Cyberbezpieczeństwo – co kryje się za zakrętem?
27.10.2021 | Maciej Ogórkiewicz
Wstęp
Postępująca cyfryzacja otaczającego nas świata przynosi wiele szans inwestycyjnych i nowych modeli biznesowych. Rewolucja cyfrowa, w której aktywnie uczestniczymy, oprócz całej gamy pozytywnych zmian, ma również drugą, ciemniejszą stronę. Jest ona związana z całym wachlarzem ryzyk i zagrożeń – zarówno dla pojedynczych użytkowników internetu, jak i przedsiębiorstw, których model biznesowy oparty jest całkowicie lub w jakimś stopniu związany z cyberprzestrzenią.
Chcemy zaprezentować wybrane kierunki rozwoju cyberbezpieczeństwa w ujęciu postępującej digitalizacji, czasów pandemii COVID-19 oraz nadchodzącej ery „New Normal” (zwanej przez niektórych badaczy „Never Normal”), czyli świata post-pandemicznej rzeczywistości, w której zdobycze informatyzacji oraz problem ich zabezpieczenia z pewnością będą odgrywały kluczową rolę.
“Who led your digital transformation? Choose the correct answer:
- CEO
- CIO
- COO
- COVID-19”
Jakiś czas temu w internecie krążył mem z takim pytaniem. Chociaż ma żartobliwy charakter w pewnym stopniu jest prawdziwy. Pandemia COVID-19 ma bardzo duży wpływ na rozwój narzędzi informatycznych, które dają nam zdalny dostęp do firmowych systemów i zasobów. Dzięki tym narzędziom możemy komunikować się między sobą oraz z naszymi kontrahentami i klientami.
Z dnia na dzień przedsiębiorstwa, szkoły i urzędy przeniosły się całkowicie z dotychczasowego modelu pracy stacjonarnej na pracę zdalną w cyberprzestrzeni. Zdalny dostęp do zasobów przedsiębiorstwa wymaga, aby szczegółowo przeanalizować zagrożenia oraz zidentyfikować potencjalne ryzyka.
Na co powinniśmy zwrócić szczególną uwagę?
- Zabezpieczenie danych, które przesyłamy między firmą, a różnymi odbiorcami (szyfrowanie, autentykacja i autoryzacja),
- Uprawnienia użytkowników i sprzętu, za pośrednictwem którego pracownicy mają dostęp do zasobów firmy,
- Zabezpieczenie dostępu do wewnętrznych danych i zasobów firmy – tak, aby mogły korzystać z nich tylko uprawnione osoby,
- Awaryjne metody dostępu i mechanizmy techniczne, z których można skorzystać, gdy zdarzy się awaria,
- Zabezpieczenie kluczowych serwisów i zapewnienie ciągłości ich działania.
W kontekście ostatniego punktu musimy wziąć pod uwagę również serwisy, które są dostarczane przez firmy zewnętrzne. Taki zewnętrzny serwis może być niedostępny z przyczyn, które nie będą od nas zależne. Warto pamiętać również o tym, że cyberprzestępcy mogą dostać się do struktur naszej firmy poprzez połączenia „zaufane” (np. z sieci, należących do firm, z którymi współpracujemy) albo poprzez nieodpowiednio zabezpieczone interfejsy aplikacji. W takiej sytuacji musimy odrzucić paradygmat domniemanego zaufania, odejść od ochrony zasobów jedynie przed zagrożeniami zewnętrznymi i założyć, że potencjalnym atakującym może być ktokolwiek.
Od kilku lat wśród ekspertów ds. cyberbezpieczeństwa funkcjonuje pojęcie „Zero Trust”. Oznacza zmianę podejścia do tworzenia architektury sieci i systemów teleinformatycznych. W podejściu tym, w sieci firmowej nie istnieją obszary zaufane, a każdy z uczestników systemu (użytkownik lub urządzenie) jest odpowiednio uwierzytelniany i weryfikowany. W podejściu „Zero Trust” raczej stawia się na zabezpieczenia prewencyjne niż detekcyjne (o ile to możliwe). Kluczowy jest tu monitoring zdarzeń oraz wczesne wykrywanie wszelkich anomalii.
Dlaczego warto zmienić podejście?
W dotychczasowym podejściu do budowy zabezpieczeń wiele systemów informatycznych przedsiębiorstw było budowanych z nastawieniem przede wszystkim na zagrożenia pochodzące z sieci zewnętrznej. Nacisk na inwestycje w rozwiązania chroniące dane i systemy oraz atencja na monitoring incydentów bezpieczeństwa były położone przede wszystkim na punkty styku z siecią Internet, serwisy eksponowane do sieci publicznych, takie jak np. e-mail, www, a także na ochronę antywirusową i antyspamową.
W takim podejściu obszar wewnętrzny firmowej sieci był zwykle bardziej otwarty i traktowany jako zaufany dla użytkowników oraz urządzeń podłączających się do sieci.
W zamkniętym i nastawianym głównie na świat zewnętrzny modelu bezpieczeństwa ochrona systemu była łatwiejsza. Nie sprawdzała się jednak w momencie, gdy cyberprzestępcom udało się znaleźć niezabezpieczone punkty wejścia do systemu (np. poprzez brak aktualnych poprawek bezpieczeństwa lub błędy konfiguracyjne) lub gdy firma zatrudniła pracownika o przestępczych zamiarach.
Zero Trust
Koncepcja Zero Trust opiera się na czterech prostych zasadach:
- Nigdy nie ufaj, nieustannie sprawdzaj i weryfikuj.
- Domyślnie blokuj dostęp i udzielaj najmniejszego zestawu uprawnień, które są potrzebne do realizacji danego zadania lub czynności (prezes i zarząd firmy nie powinni mieć dostępu do wszystkiego w organizacji – jeżeli zostaną zaatakowani, cyberprzestępca zyska pełnię uprawnień).
- Zapewnij sobie właściwą i wielowymiarową widoczność zdarzeń w systemie (złośliwe oprogramowanie może zostać przyniesione do firmy przez laptop prywatny pracownika lub sprzęt kontrahenta).
- W miarę możliwości zarządzaj zabezpieczeniami w sposób centralny, jednolity i spójny (ograniczenie złożoności to mniejsze ryzyko popełnienia pomyłki).
Takie podejście zyskuje na popularności szczególnie teraz, gdy mamy powszechny, zdalny dostęp do wielu systemów, pracujemy online i coraz częściej konsumujemy serwisy chmurowe (Software as a Service, Platform as a Service).
Warto, aby każde przedsiębiorstwo raz jeszcze sprawdziło dokładnie całość systemu teleinformatycznego, jego bezpieczeństwo oraz obszary, które dotychczas uchodziły za „zaufane”. Warto przeprowadzić taką analizę nie tylko wobec tradycyjnej sieci i systemów teleinformatycznych, ale również względem systemów przemysłowych, sterujących procesami produkcyjnymi oraz różnego rodzaju rozwiązań Internet of Things.
Nawet najlepiej zabezpieczona technologicznie infrastruktura nie spełni swojej ochronnej roli i nie zapewni odpowiedniego poziomu bezpieczeństwa, jeśli nie zostaną spełnione wymogi podstawowej „higieny” systemu teleinformatycznego (aktualizacja poprawkami bezpieczeństwa i odpowiednie rozwiązania przeciw złośliwemu oprogramowaniu).
Ransomware i malware, a „patchowanie” systemów
Problem wirusów, trojanów i innych złośliwych programów jest znany od bardzo dawna. Kilka lat temu do tej grupy dołączył Ransomware.
Jest to złośliwe oprogramowanie, które szyfruje dane na dyskach i obiecuje przywrócenie danych w zamian za niemały okup wpłacony najczęściej w formie kryptowaluty na cyfrowe portfele cyberprzestępców. Ransomware jest świetnym przykładem tego, jak w ostatnich latach zmieniła się cyberprzestępczość – od działalności czysto szkodliwej, często dla zabawy, po bardzo dobrze zorganizowany i innowacyjny biznes.
Dzisiaj, cyberprzestępczość ma na celu nie tylko wysoką monetyzację, ale również kradzież danych i wartości intelektualnej, uniemożliwienie działania konkurencji oraz realizację celów politycznych i działalność propagandową, wpływając tym samym na wybory całych narodów.
Większości z nas nie trzeba przekonywać do stosowania rozwiązań, które chronią nas przed złośliwym oprogramowaniem. Przedsiębiorstwa stosują rozwiązania antymalware. Często jednak nie mają one pełnego pokrycia wszystkich lub większości możliwych dróg infekcji. Poza tym firmy często zaniedbują podstawową higienę związaną z bieżącą aktualizacją systemów i aplikacji najnowszymi poprawkami bezpieczeństwa.
Mimo powszechnej świadomości tego zagrożenia, prawie w każdym miesiącu tego roku oraz lat wcześniejszych, do mediów docierały informacje o poważnych incydentach związanych z infekcją złośliwego oprogramowania, które miały negatywny wpływ na działanie przedsiębiorstw, bezpieczeństwo powierzonych danych i informacji oraz biznesowej reputacji.
W cyberbezpieczeństwie liczą się ludzie
Czynnik ludzki jest niezwykle istotny w budowaniu dobrze działającego systemu cyberbezpieczeństwa w każdej nowoczesnej organizacji. Zarządy organizacji, dla której cyberbezpieczeństwo jest istotne, powinny położyć szczególny nacisk na zbudowanie zespołów wyposażonych w odpowiednią wiedzę i wysokie umiejętności techniczne, które:
- zidentyfikują luki i zagrożenia,
- sprawnie wykryją incydenty i proaktywnie zapobiegną atakom,
- zbudują systemy teleinformatyczne według zasady „secure by design”
Zespoły te muszą ściśle współpracować z zespołami biznesowymi, operacyjnymi oraz IT, aby wspólnie budować i utrzymywać bezpieczne systemy, sieci, aplikacje oraz usługi i produkty, które kupują klienci. Bezpieczeństwo jest procesem – nie zapominajmy o tym.
Właśnie dlatego warto budować świadomość cyberzagrożeń w organizacji. Wszyscy pracownicy powinni wiedzieć, jak zapobiegać cyberprzestępstwom i oszustwom. Hasło jednej z amerykańskich firm telekomunikacyjnych mówi „You are the firewall”. Oznacza to, że każdy staje się istotnym elementem systemu zabezpieczeń. Szczególnie w dzisiejszych czasach hasło to zyskuje na znaczeniu.
Warto sprawdzić:
- Zapis webinaru „Cyberatak na Twoją firmę?”