Nadzór nad bezpiecznym dostępem zdalnym i VPN na potrzeby NIS2 i DORA
O 07:42 w poniedziałek rano Maria, CISO szybko rozwijającego się dostawcy SaaS z sektora FinTech, otrzymuje trzy wiadomości jeszcze przed kawą.
Pierwsza pochodzi z SOC: konto VPN należące do inżyniera wsparcia uwierzytelniło się z kraju, w którym firma nie ma personelu. Druga pochodzi od sprzedaży: klient z sektora usług finansowych oczekuje dowodów, że cały uprzywilejowany dostęp zdalny jest chroniony przez MFA, rejestrowany, segmentowany i przeglądany w ramach zabezpieczeń ryzyka ICT dostosowanych do DORA. Trzecia pochodzi z działu prawnego: to samo zdarzenie może obejmować dostęp do danych osobowych, dlatego IOD (DPO) chce ustalić, czy dowody dla GDPR Article 32 są wystarczająco kompletne, aby wykazać odpowiednie środki techniczne i organizacyjne.
Jeszcze nic nie wybuchło. Brak notatki ransomware. Brak potwierdzonej eksfiltracji danych. Brak niedostępności usługi dla klientów.
Maria zna jednak niewygodną prawdę. Jeżeli nadzór nad dostępem zdalnym jest słaby, każda rozmowa o zgodności staje się defensywna. Logowanie VPN staje się pytaniem o cyberhigienę w NIS2. Konto kontraktora staje się pytaniem o ryzyko stron trzecich ICT w DORA. Sesja zdalnego pulpitu w środowisku klienta staje się pytaniem o bezpieczeństwo przetwarzania w GDPR. Brakujący log staje się ustaleniem audytowym.
Sytuację pogarsza raport z audytu zewnętrznego, który już leży na jej biurku. Audytorzy nie znaleźli wyrafinowanego ataku zero-day. Znaleźli współdzielone konta kontraktorów, niespójne uwierzytelnianie wieloskładnikowe, grupy VPN dla systemów odziedziczonych, niezarządzane wyjątki oraz gigabajty logów, które były zbyt zaszumione, aby wspierać dochodzenie. Dług techniczny przekształcił się w ekspozycję regulacyjną.
W 2026 roku zarządzanie bezpiecznym dostępem zdalnym i VPN nie jest wąskim zagadnieniem bezpieczeństwa sieci. To system kontroli na poziomie zarządu, który łączy tożsamość, bezpieczeństwo punktów końcowych, dostęp dostawców, zarządzanie podatnościami, rejestrowanie, reagowanie na incydenty, rozliczalność w zakresie prywatności i odporność operacyjną.
Problem dostępu zdalnego uległ zmianie
Jeszcze kilka lat temu nadzór nad dostępem zdalnym często sprowadzał się do jednej prostej odpowiedzi: „mamy VPN”. Ta odpowiedź nie wytrzymuje już poważnej weryfikacji.
Nowoczesne środowisko dostępu zdalnego może obejmować korporacyjne koncentratory VPN, bramy Zero Trust Network Access, serwery przesiadkowe do zarządzania dostępem uprzywilejowanym, hosty bastionowe do administracji chmurą obliczeniową, infrastrukturę zdalnych pulpitów, tunele serwisowe dostawców, dostęp dostawcy usług zarządzanych, awaryjne konta typu „break glass”, portale administracyjne SaaS, dostęp programistów do środowiska produkcyjnego, urządzenia mobilne, sieci domowe, publiczne sieci Wi‑Fi i wyjątki BYOD.
Każda taka ścieżka może stać się dowodem w obszarze regulacyjnym.
NIS2 Article 21 oczekuje odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Obejmują one analizę ryzyka i polityki bezpieczeństwa systemów informatycznych, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczne pozyskiwanie i utrzymanie, obsługę podatności, polityki oceny skuteczności cyberbezpieczeństwa, cyberhigienę, szkolenia z cyberbezpieczeństwa, kryptografię i szyfrowanie tam, gdzie ma to zastosowanie, bezpieczeństwo HR, polityki kontroli dostępu, zarządzanie aktywami, uwierzytelnianie wieloskładnikowe lub ciągłe uwierzytelnianie tam, gdzie jest właściwe, bezpieczną komunikację i zabezpieczoną komunikację awaryjną.
DORA wymaga od podmiotów finansowych utrzymywania udokumentowanych ram zarządzania ryzykiem ICT, procesów obsługi incydentów ICT, testowania cyfrowej odporności operacyjnej oraz nadzoru nad ryzykiem stron trzecich ICT. DORA Article 5 przypisuje organowi zarządzającemu odpowiedzialność za definiowanie, zatwierdzanie, nadzorowanie i zachowanie rozliczalności za zarządzanie ryzykiem ICT. Article 28 wymaga, aby ryzyko stron trzecich ICT było zarządzane jako integralna część tych ram.
GDPR Article 32 wymaga odpowiednich środków technicznych i organizacyjnych dla bezpieczeństwa przetwarzania, w tym poufności, integralności, dostępności, odporności, zdolności odtworzenia, testowania oraz możliwości wykazania, że dane osobowe są chronione przed nieuprawnionym dostępem, utratą, zmianą lub ujawnieniem.
Problem CISO nie polega na tym, czy VPN działa. Rzeczywiste pytanie brzmi, czy organizacja potrafi wykazać, że dostęp zdalny jest objęty nadzorem, oceną ryzyka, zatwierdzeniem, utwardzeniem, monitorowaniem, przeglądem, testowaniem oraz zintegrowany z reagowaniem na incydenty.
Właśnie tutaj użyteczne staje się ISO/IEC 27001:2022. Nie traktuje VPN jako samodzielnego urządzenia. Umieszcza dostęp zdalny wewnątrz SZBI: zakres, strony zainteresowane, ocenę ryzyka, dobór zabezpieczeń, planowanie operacyjne, zarządzanie dostawcami, audyt wewnętrzny, przegląd zarządzania i ciągłe doskonalenie.
Zacznij od zakresu SZBI, nie od reguły zapory sieciowej
Kiedy Clarysec przegląda nadzór nad dostępem zdalnym, nie zaczynamy od prośby o zrzut ekranu konfiguracji VPN. Zaczynamy od granic SZBI.
ISO/IEC 27001:2022 wymaga, aby organizacja zdefiniowała swój kontekst, strony zainteresowane, wymagania i zakres SZBI, w tym interfejsy oraz zależności z innymi organizacjami. W przypadku dostępu zdalnego zakres musi wyraźnie obejmować osoby, systemy, dostawców i usługi sieciowe, które umożliwiają pracę zdalną.
Organizacja SaaS lub podmiot z sektora technologii finansowych powinny zidentyfikować:
- Pracowników, którzy zdalnie uzyskują dostęp do systemów produkcyjnych
- Kontraktorów i programistów z uprawnieniami zdalnej administracji
- MSP, MSSP i innych dostawców z dostępem operacyjnym
- Personel wsparcia klienta uzyskujący dostęp do danych dzierżawców
- Użytkowników z obszarów finansów, HR i prawnego uzyskujących zdalnie dostęp do danych osobowych
- Konsole chmurowe i interfejsy API zdalnego zarządzania
- VPN, ZTNA, dostawcę tożsamości i platformy zarządzania punktami końcowymi
- Logi, integracje SIEM i lokalizacje przechowywania
- Wyjątki dotyczące dostępu zdalnego i procedury dostępu awaryjnego
- Zarządzane przez dostawców urządzenia brzegowe i narzędzia zdalnego wsparcia
To coś więcej niż higiena dokumentacji. Zakres NIS2 może obejmować dostawców chmury obliczeniowej, centra danych, MSP, MSSP, dostawców łączności elektronicznej, dostawców infrastruktury cyfrowej oraz dostawców zarządzania usługami ICT, zależnie od wielkości, sektora i wyznaczenia. DORA ma zastosowanie do podmiotów finansowych i stanowi sektorowy reżim ryzyka ICT dla tych podmiotów. GDPR może mieć zastosowanie do organizacji z UE i spoza UE, gdy przetwarzanie dotyczy osób w UE, jednostek organizacyjnych w UE, usług oferowanych osobom w Unii lub monitorowania zachowania.
Jeżeli zakres SZBI pomija zdalny dostęp stron trzecich, zdalną administrację, infrastrukturę VPN lub łączność zarządzaną przez dostawców, zestaw zabezpieczeń może być niekompletny, zanim audytor w ogóle rozpocznie próbkowanie.
Zbuduj warstwowy zestaw zabezpieczeń dostępu zdalnego
Silny program dostępu zdalnego należy budować jako warstwowy zestaw zabezpieczeń, a nie jako pojedynczą politykę. W pracach wdrożeniowych Clarysec podstawowe zabezpieczenia ISO/IEC 27002:2022 zwykle obejmują:
- 6.7 praca zdalna
- 5.15 kontrola dostępu
- 5.16 zarządzanie tożsamością
- 5.17 informacje uwierzytelniające
- 5.18 prawa dostępu
- 8.5 bezpieczne uwierzytelnianie
- 8.1 urządzenia końcowe użytkowników
- 8.8 zarządzanie podatnościami technicznymi
- 8.9 zarządzanie konfiguracją
- 8.15 rejestrowanie
- 8.16 działania monitorujące
- 8.20 bezpieczeństwo sieci
- 8.22 segregacja sieci
- 5.19 bezpieczeństwo informacji w relacjach z dostawcami
- 5.20 uwzględnianie bezpieczeństwa informacji w umowach z dostawcami
- 5.21 zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT
- 5.22 monitorowanie, przegląd i zarządzanie zmianami usług dostawców
- 5.23 bezpieczeństwo informacji przy korzystaniu z usług chmurowych
- 5.24 planowanie i przygotowanie zarządzania incydentami bezpieczeństwa informacji
- 5.26 reagowanie na incydenty bezpieczeństwa informacji
- 5.28 zbieranie dowodów
- 5.30 gotowość ICT do ciągłości działania
Zenith Controls: The Cross-Compliance Guide mapuje pracę zdalną 6.7 jako zabezpieczenie prewencyjne wspierające poufność, integralność i dostępność, z operacyjnymi powiązaniami z zarządzaniem aktywami, ochroną informacji, bezpieczeństwem fizycznym oraz bezpieczeństwem systemów i sieci. Łączy też pracę zdalną z bezpieczeństwem aktywów poza siedzibą 7.9, urządzeniami końcowymi użytkowników 8.1, świadomością, edukacją i szkoleniami w zakresie bezpieczeństwa informacji 6.3, przekazywaniem informacji 5.14, bezpieczeństwem sieci 8.20, segregacją sieci 8.22, czystym biurkiem i czystym ekranem 7.7 oraz gotowością ICT do ciągłości działania 5.30.
Ta relacja ma znaczenie. Wymóg VPN bez zarządzania punktami końcowymi nie chroni przed skradzionym laptopem. MFA bez rejestrowania nie wspiera dochodzenia. Dostęp dostawcy bez segmentacji zwiększa zasięg skutków. Praca zdalna bez zgłaszania incydentów opóźnia powstrzymanie.
| Ryzyko dostępu zdalnego | Obszar zabezpieczeń ISO/IEC 27002:2022 | Dowody oczekiwane przez audytorów |
|---|---|---|
| Skradzione dane uwierzytelniające użyte przez VPN | 8.5 bezpieczne uwierzytelnianie, 5.15 kontrola dostępu, 5.17 informacje uwierzytelniające | Konfiguracja MFA, reguły dostępu warunkowego, alerty nieudanych logowań, logi uwierzytelniania |
| Były kontraktor zachowuje dostęp | 5.18 prawa dostępu, 5.16 zarządzanie tożsamością, zabezpieczenia dostawców od 5.19 do 5.23 | Zapisy procesu JML, zgłoszenia offboardingu dostawcy, dowody przeglądu dostępu |
| Zainfekowany laptop łączy się zdalnie | 8.1 urządzenia końcowe użytkowników, 6.7 praca zdalna, 8.8 zarządzanie podatnościami technicznymi | Zgodność MDM, status EDR, dowody szyfrowania, raporty poprawek |
| Urządzenie brzegowe VPN nie ma poprawek | 8.8 zarządzanie podatnościami technicznymi, 8.9 zarządzanie konfiguracją, 8.20 bezpieczeństwo sieci | Zapis aktywa, wyniki skanowania, SLA dla poprawek, zatwierdzenie wyjątku |
| Dostawca używa współdzielonego konta zdalnego | 5.15 kontrola dostępu, 5.16 zarządzanie tożsamością, 8.5 bezpieczne uwierzytelnianie | Unikalne identyfikatory użytkowników, imienne konta dostawców, logi MFA, wymagania umowne |
| Podejrzanej sesji zdalnej nie można odtworzyć | 8.15 rejestrowanie, 8.16 działania monitorujące, 5.24 planowanie i przygotowanie zarządzania incydentami bezpieczeństwa informacji | Logi VPN, źródłowe adresy IP, czas trwania sesji, alerty SIEM, oś czasu incydentu |
Warstwowy zestaw zabezpieczeń zmienia rozmowę. Zamiast dyskutować, czy „VPN jest zgodny”, organizacja tworzy model możliwy do prześledzenia: ryzyko dostępu zdalnego, zabezpieczenie ISO, wymaganie polityki, wdrożenie techniczne, właściciel dowodu i cykl przeglądu.
Zamień intencję polityki w dowody audytowe
Audytorzy rzadko akceptują stwierdzenie „zazwyczaj używamy MFA” jako dowód. Szukają formalnie zatwierdzonych wymagań, wdrożonych zabezpieczeń i zapisów potwierdzających działanie.
Zestaw polityk Clarysec daje zespołom precyzyjne brzmienie, które mogą przyjąć i dostosować. Network Security Policy - SME stanowi w klauzuli 5.5.1:
„Dostęp VPN musi wymagać uwierzytelniania wieloskładnikowego (MFA) i być ograniczony do wyznaczonego personelu”
Ta sama polityka SME przekształca rejestrowanie w wymóg przechowywania w klauzuli 6.3.3:
„Dostęp przez VPN musi być rejestrowany, a czasy trwania sesji i źródłowe adresy IP muszą być przechowywane przez co najmniej 6 miesięcy”
W odniesieniu do zachowania podczas pracy zdalnej Remote Work Policy - SME stanowi w klauzuli 5.2.3:
„Publiczne sieci Wi‑Fi mogą być używane wyłącznie wtedy, gdy aktywny jest bezpieczny tunel (VPN).”
Dla środowisk korporacyjnych Remote Work Policy jest jeszcze bardziej bezpośrednia. Klauzula 5.2.1.1 wymaga od personelu:
„Korzystania z zatwierdzonego przez firmę VPN lub infrastruktury zdalnych pulpitów”
Klauzula 5.2.1.2 wymaga od organizacji:
„Wymagania uwierzytelniania wieloskładnikowego (MFA) dla wszystkich prób logowania”
Network Security Policy dopasowuje techniczną konfigurację bazową do klauzuli 6.3.1:
„Cały dostęp zdalny musi być szyfrowany, na przykład z użyciem IPsec lub SSL VPN, oraz wymagać uwierzytelniania wieloskładnikowego (MFA).”
Access Control Policy stanowi w klauzuli 5.6.1:
„Zdarzenia dostępu muszą być rejestrowane i przechowywane zgodnie z Polityką rejestrowania i monitorowania.”
W odniesieniu do dostawców Third party and supplier security policy wymaga w klauzuli 6.3.2:
„Cały dostęp stron trzecich musi być rejestrowany i monitorowany oraz, tam gdzie jest to wykonalne, segmentowany za pośrednictwem hostów bastionowych, VPN lub bram Zero Trust.”
Vulnerability and Patch Management Policy - SME stanowi w klauzuli 6.5.1:
„Systemy, które przetwarzają dane osobowe, zapewniają dostęp zdalny lub są dostępne z zewnątrz, muszą być priorytetowo obejmowane skanowaniem i aktualizacjami”
Te klauzule nabierają znaczenia, gdy są powiązane z dowodami operacyjnymi. Polityka mówi, że MFA jest wymagane. Dostawca tożsamości dowodzi wymuszenia. Log VPN dowodzi użycia. Alert SIEM dowodzi monitorowania. Przegląd dostępu dowodzi utrzymującej się potrzeby biznesowej. Raport podatności dowodzi, że usługa dostępu zdalnego jest priorytetyzowana. Podręcznik postępowania incydentowego dowodzi gotowości do reakcji.
Na tym polega różnica między posiadaniem polityki a działającym zabezpieczeniem.
Pięć pytań, na które każdy CISO powinien odpowiedzieć
Model nadzoru nad dostępem zdalnym Clarysec opiera się na pięciu pytaniach, które sprawdzają się w audytach ISO 27001, gotowości do NIS2, przeglądach ryzyka ICT DORA oraz pakietach dowodowych dla GDPR Article 32.
1. Kto może łączyć się zdalnie?
Dostęp zdalny musi być ograniczony do uprawnionych użytkowników, ról i dostawców. ISO/IEC 27002:2022 kontrola dostępu 5.15, zarządzanie tożsamością 5.16 oraz prawa dostępu 5.18 definiują fundament nadzoru.
Zenith Controls mapuje kontrolę dostępu 5.15 jako zabezpieczenie prewencyjne skoncentrowane na zarządzaniu tożsamością i dostępem. Łączy to zabezpieczenie z zarządzaniem tożsamością, prawami dostępu, informacjami uwierzytelniającymi, urządzeniami końcowymi użytkowników, bezpiecznym uwierzytelnianiem oraz zgodnością z politykami. W praktyce polityka dostępu jest wiarygodna tylko wtedy, gdy tożsamości są unikalne, zarządzane w cyklu życia, uwierzytelniane i przeglądane.
Dobry zapis dostępu zdalnego powinien odpowiadać na pytania:
- Która osoba lub który dostawca ma dostęp?
- Do których systemów może uzyskać dostęp?
- Jaka rola lub umowa uzasadnia dostęp?
- Kto go zatwierdził?
- Czy MFA jest wymuszone?
- Kiedy dostęp był ostatnio przeglądany?
- Kiedy wygasa dostęp tymczasowy?
- Które źródło logów potwierdza użycie?
Wspiera to również wyniki NIST Cybersecurity Framework 2.0 PR.AA dotyczące zarządzania tożsamością, uwierzytelniania, autoryzacji, zasady najmniejszych uprawnień i rozdziału obowiązków.
2. Jaki stan bezpieczeństwa urządzenia i sieci jest wymagany?
Dostęp zdalny powinien zależeć od zaufania do urządzenia, a nie tylko od danych uwierzytelniających użytkownika. Poprawne hasło i zatwierdzenie MFA z niezarządzanego, zainfekowanego lub niezałatanego urządzenia nadal oznaczają wysokie ryzyko.
Zenith Blueprint: An Auditor’s 30-Step Roadmap wyjaśnia to w fazie Controls in Action, Step 16, People Controls II:
„Pracownicy zdalni powinni być zobowiązani do korzystania wyłącznie z urządzeń zatwierdzonych przez firmę, skonfigurowanych przez IT, z szyfrowaniem pełnodyskowym, aktywną ochroną punktów końcowych, automatycznym wdrażaniem poprawek i wymuszonymi limitami czasu blokady ekranu.”
Ten sam krok podkreśla, że dostęp zdalny powinien przechodzić przez VPN korporacyjny, najlepiej chroniony przez MFA, a BYOD powinien być zakazany albo dopuszczony wyłącznie na rygorystycznych warunkach, takich jak rejestracja MDM, konteneryzacja i zdalne wymazywanie.
W tym miejscu zbiegają się urządzenia końcowe użytkowników 8.1, praca zdalna 6.7, zarządzanie podatnościami technicznymi 8.8, zarządzanie konfiguracją 8.9 oraz bezpieczeństwo sieci 8.20.
Dla GDPR Article 32 stan bezpieczeństwa urządzeń ma znaczenie, ponieważ zdalne punkty końcowe są częścią środków technicznych i organizacyjnych chroniących dane osobowe. Dla DORA stan bezpieczeństwa punktów końcowych wspiera zarządzanie ryzykiem ICT i odporność operacyjną. Dla NIS2 wspiera cyberhigienę, kontrolę dostępu, zarządzanie aktywami i obsługę podatności.
3. W jaki sposób chroniona jest sesja?
Bezpieczna sesja dostępu zdalnego powinna wykorzystywać szyfrowany transport, silne uwierzytelnianie, segmentację oraz kontrolowane ścieżki administracyjne.
Zenith Blueprint, faza Risk Management, Step 14, Risk Treatment Policies and Regulatory Cross-References, określa oczekiwanie dotyczące dostępu zdalnego:
„Cały zdalny dostęp do systemów wewnętrznych musi korzystać z bezpiecznego VPN lub równoważnego szyfrowanego połączenia. Uwierzytelnianie wieloskładnikowe (MFA) jest wymagane przy zdalnym logowaniu do sieci firmowych.”
Step 20, Controls 8.18 to 8.26, nakazuje organizacjom walidować bezpieczeństwo usług sieciowych przez wykazanie wszystkich wewnętrznych i zewnętrznych usług sieciowych, takich jak DNS, VPN, SMTP, DHCP i bramy API, potwierdzenie bezpiecznych protokołów, przegląd kontroli dostępu oraz sprawdzenie klauzul bezpieczeństwa stron trzecich, gdy usługi są zarządzane zewnętrznie.
VPN nie jest wyłącznie urządzeniem. Jest usługą sieciową z wyborami protokołów, ograniczeniami dostępu, certyfikatami, ścieżkami zapory sieciowej, zależnościami od stron trzecich, wymaganiami dotyczącymi poprawek i logami.
4. Jak dostęp jest monitorowany i badany?
Nadzór nad dostępem zdalnym musi obejmować rejestrowanie i monitorowanie. NIS2 Article 23 określa stopniowe oczekiwania dotyczące zgłaszania istotnych incydentów, w tym wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin i raport końcowy w ciągu jednego miesiąca. DORA wymaga od podmiotów finansowych wykrywania, zarządzania, klasyfikowania, eskalowania i zgłaszania poważnych incydentów związanych z ICT, w tym analizy przyczyny źródłowej oraz komunikacji, gdy naruszone są interesy finansowe klientów. Analiza naruszenia w GDPR zależy od zrozumienia, czy dane osobowe zostały udostępnione, zmienione, ujawnione, utracone lub w inny sposób naruszone.
Bez logów dostępu zdalnego organizacja nie może pewnie odpowiedzieć na pierwsze pytanie regulatora: co się stało?
Silne rejestrowanie powinno obejmować tożsamość użytkownika, wynik uwierzytelnienia, źródłowy adres IP, geolokalizację tam, gdzie jest właściwa, tożsamość urządzenia, usługę docelową, działanie uprzywilejowane, czas trwania sesji, nieudane próby, zmiany administracyjne oraz korelację ze zdarzeniami punktów końcowych i tożsamości.
5. Jak obsługiwane są wyjątki i podatności?
Infrastruktura dostępu zdalnego ma wysoką wartość. Bramy VPN, urządzenia ZTNA, dostawcy tożsamości, hosty bastionowe i usługi zdalnego pulpitu powinny należeć do aktywów zarządzanych najbardziej rygorystycznie w programie zarządzania podatnościami.
Dojrzały proces wyjątków powinien obejmować właściciela aktywa, objętą wpływem usługę dostępu zdalnego, wagę podatności, możliwość wykorzystania, ekspozycję danych, tymczasowe środki kompensujące, zatwierdzenie właściciela ryzyka, datę wygaśnięcia, dowód ponownego testu oraz powiązanie z rejestrem ryzyk i planem postępowania z ryzykiem.
Dla ISO/IEC 27001:2022 wspiera to postępowanie z ryzykiem, kontrolę operacyjną i ciągłe doskonalenie. Dla DORA wspiera zarządzanie ryzykiem ICT, testowanie i remediację. Dla NIS2 wspiera obsługę podatności oraz działania korygujące bez zbędnej zwłoki. Dla GDPR pomaga wykazać, że bezpieczeństwo przetwarzania było oparte na ryzyku, a nie doraźne.
Zdalny dostęp dostawców to ukryta pułapka audytowa
Wiele niepowodzeń związanych z dostępem zdalnym nie jest niepowodzeniami pracowników. Są to niepowodzenia nadzoru nad dostawcami.
MSP ma stare konto VPN. Dostawca oprogramowania używa współdzielonych poświadczeń. Partner wsparcia łączy się przez zdalny pulpit, aby rozwiązać problem wpływający na klienta. Dostawca usług chmurowych zarządza bramą dostępu zdalnego. Kontraktor zachowuje dostęp po zamknięciu projektu.
DORA jest tu szczególnie rygorystyczna. Article 28 wymaga od podmiotów finansowych zarządzania ryzykiem stron trzecich ICT jako częścią ram zarządzania ryzykiem ICT oraz zachowania pełnej odpowiedzialności nawet wtedy, gdy usługi ICT są realizowane w outsourcingu. Oczekuje rejestrów ustaleń umownych ICT, due diligence, standardów bezpieczeństwa informacji, praw audytu i inspekcji, praw wypowiedzenia, analizy ryzyka koncentracji oraz strategii wyjścia dla funkcji krytycznych lub istotnych. Article 30 określa postanowienia umowne, takie jak ochrona danych, poziomy usług, lokalizacje przetwarzania, dostęp do danych i ich odzyskiwanie, wsparcie podczas incydentów, współpraca z organami, środki bezpieczeństwa, prawa audytu i wsparcie wyjścia.
NIS2 Article 21 obejmuje również bezpieczeństwo łańcucha dostaw oraz relacje z dostawcami i dostawcami usług, ze zwróceniem uwagi na podatności specyficzne dla dostawców oraz praktyki cyberbezpieczeństwa dostawców.
NIST CSF 2.0 GV.SC zapewnia praktyczny model operacyjny: strategię ryzyka łańcucha dostaw, role, krytyczność dostawców, wymagania umowne, due diligence, monitorowanie, udział w incydentach oraz działania po zakończeniu relacji.
Dla klientów Clarysec praktyczna zasada jest prosta: zdalny dostęp stron trzecich musi być traktowany jako dostęp uprzywilejowany, chyba że udowodniono inaczej. Powinien być imienny, zatwierdzony, ograniczony czasowo, chroniony przez MFA, rejestrowany, monitorowany i segmentowany.
Mapowanie między wymogami zgodności: jeden system kontroli, wiele obowiązków
Nadzór nad dostępem zdalnym jest jednym z najmocniejszych przykładów zgodności przekrojowej. Te same dowody mogą spełniać wiele obowiązków, jeżeli zostaną właściwie zaprojektowane.
| Czynnik zgodności | Oczekiwanie dotyczące dostępu zdalnego | Dowody do utrzymania |
|---|---|---|
| ISO/IEC 27001:2022 | Dobór zabezpieczeń oparty na ryzyku, nadzór nad dostępem, kontrola dostawców, dowody operacyjne i ciągłe doskonalenie | Ocena ryzyka, Deklaracja stosowania, polityki, przeglądy dostępu, logi, ustalenia audytu wewnętrznego |
| NIS2 | Cyberhigiena, kontrola dostępu, zarządzanie aktywami, MFA tam, gdzie właściwe, obsługa incydentów, ciągłość działania i bezpieczeństwo łańcucha dostaw | Zapisy MFA, szkolenia z cyberhigieny, zabezpieczenia dostępu dostawców, raporty incydentów, działania korygujące |
| DORA | Nadzór nad ryzykiem ICT, silne uwierzytelnianie, cykl życia incydentu, testowanie odporności, ryzyko stron trzecich ICT i rozliczalność organu zarządzającego | Rejestr ryzyka ICT, testy dostępu zdalnego, klasyfikacje incydentów, rejestry dostawców, plany wyjścia, prawa audytu |
| GDPR Article 32 | Odpowiednie bezpieczeństwo przetwarzania, poufność, integralność, dostępność, odporność, testowanie i rozliczalność | Logi dostępu, dowody szyfrowania, wymuszenie MFA, zapisy oceny naruszenia, wyniki testów |
| NIST CSF 2.0 | Wyniki Govern, Identify, Protect, Detect, Respond i Recover | Profile Current i Target, inwentarz aktywów, zabezpieczenia tożsamości PR.AA, monitorowanie DE.CM, analiza RS.AN |
| COBIT 2019 i zapewnienie ISACA | Cele ładu zarządczego, praktyki zarządcze, projekt kontroli i skuteczność operacyjna | RACI, własność procesu, metryki wydajności kontroli, ścieżka audytowa, śledzenie remediacji |
Bardziej szczegółowe mapowanie zabezpieczeń ISO pokazuje, dlaczego nadzór nad dostępem zdalnym ma tak dużą wartość dla zgodności.
| Zabezpieczenie ISO/IEC 27002:2022 | Dostosowanie do NIS2 | Dostosowanie do DORA | Dowody dla GDPR Article 32 |
|---|---|---|---|
| 6.7 praca zdalna | Wspiera Article 21 w zakresie cyberhigieny, kontroli dostępu i bezpiecznych praktyk pracy | Wspiera polityki i procedury ICT dla pracy zdalnej oraz odporności operacyjnej | Wykazuje środki organizacyjne dla personelu przetwarzającego dane osobowe poza biurem |
| 8.5 bezpieczne uwierzytelnianie | Wspiera Article 21(2)(j) dotyczący uwierzytelniania wieloskładnikowego lub ciągłego uwierzytelniania tam, gdzie jest właściwe | Wspiera oczekiwania silnego uwierzytelniania w ramach środków ochrony i zapobiegania ICT | Wykazuje środek techniczny ograniczający nieuprawniony dostęp do danych osobowych |
| 8.20 bezpieczeństwo sieci | Wspiera bezpieczną komunikację, szyfrowanie i ochronę usług sieciowych | Wspiera ochronę przed włamaniem, nadużyciem i nieuprawnionym dostępem ICT | Pokazuje ochronę danych w tranzycie i kontrolowane ścieżki sieciowe |
| 8.22 segregacja sieci | Wspiera ograniczanie wpływu i wymuszanie granic kontroli dostępu | Wspiera odporność i powstrzymanie dla funkcji krytycznych lub istotnych | Zmniejsza ekspozycję danych osobowych przez ograniczenie osiągalnych systemów |
| Zabezpieczenia dostawców od 5.19 do 5.23 | Wspiera Article 21(2)(d) dotyczący bezpieczeństwa łańcucha dostaw | Wspiera Articles 28 and 30 dotyczące ryzyka stron trzecich ICT i nadzoru umownego | Wspiera rozliczalność podmiotów przetwarzających i dostawców w zakresie bezpiecznego dostępu |
| 8.15 rejestrowanie i 8.16 działania monitorujące | Wspiera obsługę incydentów i ocenę skuteczności | Wspiera wykrywanie, klasyfikację, eskalację i zgłaszanie incydentów ICT | Wspiera ocenę naruszenia i dowody kryminalistyczne |
| 8.8 zarządzanie podatnościami technicznymi | Wspiera bezpieczne utrzymanie i obsługę podatności | Wspiera redukcję ryzyka ICT, testowanie i remediację | Pokazuje opartą na ryzyku ochronę systemów przetwarzających dane osobowe |
NIS2 wprowadza również wyraźną odpowiedzialność kierownictwa. Article 20 wymaga od organów zarządzających podmiotów kluczowych i ważnych zatwierdzania środków zarządzania ryzykiem cyberbezpieczeństwa, nadzorowania wdrożenia i odbywania szkoleń. DORA Article 5 podobnie wymaga od organu zarządzającego podmiotów finansowych definiowania, zatwierdzania, nadzorowania i pozostawania odpowiedzialnym za uzgodnienia dotyczące zarządzania ryzykiem ICT.
Zarząd nie musi zatwierdzać każdej reguły zapory sieciowej. Powinien jednak zatwierdzić profil ryzyka dostępu zdalnego: obowiązkowe MFA, rejestrowany dostęp dostawców, segmentowany dostęp uprzywilejowany, infrastrukturę dostępu zdalnego aktualizowaną w zdefiniowanych terminach, wyjątki ograniczone czasowo oraz cyberincydenty eskalowane uzgodnionymi kanałami.
90-minutowy sprint dowodowy dla dostępu zdalnego
Praktycznym sposobem ujawnienia luk jest zbudowanie mini pakietu dowodowego wokół jednej ścieżki dostępu. Wybierz jeden przykład, taki jak „dostęp VPN dla inżynierów wsparcia produkcji”, a następnie wykonaj poniższy sprint.
| Minuta | Działanie | Wynik |
|---|---|---|
| 0 do 10 | Zdefiniuj ścieżkę dostępu | Jedno zdanie opisujące, kto się łączy, skąd, do czego i dlaczego |
| 10 do 25 | Zmapuj właściwe polityki | Klauzule z Remote Work Policy, Network Security Policy, Access Control Policy i Supplier Security Policy, jeżeli mają zastosowanie |
| 25 do 40 | Zbierz dowody wymuszenia technicznego | Zrzuty ekranu lub eksporty potwierdzające MFA, szyfrowanie, członkostwo w grupach i dostęp warunkowy |
| 40 do 55 | Zbierz logi | Ostatnie udane logowanie, nieudane logowanie, źródłowy adres IP, czas trwania sesji i przykład alertu SIEM |
| 55 do 70 | Przejrzyj podatności i stan bezpieczeństwa urządzeń | Status poprawek aktywa VPN, raport zgodności punktów końcowych i otwarte wyjątki |
| 70 do 80 | Sprawdź dowody przeglądu dostępu | Ostatni przegląd dostępu, usunięci użytkownicy, zatwierdzone wyjątki i akceptacja właściciela |
| 80 do 90 | Utwórz narrację audytową | Jednostronicowe wyjaśnienie mapujące ryzyko, zabezpieczenie, politykę, wdrożenie i dowody |
Celem nie jest papierologia. Celem jest połączenie polityki z dowodem. Jeżeli pakiet dowodowy nie może zostać skompletowany dla jednej ścieżki dostępu, organizacja znalazła rzeczywistą lukę w nadzorze, zanim znajdzie ją audytor lub regulator.
Ćwiczenie pasuje również do metody profilu NIST CSF 2.0: określenie zakresu profilu, zebranie polityk i wymagań, udokumentowanie wyników obecnych i docelowych, analiza luk, utworzenie priorytetowego planu działań oraz wdrożenie usprawnień.
Jak audytorzy będą testować dostęp zdalny
Audyt dostępu zdalnego może wyglądać różnie w zależności od doświadczenia audytora. Zenith Controls pomaga organizacjom przygotować się, ponieważ mapuje relacje zabezpieczeń ISO/IEC 27002:2022 w ujęciu zgodności przekrojowej, a nie jako pojedynczą listę kontrolną.
| Perspektywa audytora | Prawdopodobne pytanie | Silna odpowiedź |
|---|---|---|
| ISO 27001 | Dlaczego wybraliście te zabezpieczenia dostępu zdalnego? | Ocena ryzyka, uzasadnienie SoA, plan postępowania z ryzykiem i mapowanie polityk |
| NIST CSF 2.0 | Jaki jest wasz stan obecny i docelowy? | Profil, analiza luk, priorytetowy plan działań i wdrożone usprawnienia |
| COBIT 2019 | Kto odpowiada za nadzór nad dostępem zdalnym? | RACI, właściciel procesu, przegląd zarządzania i metryki kontroli |
| DORA | Jak zarządzacie zdalnym dostępem stron trzecich ICT? | Rejestr dostawców, due diligence, klauzule umowne, prawa audytu i plan wyjścia |
| GDPR | Czy możecie udowodnić, że dostęp do danych osobowych był kontrolowany? | MFA, zasada najmniejszych uprawnień, logi, przeglądy dostępu i zapisy oceny naruszenia |
Organizacja gotowa do audytu nie szuka w pośpiechu zrzutów ekranu. Utrzymuje żywy system dowodowy.
Typowe ustalenia w 2026 roku
W ocenach Clarysec wielokrotnie widzi te same problemy z dostępem zdalnym:
- MFA jest włączone dla pracowników, ale nie dla dostawców, kont awaryjnych lub profili VPN dla systemów odziedziczonych
- Logi dostępu zdalnego istnieją, ale nie są przechowywane wystarczająco długo, scentralizowane ani powiązane z tożsamościami
- Zgodność punktów końcowych jest zarządzana oddzielnie od dostępu VPN, więc niezarządzane urządzenia nadal mogą się łączyć
- Przeglądy dostępu koncentrują się na aplikacjach biznesowych, ale pomijają grupy VPN, uprawnienia bastionów i role administratorów chmury
- Infrastruktura dostępu zdalnego nie znajduje się na liście priorytetów podatności
- Dostęp dostawców jest zatwierdzany nieformalnie i nie znajduje odzwierciedlenia w umowach
- Wyjątki nie mają daty wygaśnięcia, środka kompensującego ani zatwierdzenia właściciela ryzyka
- Konta typu „break glass” nie są testowane, monitorowane ani przeglądane
- Sesje uprzywilejowane nie są segmentowane od ogólnego ruchu dostępu zdalnego
- Podręczniki postępowania w odpowiedzi na incydenty nie obejmują zbierania dowodów dotyczących dostępu zdalnego
Tym ustaleniom można zapobiec. Zwykle wynikają z rozproszonej odpowiedzialności. Zespoły sieciowe odpowiadają za VPN. IAM odpowiada za MFA. IT odpowiada za urządzenia. Zakupy odpowiadają za umowy z dostawcami. Dział prawny odpowiada za warunki przetwarzania danych. SOC odpowiada za alerty. Zgodność odpowiada za dowody audytowe.
SZBI musi je połączyć.
Docelowy model operacyjny dla bezpiecznego dostępu zdalnego
Dojrzały model nadzoru nad bezpiecznym dostępem zdalnym i VPN powinien obejmować następujące praktyki operacyjne:
- Utrzymywać inwentarz wszystkich metod dostępu zdalnego, w tym VPN, ZTNA, RDP, hostów bastionowych, portali administracyjnych SaaS i tuneli dostawców
- Wymagać MFA dla całego dostępu zdalnego, w tym dostawców, administratorów i kont awaryjnych
- Wymuszać zgodność urządzenia przed dostępem tam, gdzie jest to technicznie wykonalne
- Stosować segmentację, hosty bastionowe lub bramy Zero Trust dla dostępu uprzywilejowanego i dostępu stron trzecich
- Rejestrować źródłowy adres IP, tożsamość użytkownika, wynik uwierzytelnienia, system docelowy i czas trwania sesji
- Przechowywać logi zgodnie z potrzebami polityki, wymogami regulacyjnymi i potrzebami dochodzeniowymi
- Priorytetyzować systemy dostępu zdalnego w skanowaniu podatności i wdrażaniu poprawek
- Okresowo przeglądać prawa dostępu oraz przy zmianie roli, zakończeniu współpracy lub zmianie umowy dostawcy
- Ograniczać czasowo dostęp awaryjny, tymczasowy i dostawców
- Uwzględniać dostęp zdalny w reagowaniu na incydenty, ocenie naruszeń i ćwiczeniach kryzysowych
- Testować odporność dostępu zdalnego i zapasowe ścieżki dostępu tam, gdzie jest to wymagane dla ciągłości działania
- Integrować zdalny dostęp dostawców z umowami, due diligence, monitorowaniem i planowaniem wyjścia
- Raportować metryki ryzyka dostępu zdalnego kierownictwu
Dla Marii staje się to praktycznym planem działania. W pierwszych dwóch tygodniach używa Zenith Blueprint, aby zaktualizować dokumenty ładu zarządczego, dostosować polityki do obowiązków NIS2 i DORA oraz uzyskać zatwierdzenie kierownictwa. W kolejnym miesiącu jej zespoły IT i bezpieczeństwa wymuszają MFA we wszystkich profilach dostępu zdalnego, segmentują dostęp kontraktorów, dostrajają rejestrowanie oraz priorytetyzują systemy VPN i ZTNA do remediacji podatności. W trybie ciągłym prowadzi kwartalne przeglądy dostępu, testuje zbieranie dowodów incydentowych i raportuje metryki ryzyka zarządowi.
Rezultatem nie jest tylko czystsza konfiguracja VPN. Jest nim system kontroli dostępu zdalnego, który wytrzymuje audyt, wspiera reagowanie na incydenty i ogranicza rzeczywiste ryzyko operacyjne.
Zbuduj pakiet dowodowy dostępu zdalnego przed kolejnym incydentem
Poniedziałkowy poranny alert VPN nie musi stać się kryzysem. Powinien jednak stać się testem nadzoru.
Czy potrafisz zidentyfikować użytkownika? Czy potrafisz udowodnić MFA? Czy potrafisz potwierdzić stan bezpieczeństwa urządzenia? Czy potrafisz odtworzyć sesję? Czy potrafisz ustalić, czy dane osobowe były dostępne? Czy potrafisz pokazać, że konto zostało zatwierdzone i przeglądane? Czy potrafisz udowodnić, że urządzenie VPN miało wdrożone poprawki? Czy potrafisz wykazać, że dostęp dostawców jest rejestrowany i segmentowany? Czy kierownictwo widzi ryzyko?
Jeżeli odpowiedź brzmi „jeszcze nie”, Clarysec może pomóc.
Zacznij od Zenith Blueprint: An Auditor’s 30-Step Roadmap, aby uporządkować mapę drogową wdrożenia ISO/IEC 27001:2022, zwłaszcza Step 14 dla polityk postępowania z ryzykiem, Step 16 dla zabezpieczeń pracy zdalnej, Step 19 dla bezpiecznego uwierzytelniania oraz Step 20 dla bezpieczeństwa usług sieciowych. Użyj Zenith Controls: The Cross-Compliance Guide, aby zmapować pracę zdalną, kontrolę dostępu, bezpieczne uwierzytelnianie, zabezpieczenia dostawców, rejestrowanie i bezpieczeństwo sieci na powiązane zabezpieczenia ISO/IEC 27002:2022 oraz dowody zgodności przekrojowej.
Następnie przełóż wymagania na działanie za pomocą polityk Clarysec, takich jak Remote Work Policy, Network Security Policy, Access Control Policy, Third party and supplier security policy oraz odpowiedników gotowych dla SME.
Twój kolejny audyt nie powinien być pierwszym momentem, w którym pakiet dowodowy dotyczący dostępu zdalnego jest składany w całość. Zbuduj go teraz, przetestuj go teraz i spraw, aby nadzór nad bezpiecznym dostępem zdalnym stał się jedną z najmocniejszych części programu zgodności. Skontaktuj się z Clarysec w sprawie oceny nadzoru nad dostępem zdalnym, pobierz szablony polityk albo zarezerwuj demo, aby zobaczyć, jak obecne zabezpieczenia mapują się na ISO 27001, NIS2, DORA i GDPR Article 32.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
