Podstawą każdego, skutecznie działającego systemu cyberbezpieczeństwa, jest dobrze przygotowana, testowana w praktyce i stale aktualizowana polityka bezpieczeństwa. Wiadomo to już od dawna i trudno wręcz wyobrazić sobie jakąkolwiek dyskusję o walce z cyberzagrożeniami bez właśnie tego, powtarzanego jak mantra, twierdzenia. Jednak większość firm chyba dopiero niedawno miała okazję przekonać się o jego prawdziwości. Pandemia koronawirusa unaoczniła wszystkim pożytki z dysponowania prawdziwą i faktycznie na co dzień stosowaną, a nie tylko spisaną na papierze, polityką cyberbezpieczeństwa.

Przedsiębiorstwa, które stosowały wypracowane na podstawie rzetelnej analizy ryzyka procedury reagowania na sytuacje kryzysowe, poradziły sobie z wyzwaniami lockdownu lepiej niż te, które musiały spontanicznie reagować na pojawiające się nagle zmiany sytuacji. Z badania przeprowadzonego wśród członków społeczności szefów bezpieczeństwa i cyberbezpieczeństwa CSO Council wynika, że wiele polskich firm dobrze zdało egza-min z dostosowania się do funkcjonowania w całkowicie nowej sytuacji. Tylko 4 proc. ankietowanych uznało, że konieczność nagłego działania w warunkach lockdownu spowodowała potrzebę daleko idących zmian stosowanego modelu cyber-bezpieczeństwa. Dla 72 proc. zaistniała konieczność dostosowania i modyfikacji rozwiązań tylko w wybranych obszarach. Z kolei w 24 proc. przypadków pandemia nie spowodowała konieczności wprowadzania zmian w dotychczasowym systemie cyberbezpieczeństwa.

Potrzeba więcej informacji  Dla 73,8 proc. uczestników badania na temat bezpieczeństwa danych w pracy zdalnej, przeprowadzonego przez Kingston Technology na przełomie 2020 i 2021 r. bezpieczeństwo danych w ich firmie jest sprawą o dużym znaczeniu. Jednak tylko 44,3 proc. ankietowanych odpowiedziało, że zna reguły polityki bezpieczeństwa w swojej firmie i wie, do kogo zwrócić się z ewentualnymi pytaniami lub ma regularne szkolenia na ten temat. Z kolei 24,6 proc. twierdziło, że zna wprowadzone procedury cyberbezpieczeństwa, jednocześnie 23 proc. wybrało odpowiedź: „wydaje mi się, że znam, ale nie dostaję regularnie informacji na ten temat”.

Firmy zachowały zdolność skutecznej ochrony swoich zasobów w dużej mierze prawdopodobnie dzięki temu, że były przygotowane na różne scenariusze rozwoju sytuacji, czyli posiadały odpowiednio skonstruowane i przećwiczone w praktyce reguły polityki bezpieczeństwa. Ta musi uwzględniać bowiem również wydarzenia mało prawdopodobne, czy wręcz nieprzewidywalne. Tylko stale prowadzona analiza zagrożeń pozwoli uchronić się przed negatywnymi skutkami pojawienia się tzw. czarnego łabędzia, a przynajmniej je osłabić.

Rodzaje zagrożeń i ich charakter stale się obecnie zmieniają. Żeby się przed nimi bronić, trzeba mieć wdrożoną politykę bezpieczeństwa, która określa zasady postępowania w sytuacjach kryzysowych i wskazuje czynności niezbędne do przeciwdziałania skutkom niechcianych zdarzeń. Musi zawierać zbiór podstawowych, uniwersalnych reguł reagowania i podejmowania decyzji, również w nowych, pojawiających się nagle, trudnych do przewidzenia realiach. Firmy, które nie zdążyły przygotować i przetestować własnych mechanizmów zapewnienia bezpieczeństwa, w momencie lockdownu boleśnie odczuły na własnej skórze brak takich gotowych, ramowych scenariuszy działań.

Bez względu na lokalizację

Pandemia zmusiła specjalistów od cyberbezpieczeństwa przede wszystkim do innego niż dotychczas rozkładania akcentów w działaniu. W początkowej fazie lockdownu najważniejszym wyzwaniem stało się zapewnienie bezpiecznego funkcjonowania firm w warunkach pracy zdalnej. Trzeba było to zrobić szybko, niemalże z dnia na dzień. Czas i skala przedsięwzięcia były kluczowymi czynnikami ryzyka – nawet przedsiębiorstwa, których pracownicy już wcześniej korzystali z telepracy, nie były przygotowane na tak szybkie przeniesienie całego swojego środowiska pracy na platformy cyfrowe.

Z tym wiązały się kolejne wyzwania, polegające na konieczności zapewnienia bezpieczeństwa firmowych zasobów, zarówno przy korzystaniu przez pracowników z komputerów służbowych, jak i urządzeń prywatnych. Ze względu na ochronę prywatności dużo większym problemem było przy tym wdrożenie mechanizmów bezpieczeństwa w przypadku korzystania ze sprzętu osobistego niż firmowego. Często z tego samego laptopa w domu korzysta bowiem zarówno pracownik, jak i partner lub małżonek oraz dzieci. Z drugiej strony, wielu pracowników przyznaje się do używania służbowego sprzętu do celów prywatnych, na przykładach zapisywania własnych zdjęć, dokumentów, filmów, muzyki. Z badania Vecto wynika, że w aż 92 proc. przedsiębiorstw pracownicy używają służbowego sprzętu do celów prywatnych.

Zdaniem eksperta

Sławomir Łobodecki, Implementation Expert, EY Business Advisory  

Podstawą do stworzenia dobrej polityki bezpieczeństwa może być skorzystanie z powszechnie dostępnych standardów i opisanych dobrych praktyk. Wiele firm sięga po gotowe opracowania i wzory dokumentów, na przykład bazujące na normie ISO 27001. To jednak nie wystarczy – trzeba uwzględnić także czynniki specyficzne dla danego przedsiębiorstwa. Należy zacząć od identyfikacji zagrożeń i inwentaryzacji wartościowych zasobów, które faktycznie wymagają ochrony, ale też zwrócić uwagę na nowe obszary, związane z przechowaniem danych i usługami w chmurze.

Reguły polityki bezpieczeństwa muszą być skonstruowane tak, aby istniała faktyczna zdolność realizacji poszczególnych wytycznych. W praktyce oznacza to konieczność zachowania równowagi między najlepszą ochroną, a możliwościami technicznymi i budżetowymi. Polityka bezpieczeństwa powinna też zawierać rekomendacje w zakresie kształtowania świadomości bezpieczeństwa wśród pracowników, przede wszystkim w postaci odpowiednich procedur postępowania i prowadzenia szkoleń.

Zarówno sama polityka bezpieczeństwa, jak i związane z nią procedury muszą być weryfikowane i aktualizowane. Należy zdefiniować kryteria pomiaru i oceny skuteczności działania mechanizmów ochronnych przez dostarczenie narzędzi kontrolnych metryk, KPI, raportów, dashboardów tworzonych przez systemy klasy SIEM lub SOAR. Ważne jest sprawne dostosowywanie polityki bezpieczeństwa do nowo powstałych zagrożeń wynikających z nagłych sytuacji, jak na przykład pandemia i związana z nią praca zdalna, czy też coraz częstsze korzystanie przez użytkowników z mediów społecznościowych lub usług i dysków sieciowych w chmurze.

  

Ta sytuacja spowodowała konieczność wprowadzenia zarówno nowych rozwiązań technicznych, na przykład w postaci bezpiecznych połączeń czy mechanizmów szyfrowania, jak i odpowiednich reguł postępowania przy zdalnej pracy z firmowymi aplikacjami. Wymusiła więc wprowadzenie zmian również w stosowanych politykach bezpieczeństwa. Zadanie nie było łatwe, gdyż nowe zasady postępowania nie mogły mieć charakteru opresyjnego, który w i tak trudnej sytuacji utrudniałby dodatkowo pracę w trybie home office. Z drugiej strony musiały być na tyle skuteczne i precyzyjne, by zapewnić rzeczywiste bezpieczeństwo firmowego środowiska pracy. Dlatego polityka bezpieczeństwa musi być zawsze napisana w prosty, zrozumiały dla wszystkich sposób. Nieznajomość bądź niezrozumienie jej wymagań przez pracowników mogą być równie groźne jak jej brak.

Konsekwencją problemów związanych z możliwością pełnego zabezpieczenia domowych środowisk pracy było zwiększone zainteresowanie przenoszeniem zasobów przedsiębiorstw do środowisk chmurowych, którymi można łatwiej i skuteczniej zarządzać w kontekście wymogów cyberbezpieczeństwa. Uniezależnienie sposobów ochrony strategicznych danych czy aplikacji firmy od lokalnych, rozproszonych narzędzi ich przetwarzania czy wykorzystania daje większe możliwości zapewnienia pełnego bezpieczeństwa. Jeżeli dane czy aplikacje znajdują się w chmurze, to mniej istotne (chociaż nie całkowicie nieważne) staje się, czy dostęp do nich odbywa się przez sprzęt służbowy, czy prywatny, z domu pracownika czy z biura w siedzibie firmy. Łatwiej wtedy wprowadzić jednolite zabezpieczenia na poziomie usługi chmurowej. To jednak wymaga z kolei znowu aktualizacji i przetestowania polityki bezpieczeństwa pod kątem wyzwań wynikających z takiego modelu działania.

Zintegrowana kontrola

Do weryfikacji skuteczności polityki bezpieczeństwa można wykorzystać wiele narzędzi informatycznych i rozwiązań służących na co dzień do zarządzania systemem bezpieczeństwa w firmie. Na rynku dostępny jest cały arsenał środków technicznych, które mogą być użyte do wspomagania realizacji ustanowionych reguł bezpieczeństwa. Analiza pozyskiwanych z nich informacji może też służyć do aktualizacji i modernizacji przyjętych zasad działania. Specjaliści od cyberbezpieczeństwa mają do dyspozycji pełną gamę rozwiązań – SIEM (Security Information and Event Management), UBA (User Behavior Analytics), DLP (Data Loss Prevention), PAM (Privileged Access Management), ATP (Advanced Threat Protection) i wiele innych.

Warto zwrócić uwagę na rozwiązania klasy IT GRC (Governance, Risk Management and Compliance). Pomagają one zautomatyzować proces oceny skuteczności stosowanych w firmie mechanizmów cyberbezpieczeństwa i ich zgodności z wytycznymi polityki bezpieczeństwa. Pozwalają monitorować w skali całego przedsiębiorstwa procesy związane z dostępem użytkowników, konfiguracją systemów, przeprowadzanymi transakcjami, przetwarzanymi danymi. Pomagają w analizie ryzyka, weryfikowaniu stosowanych procedur postępowania, jak też w ocenie wdrażanych rozwiązań pod kątem ich zgodności z normami i standardami bezpieczeństwa.

Trzy pytania do…  

Sebastiana Burgemejstera, członka zarządu Instytutu Audytorów Wewnętrznych IIA Polska oraz prezesa BW Advisory

 

 

1. W jaki sposób pandemia wpłynęła na audyty cyberbezpieczeństwa?  Pandemia niczego w tym zakresie nie zmieniła, poza upowszechnieniem zdalnego sposobu przeprowadzania audytów. Natomiast mocno zmienił się kontekst zagrożeń, gdyż obserwujemy inne ryzyka związane z pracą zdalną niż z wykonywaną w biurze. Mamy też do czynienia z coraz większą liczbą ataków celowanych na firmy, przed czym nie ustrzegł się m.in. polski CD Projekt. Kolejnym obszarem zainteresowania ze strony cyberprzestępców są wzmożone w ostatnim czasie zagrożenia związane z łańcuchem dostaw. W głośnym ataku na firmę SolarWinds zostało zainfekowanych kilkanaście tysięcy jej klientów, w tym Pentagon, Departament Stanu i Departament Sprawiedliwości. Atakujący podmienili plik z aktualizacjami oprogramowania Orion, jednego z produktów SolarWinds. Ofiary nieświadomie pobrały plik od zaufanego dostawcy i po jego uruchomieniu ich środowiska zostały zainfekowane. Dostawcy rozwiązań informatycznych powinni mieć na uwadze, że mogą stanowić „punkt przesiadkowy” do ataków na swoich klientów.

2. Co powinien obejmować dzisiaj skuteczny audyt bezpieczeństwa?  To zależy od różnych czynników, w tym od wielkości firmy, złożoności wykorzystywanych przez nią systemów, wielkości budżetu. W idealnym modelu audyt powinien być kompleksowy i obejmować wiele elementów – od weryfikacji rozwiązań technicznych, przez sprawdzenie procedur i mechanizmów organizacyjnych, po ocenę zachowań i działań ludzi. Jeśli jednak firma nie ma dostatecznych środków, to można ograniczyć zakres audytu i skupić się na węższych, ale kluczowych z perspektywy zagrożeń obszarach. Najlepiej wybrać te, które generują największe ryzyko dla przedsiębiorstwa. Przykładowo, w zakresie ochrony danych należałoby się skoncentrować na zabezpieczaniu strategicznych informacji firmowych, w tym danych finansowych. Obszarem kluczowego ryzyka jest też zawsze zarządzanie sieciami. Można również robić audyty w cyklach. Wtedy w danym cyklu, trwającym 2, 3 czy 5 lat, obejmujemy audytem całą firmę – im większa, tym powinny być robione częściej. Ich częstotliwość zależy też od identyfikacji i oceny poszczególnych rodzajów ryzyka.

3. Jakie są najlepsze metody prowadzenia audytu cyberbezpieczeństwa?  Metody audytu są takie same, bez względu na to czy dotyczy on dużej, czy małej firmy. Trzeba jednak pamiętać, by był robiony przez certyfikowanych specjalistów, ze zweryfikowanymi kwalifikacjami. Zazwyczaj firm nie stać na zatrudnienie dużego zespołu audytowego i wtedy optymalnym rozwiązaniem jest powierzenie zewnętrznemu audytorowi weryfikacji systemu bezpieczeństwa w kluczowych obszarach. Resztę można wykonać własnymi siłami, na przykład angażując firmowych informatyków do sprawdzenia funkcjonowania mechanizmów dostępu czy udzielania uprawnień. Coraz więcej rzeczy można też już weryfikować zdalnie, więc nie potrzeba ponosić kosztów dojazdu i obecności audytora w firmie. Poprzez sieć może mieć on dostęp do całej dokumentacji klienta, do ustawień, konfiguracji, pulpitów i logów w systemach IT. W niektórych sytuacjach przy wykorzystaniu podłączonych do sieci kamer można sprawdzić też zabezpieczenia fizyczne. Hybrydowy model audytu zostanie z nami już na dobre, również po ustaniu pandemii.

  

Analitycy wyróżniają jeszcze dwa typy systemów GRC – finansowy i prawny. Wraz z IT GRC stanowią one część całej gamy rozwiązań z dziedziny GRC, która obejmuje działania związane z ładem korporacyjnym, zarządzaniem ryzykiem oraz zapewniające zgodność z obowiązującymi przepisami i regulacjami. Wszystkie te narzędzia mogą także działać jako jeden zintegrowany system GRC. Łącząc informacje z różnych źródeł zapewniają spójny obraz sytuacji w całej firmie.

IT GRC może być wykorzystywany przez dział IT lub komórkę ds. cyberbezpieczeństwa. Na rynku dostępne są różne warianty tego oprogramowania – od drogich, rozbudowanych systemów przeznaczonych dla dużych korporacji, po tańsze, prostsze rozwiązania skierowane do mniejszych firm. W gestii każdej z nich leży ocena przydatności i opłacalności zastosowania takiego rozwiązania. Pomocą w podjęciu właściwej decyzji mogą służyć integratorzy, którzy mają rozeznanie w tej dziedzinie. Dla wielu firm może to być rozwiązanie tańsze niż zatrudnianie specjalistów od cyberbezpieczeństwa. Badanie Vecto pokazało, że obecnie mniej niż co druga firma korzysta w tym właśnie zakresie ze wsparcia specjalistów.

Zdaniem specjalisty

Robert Sepeta, Business Development Manager, Kingston Technology  

Bezpieczne połączenia VPN czy podstawowe zabezpieczenia wykorzystywanego sprzętu to konieczność dla zapewnienia bezpieczeństwa firmy w warunkach pracy zdalnej. Należy jednak pamiętać, że stosowane reguły polityki bezpieczeństwa nie powinny wpływać na komfort pracy. Takie podejście umożliwia budowanie partnerstwa między pracownikami a pracodawcą, co może skutkować pozytywnym nastawieniem do przestrzegania wprowadzonych zasad postępowania. Priorytetowo przez biznes powinny być traktowane regularne szkolenia i edukowanie pracowników w zakresie cyberochrony. Nawet najlepsze zabezpieczenia nie uchronią bowiem przed wyciekiem danych, jeśli pracownicy nie będą przekonani, że to co robią w celu ich ochrony, jest ważne i skuteczne.

  

Zdaniem integratora

Tomasz Fiałkowski, Product Manager systemu ITManager, Infonet Projekt  

Realizacji postanowień polityki bezpieczeństwa służą coraz częściej systemy klasy ITSM, które umożliwiają kompleksową kontrolę procesu nadawania uprawnień dostępowych. Zagadnienie to stanowi dzisiaj jedno z najsłabszych ogniw firmowego systemu bezpieczeństwa. Dzięki narzędziom ITSM następuje integracja informacji o bazie osobowej, posiadanych systemach informatycznych oraz istniejących zbiorach danych, co ułatwia zarządzanie uprawnieniami dostępowymi. Dane historyczne na ten temat pozwalają na szczegółową analizę procesów akceptacji, co może być przydatne przy aktualizacji reguł polityki bezpieczeństwa.