Bezpieczeństwo Informatyczne – praktycznie, racjonalnie i w przystępny sposób.

Bezpieczeństwo Informatyczne - to wydzielona logicznie w zakresie informatycznym część bezpieczeństwa informacji (organizacyjny i prawny aspekt jest szerszy), polegająca na zapewnieniu odpowiednich środków technicznych do ochrony przetwarzanych danych, celem zachowania ich poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności (słowniczek pojęć pod artykułem).

W niniejszych rozważaniach pomijam kwestię fizycznego zabezpieczenia dostępu do zasobów informatycznych przez osoby niepowołane.
Nie poruszam też obszernej tematyki bezpieczeństwa stron WWW, aplikacji webowych czy sklepów internetowych, na które ataki są plagą, szczególnie, jeżeli są to bezpłatne systemy CMS typu Wordpress. Jeżeli przetwarzają lub przechowują Państwo w takich systemach dane, bezwzględnie należy się nad tym pochylić, gdyż ryzyko jest wielokrotnie większe niż to w sieciach lokalnych naszych biur, a brak świadomości wynika zazwyczaj z niemonitorowanych hostingów. Właściciel strony zazwyczaj dowiaduje się o ataku, gdy ten był już skuteczny.

Zaczniemy od uświadomienia sobie skąd mogą pojawić się zagrożenia i jakie kierunki działań należy podjąć w danym przypadku.

1) Awaria sprzętu bądź oprogramowania.
Odpowiedzią na to zagrożenie jest zapewnienie odpowiednich rozwiązań kopii zapasowych danych, na urządzeniach niezależnych względem zabezpieczanych, w tym również poza siedzibę firmy.

2) Nieświadome działanie użytkownika zasobu powodujące szkodę.
Z pomocą przychodzi możliwość ograniczenia uprawnień użytkownika, konfiguracją systemu operacyjnego czy zasobów sieciowych, w oparciu o konkretne zasady panujące w danej firmie, najlepiej spisane jako standardy i procedury, a będące częścią lub załącznikiem dokumentu jakim jest Polityka Bezpieczeństwa Informatycznego. To zbiór wytycznych określających uprawnienia użytkowników w dostępnie do Zasobów, stopień poufności przechowywanych Danych Użytkownika, zabezpieczenia ich integralności w czasie składowania, przetwarzania i przesyłania (np. w ramach dostępu zdalnego) oraz zapewnienie odpowiednich do zagrożeń środków organizacyjnych i technicznych do realizacji wytycznych (np. szyfrowanie partycji dysku).
Polityka Bezpieczeństwa Informatycznego jest balansem pomiędzy świadomą oceną ryzyka i potencjalnych strat wynikających z nieautoryzowanego dostępu do zasobów oraz naruszenia integralności poufnych danych a z drugiej strony: nakładami na zabezpieczenia i ograniczeniami korzystania z zasobów przez użytkowników i / lub klientów zleceniodawcy. Szkolenie kadry pracowniczej w zakresie prawidłowego użytkowania zasobów, również jest jakimś czynnikiem zmniejszającym problemy, tym bardziej, że kwestia prawna i organizacyjna ochrony danych osobowych to sprawa nadrzędna względem systemów informatycznych.

3) Świadomie działanie na szkodę przedsiębiorstwa ze strony osoby mającej dostęp do zasobów.
Niestety w takim przypadku nie da się wyeliminować całkowicie zagrożenia. Można jedynie utrudnić zamiary, poprzez ograniczenie uprawnień podane w punkcie wyżej, dodając do tego różnego rodzaju blokady i monitorowanie.

4) Atak wirusa lub zautomatyzowany atak hakerski (taki, który nie jest świadomie zaplanowany i wymierzony w konkretne przedsiębiorstwo).
Ten rodzaj zagrożeń jest najczęściej kojarzony z bezpieczeństwem informatycznym, często jako jedyny warty uwagi, a mimo to zaniedbywany. Przyjęło się bowiem przekonanie, że istnieje jeden krok do eliminacji zagrożeń tego typu: instalacja antywirusa. Parę kwestii w tym temacie omówiłem tutaj.

5) Celowe działanie na szkodę przedsiębiorstwa ze strony osoby niepowołanej, która zdobyła fizyczny dostęp do zasobów lub takiej, która chce dostać się zdalnie przez Internet lub co gorsza, sieć WiFi.
Ten aspekt zabezpieczeń jest w zasadzie sumą wszystkich poprzednich obszarów naszych działań.

No dobrze - to teraz, jak się do tego zabrać?

Pierwszym krokiem jest audyt ukierunkowany na interesujące Państwa obszary.

Dla większości firm, których zasoby IT nie wymagają wysoce hermetycznych środowisk pracy (np. bankowość), polecam audyty pasywne. Polegają one na zapoznaniu się z infrastrukturą informatyczną i obiegiem danych, a następnie przeglądzie sprzętu i oprogramowania oraz ich konfiguracji, w oparciu o wiedzę praktyczną i teoretyczną dotyczącą możliwych wektorów ataku tudzież przejęcia i/lub zniszczenia danych. Takie działania są zazwyczaj milowym krokiem względem tego co zazwyczaj zastajemy.

Jakie są innego typu audyty? Mogą to być tzw. "pentesty", polegające na symulowanych atakach mających wykazać luki zabezpieczeń. Czy są lepsze? Robią wrażenie na kliencie ale tylko część jest racjonalnie realna jednak nie popadajmy w drugą skrajność, wynikającą z niezrozumienia cyber ataków jako takich, do czego odniosłem się w tym artykule.
A jaki jest koszt audytu?
Koszt zależy od obszaru na jaki audyt będzie ukierunkowany, wielkości infrastruktury, złożoności przetwarzanych procesów i aktualnego stanu.

A ile kosztuje "zabezpieczenie"?

Koszt zależy od wielkości infrastruktury, złożoności przetwarzanych procesów i poziomu aktualnych zabezpieczeń i tego czy przedsiębiorstwo dysponuje już jakimiś wytycznymi polityki bezpieczeństwa informatycznego, czy wszystko trzeba tworzyć od zera, w tym dokumentację.
Czasami wymagana jest tylko konfiguracja, innym razem instalacja łatek bezpieczeństwa, czasami konieczna staje się wymiana systemu na nowszy, zdarza się też, że trzeba wymienić sprzęt. Bywa też tak, że rozwiązania nie zapewnia nawet wymiana sprzętu i trzeba z tym jakoś żyć, np.: głośna medialnie luka w procesorach Intel i AMD, która nawet w obecnych produktach nie jest wyeliminowana, a dotychczasowe łaty o ile w ogóle są dostępne to albo nic nie dają albo zamieniają jedną lukę na inną. To przykład, gdzie pentesty wykażą lukę, ale do realnego statystycznie zagrożenia jest naprawdę daleko.

Niestety nie istnieje coś takiego jak domyślny zestaw wytycznych w danym zakresie, ponieważ nie ma ani górnej granicy szczegółowości audytu ani górnej granicy nakładów finansowych na zabezpieczenia. Nawet najwyższe standardy programowego (niefizycznego) bezpieczeństwa informatycznego, nie dają 100% pewności, że zabezpieczą przed działaniami przestępczymi, w szczególności hakerskimi. Należy indywidualnie (w drodze jak najbardziej świadomej dla zleceniodawcy konsultacji) ustalić poziom zabezpieczeń dla danego przedsiębiorstwa, omawiając wyniki audytu, opierając się na wyżej wspomnianej "zasadzie balansu", z uwzględnianiem oczywiście wytycznych prawnych i organizacyjnych.

Wdrożenie zabezpieczeń czy przygotowanie dokumentu polityki bezpieczeństwa informatycznego nie jest tylko zapobiegliwością przedsiębiorstwa przed stratami wynikającymi z utraty danych lub ich przejęcia przez osoby niepowołane. Jest wymogiem prawnym, tak w dobie RODO/GDPR jak i proszę Państwa także i wcześniej. Nie ulegajmy panice i medialnej nagonce na RODO, ale z drugiej strony nie zostawiajmy tego na zasadzie: tyle czasu jakoś to funkcjonowało, to dalej też będzie. Ignorancja nie jest równoznaczna z pozytywnym myśleniem. Warto też podkreślić, że nowe Rozporządzenie Ogólne o Ochronie Danych Osobowych nakłada także inne obowiązki spoza bezpieczeństwa informatycznego, o jakie zadbać musi przedsiębiorca.

Pamiętajmy też, że bezpieczeństwo informatyczne infrastruktury, wymaga monitorowania i systematycznego podnoszenia poziomu. Każdego dnia pojawiają się nowe pomysły hakerów, wirusy i nieodkryte wcześniej luki w systemach czy aplikacjach. Jednorazowe wdrożenie ma oczywiście też sens, choćby w zakresie ograniczenia uprawnień czy backupu danych, choć te ostatnie warto nadzorować, by nie przypomnieć sobie, że coś takiego było dopiero w razie awarii.

Użyte w artykule "prawno - formalno - techniczne" określenia, oznaczają:
Poufność - informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
Integralność - dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany (np. przez osobę ale także i przez wirus).
Dostępność - osiągalność danych i możliwość wykorzystania na żądanie, w rozsądnym czasie, przez autoryzowany podmiot.
Rozliczalność - działania przypisane w sposób jednoznaczny tylko danemu podmiotowi.
Autentyczność - zapewnienie, że tożsamość podmiotu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji).
Niezaprzeczalność - brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie.
Niezawodność - zapewnieniu spójności oraz zamierzonych zachowań i skutków.