Reagowanie kryzysowe coraz bardziej w cenie
Rośnie zapotrzebowanie na usługi zarządzania incydentami naruszenia bezpieczeństwa. Firmy, które zdobędą wiedzę pozwalającą na zapobieganie skutkom ataków, zyskają szansę na dodatkowe przychody i umocnienie pozycji na rynku.
Politykę bezpieczeństwa w firmach można podzielić na trzy podstawowe obszary: prewencję, czyli zapobieganie zagrożeniom, detekcję, czyli wykrywanie naruszeń, oraz zarządzanie incydentami, czyli reakcję na ujawniony atak. Możliwości działania w dwóch pierwszych obszarach osiągnęły już bardzo wysoki poziom. Wiele firm, szczególnie tych największych, dysponuje zaawansowanymi narzędziami i rozwiązaniami do wykrywania i blokowania incydentów. Wybór jest bogaty – od standardowo stosowanych programów antywirusowych i firewalli przez zabezpieczenia serwerów DNS po bardziej złożone systemy klasy SIEM (Security Information and Event Management). Połączenie tych wszystkich rozwiązań w jedno spójne, sprawnie działające środowisko to wciąż wyzwanie i szansa na biznes dla dysponujących zaawansowaną wiedzą techniczną integratorów.
Gorzej sytuacja wygląda w trzecim obszarze. Bardziej niż rozwiązania techniczne liczą się w nim jednak umiejętności i kompetencje ludzkie. Nie wystarczy nabycie i wdrożenie gotowego, nawet najbardziej zaawansowanego produktu informatycznego, niezbędne jest kompleksowe podejście do zarządzania procesem reagowania na incydenty. Żeby system spełniał swoje zadanie, potrzeba ludzi, którzy będą potrafili z niego skorzystać. To może być szansa dla firm IT, które zaoferują wyspecjalizowane, bazujące na zaawansowanej wiedzy eksperckiej usługi zarządzania sytuacjami kryzysowymi i zapobiegania skutkom cyberataków.
Za jedną z największych barier w podnoszeniu poziomu bezpieczeństwa w przedsiębiorstwach uczestnicy tegorocznego badania Cisco Annual Cybersecurity Report uznali brak odpowiednio wykwalifikowanych specjalistów. Zwrócili również uwagę na problem rosnącej złożoności systemów zabezpieczających. 65 proc. ankietowanych przyznało, że w ich firmach wykorzystuje się do ochrony od sześciu do ponad 50 różnych, często niekompatybilnych produktów. Zwiększa to ryzyko pojawienia się luk w systemie zabezpieczeń. Z drugiej strony zarządzanie takim skomplikowanym środowiskiem wymaga coraz większych umiejętności.
Kluczowa jest właściwa reakcja na incydent
Ponad jedna trzecia firm, których zabezpieczenia zostały naruszone w ubiegłym roku, odnotowała straty w istotnych obszarach działalności biznesowej. Bardzo prawdopodobne, że w części były efektem niewłaściwego rozłożenia akcentów w stosowanej polityce bezpieczeństwa.
– Większość przedsiębiorstw obawia się wciąż czegoś, co wcale nie jest najgroźniejsze, czyli samego włamania. Gros wysiłków idzie więc w kierunku zapobiegania atakom, gdy tymczasem ważniejsze z biznesowego punktu widzenia jest zazwyczaj to, co dzieje się już po dostaniu się włamywacza do firmowego systemu – zwraca uwagę Mirosław Maj, prezes zarządu Fundacji Bezpieczna Cyberprzestrzeń.
Wydarzenia następujące po ataku mają na ogół o wiele poważniejsze konsekwencje dla firmy niż sam fakt włamania. Przestępcy przejmują zdalną kontrolę nad systemem, dokonują jego zaplanowanej wcześniej eksploracji, by ostatecznie dotrzeć do tego, o co im chodziło. Największe szkody pojawią się pod koniec obecności intruza w firmowej sieci, a nie w momencie dokonania ataku.
>>> Trzy pytania do…
Mirosława Maja, prezesa zarządu Fundacji Bezpieczna Cyberprzestrzeń
CRN Jakie są obecnie największe zagrożenia dla systemów informatycznych firm?
Mirosław Maj Trudno zrobić jedną, wspólną dla wszystkich przedsiębiorstw listę najważniejszych zagrożeń. Dużo zależy od branży. Nawet najbardziej typowe ataki, m.in. DDoS czy phishing, mają różne nasilenie w różnych sektorach. Dla energetyki na przykład ataki DDoS nie są dotkliwe, ale już dla banków stanowią poważny problem.
CRN Jak w obliczu tak dużej zmienności zagrożeń firmy powinny tworzyć politykę bezpieczeństwa?
Mirosław Maj Powinna zawierać procedury, które zapewniają szybką i skuteczną reakcję na incydenty. Te procedury muszą być cały czas ulepszane, dostosowywane do charakteru aktualnych zagrożeń. Muszą charakteryzować się elastycznością pozwalającą na skuteczne reagowanie mimo dużej zmienności zagrożeń. Firma nie może twierdzić, że właśnie dopracowała się ostatecznego, kompleksowego rozwiązania, bo za kwartał lub dwa wszystko się zmieni. Wdrożenie gotowego systemu anty-DDoS-owego lub jakiegokolwiek innego, nie wystarczy. Trzeba systematycznie analizować zagrożenia i sprawdzać, jakie są ich potencjalne skutki dla firmy.
CRN Czym mogą przekonać odbiorców do swojej oferty firmy IT specjalizujące się w rozwiązaniach ochronnych? Jak powinny ją konstruować, by odpowiadała specyfice obecnych potrzeb użytkowników?
Mirosław Maj Na bazie informacji od klientów albo informacji z rynku powinny opisywać oferowane rozwiązania pod kątem aktualnych wyzwań, zagrożeń i potrzeb. Muszą pokazywać ich użyteczność dla rozwiązania konkretnego problemu, z którym boryka się klient. Jeśli ktoś ma w ofercie system do szyfrowania, nie powinien po prostu sprzedawać narzędzia do szyfrowania. Klientowi, który ma problem z ransomware’em, phishingiem lub dostosowaniem swoich systemów do wymogów RODO, reseller bądź integrator powinien pokazać, jak oferowane przez niego rozwiązania zaradzą tym bolączkom. Nawet jeśli nie jest to system przeznaczony specjalnie do likwidacji owych zagrożeń, klient zainteresuje się nim, gdy sprzedawca udowodni jego przydatność w konkretnej sytuacji. To może być skuteczny sposób uzyskania przewagi konkurencyjnej na dzisiejszym rynku cyberbezpieczeństwa.
Podatność na straty może, paradoksalnie, nasilać także dominujące dzisiaj w przedsiębiorstwach nastawienie na zapewnienie ciągłości działania biznesu. Często jest ono realizowane przez przeniesienie funkcjonowania firmowych systemów IT z jednego centrum danych do drugiego. Jeśli wcześniej nie nastąpiła odpowiednia reakcja na atak, to wraz z przeniesieniem systemu następuje również przeniesienie wywołanych przez niego problemów.
Odpowiednie zarządzanie reakcją na incydent ma więc zasadnicze znaczenie dla ograniczenia strat, na jakie może być narażone przedsiębiorstwo. Potrzebne jest aktywne podejście do zapewnienia bezpieczeństwa firmie.
– Najgroźniejszy jest brak wiedzy o faktycznych skutkach incydentu. Przedsiębiorstwa, które nie mają zdolności oceny konsekwencji zaistniałego włamania, mogą przez nieprzemyślane, przypadkowe działania i decyzje doprowadzić do jeszcze większych strat niż te wywołane samym atakiem – zwraca uwagę Radosław Kaczorek, prezes Immusec (firmy integratorskiej, specjalizującej się w zabezpieczaniu infrastruktury IT).
Ze stosowanymi powszechnie atakami typu APT (Advanced Persistent Threats) coraz trudniej walczyć, gdyż są bardzo dobrze przygotowane, poprzedzone szczegółowym rozpoznaniem i analizą istotnych elementów zabezpieczeń. Szefowie pionów bezpieczeństwa w firmach przyznają, że cyberprzestępcy coraz częściej stosują techniki oparte na znajomości korporacyjnej struktury systemów IT. Tym bardziej więc znaczenia nabiera skuteczne przeciwdziałanie niepożądanym skutkom włamania.
– Firmy muszą stale uczyć się identyfikować nowe zagrożenia i określać ich skutki. Nie można polegać na rozwiązaniach wypracowanych wczoraj, bo dynamika zmian sposobów ataków jest tak duża, że niemalże na bieżąco trzeba projektować mechanizmy obronne – mówi Radosław Kaczorek.
Klient doceni zaawansowane kompetencje
Zarządzanie incydentami musi być dzisiaj traktowane co najmniej na równi z prewencją i detekcją. Do tego jednak potrzeba nie tyle nowych, rozbudowanych rozwiązań technicznych, ile coraz większej liczby specjalistów z zaawansowanymi umiejętnościami i kompetencjami. Wymaga to przede wszystkim ustawicznego inwestowania w zdobywanie wiedzy eksperckiej. Nawet jeśli część działań antykryzysowych zostanie z czasem zautomatyzowana przez rozwiązania korzystające ze sztucznej inteligencji, właściwa ludziom umiejętność myślenia, kojarzenia oraz wyciągania wniosków wciąż, a może nawet jeszcze bardziej niż kiedykolwiek, będzie w cenie.
Sytuacja taka stwarza szansę dla resellerów i integratorów na rozwój biznesu. Przynajmniej dla tych, którzy zechcą podejść do tematu strategicznie. Wyraźnie bowiem widać, że będzie rosło zapotrzebowanie na usługi zarządzania incydentami. Firmy, których nie będzie stać na zatrudnianie coraz wyżej wykwalifikowanych i coraz lepiej opłacanych specjalistów od bezpieczeństwa, będą potrzebowały oferty outsourcingowej. Tak samo przedsiębiorstwa, które uznają, że lepszym rozwiązaniem niż budowanie takiego zespołu u siebie będzie skorzystanie z usług wyspecjalizowanego podmiotu zewnętrznego. W każdym przypadku można się spodziewać wzrostu zapotrzebowania na usługi wymagające wiedzy i doświadczenia z zakresu reagowania kryzysowego. Podmiotów, które to potrafią robić, nie ma jeszcze na polskim rynku zbyt wiele.
Resellerzy i integratorzy, którzy zgromadzą zasoby (ludzkie i technologiczne) zapewniające świadczenie takich usług, zyskają szansę na dodatkowe przychody i umocnienie pozycji na rynku. Warunek jest jeden: muszą mieć wysokie umiejętności, rzeczywiście zaspokajające potrzeby klientów. Jednym ze sposobów takiego działania może być kooperacja z wyspecjalizowanymi podmiotami, posiadającymi ekspercką wiedzę, które zapewnią wsparcie w wybranych obszarach zarządzania incydentami czy na poszczególnych poziomach reagowania. Pożądane biznesowo efekty może też dać przeniesienie punktu ciężkości z eksponowania parametrów technicznych oferowanych rozwiązań na pokazywanie ich funkcjonalności. Niby od dawna się o tym mówi i niby powszechnie o tym wiadomo, ale – jak twierdzą specjaliści od cyberbezpieczeństwa – rzeczywistość rynkowa jest wciąż daleka od teorii.
Firmy, które będą potrafiły wykazać przydatność oferowanych rozwiązań w konkretnych sytuacjach zagrożenia i będą wiedziały, jak użyć wdrożonych narzędzi do ograniczenia skutków ataku, zyskają zainteresowanie klientów. Sposobem na sukces rynkowy może być specjalizacja. Zapobieganie skutkom zaistniałych incydentów wymaga zaawansowanej wiedzy z różnych dyscyplin i dziedzin – od technicznej przez proceduralną po biznesową z konkretnej branży. Łączenie eksperckich potencjałów podmiotów wyspecjalizowanych w różnych zakresach może być dla integratorów szansą na zdobycie przewagi konkurencyjnej przez świadczenie w modelu rozproszonym unikalnych usług, na które zapotrzebowanie będzie rosło.
Co powinna zawierać polityka bezpieczeństwa?
Wzór dokumentu polityki bezpieczeństwa praktycznie nie istnieje. Powinna być w najdrobniejszych szczegółach dopasowana do danego przedsiębiorstwa (jego usytuowania, zachodzących procesów itd.). Dla wybranych rodzajów danych (przede wszystkim osobowych) opracowane są jednak pewne wytyczne.
Zawartość dokumentu zawierającego reguły polityki bezpieczeństwa określa rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z §3 i 4 tego rozporządzenia administrator danych zobowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Rozumiana jest jako „zestaw praw, reguł i praktycznych doświadczeń, dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych, wewnątrz określonej organizacji”. Powinna odnosić się całościowo do problemu zabezpieczenia informacji, tj. zarówno do danych przetwarzanych tradycyjnie, jak i w systemach informatycznych.
Aby prawidłowo zarządzać zasobami, należy najpierw je zidentyfikować oraz określić miejsca i sposób przechowywania danych. Wybór odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowanych nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania.
48% firm ma wdrożone reguły polityki bezpieczeństwa
70% firm ma przestarzałe i nieadekwatne do aktualnych wymagań rozwiązania ochronne
83% firm wierzy, że są bardziej podatne na zagrożenia ze względu na złożoność organizacyjną
Źródło: Ponemon Institute na zlecenie Citrix, 2016
Polityka bezpieczeństwa dotycząca danych osobowych powinna zawierać przede wszystkim następujące punkty:
1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Najczęściej jest to siedziba instytucji albo konkretne piętro lub wręcz pokój. Jeżeli firma korzysta z usług outsourcingu, konieczne jest podanie adresu usługodawcy oraz zakresu świadczonych przez niego usług.
2. Wykaz zbiorów danych osobowych oraz programów zastosowanych do ich przetwarzania. Można nadać dowolną nazwę zbiorom danych osobowych – ważne, aby była w miarę krótka i odpowiadała przetwarzanym w nich danym. Z kolei w części dotyczącej oprogramowania należy podać jego nazwę oraz charakter (np. aplikacja kadrowo-płacowa, system masowej wysyłki poczty elektronicznej itp.).
3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych (kategorie danych, np. imię i nazwisko, a nie konkretne dane) i powiązań między nimi. Mogą one występować, gdy dwa różne zbiory danych zawierają pewien element wspólny (np. określony numer identyfikacyjny). Wówczas, właśnie przez ten element można powiązać dane z dwóch zbiorów w jedną całość, a dzięki temu uzyskać więcej informacji o danej osobie.
4. Opis sposobu przesyłania danych między poszczególnymi systemami, jeżeli w danej firmie jest to praktykowane.
5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności (brak dostępu dla osób postronnych), integralności (brak możliwości wprowadzenia nieautoryzowanych zmian) i rozliczalności przetwarzanych danych (przypisanie ich w sposób jednoznaczny tylko konkretnemu podmiotowi).
Ogólne wytyczne, które dotyczą zabezpieczania danych osobowych przez każdego administratora danych, są też opisane w rozdziale 5 ustawy o ochronie danych osobowych. W większości mają bezpośrednie przełożenie na treść polityki bezpieczeństwa. Wszystkie zobowiązane do ich przestrzegania firmy powinny:
– zastosować odpowiednie środki techniczne i organizacyjne,
– prowadzić dokumentację z zakresu ochrony danych osobowych,
– do przetwarzania danych osobowych dopuszczać wyłącznie osoby, którym przyznano odpowiednie upoważnienia,
– kontrolować, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
– prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,
– zobowiązać osoby upoważnione do zachowania w tajemnicy danych oraz sposobów ich zabezpieczenia (np. faktu korzy-stania z systemu monitoringu, alarmów, niszczarek do dokumentów, wzmacnianych szaf, drzwi itp.).
Podobne artykuły
Odporność priorytetem
Brak wdrożonych reguł polityki bezpieczeństwa zwiększa ryzyko narażenia firmy na zagrożenia. Jest to szczególnie ważne obecnie, gdy głównym celem działań w zakresie ochrony cyfrowych środowisk staje się budowanie ich odporności na najbardziej nawet nieprzewidywalne ataki.
Końca nie widać
Po konieczności szybkiego dostosowania systemów bezpieczeństwa do działalności firm w warunkach lockdownu przyszedł czas na weryfikację zastosowanych rozwiązań i uporządkowanie reguł działania. Często chaotycznie prowadzone w tym czasie projekty spowodowały, że wyzwań pod adresem polityki bezpieczeństwa nie jest mniej niż wcześniej.
Niekończące się wyzwanie
Nieustanna analiza ryzyka jest jednym z najważniejszych elementów gwarantujących skuteczność polityki bezpieczeństwa. Ma to szczególne znaczenie obecnie, gdy rozwiązania, które sprawdziły się przed pandemią, wymagają aktualizacji i dostosowania do nowych realiów.