Cyberbezpieczeństwo dla kadry zarządzającej

SHARE

Jak w prosty sposób zweryfikować poziom bezpieczeństwa w firmie i poprawić poziom zabezpieczeń? Jak lepiej przygotować się na cyberataki? Które cyberzagrożenia mogą dotknąć firmę mimo ochrony? Jakie dobre praktyki w zakresie bezpieczeństwa IT wprowadzić w przedsiębiorstwie? Dowiecie się tego z treści, jakie powstały na bazie webinaru „Cyberbezpieczeństwo dla kadry zarządzającej”. Wydarzenie poprowadził Bartosz Kozłowski, ekspert w dziedzinie cyberbezpieczeństwa oraz współtwórca systemu CyberStudio, wykrywającego i przewidującego zagrożenia w sieci.

Spis treści:

1. Czy firmy w Polsce są dobrze przygotowane na cyberataki?
2. Jak prawidłowo wprowadzić firmową politykę bezpieczeństwa IT?
3. Na czym polega zarządzanie ciągłością działania w firmie w zakresie cyberbezpieczeństwa?
4. Jak zadbać o bezpieczeństwo fizyczne i środowiskowe w kontekście bezpieczeństwa IT?
5. Jak odpowiednio zarządzać uprawnieniami i dostępami, by zadbać o cyberbezpieczeństwo?
6. Jak wygląda zarządzanie zmianą w usługach IT?
7. Na jakie kwestie cyberbezpieczeństwa zwrócić uwagę przy umowach z dostawcami zewnętrznymi?
8. Dlaczego szkolenia z zakresu bezpieczeństwa IT są ważne?
9. Jak zweryfikować poziom bezpieczeństwa IT w firmie?
10. Jakie zagrożenia dotykają firmę mimo zabezpieczeń w sieci?
11. Jak zadbać o zgodność z wymogami RODO w organizacji?
12. Czy cyberataki mogą dotknąć każdą firmę?
13. Jak zwiększyć poziom identyfikowania cyberzagrożeń w firmie?

 

Czy firmy w Polsce są dobrze przygotowane na cyberataki?

Na początku lutego tego roku pokazał się świetny raport opracowany przez firmę Grant Thornton. To taka firma konsultingowa, która pytała swoich partnerów biznesowych – i nie tylko – o to, jak są przygotowani do kwestii cyberbezpieczeństwa oraz w jaki sposób zarządzają bezpieczeństwem we własnych firmach.

1-1

Pierwsze pytanie dotyczyło tego, czy w ciągu ostatnich dwunastu miesięcy firma była celem cyberataków, w tym wycieku lub kradzieży danych wewnętrznych. Twierdząco odpowiedziało 28%. Można by się zastanawiać, czy to dużo, czy mało. Ja mogę Wam powiedzieć, że mimo wszystko niewiele jest firm, które oficjalnie przyznają się do tego, że doświadczyły jakiegoś incydentu bezpieczeństwa czy ataku. A jeszcze mniej firm przyzna się, że ten atak był skuteczny – co pewnie dla większości z Was może być oczywiste. No bo jeżeli jako firma przyznamy się, że zostaliśmy, mówiąc wprost, zhakowani, możemy delikatnie nadszarpnąć wizerunek firmy w oczach klientów. Taka informacja byłaby dla nas na rynku generalnie interesująca, ale niekoniecznie biznesowo atrakcyjna.

2-2

Idąc dalej, aż 70% ankietowanych uważa, że są dobrze przygotowani w zakresie cyberbezpieczeństwa i deklarują z tego powodu w miarę wysokie zadowolenie. I tutaj można dojść do wniosku, że faktycznie, chyba nieźle się dzieje na naszym rodzimym rynku, skoro zdecydowana większość firm wydaje się gotowa na cyberzagrożenia. Natomiast kolejne pytania zaczynają uzasadniać, skąd się wzięły takie odpowiedzi.

 3-2

Następne pytanie to: „Czy jesteś zadowolony z gotowości firmy do wykonywania poszczególnych czynności związanych z ryzykiem cyfrowym?". Ono doprecyzowuje to poprzednie, gdyż padają w nim konkretne parametry, które de facto w systemie zarządzania bezpieczeństwem powinny być realizowane. W zasadzie tylko 41% ankietowanych potwierdza, że konsekwentnie reagują na poważne naruszenia w firmie, bez względu na czas i miejsce naruszenia. Co to może oznaczać? Mianowicie pewnie w większości firm mniej lub bardziej jest wdrożony system zarządzania bezpieczeństwem, istnieją formalne procedury i instrukcje. Natomiast, jak widać, tylko 41% tych firm je egzekwuje.

Jeśli chodzi o kolejne pytanie, dotyczące mechanizmów zarządzania bezpieczeństwem, tylko jedna trzecia ankietowanych wiedziała, o co jest pytana – i odpowiadała twierdząco. To bardzo ciekawe, bo przecież cały czas mamy w pamięci drugie pytanie, w którym 70% ankietowanych stwierdziło, że ich poziom przygotowania do tematu cyberbezpieczeństwa jest wysoki.

 4-3

W  pytaniu: Jakie są słabe punkty w zarządzaniu zagrożeniami związanymi z cyberbezpieczeństwem i prywatnością danych w Twojej firmie? jedna trzecia odpowiedziała, że nie wie. Tworzy nam się pierwszy zarys wniosku, że z jednej strony deklarujemy pozytywne nastawienie do gotowości na cyberzagrożenia, a z drugiej strony prawdopodobnie nie do końca jesteśmy świadomi, czego ten temat tak naprawdę dotyczy.

 5-2

Następne pytanie dotyczyło tego, jakie są teraz największe wyzwania w kierunku zarządzania cyberbezpieczeństwem. Pierwsze trzy pozycje dotyczą: reagowania na zagrożenia, złośliwego oprogramowania, bezpieczeństwa infrastruktury. Tutaj, moim zdaniem, tyle osób udzieliło takich odpowiedzi, gdyż temat zagrożeń, ataków hakerskich, szyfrowania danych, czasem płacenia okupu z tego tytułu, jest w miarę obecny w naszych mediach. To informacje, o jakich dość często się słyszy, więc stąd może wynikać świadomość danych rodzajów zagrożeń. Podobnie ma się sprawa z dwiema kolejnymi pozycjami, mówiącymi o RODO i zarządzaniu ryzykiem. Systematycznie słyszy się, że jakaś firma doświadczyła kolejnego wycieku i gdzieś jej z tego powodu grożą konsekwencje finansowe. Natomiast tutaj chcę zwrócić Wam uwagę, że tylko 43% firm zadeklarowało, że wyzwanie stanowią ataki hakerów. To ciekawe, bo przecież reagowanie na zagrożenia, złośliwe oprogramowanie i bezpieczeństwo infrastruktury są bezpośrednio związane z hakerami.

 6-1

Na pytanie: Czy w Państwa firmie funkcjonuje polityka i osoba/zespół ds. zarządzania incydentami? tylko połowa ankietowanych odpowiedziała twierdząco. Tak samo jest z przeprowadzaniem testów bezpieczeństwa infrastruktury IT czy z procesem zarządzania ryzykiem. Tylko 25% firm deklaruje, że posiada certyfikaty bezpieczeństwa, czy też wyraża wolę nabycia takiego certyfikatu w najbliżej przyszłości. Świadomość, że wdrożenie certyfikatu i zadeklarowanie poziomu bezpieczeństwa może przekładać się na korzyści finansowe, powoli w nas dojrzewa. Uważam, że z czasem chęci w tym zakresie będzie coraz więcej. 7

I bezpośrednio chciałem nawiązać do tych 70% z początku prezentacji. Zapytano badanych, czy w firmie wdrożono formalne procesy w zakresie szeroko rozumianego zarządzania bezpieczeństwem. 62% odpowiedziało, że tak, natomiast niecała połowa ankietowanych zarządza w sposób formalny ryzykiem i niecała połowa zarządza ciągłością działania. Co to znaczy zarządzanie ryzykiem i ciągłością działania? Doprecyzujemy to później. Natomiast już teraz chciałbym Wam powiedzieć, że jeżeli ktoś nie zarządza ciągłością działania, to oznacza, że niekoniecznie zastanowił się, jakie awarie mogą go spotkać, jakie zagrożenia mogą go dotknąć, a w konsekwencji jak odnaleźć się w tej trudnej sytuacji. Takie zakładanie, że nic złego mnie nie dopadnie i nie będę musiał reagować na incydent – który na przykład przerwie pewne usługi biznesowe w mojej firmie – można uznać za pewnego rodzaju nonszalancję.

 8

Zbliżamy się do końca raportu. Na pytanie: Które z poniższych czynników mają decydujące znaczenie o tym, jak regularnie przeprowadzają Państwo audyt bezpieczeństwa w IT? 76% ankietowanych wskazało na ograniczone zasoby ludzkie, a 65% – względy finansowe. To w zasadzie pokrywa się trochę z naszym doświadczeniem. Jeśli w firmach rzeczywiście znajdują się osoby wyspecjalizowane w zakresie zarządzania bezpieczeństwem IT, zwykle mają tak dużo pracy, że systematyczne i częste powtarzanie audytu być może niekoniecznie należy do zadań całkowicie priorytetowych. Natomiast inaczej to wygląda w przedsiębiorstwach, które przy zarządzaniu bezpieczeństwem IT posiłkują się firmami zewnętrznymi. W tym przypadku wiadomo, że jednym z głównych elementów decydujących o tym, jak często korzystamy z takich usług, są po prostu zasoby finansowe.

 

Jak prawidłowo wprowadzić firmową politykę bezpieczeństwa IT?

Żeby zobaczyć, jak bardzo dana firma jest gotowa na zagrożenia i czy da radę sobie z nimi poradzić, opowiem Wam, czym jest bezpieczeństwo IT. Mam nadzieję, że na koniec tego etapu będziecie w stanie sami intuicyjnie odpowiedzieć na to, czy Wasza firma została odpowiednio przygotowana.

Żeby zarządzać bezpieczeństwem informatycznym w naszej firmie, to musimy spojrzeć na tę firmę holistycznie – w jaki sposób w niej funkcjonujemy, jakie jest jej otoczenie biznesowe, w jakim środowisku ona działa. Powinniśmy ustalić, jakie w chwili obecnej mamy cele biznesowe, ale też zaplanować długoterminowe cele biznesowe. Musimy następnie przemyśleć, czy usługi informatyczne, z których obecnie korzystamy, wspierają biznes w wystarczający sposób, a ewentualnie – jakie wymogi trzeba tutaj spełnić, żeby te usługi informatyczne stały się dla nas odpowiednie. Jeżeli mamy wytyczone cele biznesowe na okres 3–5 lat, to potrzebujemy też się zastanowić, jak usługi informatyczne powinny wyglądać w przyszłości. Końcowy etap takiego rozważania to definiowanie ryzyka, jakie może tym celom zagrozić i negatywnie wpłynąć na usługi informatyczne. 

Cała taka analiza i zastanawianie się mają w zasadzie jeden konkretny cel. Chodzi o to, żebyśmy my – kadra kierownicza, właściciele biznesowi w części działalności w firmie – ustalili, jakie musimy mieć wymagania względem usług informatycznych, żeby te usługi informatyczne zaspokoiły potrzeby biznesowe.

I teraz te wszystkie wymogi, wytyczne, standardy, procesy, które sobie zadeklarujemy, zwykle przybierają formę polityki bezpieczeństwa. Zdecydowana większość przedsiębiorstw posiada taki dokument z polityką. Natomiast powiem, że widziałem firmy, w których polityka bezpieczeństwa IT rzeczywiście funkcjonowała i żyła z tą firmą: każda zmiana w środowisku biznesowym była odzwierciedlana w aktualizacji wymagań w  dokumencie. Ale widziałem też firmy, gdzie ten dokument był traktowany stricte jako taki, który ma odpowiedzieć na ewentualne pytania potencjalnego audytora. Czy jest polityka bezpieczeństwa? Tak, jest. Czy odpowiada potrzebom biznesowym? Tak, odpowiada. Następne pytanie.

Ale dlaczego to takie ważne, żeby zadeklarować ogólny system zarządzania bezpieczeństwem i zdefiniować swoje własne wymagania? Ano dlatego, że w sytuacji kryzysowej poszczególne elementy gotowej polityki mogą nas, mówiąc wprost, uchronić przed bardzo trudną sytuacją, nawet przed bankructwem. Wyobraźmy sobie, że właśnie w tym momencie doświadczamy skutecznego ataku, a nasze dane w firmie są szyfrowane. Ostatnie ataki pokazują, że może to być kwestia jedynie kilku godzin, aż całkowicie stracimy dostęp do danych. I teraz administrator widząc, że dzieje się atak, próbuje reagować. Ale nad głową porusza mu się kierownictwo i mówi: „Boże, zatrzymaj to, ratuj nas, system się pali”. Wtedy w ogóle nie wiemy, w którą stronę mamy biegać.

Można sobie wyobrazić, że taka sytuacja nie będzie efektywna – to raczej chaos niż konsekwentne reagowanie na zagrożenie. Natomiast jeżeli mamy dobrze skonstruowaną politykę bezpieczeństwa, to w jej elementach znajdą się takie procedury jak zarządzanie incydentem. Wtedy administrator doskonale powinien wiedzieć, co zrobić, jakie kompetencje do niego należą, kogo informować, w jakim czasie i jakich zasad się trzymać. Także zachęcam, byście zastanowili się, jak to wygląda u Was w firmie: czy posiadacie politykę bezpieczeństwa IT, kiedy była ona aktualizowana. A jeżeli była aktualizowana – jak wiele zmian w  otoczeniu biznesowym zaistniało od czasu ostatniej aktualizacji i czy nie warto się z powrotem przyjrzeć zapisom w tym dokumencie.

 

Na czym polega zarządzanie ciągłością działania w firmie w zakresie cyberbezpieczeństwa?

Jednym z kolejnych obszarów, których bezpieczeństwo IT dotyka, jest zarządzanie ciągłością działania. Chodzi mi nie tylko o backup, ale też o holistyczne zastanowienie się, co tak naprawdę ważne jest dla biznesu, jakie zagrożenia mogą nam zagrozić, kogo informować w sytuacji awarii, w jaki sposób i jakich rozwiązań zastępczych użyć, na jak długo je wprowadzić.

To naprawdę bardzo istotne. Dlaczego? Tutaj podam Wam przykład pewnej firmy zatrudniającej ponad 2000 osób. System krytyczny wymagał bardzo dużej dostępności – przez raptem pół godziny biznes mógł obyć się bez jego działania. Całkowitym środkiem zastępczym, jaki rozwiązywał problem na dłuższy czas, okazywała się najprostsza drukarka, drukująca dokumenty, w oparciu o które pracownicy dalej mogli wykonywać swoje czynności biznesowe. Mówię o tym dlatego, że takie zarządzanie ryzykiem w ramach zarządzania ciągłością działania może nam bardzo wiele powiedzieć o firmie, a także pomóc lepiej przygotować się na sytuacje, które – jeżeli się zmaterializują – nie zaskoczą nas. W takich sytuacjach powinniśmy się odnaleźć i jakoś to przetrwać.

Ale zarządzanie ciągłością działania to także sformalizowanie naszych spostrzeżeń, przygotowanie odpowiednich procedur i instrukcji oraz, co ważniejsze, systematyczne szkolenie personelu z zakresu tych procedur i  instrukcji. Bo wyobraźmy sobie, że napiszemy plan ciągłości działania, skonstruujemy procedury, na przykład podnoszenia systemów po awarii, natomiast włożymy ten plan do szafy, on tam będzie leżał i się kurzył, w międzyczasie trzy razy zmienimy system i jeżeli nastąpi jego awaria, to sie okaże, że plan ciągłości działania zupełnie nie pasuje do obecnej sytuacji w firmie, a w ogóle ludzie nie wiedzą, gdzie go szukać i jak z niego korzystać. Więc szkolenia są w tym wypadku szczególnie istotne – do tego tematu dojdziemy w dalszej części.

Zarządzanie ciągłością działania to również kwestie administracyjne, czyli bezpieczeństwo samego dokumentu, oczywiście test, aktualizowanie. Natomiast niezwykle istotne też jest sensowne i bezpieczne przechowywanie tego dokumentu. Ja sam widziałem, jak pewna firma w ramach jednego dokumentu o zarządzaniu ciągłością działania miała wprost, jasnym tekstem, wpisany w dokumencie login i hasło do witryny internetowej, z której była do pobrania kopia jednego z krytycznych systemów. Wyobraźcie sobie, że tę informację widział każdy pracownik w firmie, również taki, który z tej firmy odchodzi i chciałby w jakiś sposób jej zaszkodzić. Scenariuszy, w jakich tego typu dane może wykorzystać, jest naprawdę dużo. Więc poza samą efektywnością dokumentu warto pamiętać także o tym, jak zarządzamy dokumentem, gdzie go przechowujemy, aktualizujemy i testujemy.

 

Jak zadbać o bezpieczeństwo fizyczne i środowiskowe w kontekście bezpieczeństwa IT?

Obszar, który być może niekoniecznie wprost kojarzy się z bezpieczeństwem IT i cyberbezpieczeństwem, to bezpieczeństwo fizyczne i środowiskowe.

Mówimy tutaj o takich kwestiach, jak zasady dostępu do przestrzeni w biurze. Na przykład czy goście mogą korzystać z naszej sieci bezprzewodowej, a jeśli tak, to jaka jest konfiguracja tej sieci? Jak obsługujemy kurierów? W jednej firmie, w której wykonywaliśmy audyt, zaobserwowaliśmy takie zjawisko, że przysłowiowy „Pan Kanapka” wchodził do windy i przejeżdżając przez kolejne piętra, pomijając w ogóle recepcję, wychodząc na kolejnym piętrze, podchodził do okienka i pukał w szybkę. Któryś z pracowników widząc, że przyszedł „Pan Kanapka”, otwierał drzwi, wpuszczał go do środka, a ci, co chcieli, kupowali sobie jedzenie. Natomiast ja już oczami wyobraźni widziałem tę procedurę testową, w której na przykład wcielamy się w jakiegoś intruza, udajemy „Pana Kanapkę” i po prostu zwiedzamy sobie te wszystkie piętra w firmie.

Oczywiście zagadnienia z bezpieczeństwa fizycznego to nie tylko „Pan Kanapka”, to też tak samo personel sprzątający, który zwykle znajduje się w biurach po godzinach pracy. Ale o tym pewnie często słyszycie w ramach szkolenia z polityki czystego biurka: żeby nie zostawiać jakichś krytycznie ważnych czy też istotnych dokumentów na wierzchu. Tak samo jest z usługami serwisowymi czy garażem. Generalnie chodzi o to, żeby do naszej przestrzeni biurowej wchodziły tylko te osoby, które mają wejść – i tylko do takich obszarów, do jakich są biznesowo uprawnione.

Bezpieczeństwo fizyczne to tak samo zasady dostępu awaryjnego poza godzinami pracy, na przykład do serwerowni. Awaria nie wybiera, może się zdarzyć w weekend. Jeżeli nie aktualizujemy zasad dostępu, na przykład na ochronie nie podajemy aktualnej listy osób uprawnionych do wejścia do serwerowni, to może się zdarzyć tak, że jeżeli zatrudnimy nowego administratora i on będzie musiał usuwać awarię poza godzinami pracy, znacznie nam się wydłuży czas obsługi awarii, gdyż – akurat tutaj mam nadzieję – na ochronie zostanie taka osoba zatrzymana do czasu potwierdzenia jej tożsamości. 

W ramach bezpieczeństwa środowiskowego, ale w kontekście bezpieczeństwa IT, w obszarze serwerowni najczęściej rozważa się takie zagrożenia, jak: pożar, zalanie, utrata zasilania. Zagrożenia środowiskowe w pierwszej chwili nie wydają się najbardziej istotne. Natomiast utrata zasilania może się zdarzyć. Warto więc się zastanowić, czy jeśli rzeczywiście w naszym miejscu pracy zabraknie zasilania, to mamy alternatywne źródło zasilania, czy jest ono skuteczne i pozwala bezpiecznie obsługiwać systemy informatyczne. Konserwacja instalacji ochronnych to ciąg dalszy.

 

Jak odpowiednio zarządzać uprawnieniami i dostępami, by zadbać o cyberbezpieczeństwo?

Zarządzanie uprawnieniami to obszar, który zwykle kojarzy się z przydzielaniem uprawnień i odbieraniem uprawnień – w zasadzie tylko z tym. A tak naprawdę to wierzchołek góry lodowej, bo tworząc proces zarządzania uprawnieniami, robimy to, żeby wiedzieć, że osoby korzystające z naszych systemów informatycznych zawsze mają dokładnie taki dostęp, jaki powinny mieć z racji wykonywanych obowiązków. Również tworzymy taki proces zarządzania uprawnieniami, żeby zapewnić rozliczalność i niezaprzeczalność tego, co te konta robią w systemach informatycznych. Jest to szczególnie istotne na przykład, gdy zdarzy się jakiś incydent – wtedy w dziennikach systemowych, w logach będziemy mieli zawsze jednoznaczną informację, co, kto i kiedy zrobił. To może się przydać w wielu przypadkach, natomiast chodzi o to, żeby właśnie na tym polegającą rozliczalność i niezaprzeczalność cały czas kontrolować w systemie.

To dotyczy zarówno dużych firm, które mają wielu, wielu administratorów czy deweloperów, jak i małych firm, które posiłkują się tylko firmą zewnętrzną do zarządzania usługami informatycznymi. Ta rozliczalność i niezaprzeczalność może być nam wówczas potrzebna do tego, żebyśmy potrafili zweryfikować, czy lista zadań wykonywanych przez firmę zewnętrzną jest tożsama z tym, co widzimy u nas w systemach i odwrotnie.

Zarządzanie uprawnieniami to też zasady, w których na przykład prezes nie musi posiadać uprawnień administracyjnych w każdej aplikacji biznesowej i w każdym elemencie infrastruktury. I odwrotnie – jeżeli mamy administratora systemu finansowo-księgowego, to być może on nie musi, a w zasadzie nie powinien posiadać uprawnień administracyjnych albo uprawnień głównej księgowej w samej aplikacji.

Jak już się pewnie zdążyliście zorientować, samo zarządzanie uprawnieniami to nie tylko dodawanie i modyfikowanie uprawnień. To jest szeroko rozciągający się temat, na który warto patrzeć z perspektywy całej organizacji i potrzeb biznesowych.

 

Jak wygląda zarządzanie zmianą w usługach IT?

Zarządzanie zmianą w usługach informatycznych to proces, który mimo wszystko częściej spotykany jest w dużych firmach, gdzie istnieje podział na środowiska testowe, produkcyjne, deweloperskie; gdzie zarządza się danymi testowymi czy produkcyjnymi. Natomiast na tym etapie chcę Wam przekazać, że zarządzanie zmianą w systemach informatycznych to narzędzie, które ma nas zapewnić, że wszystkie zmiany, jakie wprowadzimy do naszych aplikacji czy na środowiska produkcyjne, zawsze będą przetestowane. Za każdym razem będziemy świadomi tych zmian, czyli będziemy zawsze akceptować je przed wdrożeniem na środowisko produkcyjne, a w przypadku awarii wycofamy daną zmianę, jeżeli z jakiegoś powodu będzie miała negatywny skutek na środowisko produkcyjne. Generalnie zawsze będziemy kontrolować, co i w jaki sposób jest zmieniane w naszych usługach informatycznych.

Jakie powinny być zasady? Nie ma tutaj jednej odpowiedzi. Każdy przypadek i scenariusz to kwestia indywidualna. Natomiast chodzi o to, by za każdym razem przykładowy właściciel biznesowy miał komfort, że tak naprawdę on jest odpowiedzialny za to, jakie parametry i zmiany dotyczą aplikacji, na których pracuje. I z drugiej strony – żeby konfiguracja komputerów zawsze była ustalona czy też kontrolowana i utrzymywana w określonym przez nas standardzie.

 

Na jakie kwestie cyberbezpieczeństwa zwrócić uwagę przy umowach z dostawcami zewnętrznymi?

Celowo wskazałem punkt dotyczący bezpieczeństwa w umowach z dostawcami zewnętrznymi, ponieważ jest to temat, który nie nasuwa się na myśl w pierwszej kolejności, gdy mówimy o bezpieczeństwie systemów informatycznych.

Wspominam o tym zagadnieniu, gdyż widziałem przypadek, w którym przedsiębiorstwo miało podpisaną z firmą zewnętrzną umowę na wsparcie i utrzymanie systemu. To był system istotny biznesowo i wykorzystywany produkcyjnie, a nie jakiś podrzędny, backoffice’owy. Umowa została tak skonstruowana, że firma na przykład deklarowała czas podjęcia reakcji na incydent, natomiast w interesie klienta tej firmy zewnętrznej było to, żeby jak najszybciej usunąć awarię. Więc tam odbywały się bardzo złożone negocjacje – takie, że „okej, deklarujemy czas na podjęcie reakcji, ale dla nas ważniejsze jest to, żebyśmy zadeklarowali sobie czas maksymalny na usunięcie awarii, ewentualnie na zaproponowanie środków alternatywnych, jakiegoś innego rozwiązania, które umożliwi nam w biznesie po prostu działać”. Taka delikatna różnica w definicji, a jednak w chwili awarii mogłaby mieć kolosalne znaczenie.

 

Dlaczego szkolenia z zakresu bezpieczeństwa IT są ważne?

Jest jeszcze jedna rzecz, na jaką chciałbym zwrócić Waszą uwagę w kontekście zarządzania bezpieczeństwem w IT. Chodzi o szkolenia. To temat, który często kojarzymy z formą relaksu, natomiast jest szalenie istotny, dlatego że powinniśmy się szkolić i cały czas odświeżać sobie wiedzę z procedur, jakie mamy w firmie – bo one powinny się zmieniać. Konieczne są szkolenia aktualizujące przyzwyczajenia i informacje w tym zakresie – i to zarówno u nowych pracowników, jak i takich, których mamy od wielu lat.

Powinniśmy się cały czas szkolić z zakresu zagrożeń, które w naszym otoczeniu biznesowym mogą być szczególnie istotne. Na przykład jeżeli jestem osobą, która bardzo dużo podróżuje, to dobrze, żebym wiedział, jakie są dobre praktyki w zakresie korzystania z technologii na wyjazdach, w hotelach czy kawiarenkach internetowych, a także jakie zagrożenia mogą mnie spotkać. Co ważne, takie szkolenia powinny być dedykowane różnym grupom w naszej organizacji. Mam na myśli, że tak samo powinien być szkolony prezes, jak i pracownik recepcji. Te osoby mogą spotkać różne zagrożenia, więc powinny wiedzieć, jak je identyfikować i jak sobie z nimi radzić. Na przykład ktoś, kto podróżuje, nie powinien przejmować od innego pracownika pendrive’a, żeby skopiować dokument na laptopa i wydrukować go.

Z jakich jeszcze powodów szkolenia są tak ważne? Po pierwsze, technologia tak się zmienia, że zagrożenia, które jeszcze kilka lat temu widzieliśmy w filmach science fiction, dzisiaj stanowią już realną technologię, jaka między innymi jest wykorzystywana, żeby atakować systemy informatyczne. Na pewno każdy spotkał się z terminem fake news. Jeżeli dodamy do tego trochę sztucznej inteligencji, to powstaje termin deepfake. Na czym to dokładnie polega, pokazuje wideo ze sfałszowanym przemówieniem Obamy.

 

Osoba korzystająca z takiej technologii może w czasie rzeczywistym przełożyć własną mimikę na mimikę kompletnie innej osoby, a więc podszywać się w czasie rzeczywistym pod inną osobę, rozmawiając z kimś za pomocą wideo. Nazywam to „metodą na wnuczka 2.0”, bo jestem przekonany, że gdyby ktoś podszywał się w ten sposób pode mnie i zadzwonił na przykład do moich rodziców, to oni całkowicie by się nie zorientowali, że to technologia, która w tym wypadku jest wykorzystywana do skierowanego ataku na nich.

Zatem powinniśmy się szkolić. Dobrze jest rozwijać wiedzę w kontekście ataków tylko po to, żeby wyczulać się na potencjalne zabiegi. Widziałem taki przypadek w firmie, której wysłano maila z bardzo podobnego adresu z prośbą o aktualizację konta do uregulowania faktur. I to się przestępcom udało, z firmy wyciekło trochę pieniędzy. Wyobraźcie też sobie sytuację, w której dzwoni prezes jakiejś firmy do pani głównej księgowej, wykorzystując tę technologię, i w sposób niecierpiący zwłoki zmusza ją, żeby wykonała przelew.

Rozwój nowej technologii niesie ogromne możliwości i mnóstwo frajdy, ale też duże wyzwania. Dlatego raz jeszcze powtórzę: powinniśmy się szkolić.

 

Jak zweryfikować poziom bezpieczeństwa IT w firmie?

Ponownie wracamy do kwestii, jak szybko zweryfikować poziom bezpieczeństwa w firmie. Myślę, że intuicyjnie już trochę czujemy, że bezpieczeństwo IT to obszar, który wykracza poza kwestie ściśle informatyczne. Bezpieczeństwo IT to nie tylko zagrożenie wirusem i sprawy związane z RODO.

Żeby rzetelnie sprawdzić bezpieczeństwo w naszej firmie, powinniśmy mieć na pokładzie kompetencje, które są w tym zakresie wyspecjalizowane i odpowiednio umocowane organizacyjnie. Dlaczego to takie ważne? Ano wyobraźcie sobie, że w firmie pracuje jeden administrator. Stwierdzamy, że inwestujemy w jego kompetencje, więc wysyłamy go na serię szkoleń. Administrator potwierdza swoją wiedzę, zdając kolejne certyfikaty, wraca do naszej firmy. Zauważcie, że wtedy w ramach jednej osoby i jednej roli, mamy kogoś, kto projektuje mechanizmy kontrolne takie jak polityka bezpieczeństwa IT, wdraża je, implementuje w systemach informatycznych, czyli konfiguruje te systemy informatyczne. I teraz, jeżeli chcemy dowiedzieć się, czy jesteśmy bezpieczni i czy mechanizmy kontrolne działają w sposób efektywny, to przejdziemy znowu do tej samej osoby. W związku z tym jeden pracownik projektuje, wdraża i raportuje nam poziom bezpieczeństwa.

To taki klasyczny konflikt interesów, którego dobre praktyki rekomendują unikać. Zaleca się rozdzielanie roli projektującej i weryfikującej od roli utrzymującej mechanizmy kontrolne, systemy informatyczne. I teraz jeżeli mamy takie kompetencje i są one odpowiednio umocowane, to po prostu jedyne, co musimy zrobić, to wdrożyć systematyczny nadzór, który w praktyce stanowi ciągły audyt lub ciągły monitoring. W każdym innym przypadku, kiedy nie mamy takich kompetencji, warto je nabyć. Jak sami widzicie, to bardzo szeroki temat i jeżeli chcemy rzetelnie sprawdzić poziom bezpieczeństwa, to warto zrobić to z kimś, kto ma w tym zakresie doświadczenie.

Jaki jest klucz do sukcesu przy ciągłym audycie czy monitoringu? W ramach naszej działalności spostrzegliśmy pewną zależność: nawet jeśli istnieją omawiane wcześniej kompetencje i ten audyt się odbywa w miarę cyklicznie, to tak czy inaczej kluczem do sukcesu pozostaje systematyczność. Trzeba określić sobie jakieś KPI, jakieś cechy, jakieś mierniki, które z punktu widzenia kierownictwa firmy nie będą się skupiały na tym, jaka krytyczna podatność jest na jakimś konkretnym serwerze, ale na tym, żeby te mechanizmy w prosty sposób umożliwiały nam zorientowanie się, czy osoby, które są odpowiedzialne za bezpieczeństwo w firmie, robią swoją pracę, a także czy procesy, które zostały zaprojektowane, działają i czy określony przez nas problem bezpieczeństwa jest utrzymywany.

W ramach naszego produktu, czyli systemu CyberStudio, tak to rozwiązaliśmy, że wdrażając system u klienta, mamy jeden obszar, który analizuje i raportuje obserwacje ściśle techniczne – liczby podatności i inne techniczne zagadnienia. Ten sam system potrafi analizować procesy, czyli na przykład sprawdzać, czy podatności są systematycznie usuwane. Albo jeżeli zadania zostały wykonane w ramach usuwania tych podatności, to czy są one zamykane w terminie. Chodzi o takie stricte procesowe podejście do bezpieczeństwa.

Natomiast kadra menadżerska wyższego stopnia tak naprawdę dostaje informacje tylko o tym, czy procesy działają, czy są jakieś zagrożenia wymagające interwencji. W zasadzie to jest stan, do którego powinno się dążyć w firmie, żeby jak najczęściej utrzymywać status aktualny na temat obecnego poziomu bezpieczeństwa, innymi słowy – wiedzieć, czy wszystkie procesy działają w sposób efektywny.

 

Jakie zagrożenia dotykają firmę mimo zabezpieczeń w sieci?

I teraz, gdy po wdrożeniu różnych rozwiązań wiemy już mniej więcej, czym jest bezpieczeństwo IT, rozpoczynamy proces przygotowania do uruchomienia mechanizmów kontrolnych. Możemy zadać sobie pytanie: które zagrożenia mogą dotknąć firmę pomimo zabezpieczeń?

Tutaj przyda się kilka informacji poglądowych. Według pewnego opracowania hakerzy atakują średnio co 39 sekund. Z kolei FBI zaraportowało w pierwszym półroczu tego roku, że od czasu, kiedy pojawił się COVID, zanotowano 300–400% wzrostu aktywności przestępczej.

12

 (źródło: https://cybermap.kaspersky.com/)

Żeby zobaczyć lepiej, jak to działa, wystarczy wejść w link, który pokazuje, jak w czasie rzeczywistym realizowane są ataki na świecie. Firma Kaspersky udostępnia dobrą wizualizację tego, jakie aktywności są obecnie przeprowadzane. Można zobaczyć, że tak naprawdę to jest ciągła wymiana ognia wszystkich ze wszystkimi – hakują siebie non stop, wszyscy i wszystkich.

13

Okazuje się też, w ciągu ostatniego roku zaobserwowano duży wzrost ataków skierowanych na małe i średnie firmy (źródło: https://www.hiscox.com/documents/2019-Hiscox-Cyber-Readiness-Report.pdf), co mówi o tym, że dla atakujących, czy też osób próbujących wymuszać okupy w wyniku zaszyfrowania danych, stają się atrakcyjne również mniejsze przedsiębiorstwa, że są one tak samo dostrzegane jak duże korporacje.

Tych zagrożeń tak naprawdę nie ubywa, tylko przybywa, co wymaga wprowadzenia dobrych praktyk w przedsiębiorstwie. Trzeba przygotować się na to, że prędzej czy później spotkamy się z materializacją zagrożenia. Zaznaczę, że nie mam na myśli tylko ataku hakerskiego, ale nawiązuję też do wszystkich obszarów, które sobie omówiliśmy, czyli też sytuacji, gdy zabraknie nam prądu w serwerowni, utracimy jakieś zasoby kluczowe w naszej firmie – mam na myśli zasoby ludzkie – a więc kiedy zmaterializuje się zagrożenie z całego obszaru zarządzania bezpieczeństwem IT.

 

Jak zadbać o zgodność z wymogami RODO w organizacji?

Uważam, że świetnym przykładem w zakresie wprowadzania dobrych praktyk w przedsiębiorstwie może być RODO, które z jednej strony jest bardzo ogólne, ale z drugiej –bardzo precyzyjne.

Jeżeli będziemy czytali dosłownie artykuł numer 32, dowiemy się, że administrator i podmiot przetwarzający muszą wdrożyć odpowiednie środki techniczne i organizacyjne. W dalszej części artykułu są wymieniane takie mechanizmy kontrolne, jak pseudonimizacja i szyfrowanie. Pseudonimizacja oznacza tak naprawdę zastępowanie danych jakimiś innymi danymi losowymi, ale na przykład z możliwością powrotu w specyficznych warunkach do danych oryginalnych. Czyli chodzi o takie maskowanie, które zostawi możliwość odwrotu.

Gdy czytamy dalej, widzimy, że jest mowa o poufności, integralności, dostępności i odporności systemów. Co to znaczy? Musimy zadbać, by informacje przetwarzane przez systemy były w odpowiedni sposób zabezpieczone przed dostępem nieautoryzowanym. Kiedy mówimy o integralności, chodzi o to, że dane przetwarzane przez nasze systemy pozostaną niezmienione w nieautoryzowany sposób w trakcie ich przetwarzania, czyli nikt nie zmanipuluje tych informacji. A kiedy mówimy o dostępności i odporności systemów, to wspominamy o tym, że jesteśmy w stanie szybko podnieść po awarii, odzyskać dane z backupów.

W kolejnym punkcie czytamy: „zdolność do szybkiego przywrócenia dostępności danych” – o tym już powiedzieliśmy. I na koniec regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych. Co to oznacza? Żeby wdrożyć odpowiednio RODO, to tak naprawdę znowu musimy spojrzeć na naszą organizację indywidualnie. RODO nie daje nam konkretnych wskazówek, jak to było po poprzedniej wersji regulacji, że hasło musi mieć minimum osiem znaków, znaki specjalne i koniec kropka. W tym wypadku RODO przenosi taką odpowiedzialność na firmę. Firmy muszą zinwentaryzować systemy, które przetwarzają dane osobowe, a także wykonać analizę ryzyk, czyli zastanowić się, jakie zagrożenia mogą wpłynąć na wspomniane wcześniej integralność, dostępność i poufność systemów informatycznych, dobrać odpowiednie mechanizmy kontrolne, a następnie systematycznie kontrolować, czy te mechanizmy działają w sposób poprawny i efektywny. Innymi słowy dostajemy rekomendację do tego, że musimy wdrożyć kompletny proces zarządzania bezpieczeństwem IT.

Co to oznacza w praktyce? Najczęściej chodzi o konieczność wzorowania się na najlepszych rynkowych praktykach, czy to mówimy o normach ISO organizacji, takich jak ISACA. To, że będziemy się wzorowali i wdrożymy jakieś mechanizmy kontrolne, oznacza też, że musimy systematycznie kontrolować, poddawać audytom. I to naprawdę systematycznie. Każda nieformalna praktyka w oczach RODO przestała już być procesem. Czyli kiedyś było na przykład tak, że najniższy poziom dojrzałości organizacyjnej osiągano, kiedy faktycznie pracownicy wykonywali jakieś praktyki; one nie były sformalizowane ani standaryzowane, ale – ponieważ była to praktyka powtarzana – to uznawało się to już proces. W kontekście RODO już nie. Teraz każdy proces, który mamy do wykonania w firmie, a który dotyka przetwarzania danych osobowych, musi być ustrukturyzowany i sformalizowany.

Najczęściej spotykana norma to ISO27001. O niej najwięcej się mówi w kontekście potwierdzenia określonego poziomu dojrzałości bezpieczeństwa. Jeżeli jakaś firma chce potwierdzić swoją dojrzałość organizacyjną w kontekście bezpieczeństwa IT, to częstym rozwiązaniem jest po prostu certyfikowanie siebie w kierunku ISO27001. Jak widzicie, znowu wykraczamy szeroko poza kontekst samego wirusa i antywirusa.

 

Czy cyberataki mogą dotknąć każdą firmę?

Jaka może być konkluzja na koniec? Ano po prostu trzeba „uwierzyć w ducha”. Zagrożenia istnieją, są realne. To nie jest tak, że one się gdzieś dzieją dookoła nas i nigdy nie dotkną nas personalnie. Należy wcześniej przygotować się na to, co może się wydarzyć. Wspomniana wielokrotnie analiza ryzyk może nam naprawdę dużo powiedzieć o naszej organizacji. Uzyskaną wiedzę możemy wykorzystać do tego, żeby podjąć działania, które obniżą ryzyko materializacji danego zagrożenia, na przykład zmienić technologię, zrezygnować z tego procesu albo realizować go inaczej.

Kluczowe jest, żebyśmy wiedzieli po prostu do jakiego akceptowalnego poziomu musimy działać, a także do jakiego akceptowalnego poziomu musimy inwestować, żeby ryzyko przestało w jakiś istotny sposób nam zagrażać. A co, jeżeli mleko się rozleje? Taki jeden pechowy strzał złośliwego oprogramowania może wywrócić firmę do góry nogami. Można tego uniknąć, można się na to przygotować. Rozmawiamy tak naprawdę o wdrażaniu dobrych praktyk, czyli jak wspominałem: polityki bezpieczeństwa IT, zarządzania ryzykiem, zarządzania ciągłością działania, zarządzania incydentem. To są główne obszary, od których warto wyjść i o których warto pomyśleć.

Wspomnę jeszcze coś, co ostatnio zyskuje na popularności, a co jeszcze niedawno nie było tak popularne u nas w kraju – mianowicie ubezpieczenia od cyberzagrożeń. Jakiś czas temu, jak się interesowałem tematem, stanowiły dość drogą opcję. Natomiast teraz coraz więcej towarzystw ubezpieczeniowych oferuje cyberubezpieczenia. Być może dla niektórych firm okaże się to bardzo praktyczne rozwiązanie. Dlatego że z tego, co się zdążyłem zorientować, nie wymagają jakichś szczególnie dużych nakładów finansowych, a wsparcie przy negocjacjach, obsłudze incydentu czy wypłacaniu konkretnych środków może być w dramatycznej chwili naprawdę bardzo, bardzo pomocne.

 

Jak zwiększyć poziom identyfikowania cyberzagrożeń w firmie?

Na koniec podzielę się kilkoma linkami, byście sprawdzili siebie. Rozmawialiśmy o innych firmach, ale teraz zachęcam Was do tego, żebyście upewnili się, w jaki sposób Wasze przedsiębiorstwo operuje zdolnością do identyfikowania zagrożeń.

Pierwszy link, który Wam prezentuję, to quiz, jaki przygotowała firma Google. Dotyczy tego, czy jesteśmy w stanie rozpoznawać phishing, czyli jedno z najczęstszych zagrożeń występujących obecnie na rynku. Zachęcam, bo jest to bardzo ciekawe doświadczenie, dużo się można z niego nauczyć. Jeżeli co jakiś czas będziecie tę wiedzę odświeżać, naprawdę w życiu codziennym dużo Wam to pomoże.

Kolejny link to strona przygotowana przez pewnego etycznego aktywistę. Chodzi o to, że możemy sprawdzić, czy konkretny adres e-mail znajduje się wśród danych, które wyciekały z różnych miejsc. Bardzo często wyciekają hasła do e-maili i je też można sprawdzić. Ta strona cieszy się dobrą reputacją, ale mimo wszystko nie zachęcam – ani tutaj, ani na żadnej innej stronie – do wpisywania haseł po to, żeby zweryfikować, czy wyciekły, czy nie. Natomiast warto, żebyście sprawdzili, czy adresy mailowe, którymi się posługujecie, znajdują się w publicznych wyciekach i ewentualnie z jakich serwisów jakie dane mogły wyciec.

Jeżeli korzystacie z konta na platformie Google, to macie do dyspozycji mechanizm polegający mniej więcej na tym samym. Google samo sprawdzi, czy Wasze hasła, zapisane na przykład w koncie Google czy przeglądarce Chrome, znajdują się w publicznych wyciekach. Dowiecie się, które dane dostępowe są słabe, a które warto zmienić. Pamiętam, że jak pierwszy raz sam sobie sprawdziłem to zagadnienie, to naprawdę otworzyło mi to oczy. Miałem wtedy tak, że w świadomości utrzymywałem tylko te konta i adresy mailowe, z których korzystałem w danej chwili albo w ostatnim, niedalekim czasie. Natomiast, jak się okazało, wyciekały dane z for internetowych, których nie używałem przez 5 czy 8 lat. Można zacząć się zastanawiać, ile tak naprawdę informacji na nasz temat zostaje w internecie.

 

Chcesz dowiedzieć się, jak chronić firmę przed cyberprzestępcami?
Umów się na bezpłatną konsultację z naszym ekspertem.

CHCĘ SKORZYSTAĆ Z KONSULTACJI

Ocena wdrożonych rozwiązań

Zachęcamy do przetestowania nas i naszej wiedzy bez żadnych zobowiązań i ryzyka. Bezpłatnie zweryfikujemy aktualnie wdrożone narzędzia i procedury w Twojej firmie.