Директива Європейського Союзу щодо мережевої та інформаційної безпеки (NIS2) та робота системи доменних імен DNS

Директива Європейського Союзу щодо мережевої та інформаційної безпеки (NIS2) ускладнює користування системою доменних імен DNS. Замість того, щоб зосередитися на результаті для споживача, NIS2 намагається регулювати конкретні точки в мережі.

Майбутнє регулювання в ЄС чи інших країнах може бути кращим. Дозвольте мені відступити і пояснити про ланцюжок поставок DNS.

Як ми отримуємо потрібне посилання в Інтернеті?

Коли ви вводите на своєму пристрої такий текст, як “internetsociety.org”, він використовує рекурсивний сервер імен для запиту до системи доменних імен (DNS) – глобальної розподіленої ієрархічної бази даних, яка перекладає цей текст в адресу або інший ресурс. Ця дія дозволяє вашому пристрою дістатися до місця призначення, яке вас цікавить. Без використання послуги, що надається рекурсивним сервером імен, ви не матимете повноцінного досвіду користування інтернетом.

Щоразу, коли ви підключаєтеся до Інтернету, ваш оператор мережі – ваш оператор мобільного зв’язку, постачальник послуг домашнього інтернету або ваш корпоративний оператор мережі – автоматично надає вам адресу, за якою ваш пристрій може знайти цей рекурсивний сервер імен.

Сервери рекурсивних імен традиційно керувалися вашим постачальником послуг інтернету (ISP) або оператором корпоративної мережі. Але протягом останнього десятиліття ці послуги все частіше передавали на аутсорсинг операторам рекурсивних серверів імен, таким як Google, Cloudflare або QUAD9. Причини цього в першу чергу зумовлені необхідністю зменшити ризик безперервності. Капітальні витрати на запуск вашого власного рекурсивного сервера імен можуть бути незначними, оскільки рекурсивні сервери імен зазвичай використовують безкоштовні продукти з відкритим кодом, які працюють на стандартному обладнанні.

Аналогічно, експлуатаційні витрати, як правило, скромні та відповідають стандартним обов’язкам системного адміністрування. Поки щось піде не так. Якщо ваш рекурсивний сервер імен не працює, ваша мережа не працює. Наявність технічного експерта, який може вирішити цю проблему, швидко стає дорогим, з огляду на необхідність того, щоб особа була доступна 24/7.

З цієї причини аутсорсинг є привабливим як більш простий і дешевий варіант. Спеціалізований оператор тепер надаватиме послугу, часто навіть без грошових витрат. Є сенс, але як щодо безпеки?

Які загрози безпеці є використання аутсорсингу рекурсивних серверів імен?

Давайте подивимося на NIS2, нещодавню регуляторну пропозицію ЄС, яка спрямована на встановлення вимог безпеки до операторів важливих послуг і організацій. Як я вже писав раніше, NIS2 має конкретне бачення того, де в цифровій екосистемі слід вживати заходів кібербезпеки. У тексті Директиви зазначено: “заходи з управління ризиками кібербезпеки мають складатися з відповідних та пропорційних технічних та організаційних заходів для управління ризиками, які становлять безпеку мережевих та інформаційних систем, які відповідні суб’єкти використовують для надання своїх послуг“. Я симпатизую цьому баченню і погоджуюся, що такі заходи мають враховувати всі залежності, включаючи мережу та інформаційні системи, на які покладаються організації – те, що ми називаємо ланцюгом поставок. У той же час я вважаю, що підприємства повинні нести відповідальність за управління ризиками кібербезпеки у своїх власних ланцюгах поставок і дотримуватися належної обачності, коли розглядають можливість передачі вхідних матеріалів, які входять до їх кінцевих послуг, на аутсорсинг. По суті, я вважаю, що не обов’язково регулювати всі точки ланцюга поставок, якщо очікується, що кінцеві суб’єкти візьмуть на себе відповідальність за свої рішення.

NIS2 не використовує цей підхід і натомість розглядає оператори рекурсивних серверів імен як незалежні сутності, накладаючи на них прямі вимоги. Регулюючи в усіх точках ланцюга поставок вгору і вниз, NIS2 розглядає рекурсивні резольвери (recursive resolvers) як послуги, які безпосередньо використовуються споживачами і підприємствами, що не так.

Залежності в ланцюгах поставок суб’єктів не завжди очевидні. Аутсорсинг рекурсивних серверів імен мережевими провайдерами розмив ланцюг залежності з часом, оскільки ці домовленості про аутсорсинг зазвичай укладаються без угод про рівень обслуговування (SLA) або контрактів.

Суб’єкти, які передають рекурсивні сервери імен, найкраще підходять для того, щоб зрозуміти, де існують залежності. Регулюючи виключно кінцеві організації, а не всі рівні ланцюга поставок, NIS2 міг би спонукати суб’єктів до ретельного аналізу ризиків у своїх ланцюгах поставок.

При такому підході суб’єкти господарювання, які не проведуть достатній аналіз ризиків, зазнають відповідних покарань. У довгостроковій перспективі це сприятиме розвитку культури більшої прозорості та підзвітності серед найважливіших і важливих організацій, що значно сприятиме підвищенню кібербезпеки.

Середовище DNS постійно розвивається. Наприклад, кілька нових протоколів, таких як DNS Hypertext Transfer Protocol Secure (DoH), тепер використовуються для забезпечення функцій безпеки та конфіденційності.

Положення, яке визначає кінцеві організації, а не повний ланцюг поставок, буде адаптованим до таких нових ініціатив, оскільки суб’єкти будуть відповідальними за управління ризиками у своїх власних ланцюгах поставок.

Для підприємства політика безпеки підприємства повинна керувати аналізом ризиків. У домашній мережі постачальники браузерів або інші програми будуть відповідати за будь-які рішення щодо жорсткого налаштування постачальника DNS або розглянути сценарій, коли користувач може замінити стандартні налаштування провайдера.

Насправді існує ціла робоча група Internet Engineering Task Force (IETF), яка займається створенням технічних механізмів, щоб переконатися, що відповідний рекурсивний сервер імен можна знайти та налаштувати. Розглядаючи рекурсивні сервери імен як незалежних акторів, NIS2 стимулює ігнорування рекурсивних серверів імен під час аналізу залежностей ланцюга поставок. Це неминуче матиме негативні наслідки і втрачає можливість сприяти підзвітності серед важливих і істотних організацій.

При розробці такого роду регулювання розумно визначити фактичну послугу, яка надається, і покласти на неї відповідальність за безпеку. В ідеальному світі я хотів би, щоб NIS2 було доопрацьовано. Але враховуючи те, що NIS2 перебуває на завершальній стадії переговорів, було б розумно, щоб органи управління в інших частинах світу звернули увагу на те, щоб вони не допускали тих самих помилок, що й ЄС.

Автор: Олаф Колкман, директор відділу Інтернет-технології, політика та адвокація, Internet Society : NIS2 Inconsistency – a DNS Supply Chain Perspective

Переклад: Нікіта Домініч