Dwadzieścia parę lat temu większość ludzi nawet nie słyszała o hakerach, malware, phishingu, kradzieży tożsamości, spamie, Botnet'ach. Internet dopiero pojawił się w Polsce. Kilka lat potem komputery i Internet zaczęły wchodzić do naszych przedsiębiorstw i domów. Nie było jeszcze smartfonów, social-mediów i setek kuszących, darmowych i dostępnych na wyciągnięcie ręki aplikacji. Największym zagrożeniem dla firm od cyber niebezpieczeństwa byli złodzieje, oszuści lub zdarzenia losowe.
Dziś jest odwrotnie, firmy uzależnione od Internetu i obecności w sieci, mierzą się z niebezpieczeństwami z tego wynikającymi. Dlatego obecnie kluczowe w firmach stało się cyberbezpieczeństwo.
Czym jest cyberbezpieczeństwo?
Cyberbezpieczeństwo to, mówiąc językiem ustawy, odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług.
A po ludzku, to rozwiązania techniczne i organizacyjne mające na celu ochronę sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem – czyli np. firewall'e, antywirusy, hasła, szkolenia, procedury.
Dlaczego przedsiębiorcy powinni zajmować się cyberbezpieczeństwem w swoich organizacjach? Powodów jest wiele, ale w naszej ocenie poniższe dwa zasługują na szczególne wyróżnienie:
- odpowiedzialność za bezpieczeństwo zarządzanej organizacji, co przekłada się na bezpieczeństwo osób, za których przedsiębiorcy ponoszą odpowiedzialność,
- odpowiedzialność za bezpieczeństwo kontrahentów, co przekłada się na relacje przedsiębiorcy z klientami i dostawcami.
Jeżeli przedsiębiorcy nie będą zarządzać cyberbezpieczeństwem w swoich firmach, np. z powodu braku świadomości ww. odpowiedzialności, to mogą narazić nie tylko swoje firmy (często na wielomilionowe kary lub odszkodowania), nie tylko swoich klientów i kontrahentów (narażając się na utratę ich zaufania, a tym samym i przychodów), ale mogą zachwiać bezpieczeństwem całego systemu informatycznego, który jest siecią naczyń powiązanych.
Najsłabsze ogniwo
Pamiętajmy, że system jest tak silny, jak silne jest najsłabsze ogniowo. Zatem jeśli wpuścicie do swojej infrastruktury intruza, to będzie on mógł zaszkodzić nie tylko waszej organizacji, ale też kontrahentom i klientom. Komunikacja z domeny firmy zaufanego partnera lub dostawcy jest trudna do wykrycia jako komunikacja kierowana przez nieuprawnionego użytkownika.
Przypadków tego typu ataków jest wiele. Jak taki atak może wyglądać? Wystarczy, że intruz, korzystając z obecności w sieci waszej firmy, prześle do stałego kontrahenta plik z odpowiednio spreparowanym maleware (pozwalającym przestępcom przejąć kontrolę również nad siecią kontrahenta lub wykraść mu dane) lub fakturę z nowym numerem konta bankowego (co pozwoli im ukraść pieniądze). Kontrahent ma niewielkie szanse, by zorientować się, że taka korespondencja stanowi zagrożenie.
Przełamanie więc słabo chronionej infrastruktury dostawcy może kosztować wiele nawet dużą, dobrze zabezpieczoną korporacje. Natomiast dla napastników przełamanie zabezpieczeń w niewielkiej firmie, niemającej działu bezpieczeństwa, może być stosunkowo proste. Stąd działania (lub zaniechania) nas wszystkich w zakresie wzmacniania bezpieczeństwa mogą mieć kluczowy wpływ na cały system.
Czy hakerzy mnie zaatakują?
Przecież hakerzy nawet o mnie nie słyszeli! Tak to prawda, hakerzy pewnie o waszej firmie nawet nie słyszeli. Trzeba jednak zdawać sobie sprawę, że:
- co do zasady atakują nas automaty „chodzące” po sieci i wyszukujące znanych sobie luk w infrastrukturze IT użytkowników, przełamując zabezpieczenia bez udziału człowieka,
- jeśli waszymi kontrahentami są podmioty z sektorów bardziej narażonych na ataki np. z sektora medycznego, finansowego, infrastrukturalnego, politycznego itp., to powinniście się spodziewać i przygotować na atak nawet ze strony człowieka, który będzie próbował przełamać zabezpieczenia w organizacji, by uzyskać dane lub ułatwić sobie atak na organizację kontrahenta.
W obu tych sytuacjach organizacja może znaleźć się w centrum uwagi hakera. Warto wiedzieć, że obecnie można kupić usługę w postaci spersonalizowanego ataku hackerskiego na wybrany cel. Form takich ataków jest wiele. Płatności dokonuje się w bitcoin i to jest główna bariera dostępu do takiej broni. Nie jest to bariera nie do pokonania. Co gorsza, taka broń może być użyta w tym samym czasie wielokrotnie.
Zatem dla przestępców jest to dochodowa działalność umożliwiająca dokonywanie ataku wielokrotnie w ciągu doby. Skala zagrożenia jest ogromna. Dlatego naszym wspólnym obowiązkiem jest prewencyjne podejmowanie działań maksymalnie ograniczających ryzyko skutecznego cyberataku. Jeśli każdy podniesie odrobinę swoje zabezpieczenia, to atak hakera będzie wymagał większych nakładów i może stanie się nieopłacalny.
Od czego zacząć budowę cyberbezpieczeństwa?
Na początek dobrym pomysłem jest audyt, w tym inwentaryzacja zasobów. Firmy rosną, ludzie korzystają z różnorodnego sprzętu, oprogramowania lub usług. Rozwiązania są kupowane przez firmy czasem w sposób przemyślany, a czasem pod wpływem impulsu, bo konkurencja „coś” ma.
Przeprowadzenie audytu, w tym rzetelnej inwentaryzacji może dać odpowiedź, jaki sprzęt znajduje się w organizacji (hardware): komputery, drukarki, ksero, dyski przenośne, telefony itp., ale także, jakie stosowane jest oprogramowanie: edytory tekstu, programy poczty, komunikatory, serwisy społecznościowe i wiele innych. Tutaj ważna jest formuła korzystania z oprogramowania w wersji on-premises czy SaaS. Pozwoli to też ustalić, czy oprogramowanie jest z legalnego źródła, używane zgodnie z licencjami i czy jest aktualne.
W drugim kroku warto rozważyć czy na pewno potrzebujemy tego wszystkiego z czego „korzystamy” w swoich organizacjach. „Korzystamy” w cudzysłowie, bo często posiadamy różne rozwiązania, nie potrafiąc z nich skorzystać lub nie mając potrzeby wykorzystania. Na tym etapie możecie ograniczyć ryzyko ataku poprzez:
- usunięcie niepotrzebnych lub nieaktualnych narzędzi,
- zmiany ich ustawień, uaktualnienie itp.
Ograniczenie liczby aplikacji, poza podniesieniem poziomu bezpieczeństwa, może mieć dodatkowo korzystny wpływ na budżet, generując oszczędności.
W trzecim kroku powinniśmy przypisać zinwentaryzowane zasoby do procesów, w których są one wykorzystywane. Dzięki temu będzie można precyzyjnie oszacować ryzyko związane z korzystaniem z danego zasobu w ramach prowadzenia czynności. Taki podział pozwoli oszacować poziom istotności zasobów dla realizowanych procesów oraz zidentyfikować te procesy, które są kluczowe dla organizacji.
To wszystko na późniejszym etapie umożliwi prawidłowe zarządzanie aktywami w organizacji.
Realizacja tego ostatniego punktu wprowadzi waszą organizację w zarządzanie ciągłością działania. Jednak te rozważania pozostawimy na następne artykuły.
Reasumując, system cyberbezpieczeństwa wymaga przemyślenia kwestii zabezpieczeń stosowanych do ochrony zasobów, w relacji ze znanymi podatnościami oraz w kontekście zapewnienia ciągłości działania organizacji. Tym samym rozpoczniecie zarządzanie systemem cyberbepieczeństwa opartym o analizę ryzyka.
Źródło: Gazeta MŚP