i aplikacji internetowych […]. Polityka cyberhigieny obejmująca wspólny podstawowy zestaw praktyk – w tym aktualizacje oprogramowania i sprzętu, zmianę haseł […] [3; pkt. 49].

W sytuacjach wykrycia luki systemowej, która mogła stanowić zagrożenie dla bezpieczeństwa systemu, Bosch możliwie jak najszybciej wypuszcza aktualizację oprogramowania, która to zagrożenie eliminuje. Ponadto każdy plik zawierający firmware urządzenia jest zaszyfrowany i podpisany certyfikatem Bosch, co uniemożliwia instalację nieautoryzowanego oprogramowania. Najnowsze kamery Bosch z procesorem CPP13 oraz CPP14 posiadają mechanizm Secure Boot, który weryfikuje integralność całego systemu w tym zgodność z firmware. [7; str. 31-32]


Unikatową funkcją kamer Bosch jest ochrona konfiguracji kamery, polegająca na odnotowaniu w systemie każdorazowej zmiany ustawień kamery poprzez magazynowanie logów. Analizując takie zdarzenia spływające do systemu można podjąć stosowne działania zapobiegające.


Uzyskane certyfikaty cyberbezpieczeństwa


Ze względu na trwający proces implementacji NIS2 i CER w Polsce nie można jasno określić, jakie certyfikaty uzyskane przez producentów będą miały moc prawną w kontekście tych dyrektyw oraz jakie jednostki certyfikujące będą uprawnione do przeprowadzania m.in. audytów odnośnie poziomu cyberbezpieczeństwa ESB. Mając jednak na uwadze jak długo trwa proces realizacji niektórych inwestycji, w tym dotyczących infrastruktury krytycznej kraju – utworzenie dokumentacji projektowej, przetarg, wdrożenie systemu na obiekcie, odbiory – uważam, że należy już teraz uwzględnić w projekcie urządzenia i systemy, które wyposażone są w najlepsze cyberzabezpieczenia. Żeby to stwierdzić, często wymagana jest aprobata uznanej jednostki certyfikującej, która przebadała sprzęt danego producenta pod kątem podatności na cyberataki. Kamery Bosch uzyskały certyfikat UL 2900-2-3 cyberbezpieczeństwa poziomu 2 od akredytowanej jednostki Underwriters Laboratories oraz certyfikat IEC 62443-4-1 cyberbezpieczeństwa klasy przemysłowej [8]:

Podsumowanie

Mam nadzieję, że w artykule pojawiły się odpowiedzi wyjaśniające przynajmniej część Państwa wątpliwości dotyczących dyrektyw CER i NIS2 w kontekście elektronicznych systemów bezpieczeństwa. Temat jest na tyle rozległy, że omówienie wszystkich zawartych w dyrektywach postulatów w formie bloga byłoby problematyczne, postarałem się jednak uwzględnić i odnieść się do najważniejszych zagadnień, które mają związek z ESB. Pomimo tego, że przepisy dotyczące cyberbezpieczeństwa zgodne z NIS2 nie zostały jeszcze zaimplementowane i wdrożone w Polsce, uważam, że już na tym etapie powinniśmy budować świadomość w tym temacie i przygotować się na rewolucję w zakresie cyberbezpieczeństwa, która z pewnością dotknie naszą branżę. Jako Janex stale podążamy za nowymi trendami oraz wszelkimi zmianami, które dotyczą systemów zabezpieczenia fizycznego w Polsce, pragniemy więc poinformować Państwa o organizowanym przez nas webinarze w tematyce NIS2, który poprowadzą eksperci w tej dziedzinie. Więcej szczegółów pojawi się na naszych portalach już wkrótce, więc koniecznie śledźcie nasze aktualności.

Źródła

  1. DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE.
  2. ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) …/… z dnia 25.7.2023 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2557 przez ustanowienie wykazu usług kluczowych.
  3. DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
  4. https://www.traple.pl/dyrektywa-nis-2-kogo-obejma-nowe-przepisy-podmioty-kluczowe-i-wazne/#_ftn4
  5. https://futurecollars.com/slownik_it/ict-definicja/
  6. https://community.boschsecurity.com/t5/Security-Video/Does-BVMS-meet-the-requirements-specified-in-IEC62676-1/ta-p/8996?attachment-id=1492
  7. https://resources-boschsecurity-cdn.azureedge.net/public/documents/IP_video_products_Cybersecurity_guidebook_plPL_99078607755.pdf
  8. https://www.boschsecurity.com/pl/pl/rozwiazania/systemy-wizyjne/bezpieczenstwo-danych/
  9. https://securitybeztabu.pl/norma-iso-27001-wprowadzenie-cz-1//

Adam Janiak

Adam Janiak Janex International
Specjalista ds. Technicznych
tel.: 22 863-63-53 wew. #228
kom: 884 156 847
e-mail: adam.janiak@janexint.com.pl
do góry