Bezpieczeństwo Informatyczne – praktycznie, racjonalnie i w przystępny sposób.
Bezpieczeństwo Informatyczne (nazywane dziś marketingowo: cyberbezpieczeństwo lub modniej: cybersecurity) - to wydzielona logicznie część bezpieczeństwa informacji (organizacyjny i prawny aspekt jest szerszy), polegająca na zapewnieniu odpowiednich środków technicznych do ochrony przetwarzanych danych, celem zachowania ich poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności (słowniczek pojęć pod artykułem).
Jaka jest świadomość zagrożeń w polskich firmach? Otóż, o ile ekran nie jest czarny, Internet działa i da się wykonywać codzienną rutynę, to jest z tym słabo i to bardzo. Jeszcze gorzej jest tam gdzie nikt nie zagląda, np. na serwerach czy w systemach przemysłowych. Mantrą jest: "tyle czasu jakoś to funkcjonowało, to dalej też będzie." Tymczasem cyfryzacja postępuje dość szybko i to co było parę lat temu to nie jest to samo z czym mamy do czynienia dziś.
Panuje też przekonanie, że o skutecznym ataku czy wycieku danych poszkodowany zostanie powiadomiony albo zorientuje się, że np. dysk serwera został zaszyfrowany, a na maila przyjdzie powiadomienie, że trzeba zapłacić okup. Tak bywa, ale atak może być też "cichy" a o skutkach poszkodowany może się dowiedzieć poszlakami, od klientów, czy Urzędu Ochrony Konkurencji i Konsumentów.
Dodam jeszcze, że na logikę poszkodowany, często ponosi również karę, o ile informacja dotrze do odpowiednich urzędów, nawet jeżeli przedsięwziął wcześniej środki zapobiegające, bo rzadko kiedy te są kompletne.
Zdarza się też, że gdzieniegdzie sam dokument Polityki Bezpieczeństwa Informatycznego w ogóle jest, to nie ma przełożenia na stronę praktyczną. Czyli obawa przed kontrolą formalną albo chęć dostosowania na przykład do wymogów ISO, jak choćby 27001 czy 27035, stawiane jest wyżej niż realna ochrona przed faktycznym zagrożeniem. To jak mieć instrukcję gaszenia pożaru ale nie mieć gaśnicy.
Niestety w uświadamianiu klienta nie pomaga też podejście większości wykonawców z branży IT. O doraźnych usługach nawet nie wspomnę, ale obsługę serwisową, sprowadza się zazwyczaj do utrzymania działania infrastruktury, bez kompleksowego uwzględniania zagadnień bezpieczeństwa informatycznego lub klient wręcz tego nie chce, bo wyszły by z tego dodatkowe koszty czy mniejsza wygoda, bo np. trzeba by wpisywać gdzieś dodatkowe hasło, a pracownik nie mógł by zainstalować sobie "potrzebnego" nagle programu.
W niniejszych rozważaniach pomijam kwestię fizycznego zabezpieczenia dostępu do zasobów informatycznych przez osoby niepowołane oraz stworzenie wspomnianej sterty papierów, choć do niektórych z nich, należy się przyłożyć, by w razie potrzeby spełniły swoje zadanie, jak np. zarządzanie incydentami bezpieczeństwa informacji.
Nie poruszam też obszernej tematyki bezpieczeństwa stron WWW, aplikacji webowych czy sklepów internetowych, na które ataki są plagą, szczególnie, jeżeli są to bezpłatne systemy CMS typu Wordpress. Jeżeli przetwarzają Państwo w takich systemach dane, bezwzględnie należy się nad tym pochylić, gdyż ryzyko jest wielokrotnie większe niż to w sieciach lokalnych przedsiębiorstw, a brak świadomości wynika zazwyczaj z niemonitorowanych hostingów i porzuconych aktualizacji tego typu systemów. Przekonanie właścicieli jest takie, że raz zrobione ma działać aż zmieni się moda w zakresie wyglądu strony WWW, a każdy kto mówi inaczej, to zwykły naciągacz. Przy takim podejściu, właściciel strony zazwyczaj dowiaduje się o ataku, gdy ten był już skuteczny.
Wracając do infrastruktury IT w firmie, na którą może składać się zarówno ta lokalna jak i chmurowa - wynajęta gdzieś, zacznijmy od zastanowienia się, skąd mogą pojawić się zagrożenia i jakie kierunki działań należy podjąć w danym przypadku, czyli zróbmy tzw. ocenę ryzyka.
1) Awaria sprzętu bądź oprogramowania.
Odpowiedzią na to zagrożenie jest zapewnienie dobrze przemyślanych rozwiązań kopii zapasowych danych, na urządzeniach niezależnych względem zabezpieczanych, w tym, najlepiej poza siedzibę firmy.
2a) Nieświadome działanie użytkownika zasobu powodujące szkodę.
Z pomocą przychodzi możliwość ograniczenia uprawnień użytkownika, konfiguracją systemu operacyjnego czy zasobów sieciowych, w oparciu o konkretne zasady panujące w danej firmie, najlepiej spisane jako standardy i procedury, a będące częścią Polityka Bezpieczeństwa Informatycznego. To zbiór wytycznych określających uprawnienia użytkowników w dostępnie do Zasobów, stopień poufności przechowywanych Danych Użytkownika, zabezpieczenia ich integralności w czasie składowania, edycji i przesyłania (np. w ramach dostępu zdalnego) oraz zapewnienie odpowiednich do zagrożeń środków organizacyjnych i technicznych do realizacji wytycznych (np. szyfrowanie partycji dysku, przynajmniej w laptopie wynoszonym z siedziby przedsiębiorstwa).
Polityka Bezpieczeństwa Informatycznego jest balansem pomiędzy świadomą oceną ryzyka i potencjalnych strat wynikających z nieautoryzowanego dostępu do zasobów oraz naruszenia integralności poufnych danych a z drugiej strony: nakładami na zabezpieczenia i ograniczeniami korzystania z zasobów przez użytkowników.
Szkolenie kadry pracowniczej w zakresie prawidłowego użytkowania zasobów oraz potencjalnych zagrożeń, również jest jakimś czynnikiem zmniejszającym potencjalne problemy, tym bardziej, że błędy człowieka stanowią większość incydentów naruszenia poufności danych. Budżetowym pomysłem mogą być zautomatyzowane szkolenia, nie wymagające zatrudniania specjalistów z zakresu cyberbezpieczeństwa, a tym samym znacznie tańsze i bardziej elastyczne w formie.
2b) Ignorancja ze strony osoby mającej dostęp do zasobów przedsiębiorstwa, to coś pomiędzy sytuacją z pkt. 2a a pkt. 2c.
Realizm obserwowany na co dzień w firmach klientów pokazuje, że często jak na stanowisku pracownika, pojawi się okno z ostrzeżeniem antywirusa, jest ono bez czytania zamykane, a jeśli pracownik ma jeszcze uprawnienia administratora i brak blokady w zarządzaniu antywirusem, to wręcz wyłączy ochronę, by mu coś tam nie plumkało co chwila. Zresztą niejeden szef też bywało, że tak zrobił. Liczy się skuteczność przecież. ;)
No i te hasła:
"Czy muszę wpisywać te hasło za każdym razem?" albo, ustawiam hasło do głównego WiFi (w sensie nie dla gości) i przekazuje szefowi, a na drugi dzień wisi ono naklejone na drzwi frontowe biura albo hasła przyklejane na fiszkach przy monitorze, itd. itp.
2c) Świadome działanie na szkodę przedsiębiorstwa ze strony osoby mającej formalny dostęp do zasobów.
Niestety w takim przypadku nie da się wyeliminować całkowicie zagrożenia. Można jedynie utrudnić zamiary, poprzez ograniczenie uprawnień, dodając do tego różnego rodzaju blokady i monitorowanie.
3) Atak wirusa lub zautomatyzowany atak hakerski (taki, który nie jest świadomie zaplanowany i wymierzony w konkretne przedsiębiorstwo).
Ten rodzaj zagrożeń jest najczęściej kojarzony z bezpieczeństwem informatycznym, często jako jedyny warty uwagi, a mimo to zaniedbywany. Przyjęło się bowiem przekonanie, że istnieje jeden krok do eliminacji zagrożeń tego typu: "jakiś" antywirus. To jednak tylko jeden ze sposobów, którym można podnieść bezpieczeństwo o ile zaimplementuje się to rozwiązanie w sposób przemyślany i będzie ono monitorowane. Szerzej omówiłem to tutaj. Uniwersalnym zaleceniem będą na pewno dobrze zabezpieczone przed skutkami takich ataków kopie zapasowe, ale i utrzymywanie aktualizowanego oprogramowania (w tym często pomijanego firmware urządzeń takich jak m.in. router czy sterowników w systemie operacyjnym), separacja sieci lokalnej (np. tzw. sieci gościnne, VLAN itp.), bezpieczny dostęp zdalny do zasobów firmy jak VPN'y - również na bieżąco łatane w razie potrzeby a nie konfigurowane raz i używane latami niczym klucz do zamka w drzwiach. W tym aspekcie, również znajdą zastosowanie ograniczenia uprawnień użytkowników, choćby do instalowania dodatkowego oprogramowania itd.
4) Celowe działanie na szkodę przedsiębiorstwa ze strony osoby niepowołanej, która zdobyła fizyczny dostęp do zasobów lub takiej, która chce dostać się zdalnie przez Internet lub lokalną sieć WiFi.
Ten aspekt zabezpieczeń jest w zasadzie sumą wszystkich poprzednich obszarów możliwych zagrożeń.
No dobrze - to teraz, jak się do tego zabrać?
Pierwszym krokiem jest audyt kompleksowy bądź ukierunkowany na dany obszar.
Dla większości firm, których zasoby IT nie wymagają wysoce hermetycznych środowisk pracy (np. banki), oferujemy pasywne audyty bezpieczeństwa informatycznego. Polegają one na wstępnym zapoznaniu się z infrastrukturą informatyczną i obiegiem danych, a następnie, w oparciu o wiedzę praktyczną i teoretyczną, kontroli konfiguracji systemów komputerów, serwerów i urządzeń sieciowych takich jak routery, bramy UTM, sieciowe UPS'y, sieciowe urządzenia wielofunkcyjne czy drukarki itp. Wszystko to, pod kątem zabezpieczenia danych oraz możliwych wektorów ataku tudzież przejęcia i/lub zniszczenia danych. Takie działania są milowym krokiem względem tego co zazwyczaj zastaję u klientów.
Jakie są innego typu audyty? Mogą to być tzw. "pentesty", polegające na symulowanych atakach mających wykazać luki zabezpieczeń. Czy są lepsze? Na pewno znacznie droższe i robią wrażenie na kliencie ale tylko część z tych ataków jest racjonalnie realna. Nie popadajmy więc w drugą skrajność, choć ich nie odradzam po pierwszym etapie i najlepiej by wykonała je inna firma, by była obiektywna i nie znała luk.
Jaki jest koszt audytu?
Koszt zależy od obszaru na jaki audyt będzie ukierunkowany, wielkości infrastruktury, złożoności przetwarzanych procesów oraz od stopnia szczegółowości raportu.
Ile kosztuje "zabezpieczenie"?
Koszt zależy od wielkości infrastruktury, złożoności przetwarzanych procesów, poziomu aktualnych zabezpieczeń oraz stanu sprzętu i oprogramowania oraz od tego, czy przedsiębiorstwo dysponuje już jakimiś wytycznymi polityki bezpieczeństwa informatycznego, czy wszystko trzeba opracować od zera, w tym dokumentację. Raport z audytu oczywiście otrzymują Państwo w formie pisemnej i jest on podstawą do wyceny kosztów zabezpieczeń.
Czasami wystarcza tylko odpowiednia rekonfiguracja, ale w mocno zaniedbanych infrastrukturach konieczna bywa wymiana oprogramowania i sprzętu albo uzupełnienie jego braków, np. UPS czy też wykupienia dodatkowych usług np. kopii danych w chmurze.
Bywa też tak, że dostępne na daną chwilę rozwiązania (nawet wymiana sprzętu czy systemu) nie zapewniają pełnego Bezpieczeństwa Informatycznego. Trzeba z tym jakoś żyć, posiłkując się rozwiązaniami zastępczymi. To tak jak z zabezpieczeniami samochodu, które służą raczej spowolnieniu włamywacza, dlatego często wybieramy mimo tego ubezpieczenie od kradzieży.
Przykładem może być głośna medialnie na przełomie 2017 a 2018 roku, luka w procesorach Intel i AMD (Spectre i Meltdown), do której dołączyły później następne i nawet w obecnych produktach nie są wyeliminowane całkowicie. Dotychczasowe łaty o ile w ogóle są dostępne, często rozwiązują problem częściowo albo zamieniają jedną lukę na inną, a w najlepszym razie spowalniają procesor. To przykład, gdzie pentesty wykażą lukę, ale do realnego zagrożenia jest naprawdę daleko, o ile posiadamy dobrze działające pozostałe zabezpieczenia.
Niestety nie istnieje coś takiego jak domyślny zestaw wytycznych w danym zakresie, ponieważ nie ma ani górnej granicy szczegółowości audytu ani górnej granicy nakładów finansowych na zabezpieczenia. Nawet najwyższe standardy programowego (niefizycznego) bezpieczeństwa informatycznego, nie dają 100% pewności, że zabezpieczą przed działaniami przestępczymi, w szczególności hakerskimi. Należy indywidualnie (w drodze jak najbardziej świadomej dla zleceniodawcy konsultacji) ustalić poziom zabezpieczeń dla danego przedsiębiorstwa, omawiając wyniki audytu, opierając się na wyżej wspomnianej "zasadzie balansu", z uwzględnianiem oczywiście wytycznych prawnych i organizacyjnych.
Wdrożenie zabezpieczeń czy przygotowanie dokumentu polityki bezpieczeństwa informatycznego nie jest tylko zapobiegliwością przedsiębiorstwa przed stratami wynikającymi z utraty danych lub ich przejęcia przez osoby niepowołane. Dziś to są wymogi stawiane przez prawno. Nie ulegajmy jednak nagonce medialnej na literę prawa, ale z drugiej strony nie zostawiajmy tego bez nadzoru. Warto podkreślić, że Rozporządzenie Ogólne o Ochronie Danych Osobowych nakłada także inne obowiązki spoza bezpieczeństwa informatycznego, o jakie zadbać musi przedsiębiorca.
A czy o unijnej dyrektywie NIS 2 Państwo słyszeli? Zapewne większość nie, a to dopiero jest rewolucja względem RODO, choć nie dotyczy wszystkich przedsiębiorstw.
Jest to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, którą państwa członkowskie mają wdrożyć do 17 października 2024 roku. Treść dyrektywy: tutaj
Bardziej "zjadliwe" omówienie polecam zaczerpnąć z tej strony.
Nakłada ona obowiązki w zakresie cyberbezpieczeństwa na szerszą grupę podmiotów niż dotychczas, które mogą być egzekwowane prawnie zanim dojdzie do jakiegoś incydentu np. z wyciekiem danych, a co istotne, audyt może być pentestem, tj. przeprowadzony przez zespół CSIRT (rządowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) atakiem z wykorzystaniem urządzeń bądź oprogramowania przystosowanego do popełnienia przestępstwa.
Pamiętajmy też, że bezpieczeństwo informatyczne infrastruktury, wymaga stałego monitorowania i systematycznego podnoszenia poziomu, co zapewnić może stosowna umowa na obsługę IT, poprzedzona racjonalnym audytem Państwa infrastruktury informatycznej i wdrożeniem stosownych zabezpieczeń.
Każdego dnia pojawiają się nowe pomysły hakerów, wirusy i nieodkryte wcześniej luki w systemach czy aplikacjach. Jednorazowe wdrożenie ma oczywiście też sens, choćby w zakresie ograniczenia uprawnień czy backupu danych, choć te ostatnie warto także nadzorować, by nie przypomnieć sobie, że coś takiego było ustawione dopiero w chwili awarii - bo nie wiadomo czy nadal działa.
Często spotykam się z tym, że firmy informatyczne, przejmujące klientów w zakresie stałej obsługi informatycznej, nie przeprowadzają audytu infrastruktury, w tym bezpieczeństwa IT. Dzieje się tak, ponieważ jest to dodatkowa praca, którą raczej nie upchnie się do abonamentu i zraża to wielu klientów do współpracy, którym wydaje się, że mają płacić "dwa razy". Po podpisaniu umowy serwisowej zaś, wykonawca nie będzie chętny do wskazywania nieprawidłowości, bo będzie to uznane za taktykę stopniowego wyłudzania. Tym sposobem nie robione jest nic, ku zadowoleniu klienta ale na jego niekorzyść.
Gotowych do zmiany sposobu podejścia, zapraszam do współpracy.
Użyte w artykule "prawno - formalno - techniczne" określenia, oznaczają:
Poufność - informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
Integralność - dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany (np. przez osobę ale także i przez wirus).
Dostępność - osiągalność danych i możliwość wykorzystania na żądanie, w rozsądnym czasie, przez autoryzowany podmiot.
Rozliczalność - działania przypisane w sposób jednoznaczny tylko danemu podmiotowi.
Autentyczność - zapewnienie, że tożsamość podmiotu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji).
Niezaprzeczalność - brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie.
Niezawodność - zapewnieniu spójności oraz zamierzonych zachowań i skutków.