Bezpieczeństwo to słowo odmieniane w ostatnich latach przez wszystkie przypadki. Zagrożenia terrorystyczne, zagrożenia wynikające z aktualnie trwających konfliktów zbrojnych i fali międzynarodowych migracji, a ostatnio również zagrożenia cybernetyczne stanowią coraz większą część informacji szeroko opisywanych i komentowanych w mediach i powodują, że czujemy się w dzisiejszym świecie coraz mniej bezpieczni.

Należy przypomnieć, że bezpieczeństwo jest jedną z podstawowych potrzeb człowieka zdefiniowanych w piramidzie potrzeb Abrahama Maslowa.

Piramida potrzeb według Abrahama Maslowa

Każdy z nas, aby móc realizować potrzeby wyższego rzędu musi najpierw zapewnić odpowiedni poziom realizacji potrzeb podstawowych. Analogiczna sytuacja dotyczy również systemów IT oraz przechowywanych i przetwarzanych przez nie informacji. Szeroko pojęte „bezpieczeństwo informacji” stanowi obecnie synonim dojrzałości każdej organizacji, a ta dojrzałość pozwala na realizowanie potrzeb wyższego rzędu, na dalszy rozwój całej organizacji.

Ostatnie ataki hackerskie wykorzystujące ransomware (majowy WannaCry, czy czerwcowy Petya) pokazały, że nawet duże i zaawansowane technologicznie organizacje w sposób niewystarczający dbają o tak ważną kwestię, jaką jest bezpieczeństwo informacji.

Utrata danych, przestój firmy w wyniku ataku hackerskiego itp. to nie tylko wymierne straty finansowe dla przedsiębiorstwa, dezorganizacja pracy, ale przede wszystkim straty wizerunkowe. Zaufanie wśród klientów, czy kontrahentów odbudowuje się później latami.

Spójrzmy jeszcze raz na piramidę potrzeb Maslowa i spróbujmy odnieść ją do systemów IT w organizacji. Potrzeby fizjologiczne to potrzeby infrastrukturalne. W naszych organizacjach każdy z użytkowników powinien mieć zapewniony dostęp do narzędzi pracy – sprzętu i oprogramowania, z których korzysta. Niezwykle ważne jest wykorzystywanie nowoczesnych technologii, budowanie infrastruktury odpowiadającej wymaganiom aplikacji pod kątem np. wydajności, dostępu do danych, niezawodności (redundancja) itd. To wszystko to potrzeby pierwszego szczebla – konieczne do realizowania wyższych usług.

Zaraz za nimi pojawia się Bezpieczeństwo. Systemy, z których korzystamy muszą być bezpieczne. To zagadnienie możemy rozpatrywać na wielu płaszczyznach i w wielu obszarach. Na bezpieczeństwo w IT należy spojrzeć jak na Proces. Jest to bowiem ciągły proces ograniczania ryzyka wystąpienia zagrożeń. Nie ma technologii, producenta, integratora, który będzie potrafił ustrzec swojego klienta przed wszystkimi możliwymi zagrożeniami. Jest to nieustający wyścig z czasem i z „ciemną stroną” współczesnego IT, która bardzo prężnie działa, i jak widać na przestrzeni ostatnich miesięcy atakuje coraz częściej i coraz skuteczniej.

Jak zatem rozsądnie podejść do planowania podnoszenia poziomu bezpieczeństwa systemów IT?

Przede wszystkim należy zacząć od audytu tego, co mamy. Sprawdzić, czy urządzenia i oprogramowanie, które są na bieżąco aktualizowane, czy korzystamy z nich w pełni wykorzystując mechanizmy ochrony, jakie nam dają. Właściwy przegląd narzędzi oraz określonych procedur czy stosowanych polityk bezpieczeństwa pozwoli na określenie aktualnego stanu zabezpieczeń i miejsc, które w naszych systemach IT należy zabezpieczać w pierwszej kolejności.

Punktem, w którym spotkamy największą liczbę zagrożeń jest styk z siecią Internet.
Niezwykle ważnym jest stosowanie nie tylko firewall’a na brzegu sieci, ale także zintegrowanych systemów bezpieczeństwa nazywanych (Unified Threat Management). UTM-y, czy też Next Generation Firewall’e, to urządzenia pełniące funkcję routera brzegowego lub stojące bezpośrednio za nim i pełniące zaawansowane funkcje  ochronne, m.in. IPS (Intrusion Prevention System), antywirus, antyspam, DLP (Data Leak Prevention), koncentrator VPN, URL filtering i inne. Oczywiście, aby realnie móc korzystać z ochrony, jaką dają te urządzenia konieczna jest ich właściwa  konfiguracja w systemie IT, utrzymywanie aktualnych subskrypcji i sygnatur oraz odpowiednie skonfigurowanie reguł i polityk bezpieczeństwa.

Coraz częściej do tego typu urządzeń możemy dokupić usługę tzw. sandboxingu. Jest to usługa pozwalająca na przetestowanie podejrzanych plików czy programów w wydzielonej części infrastruktury (najczęściej w chmurowych zasobach producenta). Pozwala to na ochronę przed tzw. atakami zero-day, czyli tymi zagrożeniami, które nie są jeszcze znane i nie mają odpowiednich sygnatur blokujących. Jest to także element ochrony przed ransomware, czyli – złośliwym oprogramowaniem szyfrującym dane użytkownika.

Ransomware to zagrożenie, które coraz częściej dotyka nie tylko potężnych korporacji, ale i firm z segmentu SMB . Jego twórcom, czy też użytkownikom, zależy na jak największym „polu rażenia”. Im więcej zainfekowanych komputerów, tym większe prawdopodobieństwo, że hackerzy trafią na kogoś, kto miał bardzo ważne dane, nie miał backupu i zapłaci okup (najczęściej za pomocą wirtualnej waluty –  Bitcoin) za odszyfrowanie swoich plików. Co ciekawe – często atakujący analizują dokładnie użytkowników i typ posiadanej przez  nich infrastruktury. Takie „badania” pokazują np. że im droższy laptop, tym większe prawdopodobieństwo, że zaatakowany zapłaci okup za odszyfrowanie swoich danych. Te i wiele innych informacji zdobytych  na podstawie naszej aktywności „w sieci”, na portalach społecznościowych itp.  mogą być wykorzystane przez hackerów przeciwko nam. Zagrożenia typu ransomware mogą być wykrywane „na brzegu sieci”, ale i na komputerze użytkownika wyposażonym w odpowiednie oprogramowanie antyransomware’owe. W takim przypadku użytkownik jest chroniony nie tylko przy korzystaniu sieci firmowej, ale w każdym momencie swojej internetowej aktywności.

Architektura budowanego systemu zabezpieczeń zależy zatem od sposobu pracy,  topologii sieci w danej organizacji, a także od wdrożonych polityk bezpieczeństwa. Np. jeśli mamy pracowników często pracujących spoza siedziby firmy, to przy tworzeniu zasad bezpieczeństwa należy zadać sobie pytanie, czy zawsze wykorzystują oni bezpieczne łącze VPN i są chronieni przez systemy implementowane centralnie, czy też korzystają z Internetu bezpośrednio, z pominięciem tych systemów. Do każdej z wykorzystywanych topologii połączeń należy dobrać innego rodzaju zabezpieczenia; przewidując przy tym zachowania poszczególnych grup użytkowników, ich podatności na rożne typy zagrożeń i wykorzystując odpowiednie mechanizmy ograniczenia dostępu do treści stanowiących zagrożenie dla całej organizacji.

Drugim aspektem Bezpieczeństwa jest ochrona przed wyciekiem danych.

Oczywistym jest, że powinniśmy bronić naszej wewnętrznej sieci przed zagrożeniami z zewnątrz, ale równie ważna jest ochrona informacji, które nie powinny sieci firmowej opuszczać – wszelkiego rodzaju celowe lub zupełnie nieświadome (błąd użytkownika) wycieki ważnych informacji poza system IT organizacji. Temat ten jest ważny nie tylko z powodu ochrony dóbr organizacji, ale niezwykle aktualny w kontekście zmian legislacyjnych, które będą obowiązywały od maja 2018 roku. RODO, czyli nowe Rozporządzenie o Ochronie Danych Osobowych nakłada na Administratora Danych między innymi obowiązek zgłoszenia incydentu wycieku danych osobowych w ciągu 72h od zdarzenia. Jednocześnie nakłada szereg innych obowiązków związanych z ochroną danych osobowych, przewidując wysokie kary za naruszenia – do 20 mln EUR lub 4% globalnego rocznego przychodu firmy. Ochrona danych osobowych jest więc tematem szczególnie ważnym, a nadchodzące miesiące powinny być wykorzystane na audyt bezpieczeństwa obecnych systemów. Dopiero na tej podstawie powinny zostać  przygotowane kompleksowe zmiany: w polityce bezpieczeństwa, w procesach biznesowych, w infrastrukturze IT i systemach monitorujących pod kątem wymagań RODO. Niezbędna będzie nie tylko analiza sprzętu czy oprogramowania, ale także istniejących procedur czy praktyk stosowanych w kontekście monitorowania incydentów naruszenia bezpieczeństwa danych osobowych.

Wyżej wymienione. systemy DLP, to tylko część całego systemu ochrony informacji. Kolejnym elementem jest: ochrona przed atakami z zewnątrz na brzegu sieci (wspomniane wyżej UTM), szyfrowanie danych wrażliwych i ich backup’owanie. Każdy z tych elementów (choć dotyczy różnych punktów infrastruktury IT) jest elementem składowym ochrony organizacji i podnosi poziom jej Bezpieczeństwa.

Implementacja każdego z tych rozwiązań pozwoli nam na stwierdzenie, że jesteśmy o krok dalej na pasku postępu realizacji procesu: WDROŻENIE BEZPIECZEŃSTWA w organizacji.

proces wdrażania zabezpieczeń w trakcie czas ucieka

Proces wdrażania zabezpieczeń w trakcie, czas ucieka…

Anna Skowina
Anna Skowina
Inżynier Technicznego Wsparcia Sprzedaży