Etapy wdrażania poszczególnych elementów cyberbezpieczeństwa w przedsiębiorstwie
Krzysztof Mizerski
Ekspert współpracujący z Platformą Przemysłu Przyszłości
Wdrożenie poszczególnych elementów cyberbezpieczeństwa w przedsiębiorstwie wymaga wykonania zaleceń ujętych w następujących krokach:
Etap 1. Wykonanie inwentaryzacji całego sprzętu, systemów i oprogramowania, w celu zrozumienia, jakie zasoby posiadamy i chcemy chronić w organizacji
Wdrożenie zasad cyberbezpieczeństwa (Rys. 1) wymaga w pierwszej kolejności dokonania weryfikacji zasobów teleinformatycznych, będących w posiadaniu danej organizacji. Konieczne jest stwierdzenie, czy dana firma posiada istotne systemy IT/OT, potrzebne do realizacji podstawowych zadań biznesowych oraz ocena, czy nie są one posadowione na przestarzałej infrastrukturze technicznej. W praktyce oznacza to sprawdzenie czy systemy, które odpowiadają za kluczowe procesy w organizacji (np. systemy produkcyjne), nie działają na przestarzałych komputerach lub serwerach, bez odpowiedniego zabezpieczenia. Niektóre systemy mogą mieć szereg luk i podatności (np. systemy operacyjne klasy Windows 98/XP, które nie są już od dawna wspierane przez producenta).
Etap 2. Przeprowadzenie aktualizacji oprogramowania; wycofanie z użycia przestarzałego sprzętu; wykonanie zgodnej z instrukcją, bezpiecznej konfiguracji; przeprowadzenie harderingu posiadanych systemów IT/OT, dostarczanych przez producentów
Producenci wszystkich współczesnych systemów operacyjnych zapewniają dostęp do aktualizacji bezpieczeństwa oferowanych przez siebie produktów. Znacząca większość masowych cyberincydentów wynika z użycia podatności systemów, które zostały wcześniej udokumentowane, a producenci opublikowali naprawiające je poprawki. Dotyczy to także, nagłośnionych w ciągu ostatnich kilku lat, przypadków użycia szkodliwego oprogramowania typu ransomware (takich jak CryptoLocker czy Petya). Systematyczne instalowanie aktualizacji bezpieczeństwa to fundament, bez którego żadne inne środki cyberbezpieczeństwa nie mogą okazać się odpowiednio skuteczne.
Należy również pamiętać, że poprawki bezpieczeństwa publikowane są nie tylko w zakresie systemów operacyjnych, lecz także w odniesieniu do innych urządzeń funkcjonujących w lokalnej sieci komputerowej. Mogą to być routery dostępowe, kamery internetowe, drukarki, a w obecnym świecie rozwoju nowoczesnych technologii i urządzeń IoT – także lodówki, odkurzacze czy nawet szczoteczki do zębów. Każdy z tych produktów, podłączony do sieci Internet, może stać się potencjalnym celem lub wektorem ataku.
Etap 3. Określenie, jaki budżet jesteśmy w stanie przeznaczyć na zakup i wdrożenie systemów bezpieczeństwa oraz na wymianę przestarzałych systemów IT/OT
Profesjonalne podejście do tematyki cyberbezpieczeństwa wymaga realnego oszacowania, jakimi zasobami dysponuje przedsiębiorstwo oraz jaką ich część można przeznaczyć na zakup i wdrożenie określonych rozwiązań, związanych z zapewnieniem bezpieczeństwa. Poziom zaangażowanych zasobów jest zależny głównie od profilu działalności danej firmy, rodzaju realizowanych zadań i usług, rodzaju przetwarzanych danych oraz posiadanych możliwości finansowych. Przeważnie nie jest możliwe określenie „z góry” dokładnej wielkości potrzebnych zasobów. Nie da się również określić konkretnej wielkości przychodu, który powinien zostać zainwestowany w konkretne rozwiązania. Wielkość inwestycji w cyberbezpieczeństwie jest zawsze kwestią indywidualną, wynikającą z wielu czynników, a przede wszystkim z rodzaju prowadzonej działalności. Istotną kwestią jest także wymiana przestarzałych stacji roboczych/laptopów, z niewspieranymi systemami operacyjnymi, na nowsze modele, posiadające odpowiednie wsparcie i możliwość aktualizacji. Jest to szczególnie ważne w momencie, gdy przestarzały sprzęt jest podłączony do Internetu, a za jego pośrednictwem istnieje możliwość dostania się do firmowych systemów odpowiedzialnych za produkcję, wymianę danych czy inne procesy biznesowe.
Etap 4. Opracowanie zasad, polityk i procedur bezpieczeństwa SZBI (System Zarządzania Bezpieczeństwem Informacji)
Aby móc wymagać od swoich pracowników przestrzegania określonych reguł cyberbezpieczeństwa, konieczne jest utworzenie zbioru zasad w formie dokumentu, zwanego „Polityką bezpieczeństwa” (Rys. 3). Polityka bezpieczeństwa danej organizacji określa wszelkie zasady, zalecenia i nakazy związane z bezpieczeństwem, których pracownicy są zobowiązani przestrzegać. Utworzenie tego rodzaju dokumentu może być jednak sporym wyzwaniem dla przedsiębiorstwa. Polityka bezpieczeństwa powinna być dostosowana do charakteru prowadzonej działalności oraz dotyczyć wszystkich procesów wewnętrznych: od zasad, dotyczących kadry najniższego szczebla, aż po kadrę kierowniczą i zarząd. Powinna również obejmować wymagania w stosunku do podwykonawców. Zanim jednak będzie możliwe wymaganie stosowania się do zasad opisanych w polityce bezpieczeństwa od pracowników, konieczne jest ich uprzednie przeszkolenie oraz upewnienie się, iż treść i zasady opisane w dokumencie są dla nich jasne i zrozumiałe. Dobre praktyki, odnoszące się do polityki bezpieczeństwa to zapewnienie stałej i ogólnej dostępności dokumentu dla pracowników i osób wykonujących zlecenia dla firmy oraz zaznajomienie osób z zasadami polityki już od pierwszego dnia pracy, wraz z formalnie składanym podpisem (zgoda stosowania się do jej zapisów podczas wykonywania obowiązków służbowych).
Etap 5. Wdrożenie oprogramowania antywirusowego
Obecnie większość urządzeń, używanych do celów służbowych, takich jak stacje robocze, laptopy, serwery a także telefony i tablety, jest podłączona do Internetu. Konieczne jest zatem zapewnienie bezpieczeństwa tych urządzeń poprzez zainstalowanie na nich sprawdzonego i pozytywnie ocenianego programu antywirusowego. Oprogramowanie antywirusowe ma na celu wykrywanie, zapobieganie, usuwanie i neutralizowanie szkodliwych aplikacji i programów (Rys. 4). Antywirus jest jednym z najważniejszych elementów ochrony firmowych zasobów przed zarażeniem. Ważną kwestią jest również pamiętanie o cyklicznej aktualizacji używanego oprogramowania i systemu operacyjnego. W obecnych czasach antywirusy nie chronią wyłącznie przed wirusami, ale przede wszystkim przed złośliwym oprogramowaniem malware, którego częścią jest wirus komputerowy. Współcześnie programy antywirusowe, dedykowane dla przedsiębiorców, nie należą do drogich rozwiązań i zależą głownie od liczby urządzeń, na których konieczne będzie dostarczenie licencji oprogramowania antywirusowego.
Etap 6. Regularne tworzenie zapasowych kopii danych i ich testowanie, aby zapewnić możliwość odtworzenia informacji w momencie ich utraty bądź uszkodzenia
Wykonywanie regularnych kopii bezpieczeństwa jest niezastąpionym elementem dbania o bezpieczne środowisko przetwarzania danych. Jest także koniecznością dla przedsiębiorców, korzystających z rozwiązań w zakresie IT, niezależnie od stosowanych środków technicznych oraz ostrożnego postępowania użytkownika. Kopie zapasowe powinny być wykonywane na odrębnych nośnikach danych (takich, jak przenośny dysk USB, urządzenie NAS – ang. Network Area Storage) lub na dyskach wirtualnych (w chmurze, np. Google Drive, Microsoft OneDrive, Amazon Drive). Nie należy przechowywać kopii zapasowej na tym samym komputerze. Według zasad nie powinno się także posiadać tylko jednego zestawu kopii bezpieczeństwa. Obecnie na rynku istnieje wiele narzędzi pomocnych w wykonywaniu i zarządzaniu aktualnością kopii danych – niektóre z nich są wbudowane w system operacyjny, inne oferowane są jako element bardziej kompleksowych produktów, dostarczanych przez firmy zewnętrzne.
Etap 7. Zabezpieczenie sieci firmowej za pomocą firewalla
Firewall jest zaporą sieciową, w postaci urządzenia/systemu służącego do zabezpieczenia sieci, za pomocą którego realizowane jest monitorowanie przychodzącego i wychodzącego ruchu sieciowego oraz decydowanie o jego przepuszczeniu lub zablokowaniu, w oparciu o zestaw określonych zasad, czyli wprowadzonych reguł filtrujących. Firewall jest jednym z podstawowych sposobów zabezpieczania sieci i systemów danej organizacji przed atakami, będącymi próbą uzyskania nieautoryzowanego dostępu do danych i zasobów sieci oraz pracujących w niej systemów. Współcześnie nowoczesne zapory sieciowe nie zajmują się już tylko prostym filtrowaniem pakietów i kontrolą dostępu. Większość organizacji wdraża firewalle nowej generacji NGFW (ang. Next Generation Firewall), aby zatrzymywać zagrożenia, takie jak zaawansowane złośliwe oprogramowania, ataki na poziomie aplikacji, czy też zapobiegać innym celowym włamaniom oraz znacznie ograniczać ich skutek. Należy również pamiętać, iż niezwykle ważną kwestią jest odpowiednia konfiguracja zapory sieciowej. Na osobach, które zarządzają konfiguracją firewalla, spoczywa duża odpowiedzialność, aby przepuszczać tylko odpowiedni rodzaj ruchu sieciowego, a blokować ten nietypowy, generujący potencjalne zagrożenie.
Etap 8. Opracowanie planów reagowania na incydenty i planów ciągłości działania
Jednym z najważniejszych obszarów zarządzania bezpieczeństwem organizacji jest zapewnienie ciągłości działania w kontekście prowadzonych aktywności, wynikających z kluczowych obszarów działania danej firmy na rynku (np. produkcja, handel, usługi, obsługa infrastruktury kluczowej). W momencie wystąpienia incydentu powodującego przestój lub zablokowanie możliwości kontynuowania działalności, organizacja automatycznie przestaje prawidłowo funkcjonować, co powoduje wymierne skutki w postaci strat finansowych. Dlatego właśnie konieczne jest opracowanie planów ciągłości działania na wypadek wystąpienia incydentów, które mogą powodować zakłócenia w działalności oraz zagrażać stabilności finansowej danej organizacji. Incydentami takimi mogą być: zalanie, pożar, brak łączności Internetowej wewnątrz i na zewnątrz organizacji, wyciek lub kradzież danych, czy też świadome uszkodzenie mienia.
Etap 9. Zapewnienie stosowania zasad w kontaktach z podwykonawcami
Jeśli firma korzysta z usług firm trzecich lub podwykonawców, zasadnym rozwiązaniem może okazać się wdrożenie odpowiedniego systemu nadzoru nad tego rodzaju aktywnością. Mowa tu o wdrożeniu systemu rejestrującego w postaci kamer CCTV (ang. Closed-Circuit Television), czy też systemu kontroli dostępu do pomieszczeń. Celem tego rodzaju działań jest upewnienie się, że niepowołane osoby nie mają wstępu do stref (pomieszczeń), w których znajdują się systemy lub informacje istotne z punktu widzenia biznesowego danej organizacji (np. pomieszczenia z dokumentacją techniczną, kadrowa, księgową). Jeśli wykonawcy wykonują prace zdalne na infrastrukturze IT/OT (np. zdalne konfiguracje, aktualizacje). Konieczny jest również odpowiedni nadzór i kontrola w formie wdrożenia odpowiedniego systemu do nagrywania sesji zdalnych wykonawców. Dzięki temu zawsze jest możliwość sprawdzenia kto i jakie prace wykonywał zdalnie na systemach, co ułatwi rozliczanie podwykonawców z ich prac.
Etap 10. Przeprowadzenie audytów wewnętrznych i zewnętrznych celem weryfikacji, czy wdrożone działania i procedury faktycznie działają
Zgodnie z ideą, wyrażoną w rodzinie norm ISO/IEC 27000, funkcjonowanie Systemu Zarządzania Bezpieczeństwem Informacji SZBI powinno następować w czterech głównych etapach, tworzących tzw. pętlę PDCA (ang. Plan – Do – Check – Act), nazywaną także pętlą ciągłego doskonalenia lub pętlą Deminga. Etapy te dotyczą kolejno, następujących działań:
- planuj (Plan) – ustanowienie SZBI, a więc określenie celu i zakresu jego funkcjonowania, w tym przeprowadzenie analizy ryzyka i na jej podstawie przygotowanie planu postępowania z ryzykiem, wskazującego zestaw działań, które organizacja zamierza podjąć w celu minimalizacji ryzyka;
- realizuj (Do) – wdrożenie SZBI, zazwyczaj polegające na zatwierdzeniu i rozpoczęciu stosowania opracowanej dokumentacji, a także implementacji zabezpieczeń technicznych; w trakcie prac przeprowadzane są również szkolenia dla wszystkich lub wybranych grup pracowników, mające na celu podniesienie poziomu świadomości w zakresie bezpieczeństwa informacji, a także przedstawienie nowych i zaktualizowanych procedur postępowania;
- sprawdzaj (Check) – weryfikacja skuteczności wdrożonych mechanizmów kontroli ryzyka, głównie poprzez realizację niezależnego audytu wewnętrznego oraz pomiar wskaźników zdefiniowanych na etapie projektowania systemu; celem jest dostarczenie informacji potrzebnych do dalszego doskonalenia systemu, a także wskazanie, czy i na ile deklarowane we wcześniejszej analizie oczekiwane poziomy ryzyka zostały osiągnięte;
- działaj (Act) – wprowadzanie działań korygujących i zapobiegawczych w oparciu o wyniki z audytów wewnętrznych oraz wnioski i decyzje z przeglądu zarządzania;
Schemat PDCA powinien być realizowany cyklicznie, dlatego po zakończeniu etapu czwartego organizacja powinna przejść do ponownego wykonania etapu pierwszego (przeprowadzenie kolejnej analizy ryzyka oraz przygotowanie planu postępowania z ryzykiem). Pełne wykonanie pętli PDCA powinno trwać nie dłużej niż rok – co oznacza, że każda kolejna analiza ryzyka powinna być przeprowadzana nie rzadziej niż raz na 12 miesięcy. Ten czasookres może podlegać dostosowaniu w zależności od wielkości organizacji, złożoności prowadzonych operacji przetwarzania, a także znaczenia obszaru bezpieczeństwa dla jej podstawowej działalności.