Bezpieczeństwo Informatyczne – praktycznie, racjonalnie i w przystępny sposób.

Bezpieczeństwo Informatyczne - to wydzielona logicznie część bezpieczeństwa informacji (organizacyjny i prawny aspekt jest szerszy), polegająca na zapewnieniu odpowiednich środków technicznych do ochrony przetwarzanych danych, celem zachowania ich poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności (słowniczek pojęć pod artykułem).
Często spotykam się z tym, że o ile sam dokument Polityki Bezpieczeństwa Informatycznego, robi wrażenie, nie ma przełożenia na stronę praktyczną. Czyli obawa przed kontrolą albo chęć dostosowania na przykład do wymogów ISO, stawiane jest wyżej niż ochrona przed faktycznym zagrożeniem. To jak mieć instrukcję gaszenia pożaru ale nie mieć gaśnicy.
W niniejszych rozważaniach pomijam kwestię fizycznego zabezpieczenia dostępu do zasobów informatycznych przez osoby niepowołane.
Nie poruszam też obszernej tematyki bezpieczeństwa stron WWW, aplikacji webowych czy sklepów internetowych, na które ataki są plagą, szczególnie, jeżeli są to bezpłatne systemy CMS typu Wordpress. Jeżeli przetwarzają lub przechowują Państwo w takich systemach dane, bezwzględnie należy się nad tym pochylić, gdyż ryzyko jest wielokrotnie większe niż to w sieciach lokalnych przedsiębiorstw, a brak świadomości wynika zazwyczaj z niemonitorowanych hostingów i porzuconych aktualizacji tego typu systemów. Przekonanie właścicieli jest takie, że raz zrobione ma działać wieki, a każdy kto mówi inaczej, to zwykły naciągacz. Przy takim podejściu właściciel strony zazwyczaj dowiaduje się o ataku, gdy ten był już skuteczny.

Wracając do infrastruktury IT w firmie, na którą może składać się zarówno ta lokalna jak i chmurowa - wynajęta gdzieś, zacznijmy od uświadomienia sobie skąd mogą pojawić się zagrożenia i jakie kierunki działań należy podjąć w danym przypadku.

1) Awaria sprzętu bądź oprogramowania.
Odpowiedzią na to zagrożenie jest zapewnienie odpowiednich rozwiązań kopii zapasowych danych, na urządzeniach niezależnych względem zabezpieczanych, w tym, najlepiej poza siedzibę firmy.

2) Nieświadome działanie użytkownika zasobu powodujące szkodę.
Z pomocą przychodzi możliwość ograniczenia uprawnień użytkownika, konfiguracją systemu operacyjnego czy zasobów sieciowych, w oparciu o konkretne zasady panujące w danej firmie, najlepiej spisane jako standardy i procedury, a będące częścią Polityka Bezpieczeństwa Informatycznego. To zbiór wytycznych określających uprawnienia użytkowników w dostępnie do Zasobów, stopień poufności przechowywanych Danych Użytkownika, zabezpieczenia ich integralności w czasie składowania, przetwarzania i przesyłania (np. w ramach dostępu zdalnego) oraz zapewnienie odpowiednich do zagrożeń środków organizacyjnych i technicznych do realizacji wytycznych (np. szyfrowanie partycji dysku w laptopie wynoszonym z siedziby przedsiębiorstwa).
Polityka Bezpieczeństwa Informatycznego jest balansem pomiędzy świadomą oceną ryzyka i potencjalnych strat wynikających z nieautoryzowanego dostępu do zasobów oraz naruszenia integralności poufnych danych a z drugiej strony: nakładami na zabezpieczenia i ograniczeniami korzystania z zasobów przez użytkowników. Szkolenie kadry pracowniczej w zakresie prawidłowego użytkowania zasobów oraz potencjalnych zagrożeń, również jest jakimś czynnikiem zmniejszającym potencjalne problemy, tym bardziej, że błędy człowieka stanowią większość incydentów naruszenia poufności danych. Budżetowym pomysłem mogą być zautomatyzowane szkolenia, nie wymagające zatrudniania specjalistów z zakresu cyberbezpieczeństwa, a tym samym znacznie tańsze i bardziej elastyczne w formie, jak np. Kaspersky Automated Security Awareness Platform.

3) Świadome działanie na szkodę przedsiębiorstwa ze strony osoby mającej dostęp do zasobów.
Niestety w takim przypadku nie da się wyeliminować całkowicie zagrożenia. Można jedynie utrudnić zamiary, poprzez ograniczenie uprawnień podane w punkcie wyżej, dodając do tego różnego rodzaju blokady i monitorowanie.

4) Atak wirusa lub zautomatyzowany atak hakerski (taki, który nie jest świadomie zaplanowany i wymierzony w konkretne przedsiębiorstwo).
Ten rodzaj zagrożeń jest najczęściej kojarzony z bezpieczeństwem informatycznym, często jako jedyny warty uwagi, a mimo to zaniedbywany. Przyjęło się bowiem przekonanie, że istnieje jeden krok do eliminacji zagrożeń tego typu: antywirus. Szerzej omówiłem to tutaj.

5) Celowe działanie na szkodę przedsiębiorstwa ze strony osoby niepowołanej, która zdobyła fizyczny dostęp do zasobów lub takiej, która chce dostać się zdalnie przez Internet lub co gorsza, sieć WiFi.
Ten aspekt zabezpieczeń jest w zasadzie sumą wszystkich poprzednich obszarów możliwych zagrożeń.

No dobrze - to teraz, jak się do tego zabrać?

Pierwszym krokiem jest audyt kompleksowy lub ukierunkowany na interesujące Państwa obszary.

Dla większości firm, których zasoby IT nie wymagają wysoce hermetycznych środowisk pracy (np. banki), oferujemy pasywne audyty bezpieczeństwa informatycznego. Polegają one na wstępnym zapoznaniu się z infrastrukturą informatyczną i obiegiem danych, a następnie, w oparciu o wiedzę praktyczną i teoretyczną, kontroli konfiguracji systemów komputerów, serwerów i urządzeń sieciowych takich jak routery, bramy UTM, sieciowe UPS'y, sieciowe urządzenia wielofunkcyjne czy drukarki itp. Wszystko to, pod kątem zabezpieczenia danych oraz możliwych wektorów ataku tudzież przejęcia i/lub zniszczenia danych. Takie działania są milowym krokiem względem tego co zazwyczaj zastaję u klientów.

Jakie są innego typu audyty? Mogą to być tzw. "pentesty", polegające na symulowanych atakach mających wykazać luki zabezpieczeń. Czy są lepsze? Robią wrażenie na kliencie ale tylko część jest racjonalnie realna. Nie popadajmy w drugą skrajność, wynikającą z niezrozumienia cyber ataków jako takich.

Jaki jest koszt audytu?
Koszt zależy od obszaru na jaki audyt będzie ukierunkowany, wielkości infrastruktury, złożoności przetwarzanych procesów i aktualnego stanu.

Ile kosztuje "zabezpieczenie"?

Koszt zależy od wielkości infrastruktury, złożoności przetwarzanych procesów, poziomu aktualnych zabezpieczeń oraz stanu sprzętu i oprogramowania oraz od tego, czy przedsiębiorstwo dysponuje już jakimiś wytycznymi polityki bezpieczeństwa informatycznego, czy wszystko trzeba opracować od zera, w tym dokumentację. Raport z audytu oczywiście otrzymują Państwo w formie pisemnej i jest on podstawą do wyceny kosztów zabezpieczeń.
Czasami wystarcza tylko konfiguracja czy instalacja łatek bezpieczeństwa, ale w mocno zaniedbanych infrastrukturach konieczna bywa wymiana oprogramowania i sprzętu albo uzupełnienie jego braków np. UPS. Bywa też tak, że dostępne na daną chwilę rozwiązania (nawet wymiana sprzętu czy systemu) nie zapewniają pełnego Bezpieczeństwa Informatycznego. Trzeba z tym jakoś żyć, posiłkując się rozwiązaniami zastępczymi. To tak jak z zabezpieczeniami samochodu, które służą raczej spowolnieniu włamywacza, dlatego często wybieramy mimo tego ubezpieczenie od kradzieży, kolizji czy dewastacji. Przykładem może być głośna medialnie na przełomie 2017 a 2018 roku, luka w procesorach Intel i AMD (Spectre i Meltdown), do której dołączyły później następne i nawet w obecnych produktach nie są wyeliminowane całkowicie. Dotychczasowe łaty o ile w ogóle są dostępne, często rozwiązują problem częściowo albo zamieniają jedną lukę na inną, a w najlepszym razie spowalniają procesor. To przykład, gdzie pentesty wykażą lukę, ale do realnego zagrożenia jest naprawdę daleko, o ile posiadamy dobrze działające pozostałe zabezpieczenia.

Niestety nie istnieje coś takiego jak domyślny zestaw wytycznych w danym zakresie, ponieważ nie ma ani górnej granicy szczegółowości audytu ani górnej granicy nakładów finansowych na zabezpieczenia. Nawet najwyższe standardy programowego (niefizycznego) bezpieczeństwa informatycznego, nie dają 100% pewności, że zabezpieczą przed działaniami przestępczymi, w szczególności hakerskimi. Należy indywidualnie (w drodze jak najbardziej świadomej dla zleceniodawcy konsultacji) ustalić poziom zabezpieczeń dla danego przedsiębiorstwa, omawiając wyniki audytu, opierając się na wyżej wspomnianej "zasadzie balansu", z uwzględnianiem oczywiście wytycznych prawnych i organizacyjnych.

Wdrożenie zabezpieczeń czy przygotowanie dokumentu polityki bezpieczeństwa informatycznego nie jest tylko zapobiegliwością przedsiębiorstwa przed stratami wynikającymi z utraty danych lub ich przejęcia przez osoby niepowołane. Jest wymogiem prawnym, tak w dobie RODO/GDPR jak i były wymagane także i wcześniej.
Nie ulegajmy jednak panice i medialnej nagonce na RODO, ale z drugiej strony nie zostawiajmy tego na zasadzie: tyle czasu jakoś to funkcjonowało, to dalej też będzie. Warto też podkreślić, że nowe Rozporządzenie Ogólne o Ochronie Danych Osobowych nakłada także inne obowiązki spoza bezpieczeństwa informatycznego, o jakie zadbać musi przedsiębiorca.

Pamiętajmy też, że bezpieczeństwo informatyczne infrastruktury, wymaga stałego monitorowania i systematycznego podnoszenia poziomu, co zapewnić może stosowna umowa na obsługę IT, poprzedzona racjonalnym audytem Państwa infrastruktury informatycznej i wdrożeniem stosownych zabezpieczeń.
Każdego dnia pojawiają się nowe pomysły hakerów, wirusy i nieodkryte wcześniej luki w systemach czy aplikacjach. Jednorazowe wdrożenie ma oczywiście też sens, choćby w zakresie ograniczenia uprawnień czy backupu danych, choć te ostatnie warto także nadzorować, by nie przypomnieć sobie, że coś takiego było ustawione dopiero w razie awarii - bo nie wiadomo czy nadal działa.
Często spotykam się z tym, że firmy informatyczne, przejmujące klientów w zakresie stałej obsługi informatycznej, nie przeprowadzają audytu infrastruktury, w tym bezpieczeństwa IT. Dzieje się tak, ponieważ jest to dodatkowa praca, którą raczej nie upchnie się do abonamentu i zraża to wielu klientów do współpracy, którym wydaje się, że mają płacić "dwa razy". Po podpisaniu umowy serwisowej zaś, będzie to uznane za taktykę stopniowego wyłudzania. Tym sposobem nie robione jest nic, ku zadowoleniu klienta ale na jego niekorzyść.
Gotowych do zmiany sposobu podejścia, zapraszam do współpracy.


Użyte w artykule "prawno - formalno - techniczne" określenia, oznaczają:
Poufność - informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
Integralność - dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany (np. przez osobę ale także i przez wirus).
Dostępność - osiągalność danych i możliwość wykorzystania na żądanie, w rozsądnym czasie, przez autoryzowany podmiot.
Rozliczalność - działania przypisane w sposób jednoznaczny tylko danemu podmiotowi.
Autentyczność - zapewnienie, że tożsamość podmiotu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji).
Niezaprzeczalność - brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie.
Niezawodność - zapewnieniu spójności oraz zamierzonych zachowań i skutków.