Archiwa: NIS2 - Strona 4 z 5 - Security Bez Tabu

Tag: NIS2

Techniczne I Organizacyjne Środki Bezpieczeństwa Wymagane Przez NIS2

Dlaczego techniczne i organizacyjne środki bezpieczeństwa są kluczowe dla zgodności z NIS2?

Dyrektywa NIS2 stawia jasne wymagania: organizacje objęte jej zakresem muszą wdrożyć odpowiednie i proporcjonalne środki cyberbezpieczeństwa – zarówno techniczne, jak i organizacyjne. Nie chodzi tu o sztuczną biurokrację czy „odhaczanie” zgodności na papierze. NIS2 wymusza realne zabezpieczenia, które mają chronić krytyczne usługi i dane przed współczesnymi zagrożeniami.

Czytaj dalej „Techniczne I Organizacyjne Środki Bezpieczeństwa Wymagane Przez NIS2”

Bezpieczeństwo Łańcucha Dostaw I Ryzyko Stron Trzecich – Zapomniany Filar NIS2

Znaczenie bezpieczeństwa łańcucha dostaw w NIS2

Dyrektywa NIS2 znacząco podnosi poprzeczkę w zakresie cyberbezpieczeństwa w Unii Europejskiej, rozszerzając wymagania na nowe sektory i obszary. Jednym z kluczowych – choć często niedocenianych – elementów jest bezpieczeństwo łańcucha dostaw oraz zarządzanie ryzykiem stron trzecich (third-party risk). Praktyka pokazuje, że nawet najlepiej zabezpieczona organizacja może zostać skutecznie zaatakowana poprzez luki u swojego dostawcy lub partnera.

Czytaj dalej „Bezpieczeństwo Łańcucha Dostaw I Ryzyko Stron Trzecich – Zapomniany Filar NIS2”

Raportowanie Incydentów W Zgodzie Z NIS2 – Jak Działa Zasada 24h/72h

Dlaczego raportowanie incydentów stało się kluczowe w dyrektywie NIS2

Dyrektywa NIS2 (Network and Information Systems Directive 2) wprowadza jednolite wymogi w całej UE dotyczące cyberbezpieczeństwa, w tym obowiązek szybkiego zgłaszania poważnych incydentów bezpieczeństwa. Organizacje uznane za podmioty kluczowe lub istotne (ang. essential and important entities) muszą raportować incydenty o znaczącym wpływie na usługi zgodnie z zasadą 24h/72h.

Czytaj dalej „Raportowanie Incydentów W Zgodzie Z NIS2 – Jak Działa Zasada 24h/72h”

Jak Wdrożyć Zarządzanie Ryzykiem I Nadzór Zgodnie Z Art. 21 Dyrektywy NIS2

Dlaczego zarządzanie ryzykiem stanowi fundament zgodności z NIS2

Dyrektywa NIS2 (Directive (EU) 2022/2555) nakłada na podmioty z sektorów krytycznych i ważnych obowiązek przyjęcia kompleksowego podejścia do zarządzania ryzykiem cyberbezpieczeństwa. Artykuł 21 tej dyrektywy wymaga wdrożenia adekwatnych i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zabezpieczenia sieci i systemów informatycznych oraz ograniczenia wpływu incydentów.

Czytaj dalej „Jak Wdrożyć Zarządzanie Ryzykiem I Nadzór Zgodnie Z Art. 21 Dyrektywy NIS2”

NIS2 – Nowa Dyrektywa UE W Sprawie Cyberbezpieczeństwa: Cele, Zakres I Znaczenie Dla Organizacji

NIS2 w skrócie – po co powstała i co zmienia dla organizacji

Dyrektywa NIS2 (Network and Information Systems 2) to unijne prawo dotyczące cyberbezpieczeństwa, będące następcą pierwszej dyrektywy NIS z 2016 roku (tzw. NIS1). Stanowi ona znaczący krok naprzód w wysiłkach UE na rzecz wzmocnienia cyberbezpieczeństwa w kluczowych sektorach gospodarki.

Czytaj dalej „NIS2 – Nowa Dyrektywa UE W Sprawie Cyberbezpieczeństwa: Cele, Zakres I Znaczenie Dla Organizacji”

NIS2 – Jak Być Zgodnym?!

Kompletny przewodnik po dyrektywie NIS2 dla organizacji w Polsce i UE

Dyrektywa NIS2 to największa od lat zmiana w sposobie, w jaki organizacje w Europie muszą zarządzać bezpieczeństwem informacji, ryzykiem i incydentami. Jej celem nie jest biurokracja — lecz wprowadzenie realnych, mierzalnych standardów cyberbezpieczeństwa, które obejmą zarówno duże firmy, jak i kluczowych dostawców technologii, usług krytycznych i infrastruktury cyfrowej.

Czytaj dalej „NIS2 – Jak Być Zgodnym?!”

Everest ransomware bierze na siebie odpowiedzialność za atak na Collins Aerospace. Co to oznacza dla lotnictwa w Europie?

Wprowadzenie do problemu / definicja luki

Grupa ransomware Everest ogłosiła, że to ona stoi za włamaniem do Collins Aerospace (spółka RTX), którego skutki odczuwalne były w całej Europie — od paraliżu odpraw po wielogodzinne opóźnienia. Nowa deklaracja na stronie wycieków grupy pojawiła się 17–18 października 2025 r., kilka tygodni po tym, jak Collins potwierdził incydent ransomware dotyczący oprogramowania do boardingu pasażerów. Wcześniej służby i media nie wskazywały jednoznacznie sprawców ataku.

W skrócie

  • Co się stało: Collins Aerospace padł ofiarą ataku ransomware, który zakłócił odprawy i nadawanie bagażu na lotniskach m.in. w Londynie (Heathrow), Brukseli, Dublinie i Berlinie. ENISA potwierdziła charakter ataku jako ransomware.
  • Nowy element: Grupa Everest publicznie przypisała sobie odpowiedzialność i zapowiedziała publikację wykradzionych danych.
  • Stan formalny: RTX w zgłoszeniu inwestorskim podał, że chodziło o oprogramowanie do boardingu pasażerów; spółka nie spodziewa się istotnego wpływu finansowego. Równolegle w Wielkiej Brytanii zatrzymano (warunkowo zwolniono) mężczyznę w związku ze sprawą, lecz śledztwo trwa.

Kontekst / historia / powiązania

Atak z września 2025 r. wymusił ręczną obsługę pasażerów na wielu lotniskach i spowodował odwołania lotów. W tamtym czasie nie było potwierdzonej identyfikacji grupy. Dopiero teraz Everest przypisuje sobie odpowiedzialność, ujawniając wpis na stronie wycieków i zapowiadając „transze” danych. Media branżowe i regionalne odnotowały ten zwrot, podkreślając związek ze wcześniejszym chaosem na lotniskach.

Analiza techniczna / szczegóły luki

  • Wektor uderzenia: RTX wskazał na „passenger boarding software” – klasę systemów krytycznych dla procesu odprawy i wejścia na pokład (CUTE/CUPPS), wdrażanych u wielu przewoźników i operatorów. Uderzenie w taką warstwę oprogramowania ma efekt kaskadowy (łańcuch dostaw).
  • Taktyki sprawców (TTPs) – wnioskowanie na podstawie znanych kampanii ransomware i deklaracji Everest: kradzież danych (double extortion), szyfrowanie zasobów produkcyjnych, groźba publikacji danych w razie braku okupu. Informacje z wpisów monitorujących leak-site Everest wskazują na publikację wpisu dotyczącego Collins/RTX w dniach 17–18 października.
  • Skala i propagacja zakłóceń: zakłócenia objęły wiele hubów (Heathrow, Bruksela, Berlin, Dublin), co potwierdza wrażliwość sektora lotniczego na jednopunktowe awarie po stronie dostawcy.

Praktyczne konsekwencje / ryzyko

  • Ryzyko operacyjne: przestoje w odprawach, ręczne procesy, korki w terminalach, utrata slotów, domino w siatce połączeń.
  • Ryzyko prawne i reputacyjne: potencjalny wyciek danych pasażerów lub partnerów, presja regulacyjna (NIS2, RODO), roszczenia kontraktowe. (Deklaracje publikacji danych przez Everest zwiększają ryzyko wtórnych nadużyć).
  • Ryzyko finansowe: choć RTX raportował brak „materialnego” wpływu, koszty incydentu po stronie linii i lotnisk (opóźnienia, personel, rekompensaty) mogą być znaczące – zwykle nieujmowane w raporcie dostawcy.

Rekomendacje operacyjne / co zrobić teraz

Dla operatorów lotnisk i linii lotniczych:

  1. Modelowanie ryzyka łańcucha dostaw (CUPPS/CUTE/MUSE i integracje) – klasyfikacja komponentów „single point of failure”, audyty i plany awaryjne z realnym RTO/RPO.
  2. Segmentacja i „blast radius” – oddzielenie sieci operacyjnych (airside/landsid e), kontrola lateral movement, tiered admin, „break-glass” konta offline.
  3. Kontrole tożsamości – phishing-resistant MFA dla kont uprzywilejowanych, rotacja kluczy API integrujących DCS/Departure Control.
  4. Telemetria i EDR/XDR – pełne logowanie na serwerach aplikacyjnych i brokerach integracyjnych (SITA/Amadeus itp.), korelacja zdarzeń z IOC/TTP grup ransomware.
  5. Kopie zapasowe i runbooki manualne – offline immutable backups + ćwiczenia tabletop z przejściem na manual check-in/boarding.
  6. Zarządzanie dostawcami – kontraktowe SLA bezpieczeństwa, SBOM, dowody testów backup/restore, regularne red team/supply chain ćwiczenia.

Dla dostawców oprogramowania lotniczego:

  1. Bezpieczny rozwój i hardening (CISA/ENISA good practices dla oprogramowania krytycznego), izolacja tenantów, kontrola aktualizacji.
  2. Detekcja exfiltracji – DLP na warstwie aplikacyjnej, egress filtering, honeytokens w danych PII.
  3. Plan odpowiedzialnej komunikacji – spójne advisory dla klientów (IOC, TTP, reguły detekcji, kroki naprawcze).

(Praktyki powyżej wynikają z dobrych praktyk dla incydentów ransomware w infrastrukturze krytycznej oraz z charakteru tego ataku potwierdzonego przez RTX/ENISA).

Różnice / porównania z innymi przypadkami

  • Wobec typowych ataków na linie lotnicze: tu głównym celem był dostawca oprogramowania, a nie pojedynczy przewoźnik. To tłumaczy szeroki, wielolotniskowy efekt.
  • Na tle „głośnych” kampanii (np. Scattered Spider): motywacja Everest wpisuje się w trend łączenia okupu z „prestiżem” w środowisku przestępczym – co podkreślali eksperci po wrześniowym chaosie.

Podsumowanie / kluczowe wnioski

  • Deklaracja Everest domyka najważniejszy znak zapytania: kto uderzył w Collins Aerospace. Formalnego potwierdzenia organów na razie brak, ale wpisy na leak-site i relacje branżowe są spójne czasowo.
  • Rdzeniem incydentu był atak ransomware na oprogramowanie do boardingu, co obnażyło kruchość łańcucha dostaw lotniczych.
  • Organizacje lotnicze powinny potraktować zdarzenie jako case study i wzmocnić segmentację, planowanie ciągłości działania oraz egzekwowanie wymagań bezpieczeństwa wobec dostawców.

Źródła / bibliografia

  • Cybersecurity Dive: „RTX confirms hack of passenger boarding software involved ransomware” (26 września 2025). (Cybersecurity Dive)
  • Reuters: „Airport chaos highlights rise in high-profile ransomware attacks…” (22 września 2025). (Reuters)
  • Reuters: „UK police arrest man over hack that affected European airports” (24 września 2025). (Reuters)
  • CyberNews: „Collins Aerospace attack claimed by Everest…” (18 października 2025). (Cybernews)
  • Security Affairs: „Everest Gang takes credit for Collins Aerospace breach” (18 października 2025). (Security Affairs)