Cyberbezpieczenstwo dla kadry zarzadzaj─ůcej

SHARE

Jak w prosty spos├│b zweryfikowa─ç poziom bezpiecze┼ästwa w firmie i poprawi─ç poziom zabezpiecze┼ä? Jak lepiej przygotowa─ç si─Ö na cyberataki? Kt├│re cyberzagro┼╝enia mog─ů dotkn─ů─ç firm─Ö mimo ochrony? Jakie dobre praktyki w zakresie bezpiecze┼ästwa IT wprowadzi─ç w przedsi─Öbiorstwie? Dowiecie si─Ö tego z tre┼Ťci, jakie powsta┼éy na bazie webinaru ÔÇ×Cyberbezpiecze┼ästwo dla kadry zarz─ůdzaj─ůcejÔÇŁ. Wydarzenie poprowadzi┼é Bartosz Koz┼éowski, ekspert w dziedzinie cyberbezpiecze┼ästwa oraz wsp├│┼étw├│rca systemu CyberStudio, wykrywaj─ůcego i przewiduj─ůcego zagro┼╝enia w sieci.

Spis tre┼Ťci:

1. Czy firmy w Polsce s─ů dobrze przygotowane na cyberataki?
2. Jak prawid┼éowo wprowadzi─ç firmow─ů polityk─Ö bezpiecze┼ästwa IT?
3. Na czym polega zarz─ůdzanie ci─ůg┼éo┼Ťci─ů dzia┼éania w firmie w zakresie cyberbezpiecze┼ästwa?
4. Jak zadba─ç o bezpiecze┼ästwo fizyczne i ┼Ťrodowiskowe w kontek┼Ťcie bezpiecze┼ästwa IT?
5. Jak odpowiednio zarz─ůdza─ç uprawnieniami i dost─Öpami, by zadba─ç o cyberbezpiecze┼ästwo?
6. Jak wygl─ůda zarz─ůdzanie zmian─ů w us┼éugach IT?
7. Na jakie kwestie cyberbezpieczeństwa zwrócić uwagę przy umowach z dostawcami zewnętrznymi?
8. Dlaczego szkolenia z zakresu bezpiecze┼ästwa IT s─ů wa┼╝ne?
9. Jak zweryfikować poziom bezpieczeństwa IT w firmie?
10. Jakie zagro┼╝enia dotykaj─ů firm─Ö mimo zabezpiecze┼ä w sieci?
11. Jak zadba─ç o zgodno┼Ť─ç z wymogami RODO w organizacji?
12. Czy cyberataki mog─ů dotkn─ů─ç ka┼╝d─ů firm─Ö?
13. Jak zwiększyć poziom identyfikowania cyberzagrożeń w firmie?

 

Czy firmy w Polsce s─ů dobrze przygotowane na cyberataki?

Na pocz─ůtku lutego tego roku pokaza┼é si─Ö ┼Ťwietny raport opracowany przez firm─Ö Grant Thornton. To taka firma konsultingowa, kt├│ra pyta┼éa swoich partner├│w biznesowych ÔÇô i nie tylko ÔÇô o to, jak s─ů przygotowani do kwestii cyberbezpiecze┼ästwa oraz w jaki spos├│b zarz─ůdzaj─ů bezpiecze┼ästwem we w┼éasnych firmach.

1-1

Pierwsze pytanie dotyczy┼éo tego, czy w ci─ůgu ostatnich dwunastu miesi─Öcy firma by┼éa celem cyberatak├│w, w tym wycieku lub kradzie┼╝y danych wewn─Ötrznych. Twierdz─ůco odpowiedzia┼éo 28%. Mo┼╝na by si─Ö zastanawia─ç, czy to du┼╝o, czy ma┼éo. Ja mog─Ö Wam powiedzie─ç, ┼╝e mimo wszystko niewiele jest firm, kt├│re oficjalnie przyznaj─ů si─Ö do tego, ┼╝e do┼Ťwiadczy┼éy jakiego┼Ť incydentu bezpiecze┼ästwa czy ataku. A jeszcze mniej firm przyzna si─Ö, ┼╝e ten atak by┼é skuteczny ÔÇô co pewnie dla wi─Ökszo┼Ťci z Was mo┼╝e by─ç oczywiste. No bo je┼╝eli jako firma przyznamy si─Ö, ┼╝e zostali┼Ťmy, m├│wi─ůc wprost, zhakowani, mo┼╝emy delikatnie nadszarpn─ů─ç wizerunek firmy w oczach klient├│w. Taka informacja by┼éaby dla nas na rynku generalnie interesuj─ůca, ale niekoniecznie biznesowo atrakcyjna.

2-2

Id─ůc dalej, a┼╝ 70% ankietowanych uwa┼╝a, ┼╝e s─ů dobrze przygotowani w zakresie cyberbezpiecze┼ästwa i deklaruj─ů z tego powodu w miar─Ö wysokie zadowolenie. I tutaj mo┼╝na doj┼Ť─ç do wniosku, ┼╝e faktycznie, chyba nie┼║le si─Ö dzieje na naszym rodzimym rynku, skoro zdecydowana wi─Ökszo┼Ť─ç firm wydaje si─Ö gotowa na cyberzagro┼╝enia. Natomiast kolejne pytania zaczynaj─ů uzasadnia─ç, sk─ůd si─Ö wzi─Ö┼éy takie odpowiedzi.

 3-2

Nast─Öpne pytanie to: ÔÇ×Czy jeste┼Ť zadowolony z gotowo┼Ťci firmy do wykonywania poszczeg├│lnych czynno┼Ťci zwi─ůzanych z ryzykiem cyfrowym?". Ono doprecyzowuje to poprzednie, gdy┼╝ padaj─ů w nim konkretne parametry, kt├│re de facto w systemie zarz─ůdzania bezpiecze┼ästwem powinny by─ç realizowane. W zasadzie tylko 41% ankietowanych potwierdza, ┼╝e konsekwentnie reaguj─ů na powa┼╝ne naruszenia w firmie, bez wzgl─Ödu na czas i miejsce naruszenia. Co to mo┼╝e oznacza─ç? Mianowicie pewnie w wi─Ökszo┼Ťci firm mniej lub bardziej jest wdro┼╝ony system zarz─ůdzania bezpiecze┼ästwem, istniej─ů formalne procedury i instrukcje. Natomiast, jak wida─ç, tylko 41% tych firm je egzekwuje.

Je┼Ťli chodzi o kolejne pytanie, dotycz─ůce mechanizm├│w zarz─ůdzania bezpiecze┼ästwem, tylko jedna trzecia ankietowanych wiedzia┼éa, o co jest pytana ÔÇô i odpowiada┼éa twierdz─ůco. To bardzo ciekawe, bo przecie┼╝ ca┼éy czas mamy w pami─Öci drugie pytanie, w kt├│rym 70% ankietowanych stwierdzi┼éo, ┼╝e ich poziom przygotowania do tematu cyberbezpiecze┼ästwa jest wysoki.

 4-3

W  pytaniu: Jakie s─ů s┼éabe punkty w zarz─ůdzaniu zagro┼╝eniami zwi─ůzanymi z cyberbezpiecze┼ästwem i prywatno┼Ťci─ů danych w Twojej firmie? jedna trzecia odpowiedzia┼éa, ┼╝e nie wie. Tworzy nam si─Ö pierwszy zarys wniosku, ┼╝e z jednej strony deklarujemy pozytywne nastawienie do gotowo┼Ťci na cyberzagro┼╝enia, a z drugiej strony prawdopodobnie nie do ko┼äca jeste┼Ťmy ┼Ťwiadomi, czego ten temat tak naprawd─Ö dotyczy.

 5-2

Nast─Öpne pytanie dotyczy┼éo tego, jakie s─ů teraz najwi─Öksze wyzwania w kierunku zarz─ůdzania cyberbezpiecze┼ästwem. Pierwsze trzy pozycje dotycz─ů: reagowania na zagro┼╝enia, z┼éo┼Ťliwego oprogramowania, bezpiecze┼ästwa infrastruktury. Tutaj, moim zdaniem, tyle os├│b udzieli┼éo takich odpowiedzi, gdy┼╝ temat zagro┼╝e┼ä, atak├│w hakerskich, szyfrowania danych, czasem p┼éacenia okupu z tego tytu┼éu, jest w miar─Ö obecny w naszych mediach. To informacje, o jakich do┼Ť─ç cz─Östo si─Ö s┼éyszy, wi─Öc st─ůd mo┼╝e wynika─ç ┼Ťwiadomo┼Ť─ç danych rodzaj├│w zagro┼╝e┼ä. Podobnie ma si─Ö sprawa z dwiema kolejnymi pozycjami, m├│wi─ůcymi o RODO i zarz─ůdzaniu ryzykiem. Systematycznie s┼éyszy si─Ö, ┼╝e jaka┼Ť firma do┼Ťwiadczy┼éa kolejnego wycieku i gdzie┼Ť jej z tego powodu gro┼╝─ů konsekwencje finansowe. Natomiast tutaj chc─Ö zwr├│ci─ç Wam uwag─Ö, ┼╝e tylko 43% firm zadeklarowa┼éo, ┼╝e wyzwanie stanowi─ů ataki haker├│w. To ciekawe, bo przecie┼╝ reagowanie na zagro┼╝enia, z┼éo┼Ťliwe oprogramowanie i bezpiecze┼ästwo infrastruktury s─ů bezpo┼Ťrednio zwi─ůzane z hakerami.

 6-1

Na pytanie: Czy w Pa┼ästwa firmie funkcjonuje polityka i osoba/zesp├│┼é ds. zarz─ůdzania incydentami? tylko po┼éowa ankietowanych odpowiedzia┼éa twierdz─ůco. Tak samo jest z przeprowadzaniem test├│w bezpiecze┼ästwa infrastruktury IT czy z procesem zarz─ůdzania ryzykiem. Tylko 25% firm deklaruje, ┼╝e posiada certyfikaty bezpiecze┼ästwa, czy te┼╝ wyra┼╝a wol─Ö nabycia takiego certyfikatu w najbli┼╝ej przysz┼éo┼Ťci. ┼Üwiadomo┼Ť─ç, ┼╝e wdro┼╝enie certyfikatu i zadeklarowanie poziomu bezpiecze┼ästwa mo┼╝e przek┼éada─ç si─Ö na korzy┼Ťci finansowe, powoli w nas dojrzewa. Uwa┼╝am, ┼╝e z czasem ch─Öci w tym zakresie b─Ödzie coraz wi─Öcej. 7

I bezpo┼Ťrednio chcia┼éem nawi─ůza─ç do tych 70% z pocz─ůtku prezentacji. Zapytano badanych, czy w firmie wdro┼╝ono formalne procesy w zakresie szeroko rozumianego zarz─ůdzania bezpiecze┼ästwem. 62% odpowiedzia┼éo, ┼╝e tak, natomiast nieca┼éa po┼éowa ankietowanych zarz─ůdza w spos├│b formalny ryzykiem i nieca┼éa po┼éowa zarz─ůdza ci─ůg┼éo┼Ťci─ů dzia┼éania. Co to znaczy zarz─ůdzanie ryzykiem i ci─ůg┼éo┼Ťci─ů dzia┼éania? Doprecyzujemy to p├│┼║niej. Natomiast ju┼╝ teraz chcia┼ébym Wam powiedzie─ç, ┼╝e je┼╝eli kto┼Ť nie zarz─ůdza ci─ůg┼éo┼Ťci─ů dzia┼éania, to oznacza, ┼╝e niekoniecznie zastanowi┼é si─Ö, jakie awarie mog─ů go spotka─ç, jakie zagro┼╝enia mog─ů go dotkn─ů─ç, a w konsekwencji jak odnale┼║─ç si─Ö w tej trudnej sytuacji. Takie zak┼éadanie, ┼╝e nic z┼éego mnie nie dopadnie i nie b─Öd─Ö musia┼é reagowa─ç na incydent ÔÇô kt├│ry na przyk┼éad przerwie pewne us┼éugi biznesowe w mojej firmie ÔÇô mo┼╝na uzna─ç za pewnego rodzaju nonszalancj─Ö.

 8

Zbli┼╝amy si─Ö do ko┼äca raportu. Na pytanie: Kt├│re z poni┼╝szych czynnik├│w maj─ů decyduj─ůce znaczenie o tym, jak regularnie przeprowadzaj─ů Pa┼ästwo audyt bezpiecze┼ästwa w IT? 76% ankietowanych wskaza┼éo na ograniczone zasoby ludzkie, a 65% ÔÇô wzgl─Ödy finansowe. To w zasadzie pokrywa si─Ö troch─Ö z naszym do┼Ťwiadczeniem. Je┼Ťli w firmach rzeczywi┼Ťcie znajduj─ů si─Ö osoby wyspecjalizowane w zakresie zarz─ůdzania bezpiecze┼ästwem IT, zwykle maj─ů tak du┼╝o pracy, ┼╝e systematyczne i cz─Öste powtarzanie audytu by─ç mo┼╝e niekoniecznie nale┼╝y do zada┼ä ca┼ékowicie priorytetowych. Natomiast inaczej to wygl─ůda w przedsi─Öbiorstwach, kt├│re przy zarz─ůdzaniu bezpiecze┼ästwem IT posi┼ékuj─ů si─Ö firmami zewn─Ötrznymi. W tym przypadku wiadomo, ┼╝e jednym z g┼é├│wnych element├│w decyduj─ůcych o tym, jak cz─Östo korzystamy z takich us┼éug, s─ů po prostu zasoby finansowe.

 

Jak prawid┼éowo wprowadzi─ç firmow─ů polityk─Ö bezpiecze┼ästwa IT?

┼╗eby zobaczy─ç, jak bardzo dana firma jest gotowa na zagro┼╝enia i czy da rad─Ö sobie z nimi poradzi─ç, opowiem Wam, czym jest bezpiecze┼ästwo IT. Mam nadziej─Ö, ┼╝e na koniec tego etapu b─Ödziecie w stanie sami intuicyjnie odpowiedzie─ç na to, czy Wasza firma zosta┼éa odpowiednio przygotowana.

┼╗eby zarz─ůdza─ç bezpiecze┼ästwem informatycznym w naszej firmie, to musimy spojrze─ç na t─Ö firm─Ö holistycznie ÔÇô w jaki spos├│b w niej funkcjonujemy, jakie jest jej otoczenie biznesowe, w jakim ┼Ťrodowisku ona dzia┼éa. Powinni┼Ťmy ustali─ç, jakie w chwili obecnej mamy cele biznesowe, ale te┼╝ zaplanowa─ç d┼éugoterminowe cele biznesowe. Musimy nast─Öpnie przemy┼Ťle─ç, czy us┼éugi informatyczne, z kt├│rych obecnie korzystamy, wspieraj─ů biznes w wystarczaj─ůcy spos├│b, a ewentualnie ÔÇô jakie wymogi trzeba tutaj spe┼éni─ç, ┼╝eby te us┼éugi informatyczne sta┼éy si─Ö dla nas odpowiednie. Je┼╝eli mamy wytyczone cele biznesowe na okres 3ÔÇô5 lat, to potrzebujemy te┼╝ si─Ö zastanowi─ç, jak us┼éugi informatyczne powinny wygl─ůda─ç w przysz┼éo┼Ťci. Ko┼äcowy etap takiego rozwa┼╝ania to definiowanie ryzyka, jakie mo┼╝e tym celom zagrozi─ç i negatywnie wp┼éyn─ů─ç na us┼éugi informatyczne. 

Ca┼éa taka analiza i zastanawianie si─Ö maj─ů w zasadzie jeden konkretny cel. Chodzi o to, ┼╝eby┼Ťmy my ÔÇô kadra kierownicza, w┼éa┼Ťciciele biznesowi w cz─Ö┼Ťci dzia┼éalno┼Ťci w firmie ÔÇô ustalili, jakie musimy mie─ç wymagania wzgl─Ödem us┼éug informatycznych, ┼╝eby te us┼éugi informatyczne zaspokoi┼éy potrzeby biznesowe.

I teraz te wszystkie wymogi, wytyczne, standardy, procesy, kt├│re sobie zadeklarujemy, zwykle przybieraj─ů form─Ö polityki bezpiecze┼ästwa. Zdecydowana wi─Ökszo┼Ť─ç przedsi─Öbiorstw posiada taki dokument z polityk─ů. Natomiast powiem, ┼╝e widzia┼éem firmy, w kt├│rych polityka bezpiecze┼ästwa IT rzeczywi┼Ťcie funkcjonowa┼éa i ┼╝y┼éa z t─ů firm─ů: ka┼╝da zmiana w ┼Ťrodowisku biznesowym by┼éa odzwierciedlana w aktualizacji wymaga┼ä w  dokumencie. Ale widzia┼éem te┼╝ firmy, gdzie ten dokument by┼é traktowany stricte jako taki, kt├│ry ma odpowiedzie─ç na ewentualne pytania potencjalnego audytora. Czy jest polityka bezpiecze┼ästwa? Tak, jest. Czy odpowiada potrzebom biznesowym? Tak, odpowiada. Nast─Öpne pytanie.

Ale dlaczego to takie wa┼╝ne, ┼╝eby zadeklarowa─ç og├│lny system zarz─ůdzania bezpiecze┼ästwem i zdefiniowa─ç swoje w┼éasne wymagania? Ano dlatego, ┼╝e w sytuacji kryzysowej poszczeg├│lne elementy gotowej polityki mog─ů nas, m├│wi─ůc wprost, uchroni─ç przed bardzo trudn─ů sytuacj─ů, nawet przed bankructwem. Wyobra┼║my sobie, ┼╝e w┼éa┼Ťnie w tym momencie do┼Ťwiadczamy skutecznego ataku, a nasze dane w firmie s─ů szyfrowane. Ostatnie ataki pokazuj─ů, ┼╝e mo┼╝e to by─ç kwestia jedynie kilku godzin, a┼╝ ca┼ékowicie stracimy dost─Öp do danych. I teraz administrator widz─ůc, ┼╝e dzieje si─Ö atak, pr├│buje reagowa─ç. Ale nad g┼éow─ů porusza mu si─Ö kierownictwo i m├│wi: ÔÇ×Bo┼╝e, zatrzymaj to, ratuj nas, system si─Ö paliÔÇŁ. Wtedy w og├│le nie wiemy, w kt├│r─ů stron─Ö mamy biega─ç.

Mo┼╝na sobie wyobrazi─ç, ┼╝e taka sytuacja nie b─Ödzie efektywna ÔÇô to raczej chaos ni┼╝ konsekwentne reagowanie na zagro┼╝enie. Natomiast je┼╝eli mamy dobrze skonstruowan─ů polityk─Ö bezpiecze┼ästwa, to w jej elementach znajd─ů si─Ö takie procedury jak zarz─ůdzanie incydentem. Wtedy administrator doskonale powinien wiedzie─ç, co zrobi─ç, jakie kompetencje do niego nale┼╝─ů, kogo informowa─ç, w jakim czasie i jakich zasad si─Ö trzyma─ç. Tak┼╝e zach─Öcam, by┼Ťcie zastanowili si─Ö, jak to wygl─ůda u Was w firmie: czy posiadacie polityk─Ö bezpiecze┼ästwa IT, kiedy by┼éa ona aktualizowana. A je┼╝eli by┼éa aktualizowana ÔÇô jak wiele zmian w  otoczeniu biznesowym zaistnia┼éo od czasu ostatniej aktualizacji i czy nie warto si─Ö z powrotem przyjrze─ç zapisom w tym dokumencie.

 

Na czym polega zarz─ůdzanie ci─ůg┼éo┼Ťci─ů dzia┼éania w firmie w zakresie cyberbezpiecze┼ästwa?

Jednym z kolejnych obszar├│w, kt├│rych bezpiecze┼ästwo IT dotyka, jest zarz─ůdzanie ci─ůg┼éo┼Ťci─ů dzia┼éania. Chodzi mi nie tylko o backup, ale te┼╝ o holistyczne zastanowienie si─Ö, co tak naprawd─Ö wa┼╝ne jest dla biznesu, jakie zagro┼╝enia mog─ů nam zagrozi─ç, kogo informowa─ç w sytuacji awarii, w jaki spos├│b i jakich rozwi─ůza┼ä zast─Öpczych u┼╝y─ç, na jak d┼éugo je wprowadzi─ç.

To naprawd─Ö bardzo istotne. Dlaczego? Tutaj podam Wam przyk┼éad pewnej firmy zatrudniaj─ůcej ponad 2000 os├│b. System krytyczny wymaga┼é bardzo du┼╝ej dost─Öpno┼Ťci ÔÇô przez raptem p├│┼é godziny biznes m├│g┼é oby─ç si─Ö bez jego dzia┼éania. Ca┼ékowitym ┼Ťrodkiem zast─Öpczym, jaki rozwi─ůzywa┼é problem na d┼éu┼╝szy czas, okazywa┼éa si─Ö najprostsza drukarka, drukuj─ůca dokumenty, w oparciu o kt├│re pracownicy dalej mogli wykonywa─ç swoje czynno┼Ťci biznesowe. M├│wi─Ö o tym dlatego, ┼╝e takie zarz─ůdzanie ryzykiem w ramach zarz─ůdzania ci─ůg┼éo┼Ťci─ů dzia┼éania mo┼╝e nam bardzo wiele powiedzie─ç o firmie, a tak┼╝e pom├│c lepiej przygotowa─ç si─Ö na sytuacje, kt├│re ÔÇô je┼╝eli si─Ö zmaterializuj─ů ÔÇô nie zaskocz─ů nas. W takich sytuacjach powinni┼Ťmy si─Ö odnale┼║─ç i jako┼Ť to przetrwa─ç.

Ale zarz─ůdzanie ci─ůg┼éo┼Ťci─ů dzia┼éania to tak┼╝e sformalizowanie naszych spostrze┼╝e┼ä, przygotowanie odpowiednich procedur i instrukcji oraz, co wa┼╝niejsze, systematyczne szkolenie personelu z zakresu tych procedur i  instrukcji. Bo wyobra┼║my sobie, ┼╝e napiszemy plan ci─ůg┼éo┼Ťci dzia┼éania, skonstruujemy procedury, na przyk┼éad podnoszenia system├│w po awarii, natomiast w┼éo┼╝ymy ten plan do szafy, on tam b─Ödzie le┼╝a┼é i si─Ö kurzy┼é, w mi─Ödzyczasie trzy razy zmienimy system i je┼╝eli nast─ůpi jego awaria, to sie oka┼╝e, ┼╝e plan ci─ůg┼éo┼Ťci dzia┼éania zupe┼énie nie pasuje do obecnej sytuacji w firmie, a w og├│le ludzie nie wiedz─ů, gdzie go szuka─ç i jak z niego korzysta─ç. Wi─Öc szkolenia s─ů w tym wypadku szczeg├│lnie istotne ÔÇô do tego tematu dojdziemy w dalszej cz─Ö┼Ťci.

Zarz─ůdzanie ci─ůg┼éo┼Ťci─ů dzia┼éania to r├│wnie┼╝ kwestie administracyjne, czyli bezpiecze┼ästwo samego dokumentu, oczywi┼Ťcie test, aktualizowanie. Natomiast niezwykle istotne te┼╝ jest sensowne i bezpieczne przechowywanie tego dokumentu. Ja sam widzia┼éem, jak pewna firma w ramach jednego dokumentu o zarz─ůdzaniu ci─ůg┼éo┼Ťci─ů dzia┼éania mia┼éa wprost, jasnym tekstem, wpisany w dokumencie login i has┼éo do witryny internetowej, z kt├│rej by┼éa do pobrania kopia jednego z krytycznych system├│w. Wyobra┼║cie sobie, ┼╝e t─Ö informacj─Ö widzia┼é ka┼╝dy pracownik w firmie, r├│wnie┼╝ taki, kt├│ry z tej firmy odchodzi i chcia┼éby w jaki┼Ť spos├│b jej zaszkodzi─ç. Scenariuszy, w jakich tego typu dane mo┼╝e wykorzysta─ç, jest naprawd─Ö du┼╝o. Wi─Öc poza sam─ů efektywno┼Ťci─ů dokumentu warto pami─Öta─ç tak┼╝e o tym, jak zarz─ůdzamy dokumentem, gdzie go przechowujemy, aktualizujemy i testujemy.

 

Jak zadba─ç o bezpiecze┼ästwo fizyczne i ┼Ťrodowiskowe w kontek┼Ťcie bezpiecze┼ästwa IT?

Obszar, kt├│ry by─ç mo┼╝e niekoniecznie wprost kojarzy si─Ö z bezpiecze┼ästwem IT i cyberbezpiecze┼ästwem, to bezpiecze┼ästwo fizyczne i ┼Ťrodowiskowe.

M├│wimy tutaj o takich kwestiach, jak zasady dost─Öpu do przestrzeni w biurze. Na przyk┼éad czy go┼Ťcie mog─ů korzysta─ç z naszej sieci bezprzewodowej, a je┼Ťli tak, to jaka jest konfiguracja tej sieci? Jak obs┼éugujemy kurier├│w? W jednej firmie, w kt├│rej wykonywali┼Ťmy audyt, zaobserwowali┼Ťmy takie zjawisko, ┼╝e przys┼éowiowy ÔÇ×Pan KanapkaÔÇŁ wchodzi┼é do windy i przeje┼╝d┼╝aj─ůc przez kolejne pi─Ötra, pomijaj─ůc w og├│le recepcj─Ö, wychodz─ůc na kolejnym pi─Ötrze, podchodzi┼é do okienka i puka┼é w szybk─Ö. Kt├│ry┼Ť z pracownik├│w widz─ůc, ┼╝e przyszed┼é ÔÇ×Pan KanapkaÔÇŁ, otwiera┼é drzwi, wpuszcza┼é go do ┼Ťrodka, a ci, co chcieli, kupowali sobie jedzenie. Natomiast ja ju┼╝ oczami wyobra┼║ni widzia┼éem t─Ö procedur─Ö testow─ů, w kt├│rej na przyk┼éad wcielamy si─Ö w jakiego┼Ť intruza, udajemy ÔÇ×Pana Kanapk─ÖÔÇŁ i po prostu zwiedzamy sobie te wszystkie pi─Ötra w firmie.

Oczywi┼Ťcie zagadnienia z bezpiecze┼ästwa fizycznego to nie tylko ÔÇ×Pan KanapkaÔÇŁ, to te┼╝ tak samo personel sprz─ůtaj─ůcy, kt├│ry zwykle znajduje si─Ö w biurach po godzinach pracy. Ale o tym pewnie cz─Östo s┼éyszycie w ramach szkolenia z polityki czystego biurka: ┼╝eby nie zostawia─ç jakich┼Ť krytycznie wa┼╝nych czy te┼╝ istotnych dokument├│w na wierzchu. Tak samo jest z us┼éugami serwisowymi czy gara┼╝em. Generalnie chodzi o to, ┼╝eby do naszej przestrzeni biurowej wchodzi┼éy tylko te osoby, kt├│re maj─ů wej┼Ť─ç ÔÇô i tylko do takich obszar├│w, do jakich s─ů biznesowo uprawnione.

Bezpiecze┼ästwo fizyczne to tak samo zasady dost─Öpu awaryjnego poza godzinami pracy, na przyk┼éad do serwerowni. Awaria nie wybiera, mo┼╝e si─Ö zdarzy─ç w weekend. Je┼╝eli nie aktualizujemy zasad dost─Öpu, na przyk┼éad na ochronie nie podajemy aktualnej listy os├│b uprawnionych do wej┼Ťcia do serwerowni, to mo┼╝e si─Ö zdarzy─ç tak, ┼╝e je┼╝eli zatrudnimy nowego administratora i on b─Ödzie musia┼é usuwa─ç awari─Ö poza godzinami pracy, znacznie nam si─Ö wyd┼éu┼╝y czas obs┼éugi awarii, gdy┼╝ ÔÇô akurat tutaj mam nadziej─Ö ÔÇô na ochronie zostanie taka osoba zatrzymana do czasu potwierdzenia jej to┼╝samo┼Ťci. 

W ramach bezpiecze┼ästwa ┼Ťrodowiskowego, ale w kontek┼Ťcie bezpiecze┼ästwa IT, w obszarze serwerowni najcz─Ö┼Ťciej rozwa┼╝a si─Ö takie zagro┼╝enia, jak: po┼╝ar, zalanie, utrata zasilania. Zagro┼╝enia ┼Ťrodowiskowe w pierwszej chwili nie wydaj─ů si─Ö najbardziej istotne. Natomiast utrata zasilania mo┼╝e si─Ö zdarzy─ç. Warto wi─Öc si─Ö zastanowi─ç, czy je┼Ťli rzeczywi┼Ťcie w naszym miejscu pracy zabraknie zasilania, to mamy alternatywne ┼║r├│d┼éo zasilania, czy jest ono skuteczne i pozwala bezpiecznie obs┼éugiwa─ç systemy informatyczne. Konserwacja instalacji ochronnych to ci─ůg dalszy.

 

Jak odpowiednio zarz─ůdza─ç uprawnieniami i dost─Öpami, by zadba─ç o cyberbezpiecze┼ästwo?

Zarz─ůdzanie uprawnieniami to obszar, kt├│ry zwykle kojarzy si─Ö z przydzielaniem uprawnie┼ä i odbieraniem uprawnie┼ä ÔÇô w zasadzie tylko z tym. A tak naprawd─Ö to wierzcho┼éek g├│ry lodowej, bo tworz─ůc proces zarz─ůdzania uprawnieniami, robimy to, ┼╝eby wiedzie─ç, ┼╝e osoby korzystaj─ůce z naszych system├│w informatycznych zawsze maj─ů dok┼éadnie taki dost─Öp, jaki powinny mie─ç z racji wykonywanych obowi─ůzk├│w. R├│wnie┼╝ tworzymy taki proces zarz─ůdzania uprawnieniami, ┼╝eby zapewni─ç rozliczalno┼Ť─ç i niezaprzeczalno┼Ť─ç tego, co te konta robi─ů w systemach informatycznych. Jest to szczeg├│lnie istotne na przyk┼éad, gdy zdarzy si─Ö jaki┼Ť incydent ÔÇô wtedy w dziennikach systemowych, w logach b─Ödziemy mieli zawsze jednoznaczn─ů informacj─Ö, co, kto i kiedy zrobi┼é. To mo┼╝e si─Ö przyda─ç w wielu przypadkach, natomiast chodzi o to, ┼╝eby w┼éa┼Ťnie na tym polegaj─ůc─ů rozliczalno┼Ť─ç i niezaprzeczalno┼Ť─ç ca┼éy czas kontrolowa─ç w systemie.

To dotyczy zar├│wno du┼╝ych firm, kt├│re maj─ů wielu, wielu administrator├│w czy deweloper├│w, jak i ma┼éych firm, kt├│re posi┼ékuj─ů si─Ö tylko firm─ů zewn─Ötrzn─ů do zarz─ůdzania us┼éugami informatycznymi. Ta rozliczalno┼Ť─ç i niezaprzeczalno┼Ť─ç mo┼╝e by─ç nam w├│wczas potrzebna do tego, ┼╝eby┼Ťmy potrafili zweryfikowa─ç, czy lista zada┼ä wykonywanych przez firm─Ö zewn─Ötrzn─ů jest to┼╝sama z tym, co widzimy u nas w systemach i odwrotnie.

Zarz─ůdzanie uprawnieniami to te┼╝ zasady, w kt├│rych na przyk┼éad prezes nie musi posiada─ç uprawnie┼ä administracyjnych w ka┼╝dej aplikacji biznesowej i w ka┼╝dym elemencie infrastruktury. I odwrotnie ÔÇô je┼╝eli mamy administratora systemu finansowo-ksi─Ögowego, to by─ç mo┼╝e on nie musi, a w zasadzie nie powinien posiada─ç uprawnie┼ä administracyjnych albo uprawnie┼ä g┼é├│wnej ksi─Ögowej w samej aplikacji.

Jak ju┼╝ si─Ö pewnie zd─ů┼╝yli┼Ťcie zorientowa─ç, samo zarz─ůdzanie uprawnieniami to nie tylko dodawanie i modyfikowanie uprawnie┼ä. To jest szeroko rozci─ůgaj─ůcy si─Ö temat, na kt├│ry warto patrze─ç z perspektywy ca┼éej organizacji i potrzeb biznesowych.

 

Jak wygl─ůda zarz─ůdzanie zmian─ů w us┼éugach IT?

Zarz─ůdzanie zmian─ů w us┼éugach informatycznych to proces, kt├│ry mimo wszystko cz─Ö┼Ťciej spotykany jest w du┼╝ych firmach, gdzie istnieje podzia┼é na ┼Ťrodowiska testowe, produkcyjne, deweloperskie; gdzie zarz─ůdza si─Ö danymi testowymi czy produkcyjnymi. Natomiast na tym etapie chc─Ö Wam przekaza─ç, ┼╝e zarz─ůdzanie zmian─ů w systemach informatycznych to narz─Ödzie, kt├│re ma nas zapewni─ç, ┼╝e wszystkie zmiany, jakie wprowadzimy do naszych aplikacji czy na ┼Ťrodowiska produkcyjne, zawsze b─Öd─ů przetestowane. Za ka┼╝dym razem b─Ödziemy ┼Ťwiadomi tych zmian, czyli b─Ödziemy zawsze akceptowa─ç je przed wdro┼╝eniem na ┼Ťrodowisko produkcyjne, a w przypadku awarii wycofamy dan─ů zmian─Ö, je┼╝eli z jakiego┼Ť powodu b─Ödzie mia┼éa negatywny skutek na ┼Ťrodowisko produkcyjne. Generalnie zawsze b─Ödziemy kontrolowa─ç, co i w jaki spos├│b jest zmieniane w naszych us┼éugach informatycznych.

Jakie powinny by─ç zasady? Nie ma tutaj jednej odpowiedzi. Ka┼╝dy przypadek i scenariusz to kwestia indywidualna. Natomiast chodzi o to, by za ka┼╝dym razem przyk┼éadowy w┼éa┼Ťciciel biznesowy mia┼é komfort, ┼╝e tak naprawd─Ö on jest odpowiedzialny za to, jakie parametry i zmiany dotycz─ů aplikacji, na kt├│rych pracuje. I z drugiej strony ÔÇô ┼╝eby konfiguracja komputer├│w zawsze by┼éa ustalona czy te┼╝ kontrolowana i utrzymywana w okre┼Ťlonym przez nas standardzie.

 

Na jakie kwestie cyberbezpieczeństwa zwrócić uwagę przy umowach z dostawcami zewnętrznymi?

Celowo wskaza┼éem punkt dotycz─ůcy bezpiecze┼ästwa w umowach z dostawcami zewn─Ötrznymi, poniewa┼╝ jest to temat, kt├│ry nie nasuwa si─Ö na my┼Ťl w pierwszej kolejno┼Ťci, gdy m├│wimy o bezpiecze┼ästwie system├│w informatycznych.

Wspominam o tym zagadnieniu, gdy┼╝ widzia┼éem przypadek, w kt├│rym przedsi─Öbiorstwo mia┼éo podpisan─ů z firm─ů zewn─Ötrzn─ů umow─Ö na wsparcie i utrzymanie systemu. To by┼é system istotny biznesowo i wykorzystywany produkcyjnie, a nie jaki┼Ť podrz─Ödny, backofficeÔÇÖowy. Umowa zosta┼éa tak skonstruowana, ┼╝e firma na przyk┼éad deklarowa┼éa czas podj─Öcia reakcji na incydent, natomiast w interesie klienta tej firmy zewn─Ötrznej by┼éo to, ┼╝eby jak najszybciej usun─ů─ç awari─Ö. Wi─Öc tam odbywa┼éy si─Ö bardzo z┼éo┼╝one negocjacje ÔÇô takie, ┼╝e ÔÇ×okej, deklarujemy czas na podj─Öcie reakcji, ale dla nas wa┼╝niejsze jest to, ┼╝eby┼Ťmy zadeklarowali sobie czas maksymalny na usuni─Öcie awarii, ewentualnie na zaproponowanie ┼Ťrodk├│w alternatywnych, jakiego┼Ť innego rozwi─ůzania, kt├│re umo┼╝liwi nam w biznesie po prostu dzia┼éa─çÔÇŁ. Taka delikatna r├│┼╝nica w definicji, a jednak w chwili awarii mog┼éaby mie─ç kolosalne znaczenie.

 

Dlaczego szkolenia z zakresu bezpiecze┼ästwa IT s─ů wa┼╝ne?

Jest jeszcze jedna rzecz, na jak─ů chcia┼ébym zwr├│ci─ç Wasz─ů uwag─Ö w kontek┼Ťcie zarz─ůdzania bezpiecze┼ästwem w IT. Chodzi o szkolenia. To temat, kt├│ry cz─Östo kojarzymy z form─ů relaksu, natomiast jest szalenie istotny, dlatego ┼╝e powinni┼Ťmy si─Ö szkoli─ç i ca┼éy czas od┼Ťwie┼╝a─ç sobie wiedz─Ö z procedur, jakie mamy w firmie ÔÇô bo one powinny si─Ö zmienia─ç. Konieczne s─ů szkolenia aktualizuj─ůce przyzwyczajenia i informacje w tym zakresie ÔÇô i to zar├│wno u nowych pracownik├│w, jak i takich, kt├│rych mamy od wielu lat.

Powinni┼Ťmy si─Ö ca┼éy czas szkoli─ç z zakresu zagro┼╝e┼ä, kt├│re w naszym otoczeniu biznesowym mog─ů by─ç szczeg├│lnie istotne. Na przyk┼éad je┼╝eli jestem osob─ů, kt├│ra bardzo du┼╝o podr├│┼╝uje, to dobrze, ┼╝ebym wiedzia┼é, jakie s─ů dobre praktyki w zakresie korzystania z technologii na wyjazdach, w hotelach czy kawiarenkach internetowych, a tak┼╝e jakie zagro┼╝enia mog─ů mnie spotka─ç. Co wa┼╝ne, takie szkolenia powinny by─ç dedykowane r├│┼╝nym grupom w naszej organizacji. Mam na my┼Ťli, ┼╝e tak samo powinien by─ç szkolony prezes, jak i pracownik recepcji. Te osoby mog─ů spotka─ç r├│┼╝ne zagro┼╝enia, wi─Öc powinny wiedzie─ç, jak je identyfikowa─ç i jak sobie z nimi radzi─ç. Na przyk┼éad kto┼Ť, kto podr├│┼╝uje, nie powinien przejmowa─ç od innego pracownika pendriveÔÇÖa, ┼╝eby skopiowa─ç dokument na laptopa i wydrukowa─ç go.

Z jakich jeszcze powod├│w szkolenia s─ů tak wa┼╝ne? Po pierwsze, technologia tak si─Ö zmienia, ┼╝e zagro┼╝enia, kt├│re jeszcze kilka lat temu widzieli┼Ťmy w filmach science fiction, dzisiaj stanowi─ů ju┼╝ realn─ů technologi─Ö, jaka mi─Ödzy innymi jest wykorzystywana, ┼╝eby atakowa─ç systemy informatyczne. Na pewno ka┼╝dy spotka┼é si─Ö z terminem fake news. Je┼╝eli dodamy do tego troch─Ö sztucznej inteligencji, to powstaje termin deepfake. Na czym to dok┼éadnie polega, pokazuje wideo ze sfa┼észowanym przem├│wieniem Obamy.

 

Osoba korzystaj─ůca z takiej technologii mo┼╝e w czasie rzeczywistym prze┼éo┼╝y─ç w┼éasn─ů mimik─Ö na mimik─Ö kompletnie innej osoby, a wi─Öc podszywa─ç si─Ö w czasie rzeczywistym pod inn─ů osob─Ö, rozmawiaj─ůc z kim┼Ť za pomoc─ů wideo. Nazywam to ÔÇ×metod─ů na wnuczka 2.0ÔÇŁ, bo jestem przekonany, ┼╝e gdyby kto┼Ť podszywa┼é si─Ö w ten spos├│b pode mnie i zadzwoni┼é na przyk┼éad do moich rodzic├│w, to oni ca┼ékowicie by si─Ö nie zorientowali, ┼╝e to technologia, kt├│ra w tym wypadku jest wykorzystywana do skierowanego ataku na nich.

Zatem powinni┼Ťmy si─Ö szkoli─ç. Dobrze jest rozwija─ç wiedz─Ö w kontek┼Ťcie atak├│w tylko po to, ┼╝eby wyczula─ç si─Ö na potencjalne zabiegi. Widzia┼éem taki przypadek w firmie, kt├│rej wys┼éano maila z bardzo podobnego adresu z pro┼Ťb─ů o aktualizacj─Ö konta do uregulowania faktur. I to si─Ö przest─Öpcom uda┼éo, z firmy wyciek┼éo troch─Ö pieni─Ödzy. Wyobra┼║cie te┼╝ sobie sytuacj─Ö, w kt├│rej dzwoni prezes jakiej┼Ť firmy do pani g┼é├│wnej ksi─Ögowej, wykorzystuj─ůc t─Ö technologi─Ö, i w spos├│b niecierpi─ůcy zw┼éoki zmusza j─ů, ┼╝eby wykona┼éa przelew.

Rozw├│j nowej technologii niesie ogromne mo┼╝liwo┼Ťci i mn├│stwo frajdy, ale te┼╝ du┼╝e wyzwania. Dlatego raz jeszcze powt├│rz─Ö: powinni┼Ťmy si─Ö szkoli─ç.

 

Jak zweryfikować poziom bezpieczeństwa IT w firmie?

Ponownie wracamy do kwestii, jak szybko zweryfikowa─ç poziom bezpiecze┼ästwa w firmie. My┼Ťl─Ö, ┼╝e intuicyjnie ju┼╝ troch─Ö czujemy, ┼╝e bezpiecze┼ästwo IT to obszar, kt├│ry wykracza poza kwestie ┼Ťci┼Ťle informatyczne. Bezpiecze┼ästwo IT to nie tylko zagro┼╝enie wirusem i sprawy zwi─ůzane z RODO.

┼╗eby rzetelnie sprawdzi─ç bezpiecze┼ästwo w naszej firmie, powinni┼Ťmy mie─ç na pok┼éadzie kompetencje, kt├│re s─ů w tym zakresie wyspecjalizowane i odpowiednio umocowane organizacyjnie. Dlaczego to takie wa┼╝ne? Ano wyobra┼║cie sobie, ┼╝e w firmie pracuje jeden administrator. Stwierdzamy, ┼╝e inwestujemy w jego kompetencje, wi─Öc wysy┼éamy go na seri─Ö szkole┼ä. Administrator potwierdza swoj─ů wiedz─Ö, zdaj─ůc kolejne certyfikaty, wraca do naszej firmy. Zauwa┼╝cie, ┼╝e wtedy w ramach jednej osoby i jednej roli, mamy kogo┼Ť, kto projektuje mechanizmy kontrolne takie jak polityka bezpiecze┼ästwa IT, wdra┼╝a je, implementuje w systemach informatycznych, czyli konfiguruje te systemy informatyczne. I teraz, je┼╝eli chcemy dowiedzie─ç si─Ö, czy jeste┼Ťmy bezpieczni i czy mechanizmy kontrolne dzia┼éaj─ů w spos├│b efektywny, to przejdziemy znowu do tej samej osoby. W zwi─ůzku z tym jeden pracownik projektuje, wdra┼╝a i raportuje nam poziom bezpiecze┼ästwa.

To taki klasyczny konflikt interes├│w, kt├│rego dobre praktyki rekomenduj─ů unika─ç. Zaleca si─Ö rozdzielanie roli projektuj─ůcej i weryfikuj─ůcej od roli utrzymuj─ůcej mechanizmy kontrolne, systemy informatyczne. I teraz je┼╝eli mamy takie kompetencje i s─ů one odpowiednio umocowane, to po prostu jedyne, co musimy zrobi─ç, to wdro┼╝y─ç systematyczny nadz├│r, kt├│ry w praktyce stanowi ci─ůg┼éy audyt lub ci─ůg┼éy monitoring. W ka┼╝dym innym przypadku, kiedy nie mamy takich kompetencji, warto je naby─ç. Jak sami widzicie, to bardzo szeroki temat i je┼╝eli chcemy rzetelnie sprawdzi─ç poziom bezpiecze┼ästwa, to warto zrobi─ç to z kim┼Ť, kto ma w tym zakresie do┼Ťwiadczenie.

Jaki jest klucz do sukcesu przy ci─ůg┼éym audycie czy monitoringu? W ramach naszej dzia┼éalno┼Ťci spostrzegli┼Ťmy pewn─ů zale┼╝no┼Ť─ç: nawet je┼Ťli istniej─ů omawiane wcze┼Ťniej kompetencje i ten audyt si─Ö odbywa w miar─Ö cyklicznie, to tak czy inaczej kluczem do sukcesu pozostaje systematyczno┼Ť─ç. Trzeba okre┼Ťli─ç sobie jakie┼Ť KPI, jakie┼Ť cechy, jakie┼Ť mierniki, kt├│re z punktu widzenia kierownictwa firmy nie b─Öd─ů si─Ö skupia┼éy na tym, jaka krytyczna podatno┼Ť─ç jest na jakim┼Ť konkretnym serwerze, ale na tym, ┼╝eby te mechanizmy w prosty spos├│b umo┼╝liwia┼éy nam zorientowanie si─Ö, czy osoby, kt├│re s─ů odpowiedzialne za bezpiecze┼ästwo w firmie, robi─ů swoj─ů prac─Ö, a tak┼╝e czy procesy, kt├│re zosta┼éy zaprojektowane, dzia┼éaj─ů i czy okre┼Ťlony przez nas problem bezpiecze┼ästwa jest utrzymywany.

W ramach naszego produktu, czyli systemu CyberStudio, tak to rozwi─ůzali┼Ťmy, ┼╝e wdra┼╝aj─ůc system u klienta, mamy jeden obszar, kt├│ry analizuje i raportuje obserwacje ┼Ťci┼Ťle techniczne ÔÇô liczby podatno┼Ťci i inne techniczne zagadnienia. Ten sam system potrafi analizowa─ç procesy, czyli na przyk┼éad sprawdza─ç, czy podatno┼Ťci s─ů systematycznie usuwane. Albo je┼╝eli zadania zosta┼éy wykonane w ramach usuwania tych podatno┼Ťci, to czy s─ů one zamykane w terminie. Chodzi o takie stricte procesowe podej┼Ťcie do bezpiecze┼ästwa.

Natomiast kadra menad┼╝erska wy┼╝szego stopnia tak naprawd─Ö dostaje informacje tylko o tym, czy procesy dzia┼éaj─ů, czy s─ů jakie┼Ť zagro┼╝enia wymagaj─ůce interwencji. W zasadzie to jest stan, do kt├│rego powinno si─Ö d─ů┼╝y─ç w firmie, ┼╝eby jak najcz─Ö┼Ťciej utrzymywa─ç status aktualny na temat obecnego poziomu bezpiecze┼ästwa, innymi s┼éowy ÔÇô wiedzie─ç, czy wszystkie procesy dzia┼éaj─ů w spos├│b efektywny.

 

Jakie zagro┼╝enia dotykaj─ů firm─Ö mimo zabezpiecze┼ä w sieci?

I teraz, gdy po wdro┼╝eniu r├│┼╝nych rozwi─ůza┼ä wiemy ju┼╝ mniej wi─Öcej, czym jest bezpiecze┼ästwo IT, rozpoczynamy proces przygotowania do uruchomienia mechanizm├│w kontrolnych. Mo┼╝emy zada─ç sobie pytanie: kt├│re zagro┼╝enia mog─ů dotkn─ů─ç firm─Ö pomimo zabezpiecze┼ä?

Tutaj przyda si─Ö kilka informacji pogl─ůdowych. Wed┼éug pewnego opracowania hakerzy atakuj─ů ┼Ťrednio co 39 sekund. Z kolei FBI zaraportowa┼éo w pierwszym p├│┼éroczu tego roku, ┼╝e od czasu, kiedy pojawi┼é si─Ö COVID, zanotowano 300ÔÇô400% wzrostu aktywno┼Ťci przest─Öpczej.

12

 (┼║r├│d┼éo: https://cybermap.kaspersky.com/)

┼╗eby zobaczy─ç lepiej, jak to dzia┼éa, wystarczy wej┼Ť─ç w link, kt├│ry pokazuje, jak w czasie rzeczywistym realizowane s─ů ataki na ┼Ťwiecie. Firma Kaspersky udost─Öpnia dobr─ů wizualizacj─Ö tego, jakie aktywno┼Ťci s─ů obecnie przeprowadzane. Mo┼╝na zobaczy─ç, ┼╝e tak naprawd─Ö to jest ci─ůg┼éa wymiana ognia wszystkich ze wszystkimi ÔÇô hakuj─ů siebie non stop, wszyscy i wszystkich.

13

Okazuje si─Ö te┼╝, w ci─ůgu ostatniego roku zaobserwowano du┼╝y wzrost atak├│w skierowanych na ma┼ée i ┼Ťrednie firmy (┼║r├│d┼éo: https://www.hiscox.com/documents/2019-Hiscox-Cyber-Readiness-Report.pdf), co m├│wi o tym, ┼╝e dla atakuj─ůcych, czy te┼╝ os├│b pr├│buj─ůcych wymusza─ç okupy w wyniku zaszyfrowania danych, staj─ů si─Ö atrakcyjne r├│wnie┼╝ mniejsze przedsi─Öbiorstwa, ┼╝e s─ů one tak samo dostrzegane jak du┼╝e korporacje.

Tych zagro┼╝e┼ä tak naprawd─Ö nie ubywa, tylko przybywa, co wymaga wprowadzenia dobrych praktyk w przedsi─Öbiorstwie. Trzeba przygotowa─ç si─Ö na to, ┼╝e pr─Ödzej czy p├│┼║niej spotkamy si─Ö z materializacj─ů zagro┼╝enia. Zaznacz─Ö, ┼╝e nie mam na my┼Ťli tylko ataku hakerskiego, ale nawi─ůzuj─Ö te┼╝ do wszystkich obszar├│w, kt├│re sobie om├│wili┼Ťmy, czyli te┼╝ sytuacji, gdy zabraknie nam pr─ůdu w serwerowni, utracimy jakie┼Ť zasoby kluczowe w naszej firmie ÔÇô mam na my┼Ťli zasoby ludzkie ÔÇô a wi─Öc kiedy zmaterializuje si─Ö zagro┼╝enie z ca┼éego obszaru zarz─ůdzania bezpiecze┼ästwem IT.

 

Jak zadba─ç o zgodno┼Ť─ç z wymogami RODO w organizacji?

Uwa┼╝am, ┼╝e ┼Ťwietnym przyk┼éadem w zakresie wprowadzania dobrych praktyk w przedsi─Öbiorstwie mo┼╝e by─ç RODO, kt├│re z jednej strony jest bardzo og├│lne, ale z drugiej ÔÇôbardzo precyzyjne.

Je┼╝eli b─Ödziemy czytali dos┼éownie artyku┼é numer 32, dowiemy si─Ö, ┼╝e administrator i podmiot przetwarzaj─ůcy musz─ů wdro┼╝y─ç odpowiednie ┼Ťrodki techniczne i organizacyjne. W dalszej cz─Ö┼Ťci artyku┼éu s─ů wymieniane takie mechanizmy kontrolne, jak pseudonimizacja i szyfrowanie. Pseudonimizacja oznacza tak naprawd─Ö zast─Öpowanie danych jakimi┼Ť innymi danymi losowymi, ale na przyk┼éad z mo┼╝liwo┼Ťci─ů powrotu w specyficznych warunkach do danych oryginalnych. Czyli chodzi o takie maskowanie, kt├│re zostawi mo┼╝liwo┼Ť─ç odwrotu.

Gdy czytamy dalej, widzimy, ┼╝e jest mowa o poufno┼Ťci, integralno┼Ťci, dost─Öpno┼Ťci i odporno┼Ťci system├│w. Co to znaczy? Musimy zadba─ç, by informacje przetwarzane przez systemy by┼éy w odpowiedni spos├│b zabezpieczone przed dost─Öpem nieautoryzowanym. Kiedy m├│wimy o integralno┼Ťci, chodzi o to, ┼╝e dane przetwarzane przez nasze systemy pozostan─ů niezmienione w nieautoryzowany spos├│b w trakcie ich przetwarzania, czyli nikt nie zmanipuluje tych informacji. A kiedy m├│wimy o dost─Öpno┼Ťci i odporno┼Ťci system├│w, to wspominamy o tym, ┼╝e jeste┼Ťmy w stanie szybko podnie┼Ť─ç po awarii, odzyska─ç dane z backup├│w.

W kolejnym punkcie czytamy: ÔÇ×zdolno┼Ť─ç do szybkiego przywr├│cenia dost─Öpno┼Ťci danychÔÇŁ ÔÇô o tym ju┼╝ powiedzieli┼Ťmy. I na koniec regularne testowanie, mierzenie i ocenianie skuteczno┼Ťci ┼Ťrodk├│w technicznych i organizacyjnych. Co to oznacza? ┼╗eby wdro┼╝y─ç odpowiednio RODO, to tak naprawd─Ö znowu musimy spojrze─ç na nasz─ů organizacj─Ö indywidualnie. RODO nie daje nam konkretnych wskaz├│wek, jak to by┼éo po poprzedniej wersji regulacji, ┼╝e has┼éo musi mie─ç minimum osiem znak├│w, znaki specjalne i koniec kropka. W tym wypadku RODO przenosi tak─ů odpowiedzialno┼Ť─ç na firm─Ö. Firmy musz─ů zinwentaryzowa─ç systemy, kt├│re przetwarzaj─ů dane osobowe, a tak┼╝e wykona─ç analiz─Ö ryzyk, czyli zastanowi─ç si─Ö, jakie zagro┼╝enia mog─ů wp┼éyn─ů─ç na wspomniane wcze┼Ťniej integralno┼Ť─ç, dost─Öpno┼Ť─ç i poufno┼Ť─ç system├│w informatycznych, dobra─ç odpowiednie mechanizmy kontrolne, a nast─Öpnie systematycznie kontrolowa─ç, czy te mechanizmy dzia┼éaj─ů w spos├│b poprawny i efektywny. Innymi s┼éowy dostajemy rekomendacj─Ö do tego, ┼╝e musimy wdro┼╝y─ç kompletny proces zarz─ůdzania bezpiecze┼ästwem IT.

Co to oznacza w praktyce? Najcz─Ö┼Ťciej chodzi o konieczno┼Ť─ç wzorowania si─Ö na najlepszych rynkowych praktykach, czy to m├│wimy o normach ISO organizacji, takich jak ISACA. To, ┼╝e b─Ödziemy si─Ö wzorowali i wdro┼╝ymy jakie┼Ť mechanizmy kontrolne, oznacza te┼╝, ┼╝e musimy systematycznie kontrolowa─ç, poddawa─ç audytom. I to naprawd─Ö systematycznie. Ka┼╝da nieformalna praktyka w oczach RODO przesta┼éa ju┼╝ by─ç procesem. Czyli kiedy┼Ť by┼éo na przyk┼éad tak, ┼╝e najni┼╝szy poziom dojrza┼éo┼Ťci organizacyjnej osi─ůgano, kiedy faktycznie pracownicy wykonywali jakie┼Ť praktyki; one nie by┼éy sformalizowane ani standaryzowane, ale ÔÇô poniewa┼╝ by┼éa to praktyka powtarzana ÔÇô to uznawa┼éo si─Ö to ju┼╝ proces. W kontek┼Ťcie RODO ju┼╝ nie. Teraz ka┼╝dy proces, kt├│ry mamy do wykonania w firmie, a kt├│ry dotyka przetwarzania danych osobowych, musi by─ç ustrukturyzowany i sformalizowany.

Najcz─Ö┼Ťciej spotykana norma to ISO27001. O niej najwi─Öcej si─Ö m├│wi w kontek┼Ťcie potwierdzenia okre┼Ťlonego poziomu dojrza┼éo┼Ťci bezpiecze┼ästwa. Je┼╝eli jaka┼Ť firma chce potwierdzi─ç swoj─ů dojrza┼éo┼Ť─ç organizacyjn─ů w kontek┼Ťcie bezpiecze┼ästwa IT, to cz─Östym rozwi─ůzaniem jest po prostu certyfikowanie siebie w kierunku ISO27001. Jak widzicie, znowu wykraczamy szeroko poza kontekst samego wirusa i antywirusa.

 

Czy cyberataki mog─ů dotkn─ů─ç ka┼╝d─ů firm─Ö?

Jaka mo┼╝e by─ç konkluzja na koniec? Ano po prostu trzeba ÔÇ×uwierzy─ç w duchaÔÇŁ. Zagro┼╝enia istniej─ů, s─ů realne. To nie jest tak, ┼╝e one si─Ö gdzie┼Ť dziej─ů dooko┼éa nas i nigdy nie dotkn─ů nas personalnie. Nale┼╝y wcze┼Ťniej przygotowa─ç si─Ö na to, co mo┼╝e si─Ö wydarzy─ç. Wspomniana wielokrotnie analiza ryzyk mo┼╝e nam naprawd─Ö du┼╝o powiedzie─ç o naszej organizacji. Uzyskan─ů wiedz─Ö mo┼╝emy wykorzysta─ç do tego, ┼╝eby podj─ů─ç dzia┼éania, kt├│re obni┼╝─ů ryzyko materializacji danego zagro┼╝enia, na przyk┼éad zmieni─ç technologi─Ö, zrezygnowa─ç z tego procesu albo realizowa─ç go inaczej.

Kluczowe jest, ┼╝eby┼Ťmy wiedzieli po prostu do jakiego akceptowalnego poziomu musimy dzia┼éa─ç, a tak┼╝e do jakiego akceptowalnego poziomu musimy inwestowa─ç, ┼╝eby ryzyko przesta┼éo w jaki┼Ť istotny spos├│b nam zagra┼╝a─ç. A co, je┼╝eli mleko si─Ö rozleje? Taki jeden pechowy strza┼é z┼éo┼Ťliwego oprogramowania mo┼╝e wywr├│ci─ç firm─Ö do g├│ry nogami. Mo┼╝na tego unikn─ů─ç, mo┼╝na si─Ö na to przygotowa─ç. Rozmawiamy tak naprawd─Ö o wdra┼╝aniu dobrych praktyk, czyli jak wspomina┼éem: polityki bezpiecze┼ästwa IT, zarz─ůdzania ryzykiem, zarz─ůdzania ci─ůg┼éo┼Ťci─ů dzia┼éania, zarz─ůdzania incydentem. To s─ů g┼é├│wne obszary, od kt├│rych warto wyj┼Ť─ç i o kt├│rych warto pomy┼Ťle─ç.

Wspomn─Ö jeszcze co┼Ť, co ostatnio zyskuje na popularno┼Ťci, a co jeszcze niedawno nie by┼éo tak popularne u nas w kraju ÔÇô mianowicie ubezpieczenia od cyberzagro┼╝e┼ä. Jaki┼Ť czas temu, jak si─Ö interesowa┼éem tematem, stanowi┼éy do┼Ť─ç drog─ů opcj─Ö. Natomiast teraz coraz wi─Öcej towarzystw ubezpieczeniowych oferuje cyberubezpieczenia. By─ç mo┼╝e dla niekt├│rych firm oka┼╝e si─Ö to bardzo praktyczne rozwi─ůzanie. Dlatego ┼╝e z tego, co si─Ö zd─ů┼╝y┼éem zorientowa─ç, nie wymagaj─ů jakich┼Ť szczeg├│lnie du┼╝ych nak┼éad├│w finansowych, a wsparcie przy negocjacjach, obs┼éudze incydentu czy wyp┼éacaniu konkretnych ┼Ťrodk├│w mo┼╝e by─ç w dramatycznej chwili naprawd─Ö bardzo, bardzo pomocne.

 

Jak zwiększyć poziom identyfikowania cyberzagrożeń w firmie?

Na koniec podziel─Ö si─Ö kilkoma linkami, by┼Ťcie sprawdzili siebie. Rozmawiali┼Ťmy o innych firmach, ale teraz zach─Öcam Was do tego, ┼╝eby┼Ťcie upewnili si─Ö, w jaki spos├│b Wasze przedsi─Öbiorstwo operuje zdolno┼Ťci─ů do identyfikowania zagro┼╝e┼ä.

Pierwszy link, kt├│ry Wam prezentuj─Ö, to quiz, jaki przygotowa┼éa firma Google. Dotyczy tego, czy jeste┼Ťmy w stanie rozpoznawa─ç phishing, czyli jedno z najcz─Östszych zagro┼╝e┼ä wyst─Öpuj─ůcych obecnie na rynku. Zach─Öcam, bo jest to bardzo ciekawe do┼Ťwiadczenie, du┼╝o si─Ö mo┼╝na z niego nauczy─ç. Je┼╝eli co jaki┼Ť czas b─Ödziecie t─Ö wiedz─Ö od┼Ťwie┼╝a─ç, naprawd─Ö w ┼╝yciu codziennym du┼╝o Wam to pomo┼╝e.

Kolejny link to strona przygotowana przez pewnego etycznego aktywist─Ö. Chodzi o to, ┼╝e mo┼╝emy sprawdzi─ç, czy konkretny adres e-mail znajduje si─Ö w┼Ťr├│d danych, kt├│re wycieka┼éy z r├│┼╝nych miejsc. Bardzo cz─Östo wyciekaj─ů has┼éa do e-maili i je te┼╝ mo┼╝na sprawdzi─ç. Ta strona cieszy si─Ö dobr─ů reputacj─ů, ale mimo wszystko nie zach─Öcam ÔÇô ani tutaj, ani na ┼╝adnej innej stronie ÔÇô do wpisywania hase┼é po to, ┼╝eby zweryfikowa─ç, czy wyciek┼éy, czy nie. Natomiast warto, ┼╝eby┼Ťcie sprawdzili, czy adresy mailowe, kt├│rymi si─Ö pos┼éugujecie, znajduj─ů si─Ö w publicznych wyciekach i ewentualnie z jakich serwis├│w jakie dane mog┼éy wyciec.

Je┼╝eli korzystacie z konta na platformie Google, to macie do dyspozycji mechanizm polegaj─ůcy mniej wi─Öcej na tym samym. Google samo sprawdzi, czy Wasze has┼éa, zapisane na przyk┼éad w koncie Google czy przegl─ůdarce Chrome, znajduj─ů si─Ö w publicznych wyciekach. Dowiecie si─Ö, kt├│re dane dost─Öpowe s─ů s┼éabe, a kt├│re warto zmieni─ç. Pami─Ötam, ┼╝e jak pierwszy raz sam sobie sprawdzi┼éem to zagadnienie, to naprawd─Ö otworzy┼éo mi to oczy. Mia┼éem wtedy tak, ┼╝e w ┼Ťwiadomo┼Ťci utrzymywa┼éem tylko te konta i adresy mailowe, z kt├│rych korzysta┼éem w danej chwili albo w ostatnim, niedalekim czasie. Natomiast, jak si─Ö okaza┼éo, wycieka┼éy dane z for internetowych, kt├│rych nie u┼╝ywa┼éem przez 5 czy 8 lat. Mo┼╝na zacz─ů─ç si─Ö zastanawia─ç, ile tak naprawd─Ö informacji na nasz temat zostaje w internecie.

 

Chcesz dowiedzie─ç si─Ö, jak chroni─ç firm─Ö przed cyberprzest─Öpcami?
Um├│w si─Ö na bezp┼éatn─ů konsultacj─Ö z naszym ekspertem.

CHC─ś SKORZYSTA─ć Z KONSULTACJI

Przeprowadź darmowy audyt bezpieczeństwa IT

Sprawd┼║ mo┼╝liwo┼Ťci innowacyjnego narz─Ödzia audytorskiego Telescope

Przeprowad┼║ darmowy audyt IT