W XXI wieku trudno wyobrazić sobie przedsiębiorstwo funkcjonujące bez dostępu do internetu, urządzeń mobilnych czy nowoczesnych technologii. Taka firma po prostu nie ma szans na konkurencyjnym rynku. Rosnąca popularność internetu rzeczy, wchodzenie w wiek produkcyjny pokolenia ery cyfrowej, automatyzacja procesów czy nowe technologie przemysłowe niosą ze sobą wiele korzyści. Ale także ogromne zagrożenia.
Każda rewolucja ma swoje ofiary. Nie inaczej jest w przypadku przemysłowej e-rewolucji. W ślad za coraz to nowocześniejszymi technologiami wykorzystywanymi przez biznes podąża niestrudzenie armia hakerów – samotnych wilków, jak i świetnie zorganizowanych grup. Ich cel jest prosty: szybki zysk, co z tego, że kosztem osaczonej firmy i jej klientów. Wielokrotnie są to akcje organizowane przez konkurencję. Średnie straty wynikające z wycieku danych sięgają 4 mln euro, a co 25. firma w wyniku włamania musiała walczyć o przetrwanie (dane: Osterman Research – „The 2016 State of Ransomware”). Pytanie więc brzmi już nie, czy grozi nam atak, ale kiedy?
Cyberzagrożenie to już nie tylko problem właścicieli firm i garstki menedżerów. Skala zjawiska jest na tyle duża, że zainteresowała urzędników unijnych. W 2013 r. rozpoczęli oni prace nad ujednoliceniem poziomu cyberbezpieczeństwa w Europie. W efekcie tych działań została przyjęta tzw. dyrektywa NIS w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. Przepisy obejmują m.in. sektor bankowy, energetyczny, transport, ochronę zdrowia, czyli m.in. operatorów usług kluczowych. Ich identyfikacja będzie dla państw członkowskich dużym wyzwaniem.
Po przyjęciu przez Parlament Europejski dyrektywy NIS państwa członkowskie mają 21 miesięcy na włączenie jej do przepisów krajowych oraz dodatkowe pół roku na identyfikację wspomnianych operatorów usług kluczowych. Spełnienie narzuconych przepisami standardów bez wątpienia może być pomocne we wprowadzaniu, usystematyzowaniu i zabezpieczeniu naszych organizacji w zakresie cyberbezpieczeństwa. Na jakie więc elementy należy zwrócić szczególną uwagę?
Walka z problemem cyberzagrożeń musi być kompleksowa, gdyż pola bitwy są rozmieszczone zarówno w sferze organizacyjnej, jak i operacyjnej oraz technicznej. Nawet najlepsze zabezpieczenia techniczne na niewiele się zdadzą, jeśli najsłabszym ogniwem systemu okaże się człowiek. Może też zdarzyć się i tak, że niezwykle skuteczne narzędzia ochrony i odpowiedzialny personel nie będą w stanie skutecznie obronić organizacji przed cyberatakiem, jeśli w firmie zabraknie przygotowanego wcześniej scenariusza postępowania w konkretnych sytuacjach.
W ramach tych trzech obszarów można wyodrębnić kilka ważnych wskazówek, swoistego rodzaju poradnik „Krok po kroku” działań uwzględniających konkretną działalność organizacji (np. banki, zakłady przemysłowe, energetyka, administracja państwowa), które różnią się między sobą choćby pod względem IT, OT czy IoT (internet rzeczy). Próby stworzenia takiego abecadła cyberbezpieczeństwa podjęli się eksperci PZU Lab.
Krok 1: Organizacja
Nie ma jednej recepty na lekarstwo skuteczne dla wszystkich firm. Dlatego tak ważne jest, by każda organizacja, która chce poprawić swoje cyberbezpieczeństwo, opracowała strategię właściwą dla swojej działalności, integralną ze strategią zarządzania w danym przedsiębiorstwie. Musi ona uwzględniać proces autoryzacji systemu bezpieczeństwa, jego aktualizację, identyfikację zmian, zbiory zasad i procedur dotyczących bezpieczeństwa, a także zakres obowiązków i odpowiedzialność korzystających z systemu.
Krok 2: Polityka bezpieczeństwa
Absolutną koniecznością jest określenie ogólnej polityki bezpieczeństwa i jej głównych celów – na przykład w zakresie ochrony majątku organizacji. Istotne jest wskazanie, że powinni jej przestrzegać wszyscy pracownicy organizacji oraz podwykonawcy. W ramach procedur muszą być określone zasady klasyfikacji danych – na nośnikach elektronicznych i papierze, oraz odpowiedni poziom ochrony w przypadku ich udostępniania, przekazywania lub kopiowania. Dodatkowo powinna zawierać elementy takie jak polityka zarządzania konfiguracją, informacją i dokumentami, procedury szkoleń, kontroli dostępu czy kryptografii.
Krok 3: System zarządzania ryzykiem
Właściwa troska o cyberbezpieczeństwo firmy powinna zacząć się od ustanowienia skutecznego systemu zarządzania ryzykiem, który obejmuje takie wypadki, jak np. awaria sprzętu, bezpieczeństwo personelu czy finansowe, a także związane z bezpieczeństwem IT lub OT. Przedsiębiorstwa muszą nie tylko przewidywać potencjalne zagrożenia powiązane z prowadzoną działalnością (a wśród nich jest przecież także ryzyko w zakresie bezpieczeństwa informacji czy IT), ale też wskazywać, jak pracownicy czy podwykonawcy mogą radzić sobie z nimi, uwzględniając priorytety organizacyjne, a także ograniczenia wewnętrzne i zewnętrzne.
Krok 4: Bezpieczna konfiguracja
Bardzo ważnym elementem jest wprowadzenie i udokumentowanie konfiguracji systemu, jej aktualizacja oraz cykliczne audytowanie. Konieczne jest prowadzenie wykazu systemów i krytycznych komponentów oraz nadzór nad wprowadzaniem zmian. Należy opracować strategię usuwania lub wyeliminowania niepotrzebnych funkcji z systemów oraz szybkiego identyfikowania luk w zabezpieczeniach oraz dalszych działań w celu ich poprawy.
Krok 5: Bezpieczeństwo sieci
W dzisiejszym świecie trudno wyobrazić sobie firmę, która byłaby odcięta od internetu. To życiodajne połączenie z siecią naraża jednak systemy i technologie przedsiębiorstwa na cyberatak. Zastosowanie się do kilku prostych zasad może jednak skutecznie ograniczyć hakerom pole manewru. Sieci organizacji prawie na pewno obejmują wiele witryn, korzystanie z usług mobilnych lub zdalnych, a także usługi w chmurze, co utrudnia określenie stałej granicy sieci. Nie należy koncentrować się wyłącznie na połączeniach fizycznych. Należy zastanowić się, gdzie dane są przechowywane i w jaki sposób odbywa się zarządzanie oraz nadzór nad nimi.
Krok 6: Zarządzanie uprawnieniami
Każdy użytkownik systemu powinien mieć nadane określone uprawnienia do systemu, które będą nadzorowane. Wiąże się to z przyznaniem autoryzowanych praw dostępu i przywilejów. Przyznanie bardzo wysokich uprawnień systemowych powinno być przemyślane i starannie kontrolowane.
Krok 7: Edukacja i świadomość użytkowników
Statystyki cyberincydentów wyraźnie wskazują, że najsłabszym ogniwem systemów bezpieczeństwa jest człowiek – błąd ludzki jest przyczyną około 80 proc. wszystkich incydentów związanych z cyberbezpieczeństwem. Ten błąd może być bardzo kosztowny i potencjalnie przyczynić się nawet do zagrożenia życia. To dlatego trzeba budować świadomość cyberbezpieczeństwa na wszystkich szczeblach organizacji. Nieodzowne są szkolenia, które dostarczają wiedzy specjalistycznej, a także pomagają w kształtowaniu kultury świadomości w zakresie bezpieczeństwa.
Krok 8: Zarządzanie incydentami
Bez wątpienia każda organizacja miała do czynienia z naruszeniem bezpieczeństwa. W takim wypadku najważniejszą kwestią jest właściwa odpowiedź na incydent. Plan reagowania zawiera z góry określony zestaw instrukcji lub procedur wykrycia i ograniczenia konsekwencji związanych z atakiem na systemy informacyjne organizacji. W przypadku ujawnienia zagrożenia konieczna jest ocena ryzyka zarówno ataku, jak i opcji odpowiedzi. Na przykład jedną z możliwych odpowiedzi jest fizyczne izolowanie systemu. Może to jednak mieć tak poważny wpływ na usługę, że jest odrzucane jako nieopłacalne.
Krok 9: Profilaktyka złośliwego oprogramowania
Każda wymiana informacji pociąga za sobą ryzyko infekcji złośliwym oprogramowaniem, co może poważnie wpłynąć na firmowe systemy i usługi. Dlatego ważne jest, aby zastosować mechanizm ochrony kodu przed złośliwym oprogramowaniem, np. dla systemów punktów wejścia i wyjścia, stacji roboczych, serwerów, urządzeń przenośnych. Mechanizmy te muszą być aktualizowane, ważny jest także dobór zaufanego dostawcy takiego oprogramowania.
Krok 10: Monitorowanie, rejestrowanie i audyt
Monitorowanie systemów jest konieczne do oceny ich normalnego stanu oraz wskazania potencjalnych zagrożeń, zapewnia także możliwość wykrycia prób ataków na systemy i usługi biznesowe. Dobry monitoring jest niezbędny, aby skutecznie na nie reagować. Audyty powinny być prowadzone cyklicznie, zapisy poddawane analizom, a wnioski raportowane do wyznaczonych osób.
Krok 11: Elementy nośników wymiennych
Konieczne jest określenie wytycznych i ograniczeń w zakresie użytkowania urządzeń mobilnych zarówno przez pracowników, jak i firmy podwykonawcze. Bezprzewodowe nośniki stanowią zagrożenie wprowadzenia złośliwego oprogramowania oraz przypadkowego lub celowego wywozu poufnych danych.
Krok 12: Integralność systemu
Utrzymanie integralności systemu informacji gwarantuje, że poufne dane nie zostały zmodyfikowane lub usunięte w sposób nieupoważniony i niewykryty. Warto mieć narzędzia do wykrycia złośliwego kodu, ochrony przed spamem i oprogramowaniem szpiegującym oraz wykrywania włamań. System alertów ostrzegawczych i powiadomień otrzymywanych od wyznaczonych organizacji zewnętrznych powinien wykrywać nieautoryzowane zmiany oprogramowania oraz informacji. W celu potwierdzenia integralności systemu dokonuje się jego ponownej oceny przez skanowanie z określoną częstotliwością. Ze szczególną ostrożnością trzeba podchodzić do systemów o wysokiej dostępności.
Krok 13: Zakup wyrobów i usług
Umowy dotyczące zakupu oprogramowania muszą zawierać wymagania i specyfikacje bezpieczeństwa, sporządzone w oparciu o ocenę ryzyka. Dostawca systemu powinien przeprowadzić testy wraz z planem oceny zabezpieczeń oraz dostosować go do obowiązującego u klienta systemu bezpieczeństwa. Spełnienie wymagań musi być monitorowane.
Krok 14: Zachowanie ciągłości
Konieczne jest opracowanie planu ciągłości działania systemu (BCP). Aby poradzić sobie z potencjalnymi przerwami, ważne jest, by określić cele odzyskiwania dla różnych systemów i podsystemów zaangażowanych w typowe potrzeby biznesowe. Należy uwzględnić dwa różne typy celów: odzyskiwanie systemu i odzyskiwanie danych.
Krok 15: Fizyczne środki bezpieczeństwa
Warto pamiętać, że cyberprzestrzeń to pole działania konkurencji, niezadowolonych pracowników, a także terrorystów, którzy planują wyrządzenie szkody organizacji czy też nawet państwu. Bariera bezpieczeństwa fizycznego jest jedną z pierwszych, jaką musi sforsować intruz, żeby dostać się do środka organizacji i uzyskać nieuprawniony dostęp. W związku z czym zapewnienie właściwych procedur, personelu, ochron technicznych w tej warstwie zabezpieczeń jest niezmiernie ważnym elementem.