Wyższy poziom bezpieczeństwa IT. Jak go zapewnić w organizacji?
27 lat ewolucji doprowadziło nas do czasów w których informacja jest jednym z najważniejszych aktywów, narażonych na zagrożenia, w których wirus jest tylko jednym z elementów działania sprawcy.
Przemysław Krejza – Dyrektor d/s Badań i Rozwoju Mediarecovery, CISSP, EnCE. Ekspert z zakresu analizy i poszukiwania informacji cyfrowych, kieruje największym w tej części Europy laboratorium informatyki śledczej. Posiada również bogatą wiedzę z zakresu odzyskiwania danych, przez 8 lat zarządzał działem data recovery w polskim oddziale międzynarodowej firmy specjalistycznej. Brał udział w tworzeniu laboratoriów odzyskiwania danych w kraju i za granicą. Kierował wdrożeniami systemów bezpieczeństwa informacji i reakcji na incydenty w instytucjach bankowych, finansowych i telekomunikacyjnych. Prezes Stowarzyszenia Instytut Informatyki Śledczej.
Wyniki przedstawionych badań ankietowych wskazują, że w polskich firmach przywiązuje się istotną wagę do kwestii związanych z bezpieczeństwem IT. 57% ankietowanych wskazało to jako jeden z priorytetów działalności.
Jednak o jakim poziomie bezpieczeństwa IT myślą ankietowani? Ankieta i doświadczenia Mediarecovery wskazują, że jest to pryzmat podstawowych zabezpieczeń, takich jak program antywirusowy (25% skuteczności wg. ich producentów!) i urządzenie typu router, mające chronić organizacje przed atakami z zewnątrz. Niewielu menedżerów zdaje sobie sprawę jak wiele się zmieniło od czasu kiedy John McAfee napisał w 1986 roku pierwszy program antywirusowy.
27 lat ewolucji doprowadziło nas do czasów w których informacja jest jednym z najważniejszych aktywów, narażonych na zagrożenia, w których wirus jest tylko jednym z elementów działania sprawcy. Współczesny "hacker" równie sprawnie pisze złośliwe oprogramowanie, jak używa socjotechniki aby mailem przekonać nas do odwiedzenia jego strony lub otwarcia załącznika. Przełamanie zabezpieczeń i kradzież dowolnej informacji lub unieruchomienie naszej działalności to już potem dziecinna zabawa. Jak zatem powinniśmy myśleć o współczesnym bezpieczeństwie IT?
Główne obszary bezpieczeństwa IT
Jeśli przyjrzymy się normom związanym z bezpieczeństwem systemów informatycznych, takim jak na przykład ISO27001, spostrzeżemy cztery główne obszary, które dotyczą każdej organizacji i w których należy rozważać problemy bezpieczeństwa:
Bezpieczeństwo użytkowników. Wyniki badania ankietowego wskazują, że 79% wszystkich osób biorących udział w ankiecie pokłada ogromne zaufanie w pracownikach i nie dopuszcza możliwości, że to oni mogą być źródłem wycieku danych. Niestety ponad 4500 ekspertyz przeprowadzonych przez Mediarecovery świadczy o tym, że nie zawsze tak jest. Wystąpienie zagrożenia wewnętrznego jest w równym stopniu prawdopodobne, jak wystąpienie zagrożenia z zewnątrz. Dodatkowo cybeprzestępcy właśnie przez pracowników próbują uzyskać dostęp do informacji poufnych. Stosują do tych celów zarówno klasyczną socjotechnikę, jak i próby infekcji pojedynczych stacji roboczych, które mają być ich sposobem dostępu do reszty infrastruktury.
Zatem działania pracowników, zarówno te nieświadome, jak i wykonywane z rozmysłem są dużym zagrożeniem dla bezpieczeństwa. Z badania Mediarecovery w 2012 roku wynika, iż 49% polskich firm miało do czynienia z przypadkami nielojalności pracowniczej. Ponadto w 2012 roku znaczna część wartych miliony dolarów strat w następstwie ataków została przeprowadzona z "użyciem" nieświadomych pracowników (np. Sony).
Ochrona w tym obszarze powinna opierać się o kontrolę uprawnień, ochronę przed uruchamianiem niedozwolonego oprogramowania (BIT9) oraz systemy podstawowego monitoringu zachowań pracowników (np. AuditPro). Korzyścią jest również fakt, iż stosując podstawowe rozwiązania możemy uzyskać wystarczający poziom rozliczalności pracowników na wypadek postępowań przed sądem.
Bezpieczeństwo danych – 90% wszystkich ankietowanych postrzega wyciek danych jako realne zagrożenie prowadzenia działalności biznesowej. Właśnie dane są głównym celem cyberprzestępców. Często nie zdajemy sobie sprawy z ich wartości do czasu kiedy ich nie utracimy.
Aby wiedzieć jakie dane chronić należy w pierwszej kolejności zastanowić się jaka informacja jest dla nas najcenniejsza. Bez wiedzy gdzie i jakie dane posiadamy oraz przetwarzamy, zapewnienie ich bezpieczeństwa nie będzie możliwe. Porządkowanie informacji ułatwiają usługi typu "sprawdź, gdzie żyją Twoje dane" oraz rozwiązania typu DLP (Data Leakage Prevention).
Tego typu rozwiązania, chronią nawet przed przypadkowym wyciekiem danych. Zapewniają również ciągłą kontrolę, wymuszają respektowanie przez wszystkich pracowników wewnętrznych zasad regulujących kwestie przepływu i dostępu do danych, dając równocześnie pełną wiedzę dotyczącą prób złamania polityki bezpieczeństwa danych.
Wprowadzenie tego typu rozwiązań powinno wiązać się również ze szkoleniami dotyczącymi bezpieczeństwa danych. W analizowanych przez Mediarecovery incydentach często nieświadomość pracowników jest ich przyczyną. Aspekt świadomości jest szalenie istotny w ew. postepowaniach odszkodowawczych kiedy pracownik mówi – nie wiedziałem.
Bezpieczeństwo aplikacji i infrastruktury – jest podstawą ciągłości procesów biznesowych. Bezawaryjne funkcjonowanie systemu i aplikacji pozwala skupić wysiłki na rozwoju biznesu. Kilkudniowa przerwa w działaniu, będąca następstwem działania cyberprzestępców może skutecznie uzasadniać wydatki w tym obszarze. John Pescatore, Wiceprezes Gartnera, posiadający 34 letnie doświadczenia w branży IT, w zaleceniach jednego ze swoich ostatnich raportów wskazuje na używanie do ochrony i infrastruktury tzw. "białych list" zamiast programów antywirusowych, wszędzie tam gdzie to możliwe. Gartner jest jedną z najbardziej poważanych instytucji przygotowujących raporty dotyczące rynku IT w ujęciu globalnym. Znalezienie się w słynnym kwadracie Gartnera dla wszystkich firm stanowi znaczące wyróżnienie.
"Białe listy" zawierają aplikacje, które są niezbędne do prowadzenia działalności biznesowej. Działanie innych aplikacji staje się niemożliwe. Bez względu na to czy będzie to komunikator internetowy czy wirus nie zostanie uruchomiony. Korzyścią dodatkową jest tu możliwość zapewnienia pełnej legalności oprogramowania oraz wiedza na temat uruchamianych aplikacji, co może przynieść poważne oszczędności.
Informatyka śledcza – stanowi uzupełnienie tradycyjnych sposobów zabezpieczeń.
Jest wykorzystywana najczęściej w fazie poincydentalnej, będąc źródłem wiedzy o przebiegu i skali danego incydentu. Umiejętność posługiwania się elektronicznym materiałem dowodowym może być niezbędna w dochodzeniu odszkodowań przed sądem. W sytuacji podejrzeń co do pracowników, stwierdzenia incydentu związanego z bezpieczeństwem można skorzystać z wyspecjalizowanej firmy, ale przygotowanie własnej organizacji nie jest trudne. Zestaw narzędzi i szkolenie pozwoli na pozyskiwanie niepodważalnych dowodów elektronicznych, które będą respektowane przez sąd. Elementem przygotowania do takiego działania powinien być również audyt prawny umów zawartych z pracownikami pod kątem skutecznego dochodzenia roszczeń przed sądem. Korzyści są tu ewidentne.
Każda współczesna organizacja konkuruje na rynku również zasobem wiedzy, który posiada. Każda organizacja może zatem znaleźć się na celowniku cyberprzestępców, nieuczciwej konkurencji lub nastawionych na nielojalność pracowników. Współczesna technologia daje wiele możliwości kradzieży informacji lub unieruchomienia systemu w kluczowych momentach biznesowych – na przykład uczestnictwie w przetargach on-line.
Przygotowanie organizacji na współczesne zagrożenia wymaga odejścia od stosowania prostych zabezpieczeń, w postaci nieskutecznych systemów antywirusowych, w kierunku takich, które zapobiegają określonemu ryzyku. Bezpieczeństwo IT wymaga podejścia usystematyzowanego, obejmującego poszczególne obszary z uwzględnieniem wewnętrznych i zewnętrznych zagrożeń. Co istotne należyta staranność zarządu wymaga, aby takie podejście było uwzględnione w decyzjach biznesowych.
Przygotowanie odpowiednich procedur i regulacji wewnętrznych, a także zbudowanie świadomości wśród pracowników nie musi wiązać się z ogromnymi nakładami. Większość inwestycji posiada uzasadnienie w ponoszonym ryzyku, minimalizując jednocześnie negatywne konsekwencje lub uniemożliwiając wystąpienie incydentu.
Przemysław Krejza