Saugios nuotolinės prieigos ir VPN valdysena pagal NIS2 ir DORA

Pirmadienio rytą 07:42 Maria, sparčiai augančio finansinių technologijų SaaS teikėjo informacijos saugumo vadovė (CISO), dar prieš kavą gauna tris pranešimus.

Pirmasis — iš SOC: palaikymo inžinieriui priklausanti VPN paskyra autentifikavosi iš šalies, kurioje įmonė neturi darbuotojų. Antrasis — iš pardavimų komandos: finansinių paslaugų klientas prašo įrodymų, kad visa privilegijuota nuotolinė prieiga yra apsaugota MFA, žurnaluojama, segmentuota ir peržiūrima pagal su DORA suderintas IRT rizikos kontrolės priemones. Trečiasis — iš teisės funkcijos: tas pats įvykis gali būti susijęs su prieiga prie asmens duomenų, todėl duomenų apsaugos pareigūnas (DAP) nori suprasti, ar GDPR Article 32 įrodymai yra pakankamai išsamūs, kad būtų galima pagrįsti tinkamas technines ir organizacines priemones.

Kol kas niekas nesprogo. Nėra išpirkos reikalaujančios programos pranešimo. Nėra patvirtinto duomenų eksfiltravimo. Nėra kliento paslaugos sutrikimo.

Tačiau Maria žino nepatogią tiesą. Jei nuotolinės prieigos valdysena silpna, kiekvienas pokalbis apie atitiktį tampa gynybinis. VPN prisijungimas tampa NIS2 kibernetinės higienos klausimu. Rangovo paskyra tampa DORA IRT trečiųjų šalių rizikos klausimu. Nuotolinio darbalaukio sesija į kliento aplinką tampa GDPR duomenų tvarkymo saugumo klausimu. Trūkstamas žurnalas tampa audito išvada.

Padėtį blogina ant jos stalo jau gulinti išorės audito ataskaita. Auditoriai nerado sudėtingos nulinės dienos pažeidžiamumo atakos. Jie rado bendras rangovų paskyras, nenuosekliai taikomą daugiaveiksnį autentifikavimą, senas VPN grupes, nevaldomas išimtis ir gigabaitus žurnalų, kuriuose buvo per daug triukšmo, kad jie padėtų tyrimui. Techninė skola virto reguliacine rizika.

2026 m. saugios nuotolinės prieigos ir VPN valdysena nėra siaura tinklo saugumo tema. Tai valdybos lygmens kontrolės sistema, jungianti tapatybę, galinių įrenginių saugumą, tiekėjų prieigą, pažeidžiamumų valdymą, žurnalavimą, reagavimą į incidentus, privatumo atskaitomybę ir skaitmeninės veiklos atsparumą.

Nuotolinės prieigos problema pasikeitė

Prieš kelerius metus nuotolinės prieigos valdysena dažnai reiškė vieną paprastą atsakymą: „turime VPN“. Toks atsakymas nebeatlaiko rimtos patikros.

Šiuolaikinė nuotolinės prieigos aplinka gali apimti organizacijos VPN koncentratorius, nulinio pasitikėjimo tinklo prieigos (ZTNA) šliuzus, privilegijuotos prieigos valdymo tarpinius prisijungimo serverius, debesijos administravimui skirtus tarpinius prieigos serverius, nuotolinių darbalaukių infrastruktūrą, tiekėjų techninės priežiūros tunelius, valdomų paslaugų teikėjų prieigą, avarinės prieigos paskyras, SaaS administratoriaus portalus, kūrėjų prieigą prie produkcinės aplinkos, mobiliuosius įrenginius, namų tinklus, viešąjį Wi‑Fi ir BYOD išimtis.

Kiekvienas kelias gali tapti reguliacinių įrodymų tašku.

NIS2 Article 21 tikisi tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių. Jos apima rizikos analizę ir informacinių sistemų saugumo politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą ir priežiūrą, pažeidžiamumų tvarkymą, kibernetinio saugumo veiksmingumo vertinimo politikas, kibernetinę higieną, kibernetinio saugumo mokymus, kriptografiją ir šifravimą, kai taikytina, personalo saugumą, prieigos kontrolės politikas, turto valdymą, daugiaveiksnį arba tęstinį autentifikavimą, kai tinkama, saugią komunikaciją ir saugią avarinę komunikaciją.

DORA reikalauja, kad finansų subjektai palaikytų dokumentuotas IRT rizikos valdymo sistemas, IRT incidentų procesus, skaitmeninės veiklos atsparumo testavimą ir IRT trečiųjų šalių rizikos valdyseną. DORA Article 5 valdymo organui nustato atsakomybę apibrėžti, patvirtinti, prižiūrėti IRT rizikos valdymą ir išlikti už jį atskaitingam. Article 28 reikalauja IRT trečiųjų šalių riziką valdyti kaip neatskiriamą šios sistemos dalį.

GDPR Article 32 reikalauja tinkamų techninių ir organizacinių priemonių duomenų tvarkymo saugumui užtikrinti, įskaitant konfidencialumą, vientisumą, prieinamumą, atsparumą, atkūrimo galimybes, testavimą ir gebėjimą įrodyti, kad asmens duomenys apsaugoti nuo neteisėtos prieigos, praradimo, pakeitimo ar atskleidimo.

CISO problema nėra tai, ar VPN veikia. Tikrasis klausimas — ar organizacija gali įrodyti, kad nuotolinė prieiga yra valdoma, įvertinta pagal riziką, patvirtinta, sustiprinta, stebima, peržiūrima, testuojama ir integruota į reagavimą į incidentus.

Būtent čia naudinga ISO/IEC 27001:2022. Ji nelaiko VPN atskiru įrenginiu. Ji įtraukia nuotolinę prieigą į ISVS: taikymo sritį, suinteresuotąsias šalis, rizikos vertinimą, kontrolės priemonių parinkimą, operacinį planavimą, tiekėjų valdymą, vidaus auditą, vadovybės peržiūrą ir nuolatinį tobulinimą.

Pradėkite nuo ISVS taikymo srities, o ne nuo ugniasienės taisyklės

Kai Clarysec vertina nuotolinės prieigos valdyseną, nepradedame nuo VPN konfigūracijos ekrano kopijos. Pradedame nuo ISVS ribų.

ISO/IEC 27001:2022 reikalauja, kad organizacija apibrėžtų savo kontekstą, suinteresuotąsias šalis, reikalavimus ir ISVS taikymo sritį, įskaitant sąsajas ir priklausomybes su kitomis organizacijomis. Nuotolinei prieigai taikymo sritis turi aiškiai apimti žmones, sistemas, tiekėjus ir tinklo paslaugas, kurios leidžia dirbti nuotoliniu būdu.

SaaS arba finansinių technologijų organizacija turėtų identifikuoti:

• Darbuotojus, kurie nuotoliniu būdu pasiekia produkcines sistemas
• Rangovus ir kūrėjus, turinčius nuotolinio administravimo teises
• MSP, MSSP ir kitus tiekėjus, turinčius operacinę prieigą
• Klientų aptarnavimo darbuotojus, pasiekiančius nuomininkų duomenis
• Finansų, žmogiškųjų išteklių ir teisės funkcijų naudotojus, nuotoliniu būdu pasiekiančius asmens duomenis
• Debesijos konsoles ir nuotolinio valdymo programavimo sąsajas
• VPN, ZTNA, tapatybės teikėjo ir galinių įrenginių valdymo platformas
• Žurnalus, SIEM integracijas ir saugojimo vietas
• Nuotolinės prieigos išimtis ir avarinės prieigos procedūras
• Tiekėjų valdomus perimetro įrenginius ir nuotolinės pagalbos priemones

Tai daugiau nei dokumentacijos tvarkos palaikymas. NIS2 taikymo sritis, priklausomai nuo dydžio, sektoriaus ir priskyrimo, gali apimti debesijos paslaugų teikėjus, duomenų centrus, MSP, MSSP, elektroninių ryšių teikėjus, skaitmeninės infrastruktūros teikėjus ir IRT paslaugų valdymo teikėjus. DORA taikoma finansų subjektams ir tiems subjektams veikia kaip sektorinis IRT rizikos režimas. GDPR gali būti taikomas ES ir ne ES organizacijoms, kai duomenų tvarkymas susijęs su ES fiziniais asmenimis, ES padaliniais, Sąjungoje fiziniams asmenims siūlomomis paslaugomis arba elgesio stebėsena.

Jei jūsų ISVS taikymo sritis ignoruoja trečiųjų šalių nuotolinę prieigą, nuotolinį administravimą, VPN infrastruktūrą arba tiekėjų valdomą junglumą, jūsų kontrolės priemonių rinkinys gali būti neišsamus dar prieš auditoriui pradedant imtį.

Sukurkite nuotolinės prieigos kontrolės priemonių sluoksnį

Stipri nuotolinės prieigos programa turėtų būti kuriama kaip kontrolės priemonių sluoksnis, o ne kaip viena politika. Clarysec įgyvendinimo darbuose pagrindinės ISO/IEC 27002:2022 kontrolės priemonės paprastai apima:

• 6.7 Nuotolinis darbas
• 5.15 Prieigos kontrolė
• 5.16 Tapatybės valdymas
• 5.17 Autentifikavimo informacija
• 5.18 Prieigos teisės
• 8.5 Saugus autentifikavimas
• 8.1 Naudotojų galiniai įrenginiai
• 8.8 Techninių pažeidžiamumų valdymas
• 8.9 Konfigūracijų valdymas
• 8.15 Žurnalavimas
• 8.16 Stebėsenos veiklos
• 8.20 Tinklo saugumas
• 8.22 Tinklų atskyrimas
• 5.19 Informacijos saugumas santykiuose su tiekėjais
• 5.20 Informacijos saugumo įtraukimas į tiekėjų susitarimus
• 5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje
• 5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas
• 5.23 Informacijos saugumas naudojant debesijos paslaugas
• 5.24 Informacijos saugumo incidentų valdymo planavimas ir pasirengimas
• 5.26 Reagavimas į informacijos saugumo incidentus
• 5.28 Įrodymų rinkimas
• 5.30 IRT pasirengimas veiklos tęstinumui

Zenith Controls: kryžminės atitikties vadovas susieja Nuotolinį darbą 6.7 kaip prevencinę kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą, su operacinėmis sąsajomis su turto valdymu, informacijos apsauga, fiziniu saugumu ir sistemų bei tinklo saugumu. Jame Nuotolinis darbas taip pat susiejamas su Už organizacijos patalpų esančio turto saugumu 7.9, Naudotojų galiniais įrenginiais 8.1, Informacijos saugumo sąmoningumu, švietimu ir mokymais 6.3, Informacijos perdavimu 5.14, Tinklo saugumu 8.20, Tinklų atskyrimu 8.22, Švariu stalu ir švariu ekranu 7.7 bei IRT pasirengimu veiklos tęstinumui 5.30.

Šis ryšys svarbus. VPN reikalavimas be galinių įrenginių valdymo neapsaugo nuo pavogto nešiojamojo kompiuterio. MFA be žurnalavimo nepalaiko tyrimo. Tiekėjų prieiga be segmentavimo didina poveikio spindulį. Nuotolinis darbas be incidentų pranešimo vėlina lokalizavimą.

Kontrolės priemonių sluoksnis pakeičia pokalbį. Užuot diskutavusi, ar „VPN atitinka reikalavimus“, organizacija sukuria atsekamą modelį: nuotolinės prieigos rizika, ISO kontrolė, politikos reikalavimas, techninis įgyvendinimas, įrodymų savininkas ir peržiūros periodiškumas.

Politikos nuostatą paverskite audito įrodymais

Auditoriai retai priima teiginį „paprastai naudojame MFA“ kaip įrodymą. Jie ieško formaliai patvirtintų reikalavimų, įgyvendintų kontrolės priemonių ir įrašų, įrodančių veikimą.

Clarysec politikų rinkinys suteikia komandoms tikslias formuluotes, kurias jos gali perimti ir pritaikyti. Tinklo saugumo politika – MVĮ 5.5.1 punkte nustato:

„VPN prieigai turi būti privalomas daugiaveiksnis autentifikavimas (MFA), ji turi būti ribojama paskirtam personalui.“

Ta pati MVĮ politika 6.3.3 punkte žurnalavimą paverčia saugojimo reikalavimu:

„Prieiga per VPN turi būti žurnaluojama, o sesijų trukmė ir šaltinio IP adresai turi būti saugomi ne trumpiau kaip 6 mėnesius.“

Dėl nuotolinio darbo elgsenos Nuotolinio darbo politika – MVĮ 5.2.3 punkte nustato:

„Viešasis Wi‑Fi gali būti naudojamas tik tada, kai aktyvus saugus tunelis (VPN).“

Įmonių aplinkoms Nuotolinio darbo politika yra dar tiesmukesnė. 5.2.1.1 punktas reikalauja, kad darbuotojai:

„Naudotų įmonės patvirtintą VPN arba nuotolinio darbalaukio infrastruktūrą.“

5.2.1.2 punktas reikalauja, kad organizacijos:

„Reikalautų daugiaveiksnio autentifikavimo (MFA) visiems prisijungimo bandymams.“

Tinklo saugumo politika techninį bazinį reikalavimą suderina 6.3.1 punkte:

„Visa nuotolinė prieiga turi būti šifruojama, pavyzdžiui, naudojant IPsec arba SSL VPN, ir jai turi būti privalomas daugiaveiksnis autentifikavimas (MFA).“

Prieigos kontrolės politika 5.6.1 punkte nustato:

„Prieigos įvykiai turi būti žurnaluojami ir saugomi pagal Žurnalų tvarkymo ir stebėsenos politiką.“

Tiekėjams Trečiųjų šalių ir tiekėjų saugumo politika 6.3.2 punkte reikalauja:

„Visa trečiųjų šalių prieiga turi būti žurnaluojama ir stebima, o kai įmanoma — segmentuojama per bastioninius serverius, VPN arba Zero Trust šliuzus.“

Pažeidžiamumų ir pataisų valdymo politika – MVĮ 6.5.1 punkte nustato:

„Sistemos, kurios tvarko asmens duomenis, teikia nuotolinę prieigą arba yra pasiekiamos iš išorės, turi būti prioritetizuojamos pažeidžiamumų nuskaitymui ir atnaujinimams.“

Šie punktai tampa reikšmingi, kai susiejami su veikimo įrodymais. Politika nustato, kad MFA privalomas. Tapatybės teikėjas įrodo taikymą. VPN žurnalas įrodo naudojimą. SIEM įspėjimas įrodo stebėseną. Prieigos peržiūra įrodo tebesantį verslo poreikį. Pažeidžiamumų ataskaita įrodo, kad nuotolinės prieigos paslauga yra prioritetizuojama. Incidento veiksmų planas įrodo pasirengimą reaguoti.

Tai ir yra skirtumas tarp politikos turėjimo ir kontrolės priemonės veikimo.

Penki klausimai, į kuriuos turi atsakyti kiekvienas CISO

Clarysec nuotolinės prieigos valdysenos modelis grindžiamas penkiais klausimais, tinkamais ISO 27001 auditams, pasirengimui NIS2, DORA IRT rizikos peržiūroms ir GDPR Article 32 įrodymų paketams.

1. Kam leidžiama jungtis nuotoliniu būdu?

Nuotolinė prieiga turi būti ribojama autorizuotiems naudotojams, vaidmenims ir tiekėjams. ISO/IEC 27002:2022 Prieigos kontrolė 5.15, Tapatybės valdymas 5.16 ir Prieigos teisės 5.18 apibrėžia valdysenos pagrindą.

Zenith Controls susieja Prieigos kontrolę 5.15 kaip prevencinę kontrolės priemonę, orientuotą į tapatybės ir prieigos valdymą. Ji susieja šią kontrolę su Tapatybės valdymu, Prieigos teisėmis, Autentifikavimo informacija, Naudotojų galiniais įrenginiais, Saugiu autentifikavimu ir politikų laikymusi. Praktikoje prieigos politika patikima tik tada, kai tapatybės yra unikalios, valdomos per visą gyvavimo ciklą, autentifikuojamos ir peržiūrimos.

Geras nuotolinės prieigos įrašas turėtų atsakyti:

• Kuris asmuo ar tiekėjas turi prieigą?
• Kurias sistemas jis gali pasiekti?
• Koks vaidmuo ar sutartis pagrindžia prieigą?
• Kas ją patvirtino?
• Ar MFA taikomas?
• Kada prieiga paskutinį kartą peržiūrėta?
• Kada baigiasi laikinos prieigos galiojimas?
• Koks žurnalo šaltinis įrodo naudojimą?

Tai taip pat palaiko NIST Cybersecurity Framework 2.0 PR.AA rezultatus dėl tapatybės valdymo, autentifikavimo, autorizavimo, mažiausių privilegijų principo ir pareigų atskyrimo.

2. Kokia įrenginio ir tinklo saugumo būsena reikalaujama?

Nuotolinė prieiga turėtų priklausyti nuo pasitikėjimo įrenginiu, o ne tik nuo naudotojo prisijungimo duomenų. Galiojantis slaptažodis ir MFA patvirtinimas iš nevaldomo, užkrėsto ar nepataisyto įrenginio vis tiek yra didelė rizika.

Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas tai paaiškina etape „Kontrolės priemonės praktikoje“, 16 žingsnyje „Personalo kontrolės priemonės II“:

„Nuotoliniai darbuotojai turėtų būti įpareigoti naudoti tik įmonės patvirtintus, IT sukonfigūruotus įrenginius su viso disko šifravimu, aktyvia galinių įrenginių apsauga, automatiniu pataisų diegimu ir priverstinai taikomais ekrano užrakinimo laikmačiais.“

Tas pats žingsnis pabrėžia, kad nuotolinė prieiga turėtų vykti per įmonės VPN, idealiu atveju apsaugotą MFA, o BYOD turėtų būti draudžiamas arba leidžiamas tik griežtomis sąlygomis, pavyzdžiui, taikant MDM registraciją, konteinerizavimą ir nuotolinį ištrynimą.

Čia susilieja Naudotojų galiniai įrenginiai 8.1, Nuotolinis darbas 6.7, Techninių pažeidžiamumų valdymas 8.8, Konfigūracijų valdymas 8.9 ir Tinklo saugumas 8.20.

GDPR Article 32 kontekste įrenginio saugumo būsena svarbi, nes nuotoliniai galiniai įrenginiai yra techninių ir organizacinių priemonių, saugančių asmens duomenis, dalis. DORA kontekste galinių įrenginių saugumo būsena palaiko IRT rizikos valdymą ir skaitmeninės veiklos atsparumą. NIS2 kontekste ji palaiko kibernetinę higieną, prieigos kontrolę, turto valdymą ir pažeidžiamumų tvarkymą.

3. Kaip apsaugoma sesija?

Saugi nuotolinės prieigos sesija turėtų naudoti šifruotą perdavimą, stiprų autentifikavimą, segmentavimą ir kontroliuojamus administravimo kelius.

Zenith Blueprint, Rizikos valdymo etapas, 14 žingsnis „Rizikos tvarkymo politikos ir reguliacinių reikalavimų kryžminės nuorodos“, pateikia nuotolinės prieigos lūkestį:

„Visa nuotolinė prieiga prie vidaus sistemų turi naudoti saugų VPN arba lygiavertę šifruotą jungtį. Daugiaveiksnis autentifikavimas (MFA) privalomas nuotoliniam prisijungimui prie įmonės tinklų.“

20 žingsnis, Kontrolės priemonės 8.18–8.26, nurodo organizacijoms validuoti tinklo paslaugų saugumą išvardijant visas vidaus ir išorės tinklo paslaugas, tokias kaip DNS, VPN, SMTP, DHCP ir API šliuzai, patvirtinant saugius protokolus, peržiūrint prieigos kontrolės priemones ir tikrinant trečiųjų šalių saugumo sąlygas, kai paslaugos valdomos išoriškai.

VPN nėra tik įrenginys. Tai tinklo paslauga su protokolų pasirinkimais, prieigos apribojimais, sertifikatais, ugniasienės keliais, trečiųjų šalių priklausomybėmis, pataisų diegimo reikalavimais ir žurnalais.

4. Kaip prieiga stebima ir tiriama?

Nuotolinės prieigos valdysena turi apimti žurnalavimą ir stebėseną. NIS2 Article 23 nustato etapinius pranešimo lūkesčius dėl reikšmingų incidentų, įskaitant ankstyvąjį perspėjimą per 24 valandas, pranešimą apie incidentą per 72 valandas ir galutinę ataskaitą per vieną mėnesį. DORA reikalauja, kad finansų subjektai aptiktų, valdytų, klasifikuotų, eskaluotų ir praneštų apie didelius su IRT susijusius incidentus, įskaitant pagrindinės priežasties analizę ir komunikaciją, kai paveikiami klientų finansiniai interesai. GDPR pažeidimų analizė priklauso nuo supratimo, ar asmens duomenys buvo pasiekti, pakeisti, atskleisti, prarasti ar kitaip kompromituoti.

Be nuotolinės prieigos žurnalų organizacija negali užtikrintai atsakyti į pirmąjį reguliuotojo klausimą: kas įvyko?

Stiprus žurnalavimas turėtų fiksuoti naudotojo tapatybę, autentifikavimo rezultatą, šaltinio IP adresą, geografinę vietą, kai tinkama, įrenginio tapatybę, tikslinę paslaugą, privilegijuotą veiksmą, sesijos trukmę, nepavykusius bandymus, administracinius pakeitimus ir koreliaciją su galinių įrenginių bei tapatybės įvykiais.

5. Kaip tvarkomos išimtys ir pažeidžiamumai?

Nuotolinės prieigos infrastruktūra yra didelės vertės turtas. VPN šliuzai, ZTNA įrenginiai, tapatybės teikėjai, tarpiniai prieigos serveriai ir nuotolinių darbalaukių paslaugos turėtų būti tarp aktyviausiai valdomų turto objektų pažeidžiamumų programoje.

Brandus išimčių procesas turėtų apimti turto savininką, paveiktą nuotolinės prieigos paslaugą, pažeidžiamumo kritiškumą, išnaudojamumą, duomenų ekspoziciją, laikinas kompensuojamąsias kontrolės priemones, rizikos savininko patvirtinimą, galiojimo pabaigos datą, pakartotinio testavimo įrodymus ir sąsają su rizikų registru bei rizikos tvarkymo planu.

ISO/IEC 27001:2022 kontekste tai palaiko rizikos tvarkymą, operacinę kontrolę ir nuolatinį tobulinimą. DORA kontekste tai palaiko IRT rizikos valdymą, testavimą ir taisomuosius veiksmus. NIS2 kontekste tai palaiko pažeidžiamumų tvarkymą ir korekcinius veiksmus nepagrįstai nedelsiant. GDPR kontekste tai padeda įrodyti, kad duomenų tvarkymo saugumas buvo grindžiamas rizika, o ne ad hoc praktika.

Tiekėjų nuotolinė prieiga — paslėpta audito spąstų zona

Daugelis nuotolinės prieigos nesėkmių nėra darbuotojų klaidos. Tai tiekėjų valdysenos nesėkmės.

MSP turi seną VPN paskyrą. Programinės įrangos tiekėjas naudoja bendrus prisijungimo duomenis. Palaikymo partneris jungiasi per nuotolinį darbalaukį spręsti klientui poveikį darančios problemos. Debesijos paslaugų teikėjas valdo nuotolinės prieigos šliuzą. Rangovas išlaiko prieigą pasibaigus projektui.

DORA čia ypač griežta. Article 28 reikalauja, kad finansų subjektai valdytų IRT trečiųjų šalių riziką kaip IRT rizikos valdymo sistemos dalį ir išliktų visiškai atsakingi net tada, kai IRT paslaugos perduodamos išorės paslaugų teikėjams. Tikimasi IRT sutarčių susitarimų registrų, deramo rūpestingumo, informacijos saugumo standartų, audito ir patikrinimo teisių, nutraukimo teisių, koncentracijos rizikos analizės ir pasitraukimo strategijų kritinėms ar svarbioms funkcijoms. Article 30 nustato sutartines nuostatas, tokias kaip duomenų apsauga, paslaugų lygiai, duomenų tvarkymo vietos, prieiga prie duomenų ir jų atkūrimas, pagalba incidentų metu, bendradarbiavimas su institucijomis, saugumo priemonės, audito teisės ir pasitraukimo pagalba.

NIS2 Article 21 taip pat apima tiekimo grandinės saugumą ir santykius su tiekėjais bei paslaugų teikėjais, skiriant dėmesį tiekėjams būdingiems pažeidžiamumams ir tiekėjų kibernetinio saugumo praktikoms.

NIST CSF 2.0 GV.SC pateikia praktinį veikimo modelį: tiekimo grandinės rizikos strategiją, vaidmenis, tiekėjų kritiškumą, sutartinius reikalavimus, deramą rūpestingumą, stebėseną, dalyvavimą incidentuose ir veiklas pasibaigus santykiams.

Clarysec klientams praktinė taisyklė paprasta: trečiųjų šalių nuotolinė prieiga turi būti laikoma privilegijuota prieiga, nebent įrodyta kitaip. Ji turi būti vardinė, patvirtinta, terminuota, apsaugota MFA, žurnaluojama, stebima ir segmentuota.

Kryžminės atitikties susiejimas: viena kontrolės sistema, daug įpareigojimų

Nuotolinės prieigos valdysena yra vienas stipriausių kryžminės atitikties pavyzdžių. Tie patys įrodymai gali tenkinti kelis įpareigojimus, jei jie suprojektuoti teisingai.

Išsamesnė ISO kontrolės priemonių atitikties lentelė parodo, kodėl nuotolinės prieigos valdysena turi tiek daug atitikties vertės.

NIS2 taip pat įveda aiškią vadovybės atskaitomybę. Article 20 reikalauja, kad esminių ir svarbių subjektų valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų įgyvendinimą ir dalyvautų mokymuose. DORA Article 5 panašiai reikalauja, kad finansų subjektų valdymo organas apibrėžtų, patvirtintų, prižiūrėtų IRT rizikos valdymo tvarką ir išliktų už ją atsakingas.

Valdybai nereikia tvirtinti kiekvienos ugniasienės taisyklės. Tačiau ji turėtų patvirtinti nuotolinės prieigos rizikos laikyseną: MFA privalomas, tiekėjų prieiga žurnaluojama, privilegijuota prieiga segmentuojama, nuotolinės prieigos infrastruktūra pataisoma per apibrėžtus terminus, išimtys yra terminuotos, o kibernetiniai incidentai eskaluojami sutartais kanalais.

90 minučių nuotolinės prieigos įrodymų sprintas

Praktinis būdas atskleisti spragas — sukurti mini įrodymų paketą aplink vieną prieigos kelią. Pasirinkite vieną pavyzdį, pavyzdžiui, „VPN prieiga produkcinės aplinkos palaikymo inžinieriams“, ir atlikite šį sprintą.

Tikslas nėra popierizmas. Tikslas — sujungti politiką su įrodymais. Jei įrodymų paketo nepavyksta užbaigti vienam prieigos keliui, organizacija rado tikrą valdysenos spragą anksčiau, nei ją ras auditorius ar reguliuotojas.

Šis pratimas taip pat dera su NIST CSF 2.0 profilio metodu: apibrėžti profilio taikymo sritį, surinkti politikas ir reikalavimus, dokumentuoti esamus ir tikslinius rezultatus, išanalizuoti spragas, parengti prioritetizuotą veiksmų planą ir įgyvendinti patobulinimus.

Kaip auditoriai testuos nuotolinę prieigą

Nuotolinės prieigos auditas gali atrodyti skirtingai, priklausomai nuo auditoriaus patirties. Zenith Controls padeda organizacijoms pasirengti, nes susieja ISO/IEC 27002:2022 kontrolės priemonių ryšius į kryžminės atitikties vaizdą, o ne į vieną kontrolinį sąrašą.

Auditui pasirengusi organizacija nesiblaško ieškodama ekrano kopijų. Ji palaiko gyvą įrodymų sistemą.

Dažnos išvados 2026 m.

Vertinimuose Clarysec nuolat mato tas pačias nuotolinės prieigos problemas:

• MFA įjungtas darbuotojams, bet ne tiekėjams, avarinėms paskyroms ar seniems VPN profiliams
• Nuotolinės prieigos žurnalai egzistuoja, bet nėra saugomi pakankamai ilgai, centralizuojami ar susiejami su tapatybėmis
• Galinių įrenginių atitiktis valdoma atskirai nuo VPN prieigos, todėl nevaldomi įrenginiai vis dar gali jungtis
• Prieigos peržiūros sutelktos į verslo taikomąsias programas, bet ignoruoja VPN grupes, tarpinių prieigos serverių leidimus ir debesijos administratorių vaidmenis
• Nuotolinės prieigos infrastruktūra neįtraukta į pažeidžiamumų prioritetų sąrašą
• Tiekėjų prieiga patvirtinama neformaliai ir neatsispindi sutartyse
• Išimtys neturi galiojimo pabaigos datos, kompensuojamųjų kontrolės priemonių ar rizikos savininko patvirtinimo
• Avarinės prieigos paskyros netestuojamos, nestebimos ir neperžiūrimos
• Privilegijuotos sesijos nėra segmentuotos nuo bendro nuotolinės prieigos srauto
• Reagavimo į incidentus veiksmų planuose nėra nuotolinės prieigos įrodymų rinkimo

Šių išvadų galima išvengti. Jos paprastai kyla dėl suskaidytos savininkystės. Tinklo komandos valdo VPN. IAM valdo MFA. IT valdo įrenginius. Pirkimai valdo tiekėjų sutartis. Teisės funkcija valdo duomenų tvarkymo sąlygas. SOC valdo įspėjimus. Atitiktis valdo audito įrodymus.

ISVS turi juos sujungti.

Tikslinis saugios nuotolinės prieigos veiklos modelis

Brandus saugios nuotolinės prieigos ir VPN valdysenos modelis turėtų apimti šias veiklos praktikas:

• Palaikyti visų nuotolinės prieigos metodų apskaitą, įskaitant VPN, ZTNA, RDP, tarpinius prieigos serverius, SaaS administratoriaus portalus ir tiekėjų tunelius
• Reikalauti MFA visai nuotolinei prieigai, įskaitant tiekėjus, administratorius ir avarines paskyras
• Taikyti įrenginių atitiktį prieš suteikiant prieigą, kai tai techniškai įmanoma
• Naudoti segmentavimą, tarpinius prieigos serverius arba Zero Trust šliuzus privilegijuotai ir trečiųjų šalių prieigai
• Žurnaluoti šaltinio IP adresą, naudotojo tapatybę, autentifikavimo rezultatą, tikslinę sistemą ir sesijos trukmę
• Saugoti žurnalus pagal politikos, reguliacinius ir tyrimo poreikius
• Prioritetizuoti nuotolinės prieigos sistemas pažeidžiamumų nuskaitymui ir pataisų diegimui
• Periodiškai ir pasikeitus vaidmeniui, nutraukus darbo santykius ar pasikeitus tiekėjo sutarčiai peržiūrėti prieigos teises
• Terminuoti avarinę, laikiną ir tiekėjų prieigą
• Įtraukti nuotolinę prieigą į reagavimą į incidentus, pažeidimų vertinimą ir krizių pratybas
• Testuoti nuotolinės prieigos atsparumą ir atsarginius prieigos maršrutus, kai to reikia tęstinumui
• Integruoti tiekėjų nuotolinę prieigą į sutartis, deramą rūpestingumą, stebėseną ir pasitraukimo planavimą
• Teikti vadovybei nuotolinės prieigos rizikos rodiklius

Mariai tai tampa praktiniu veiksmų planu. Per pirmąsias dvi savaites ji naudoja Zenith Blueprint valdysenos dokumentams atnaujinti, politikoms suderinti su NIS2 ir DORA įpareigojimais ir vadovybės patvirtinimui gauti. Per kitą mėnesį jos IT ir saugumo komandos įgyvendina MFA visuose nuotolinės prieigos profiliuose, segmentuoja rangovų prieigą, sureguliuoja žurnalavimą ir prioritetizuoja VPN bei ZTNA sistemas pažeidžiamumų šalinimui. Nuolat ji vykdo ketvirtines prieigos peržiūras, testuoja incidentų įrodymų rinkimą ir valdybai teikia rizikos rodiklius.

Rezultatas — ne tik tvarkingesnė VPN konfigūracija. Tai nuotolinės prieigos kontrolės sistema, galinti atlaikyti auditą, palaikyti reagavimą į incidentus ir sumažinti realią veiklos riziką.

Sukurkite nuotolinės prieigos įrodymų paketą prieš kitą incidentą

Pirmadienio ryto VPN įspėjimas neturi virsti krize. Tačiau jis turėtų tapti valdysenos testu.

Ar galite identifikuoti naudotoją? Ar galite įrodyti MFA? Ar galite patvirtinti įrenginio saugumo būseną? Ar galite atkurti sesiją? Ar galite nustatyti, ar asmens duomenys buvo pasiekiami? Ar galite parodyti, kad paskyra buvo patvirtinta ir peržiūrėta? Ar galite įrodyti, kad VPN įrenginys buvo pataisytas? Ar galite įrodyti, kad tiekėjų prieiga žurnaluojama ir segmentuojama? Ar vadovybė mato riziką?

Jei atsakymas yra „dar ne“, Clarysec gali padėti.

Pradėkite nuo Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plano, kad struktūruotumėte savo ISO/IEC 27001:2022 įgyvendinimo veiksmų planą, ypač 14 žingsnį dėl rizikos tvarkymo politikų, 16 žingsnį dėl nuotolinio darbo kontrolės priemonių, 19 žingsnį dėl saugaus autentifikavimo ir 20 žingsnį dėl tinklo paslaugų saugumo. Naudokite Zenith Controls: kryžminės atitikties vadovą, kad susietumėte Nuotolinį darbą, Prieigos kontrolę, Saugų autentifikavimą, tiekėjų kontrolės priemones, žurnalavimą ir tinklo saugumą su susijusiomis ISO/IEC 27002:2022 kontrolės priemonėmis ir kryžminės atitikties įrodymais.

Tada įgyvendinkite reikalavimus naudodami Clarysec politikas, tokias kaip Nuotolinio darbo politika, Tinklo saugumo politika, Prieigos kontrolės politika, Trečiųjų šalių ir tiekėjų saugumo politika, ir MVĮ parengtus atitikmenis.

Kitas jūsų auditas neturėtų būti pirmas kartas, kai surenkami nuotolinės prieigos įrodymai. Sukurkite juos dabar, ištestuokite dabar ir paverskite saugios nuotolinės prieigos valdyseną viena stipriausių savo atitikties programos dalių. Susisiekite su Clarysec dėl nuotolinės prieigos valdysenos vertinimo, atsisiųskite politikų šablonus arba užsisakykite demonstraciją, kad pamatytumėte, kaip jūsų dabartinės kontrolės priemonės susiejamos su ISO 27001, NIS2, DORA ir GDPR Article 32.