przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Mechanizmy bezpiecznego uwierzytelniania i komunikacji - dyrektywa NIS 2

Mechanizmy bezpiecznego uwierzytelniania i komunikacji - dyrektywa NIS 2

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Współczesny krajobraz cyberzagrożeń uległ znaczącej ewolucji, co zmusiło prawodawców Unii Europejskiej do gruntownej rewizji dotychczasowych regulacji w obszarze cyberbezpieczeństwa. Odpowiedzią na te wyzwania jest dyrektywa NIS 2, wprowadzająca istotne zmiany w podejściu do ochrony sieci i systemów informatycznych. 

W centrum tych regulacji znajduje się artykuł 21, ustanawiający szczegółowe ramy zarządzania ryzykiem – szerzej omówione w publikacji pt. „Zarządzanie ryzykiem zgodnie z NIS 2. Proces w pigułce”.

W niniejszym artykule koncentrujemy się na jednym z kluczowych elementów tego systemu – wymogach dotyczących uwierzytelniania oraz bezpiecznej komunikacji. Zakres wymagań w tym obszarze został określony w art. 21 ust. 2 lit. j. Dyrektywy NIS 2: „j) w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych”.

Zwrot „w stosownych przypadkach” oznacza, że obowiązek nie ma charakteru absolutnego, ale jednocześnie nie daje organizacji dowolności w jego pominięciu. Podmiot musi zastosować wskazane środki wtedy, gdy są one adekwatne do jego specyfiki i poziomu ryzyka, uwzględniając w szczególności:

  • charakter i zakres prowadzonej działalności;
  • skalę i wagę świadczonych usług;
  • poziom ryzyka, w tym rodzaj przetwarzanych danych i potencjalne skutki incydentu;
  • dostępne rozwiązania techniczne i organizacyjne.

Podmiot nie może zatem zrezygnować z wdrożenia tych środków bez powodu. Musi wykazać, że decyzja, zarówno o wdrożeniu, jak i o ewentualnym odstąpieniu, wynika z rzetelnej analizy ryzyka i oceny potrzeb. W przypadku niektórych środków bezpieczeństwa, zwłaszcza MFA, w świetle współczesnych zagrożeń, takich jak phishing czy przejęcia kont uprzywilejowanych, przedstawienie przekonującego uzasadnienia braku ich wdrożenia jest w praktyce niezwykle trudne.

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe stanowi dziś jeden z fundamentalnych mechanizmów ograniczania ryzyka związanego z nieautoryzowanym dostępem do zasobów informacyjnych. Kluczowym celem MFA jest zwiększenie odporności środowiska organizacji poprzez wymaganie od użytkownika potwierdzenia tożsamości przy użyciu co najmniej dwóch niezależnych kategorii danych uwierzytelniających, należących do różnych kategorii:

  • wiedza (something you know) – np. hasło, kod PIN;
  • posiadanie (something you have) – np. token sprzętowy (np. YubiKey), smartfon z aplikacją uwierzytelniającą;
  • cechy biometryczne (something you are) – np. odcisk palca, rozpoznawanie twarzy. 

Dopiero połączenie kilku niezależnych czynników uwierzytelniania znacząco utrudnia przejęcie konta, nawet gdy jeden z elementów zostanie skompromitowany. Stosowanie MFA powinno obejmować nie tylko zwykłych użytkowników, lecz również konta uprzywilejowane, administratorów oraz wszelkie dostępy zewnętrzne, w tym partnerów i dostawców usług. Mechanizm ten powinien zabezpieczać także dostęp do usług chmurowych, systemów VPN oraz paneli administracyjnych aplikacji, ponieważ właśnie te obszary są najczęściej wykorzystywane jako wektory ataków i punkt wyjścia do eskalacji uprawnień.

Organizacje powinny dążyć do wdrażania metod uwierzytelniania odpornych na phishing oraz minimalizowania stosowania technik podatnych na przechwycenie, takich jak kody SMS. W praktyce oznacza to konieczność promowania silniejszych metod, m.in. kluczy sprzętowych FIDO2, aplikacji uwierzytelniających generujących jednorazowe kody offline czy biometrii urządzeń mobilnych.

Przed czym chroni MFA?

Uwierzytelnianie wieloskładnikowe jest jednym z najbardziej skutecznych sposobów ograniczania ryzyka przejęcia kont użytkowników oraz dostępu do infrastruktury organizacji. MFA blokuje dużą część wykorzystywanych technik ataków, które bazują na słabościach haseł lub podatności procesów logowania. Kluczowe rodzaje ataków, które MFA zazwyczaj skutecznie neutralizuje, to: 

  • Przejęcie poświadczeń (credential stuffing) – polega na wykorzystaniu milionów skompromitowanych loginów i haseł pochodzących z wcześniejszych wycieków danych. Jeżeli użytkownik stosuje te same hasła w wielu usługach, istnieje duże prawdopodobieństwo, że atakujący uzyska dostęp do jego konta. 
  • Ataki typu brute force – polegają na systematycznym, automatycznym odgadywaniu hasła poprzez sprawdzanie ogromnej liczby możliwych kombinacji znaków. Atakujący wykorzystuje specjalne narzędzia, które próbują wiele haseł, aż do momentu trafienia poprawnego. Im słabsze lub krótsze hasło, tym łatwiej je złamać.
  • Ataki typu password spraying – opierają się na próbie użycia niewielkiej liczby najpopularniejszych haseł (np. Password123, Winter2024!) na dużej liczbie kont użytkowników w organizacji. 
  • Phishing – technika ataku polegająca na podszywaniu się pod zaufany podmiot (np. bank, usługę firmową, administratora IT) w celu nakłonienia użytkownika do ujawnienia poufnych informacji, takich jak hasła, kody jednorazowe, dane logowania.

Wspólnym elementem wszystkich powyższych ataków jest próba uzyskania nieautoryzowanego dostępu poprzez kompromitację lub odgadnięcie pojedynczego czynnika uwierzytelniającego, zazwyczaj hasła. 

Uwierzytelnianie wieloskładnikowe znacząco podnosi poziom bezpieczeństwa, ponieważ wymaga od użytkownika przedstawienia co najmniej dwóch niezależnych dowodów tożsamości. Oznacza to, że nawet jeśli jeden z czynników, najczęściej hasło, zostanie naruszony, to dostęp do konta pozostaje zablokowany. 

Uwierzytelnianie ciągłe 

Uwierzytelnianie ciągłe to metoda ochrony polegająca na nieprzerwanej weryfikacji użytkownika przez cały czas trwania sesji, z wykorzystaniem jego charakterystycznych wzorców zachowań. W odróżnieniu od tradycyjnego modelu, w którym tożsamość sprawdzana jest wyłącznie w momencie logowania, podejście to uwzględnia dynamiczne czynniki ryzyka, takie jak lokalizacja, stan urządzenia czy sygnały behawioralne.

Jak czytamy na blogu Keeper, proces rozpoczyna się od klasycznego uwierzytelnienia – użytkownik potwierdza tożsamość przy użyciu nazwy konta i hasła lub innej metody logowania. Po uzyskaniu dostępu system stale monitoruje aktywność i gromadzi informacje służące zbudowaniu tzw. persony użytkownika. Obejmuje ona m.in. wzorce zachowań, dane biometryczne, aktywność przeglądarki, adres IP, czas dostępu oraz parametry geolokalizacyjne i techniczne urządzenia. Ocena stanu urządzenia pozwala określić poziom ryzyka, jakie może ono stanowić dla organizacji. 

W przypadku wykrycia zachowań odbiegających od typowych system może wstrzymać sesję i zażądać ponownego potwierdzenia tożsamości – np. poprzez pytanie weryfikacyjne lub jednorazowy kod TOTP. Jeżeli użytkownik nie zdoła potwierdzić tożsamości, dostęp zostaje niezwłocznie zablokowany. 

Istnieją różne konkretne narzędzia, które można stosować w celu UBA (User Behavior Analytics), np. Splunk UBA czy Exabeam. 

Przykład 1.

Pani Anna na co dzień pracuje w dziale finansowym dużej spółki w Warszawie. Zazwyczaj loguje się do firmowego systemu ERP między 8.00 a 9.00, korzystając z laptopa służbowego podłączonego do firmowej sieci. W jej pracy standardowym zakresem obowiązków są przegląd faktur, generowanie raportów oraz wprowadzanie danych księgowych. Pewnego dnia system bezpieczeństwa zauważa, że po poprawnym zalogowaniu pani Anna wykonuje nietypowe czynności: próbuje wygenerować plik z pełną listą kontrahentów, otwiera moduł, do którego rzadko zagląda, inicjuje eksport danych, którego nigdy wcześniej nie wykonywała, jej aktywność znacznie przyspiesza, jakby ktoś działał w pośpiechu. Mechanizm uwierzytelniania ciągłego zauważa anomalie behawioralne i kontekstowe, po czym automatycznie żąda dodatkowej weryfikacji tożsamości i zawiesza proces eksportu danych do czasu pozytywnej weryfikacji. 

Zabezpieczone połączenia głosowe, tekstowe i wideo

Dyrektywa NIS 2 podkreśla również znaczenie bezpiecznej komunikacji wewnątrz organizacji, wskazując, że nieautoryzowany dostęp do informacji może nastąpić nie tylko poprzez klasyczne systemy informatyczne, lecz także poprzez przechwycenie lub manipulację kanałami komunikacyjnymi. Ochrona komunikacji głosowej, tekstowej i wideo jest więc kluczowym elementem zapewnienia integralności i poufności wymiany informacji, zwłaszcza w sytuacjach, gdy organizacja reaguje na incydenty lub zakłócenia działania.

W praktyce zabezpieczona komunikacja oznacza korzystanie z narzędzi i technologii zapewniających szyfrowanie end-to-end, weryfikację tożsamości uczestników oraz integralność przesyłanych danych. 

Tradycyjna telefonia komórkowa czy nieszyfrowane komunikatory biznesowe nie spełniają tych kryteriów – są podatne na podsłuch, przechwycenie ruchu sieciowego lub inicjowanie fałszywych połączeń przez osoby podszywające się pod pracowników albo dostawców.

NIS 2 wymaga, aby organizacje stosowały rozwiązania umożliwiające bezpieczne prowadzenie rozmów głosowych, wideokonferencji oraz komunikacji tekstowej, szczególnie w obszarach dotyczących podejmowania decyzji operacyjnych i obsługi incydentów cyberbezpieczeństwa. Narzędzia te powinny oferować nie tylko szyfrowanie, lecz także centralne zarządzanie dostępem, możliwość audytowania komunikacji oraz egzekwowanie polityk bezpieczeństwa.

Dyrektywa NIS 2 -zabezpieczone systemy łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych

Ostatni z elementów dotyczy zapewnienia bezpiecznych systemów łączności wewnątrz organizacji na wypadek sytuacji nadzwyczajnych. Obowiązek ten jednak, podobnie jak wiele innych wymogów w NIS 2, jest uzależniony od wyników analizy ryzyka. 

Oznacza to, że podmiot musi wykazać, że posiadanie takiego systemu jest uzasadnione charakterem jego działalności, skalą zagrożeń oraz ewentualnymi konsekwencjami braku komunikacji w sytuacji kryzysowej. Jeżeli ryzyko zostanie ocenione jako niskie, organizacja może uzasadnić odstąpienie od wdrożenia takiego rozwiązania. 

Ustawodawca wychodzi z założenia, że w trakcie poważnego incydentu bezpieczeństwa (np. ataku ransomware, zakłócenia infrastruktury sieciowej czy awarii centrum danych) standardowe kanały komunikacji mogą zostać całkowicie lub częściowo unieruchomione, a nierzadko także skompromitowane. 

W takich okolicznościach organizacja musi dysponować alternatywnymi, odpornymi i zabezpieczonymi systemami łączności, które umożliwią koordynację działań, podejmowanie decyzji oraz przekazywanie kluczowych informacji bez ryzyka podsłuchu, manipulacji czy utraty integralności komunikatów.

Zabezpieczone systemy łączności awaryjnej powinny być projektowane w sposób odseparowany od podstawowej infrastruktury produkcyjnej, tak aby potencjalne naruszenie jednego środowiska nie skutkowało automatycznym utraceniem możliwości komunikacji.

Źródła: 

  1. Dyrektywa (UE) 2022/2555 Parlamentu Europejskiego i Rady z dnia 14 grudnia 2022 r. (NIS 2), https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022L2555&from=PL
  2. Keeper Security. „What Is Continuous Authentication?” Keeper Security Resources. Dostęp: https://www.keepersecurity.com/pl_PL/resources/glossary/what-is-continuous-authentication/
  3. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. https://sip.lex.pl/akty-prawne/dzienniki-UE/rozporzadzenie-wykonawcze-2024-2690-ustanawiajace-zasady-stosowania-72389213

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Na czym polega bezpieczny zdalny dostęp?
Podobne
Luty 2026
15
Niedziela
  • PIT 4R
  • PIT 8AR
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
  3. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  4. Zgłaszanie incydentów bezpieczeństwa – jak to zrobić?
  5. Ciągłość działania NIS 2. Jak przygotować plany BCP i DRP?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Na czym polega bezpieczny zdalny dostęp?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

KOBIETY W FINANSACH 2026: CZAS SOJUSZU. SYNERGIA TALENTÓW, POKOLEŃ I TECHNOLOGII
3. Expo HR: TYLKO! SPRAWDZONE ROZWIĄZANIA DLA HR I BIZNESU!
RODO 2.0 – Ochrona danych osobowych na rozdrożu: modernizacja, deregulacja czy zmiana paradygmatu?
VII FORUM HR CHALLENGE POLAND 2026: Jak HR sprosta wyzwaniom nieustającej transformacji?
Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów