Jak wynika z przygotowanego przez KPMG raportu „Barometr cyberbezpieczeństwa. Covid-19 przyspiesza cyfryzację firm”, w 2020 r. 64 proc. polskich przedsiębiorstw odnotowało co najmniej jeden incydent polegający na naruszeniu bezpieczeństwa. To o 10 punktów procentowych więcej niż rok wcześniej. W opinii 55 proc. uczestników badania, do wzrostu ryzyka wystąpienia cyberataków przyczynił się wybuch pandemii koronawirusa. Dla połowy firm przejście na pracę zdalną wiązało się ze sporymi wyzwaniami w zakresie bezpieczeństwa z powodu zwiększenia podatności na cyberataki.

Za największe zagrożenie dla polskich przedsiębiorstw uznaje się wycieki danych spowodowane przez złośliwe oprogramowanie (malware), ale także wyłudzanie danych uwierzytelniających (phishing), wycieki danych w wyniku kradzieży lub zgubienia nośników czy też urządzeń mobilnych oraz kradzież danych przez pracowników. Dla połowy firm biorących udział we wspomnianym badaniu największą barierą utrudniającą budowanie odpowiedniego poziomu zabezpieczeń były trudności w znalezieniu oraz utrzymaniu odpowiednio wykwalifikowanych pracowników.

W tej sytuacji szczególnego znaczenia nabiera wprowadzanie efektywnych mechanizmów ochrony danych w przedsiębiorstwach. Chodzi zarówno o rozwiązania techniczne, jak i zasady dostępu oraz korzystania z danych przez zatrudnianych w firmach użytkowników systemów informatycznych. Jak podkreślają specjaliści od cyberbezpieczeństwa, odpowiedzialność za ochronę danych powinna spoczywać na każdym pracowniku, nie tylko ekspertach IT lub fachowcach od bezpieczeństwa.

Jest to szczególnie ważne obecnie, gdy zauważalne są wysokie wzrosty kosztów związanych z naruszeniem bezpieczeństwa danych. Jak wynika z przeprowadzonego przez IBM Security globalnego badania, średni koszt jednego incydentu wyniósł wśród uczestniczących w badaniu firm 4,24 mln dol. To najwyższy rezultat odnotowany w 17-letniej historii raportu. Z jego tegorocznej edycji wynika, że poszczególne przypadki stały się bardziej kosztowne, a ich skutki trudniejsze do naprawienia w związku ze zmianami w sposobie prowadzenia działalności w trakcie pandemii.

Jak zauważają autorzy raportu, w 2020 r. firmy zostały zmuszone do szybkiego dostosowywania swoich metod pracy do nowych warunków, w tym pracy zdalnej, oraz korzystania w większym niż dotychczas zakresie z rozwiązań chmurowych. Szybkim zmianom informatycznego środowiska pracy nie towarzyszyły jednak równie szybkie modyfikacje stosowanych zabezpieczeń, co obniżyło zdolność tych rozwiązań do właściwego reagowania na przypadki naruszenia danych.

Ochrona danych w prawie

Wśród danych, które w każdych warunkach – a zwłaszcza w sytuacji zwiększonego ryzyka naruszeń, jak ma to miejsce obecnie – powinny zostać poddane szczególnej ochronie, są dane wrażliwe, najbardziej istotne dla prowadzonej działalności, newralgiczne dla sprawnego funkcjonowania przedsiębiorstwa. Są to zazwyczaj informacje poufne, do których nie może mieć dostępu nikt poza ściśle określonymi i jednoznacznie wskazanymi użytkownikami. Do tego powinny być przetwarzane zgodnie z precyzyjnie zdefiniowanymi procesami.

Skutki wycieku danych wrażliwych mogą się wiązać z co najmniej dwojakiego rodzaju kosztami: biznesowymi i prawnymi. W pierwszym przypadku zagrożona może zostać przewaga konkurencyjna firmy i jej pozycja rynkowa. W drugim, przedsiębiorstwo może zostać pociągnięte do odpowiedzialności wynikającej z regulacji prawnych, w tym również do zapłacenia kar, często wysokich. Natomiast w obu na szwank narażona zostaje reputacja danego podmiotu.

Przepisy polskiego prawa obejmują kilka rodzajów informacji, które zostały poddane ochronie. Ustawa o ochronie informacji niejawnych określa zasady ochrony danych zastrzeżonych, poufnych, tajnych i ściśle tajnych. Istnieją też regulacje dotyczące ochrony informacji będących różnego rodzaju tajemnicą: państwową, służbową, tajemnicą przedsiębiorstwa czy zawodową (lekarską, adwokacką itp). Osobne przepisy dotyczą zachowania tajemnicy branżowej, na przykład bankowej czy telekomunikacyjnej. Do innych, prawnie chronionych, należy też tajemnica statystyczna, korespondencji i negocjacji.

Zasady ochrony tajemnicy przedsiębiorstwa określa ustawa o zwalczaniu nieuczciwej konkurencji. Zgodnie z jej zapisami, do tajemnicy firmowej zalicza się informacje: techniczne, technologiczne, organizacyjne lub inne stanowiące wartość gospodarczą, ale które nie są powszechnie znane albo nie są łatwo dostępne dla osób nimi zainteresowanych. Chodzi głównie o dane związane z działalnością gospodarczą, które mają wartość biznesową, jak bazy klientów, receptury, informacje o kontrahentach, rynkach zbytu, plany produkcji itp. To jednak przedsiębiorca musi określić, które konkretnie informacje stanowią tajemnicę przedsiębiorstwa i powinny zostać objęte ochroną.

W osobny sposób uregulowana została ochrona danych osobowych. Jej zasady określa obowiązujące od maja 2018 r. unijne rozporządzenie o ochronie danych osobowych (RODO). Należy pamiętać, że mogą one być przetwarzane tylko w ściśle określonych warunkach i do ściśle określonych celów. Mówią o tym art. 5 i 6 unijnego rozporządzenia. Przepisy nie precyzują natomiast, w jaki sposób i za pomocą jakich narzędzi ma to być realizowane. Zastosowane rozwiązania mają być adekwatne do oszacowanego ryzyka, zdefiniowanych zagrożeń i istniejących uwarunkowań.

Dokładniejsza klasyfikacja – skuteczniejsza ochrona  

Dokładna klasyfikacja przetwarzanych danych zwiększa trafność podejmowanych przez systemy informatyczne decyzji w zakresie ochrony. Pozwala na udostępnianie danych z poszczególnych kategorii tylko właściwym, uprawnionym użytkownikom. Precyzyjna klasyfikacja oznacza w efekcie większą skuteczność ochrony ważnych dla przedsiębiorstwa zasobów informacji. W dużych firmach pomocna może okazać się automatyzacja procesów klasyfikacji czy etykietowania danych. Coraz częściej na rynku dostępne są rozwiązania korzystające z algorytmów sztucznej inteligencji.

  

Zgodnie z katalogiem

Podstawą ochrony danych poufnych jest ich właściwa identyfikacja i klasyfikacja. Zanim zostanie podjęta decyzja o wyborze rozwiązania technicznego czy organizacyjnego do zabezpieczenia zasobów informacyjnych, trzeba dokładnie określić jakimi danymi wrażliwymi firma dysponuje, gdzie są one zlokalizowane oraz w jakich procesach są lub mogą być przetwarzane. Trzeba ustalić, w jaki sposób dane są przechowywane oraz udostępniane zarówno wewnątrz, jak i na zewnątrz przedsiębiorstwa. Na podstawie wyników takiej analizy można wskazać kto i w jakim zakresie może lub powinien mieć do nich dostęp.

Ochrona będzie naprawdę skuteczna tylko wówczas, gdy rozpocznie się od inwentaryzacji i uporządkowania danych, czyli weryfikacji ich umiejscowienia, a następnie sklasyfikowania. To zadanie może być dla integratorów okazją do świadczenia dodatkowych usług w postaci stworzenia struktury zbiorów danych klientów pod kątem możliwości ich jak najlepszego zabezpieczenia.

Dobrze przeprowadzona, szczegółowa identyfikacja danych poufnych i wrażliwych może przełożyć się również na wymierne korzyści biznesowe. Pozwoli na zastosowanie precyzyjnie dobranych narzędzi oraz zabezpieczeń do konkretnych zasobów informacyjnych i związanego z nimi ryzyka. Nie trzeba będzie ponosić niepotrzebnych kosztów jednakowej, szerokiej ochrony wszystkich danych w przedsiębiorstwie.

Do wprowadzenia i utrzymania porządku w zbiorach informacji pomocne mogą być narzędzia informatyczne do klasyfikacji danych. Wchodzą one zazwyczaj w skład systemów do ochrony przed wyciekiem danych (DLP – Data Lost Prevention), ale są też dostępne jako osobne oprogramowanie. Pozwalają na indeksowanie przetwarzanych danych pod kątem ich znaczenia dla bezpieczeństwa firmy – dzięki temu możliwa jest potem ich automatyczna ochrona. Na przykład system może zablokować dostęp do pliku z danymi osobowymi lub uniemożliwić jego wysłanie jako załącznika w e-mailu pracownikowi, który nie jest upoważniony do przetwarzania tych właśnie danych.

Skuteczność działania systemów DLP jest tym większa, im bardziej przemyślane, jednoznaczne i precyzyjne zasady klasyfikacji danych zostały wypracowane w firmie. Może w tym z pewnością pomóc wprowadzenie polityki data governance. Współpraca ze specjalistami z tej dziedziny może być również polem dodatkowej aktywności biznesowej dla usługodawców zajmujących się cyberbezpieczeństwem.

Tylko dla wybranych

Gdy zostały już odpowiednio rozpoznane i skatalogowane zasoby danych, w tym zidentyfikowane te podlegające szczególnej ochronie, pora na wprowadzenie mechanizmów kontroli dostępu do nich. W aspekcie technicznym można skorzystać z wielu różnych dostępnych na rynku rozwiązań, np. zastosować szyfrowanie, pseudonimizację, bądź (w uzasadnionych przypadkach) anonimizację danych. Pseudonimizacja to proces odwracalny, anonimizacja zaś polega na trwałym usunięciu informacji umożliwiających wszelką identyfikację ich podmiotu.

Integratorzy mogą wdrażać u klientów systemy uwierzytelniania, kontroli tożsamości, blokowania nieuprawnionego dostępu, czy też zarządzania kontami uprzywilejowanymi. Przydatne może być stworzenie centralnej bazy użytkowników, która ułatwia sprawdzanie kto do jakich danych ma dostęp i w jaki sposób z nich korzysta. Z kolei centralna baza haseł dostępu pozwoli na monitorowanie zagrożeń związanych z nieuprawnionym użyciem kont uprzywilejowanych.

I tak, narzędzia typu Single Sign-On umożliwiają pracownikom firmy jednorazowe, centralne logowanie do wszystkich autoryzowanych zasobów, systemów i usług sieciowych. Grupują w jednym miejscu wszystkie przydzielone użytkownikom reguły dostępu, dając tym samym większe możliwości monitorowania sposobów korzystania z przyznanych uprawnień. Pojedynczy punkt dostępu ułatwia pracownikowi korzystanie z przydzielonych zasobów i narzędzi, a działowi IT czy cyberbezpieczeństwa pozwala na skuteczniejszą kontrolę i ochronę firmowego środowiska.

Z kolei systemy klasy Identity Management i Access Management (zarządzanie tożsamością i dostępem) umożliwiają przydzielanie użytkowników do określonych grup oraz nadawanie im odpowiednich, ściśle zdefiniowanych ról, do których przypisane są uprawnienia do korzystania ze ściśle określonych rodzajów danych w ściśle określonych sytuacjach. Rozwiązania klasy PAM (Privileged Access Management) pozwalają natomiast na monitorowanie dostępu do zasobów przez użytkowników uprzywilejowanych.

Systemy kontroli dostępu  zapewniają coraz więcej funkcji i możliwości ochrony firmowych zasobów. Wiele z nich bazuje na algorytmach sztucznej inteligencji, przede wszystkim z zakresu uczenia maszynowego. Systemy biometrii behawioralnej uczą się zachowania użytkowników, dzięki czemu są w stanie z dużym prawdopodobieństwem rozpoznać, jakie czynności można uznać za normalne, a co odbiega od ustalonego wzorca i powinno być powodem do alarmu. Ochrona dostępu bazuje na analizie tego, jak użytkownik posługuje się komputerem i w jaki sposób z niego korzysta, a nie tego, co robi.

Podejście to jest bardzo użyteczne w przeciwdziałaniu nieznanym wcześniej incydentom i zagrożeniom, typu zero day. Rozwiązania korzystające z mechanizmów sztucznej inteligencji mogą być również bardzo skuteczne przy zyskującym w pandemii na popularności podejściu do bezpieczeństwa w modelu braku zaufania (Zero Trust). Bazuje ono na przekonaniu, że nie należy ufać czemukolwiek ani komukolwiek zarówno wewnątrz, jak i na zewnątrz środowiska IT. Dlatego trzeba nieustannie sprawdzać i weryfikować wszelkie próby korzystania z zasobów przed udzieleniem do nich dostępu. Żeby mogło to odbywać się sprawnie i szybko, musi być robione w sposób automatyczny. Takie możliwości zapewniają narzędzia analityczne, korzystające z algorytmów sztucznej inteligencji. To ważny kierunek rozwoju systemów zabezpieczeń, który powinny brać pod uwagę firmy poważnie myślące o rozwoju działalności w obszarze cyberbezpieczeństwa.

Zdaniem integratora

Mateusz Konkol, dyrektor handlowy, Infradata Polska  

Powszechna migracja do pracy zdalnej zmieniła istotnie podejście do bezpieczeństwa danych, poważnie też zaczęła być traktowana koncepcja Zero Trust. Rośnie zainteresowanie klientów systemami do klasyfikacji danych oraz rozwiązaniami DLP, a więc do ochrony przed wyciekami. W znaczący sposób zyskują też na popularności systemy klasy Privileged Identity/Access Management (PIM/PAM), które zabezpieczają i kontrolują procesy zdalnego, uprzywilejowanego dostępu do urządzeń klientów. To obecnie istotny wektor ataków mających na celu pozyskiwanie danych wrażliwych przedsiębiorstwa. Coraz większego znaczenia nabiera także monitoring incydentów – zauważalny jest wzrost zainteresowania usługami Security Operations Center. Brak na rynku odpowiednich specjalistów i wysokie koszty ich zatrudnienia uniemożliwiają klientom budowanie takich struktur u siebie.

  
Grzegorz Świrkowski, prezes, Net Complex  

Od marca 2020 roku większość naszych klientów zaczęła przechodzić na pracę zdalną. Scentralizowana dotąd infrastruktura musiała zostać w sposób bezpieczny rozproszona. Problemem był brak wdrożonych rozwiązań chroniących tunel połączeń pomiędzy oddziałami oraz niezabezpieczone urządzenia mobilne. Pracownicy w domowym biurze, korzystający z VPN, bardzo często nie mieli właściwych zabezpieczeń, co zwiększyło podatność ich sieci na ataki. Odnotowaliśmy znaczny wzrost liczby incydentów phishingowych, wykorzystania narzędzi typu keylogger oraz do kradzieży haseł. W firmach zapominano także o tym, że to administrator powinien kontrolować, gdzie i przez kogo będą pobierane oraz przetwarzane dane stanowiące ich własność intelektualną. Skutecznym sposobem na zabezpieczenie w krótkim czasie firmowych zasobów w realiach pracy zdalnej okazywał się być scentralizowany dostęp do danych poprzez zaufaną, chmurową platformę.