Bezpieczeństwo IT: po pierwsze świadomość zagrożeń

Redakcja „Computerworld” zorganizowała okrągły stół poświęcony bezpieczeństwu IT oraz budowaniu polityk, strategii i zaplecza technologicznego w tym zakresie. Jego celem było wybranie zagadnień, o jakie zapytamy polskich menedżerów IT w badaniu redakcyjnym.

Uczestnicy okrągłego stołu zgodnie stwierdzili, że wysoki poziom bezpieczeństwa IT wynika ze świadomości zagrożeń, oceny ryzyka, wdrożonych polityk oraz zastosowanych rozwiązań technologicznych. Wszystkie te procedury i narzędzia powinny być odpowiedzią na ustalenia wynikające z analizy ryzyka występującego w biznesowym kontekście firmy.

Zewnętrzne zagrożenia bezpieczeństwa IT…

Wachlarz zewnętrznych zagrożeń, z jakimi stykają się przedsiębiorstwa i instytucje, stale się poszerza. Liczne raporty firm wyspecjalizowanych w zagadnieniach bezpieczeństwa IT wskazują, że w ostatnich latach ogromnie wzrosła m.in. liczba ataków wykorzystujących złośliwe oprogramowanie instalujące koparki bitcoinów oraz zagrożenie ze strony ransomware. Firmy coraz częściej mają do czynienia z atakami bezplikowymi, działającymi poprzez wstrzykiwanie kodu bezpośrednio do pamięci roboczej komputera, czy też atakami typu DDoS, wykorzystującymi coraz większą liczbę przedmiotów wyposażonych w moc obliczeniową i podpiętych na stałe do sieci (internet rzeczy). Adam Dzielnicki, Product Manager odpowiadający za usługi kolokacyjne i bezpieczeństwa w Atman, twierdzi, że to ostanie zagrożenie jest spowodowane także faktem, że bariera zakupu czarnorynkowych usług DDoS bardzo się obniżyła.

Zobacz również:

W tym roku pojawiło się też wiele ataków realizowanych przez boty zmieniające hasła. Podatności coraz częściej ujawniają się także w obszarach niebędących dotąd w centrum zainteresowania specjalistów bezpieczeństwa, np. uznawanym za bezpieczny protokole Bluetooth czy urządzeniach IoT” – dodaje Marta Kusińska, menedżer ds. marketingu w FancyFon.

Dostrzegamy wzrost liczebności ataków skierowanych w konkretne osoby czy firmy” – mówi Adam Dzielnicki. „Nie ma na to niestety jednego rozwiązania, które stwierdzi, czy firma jest bezpieczna, czy nie. Potrzebny jest dział bezpieczeństwa lub odpowiednia usługa dostawcy, zewnętrzny audyt i szkolenie personelu, zwłaszcza na wyższych stanowiskach, w zarządzie”.

… i wyzwania o charakterze wewnątrzfirmowym

Wyzwania w obszarze cyberbezpieczeństwa mają także charakter wewnętrzny. Szereg polityk bezpieczeństwa jest budowanych przez działy IT, co niekiedy wiąże się z nadmierną koncentracją na wybranych aspektach technologicznych i okołotechnologicznych, np. określeniu, ile znaków powinno mieć hasło czy komu i na jakich warunkach wolno podpiąć się do firmowej sieci. To oczywiście za mało – przedsiębiorstwa potrzebują także analiz pod kątem zgodności z przepisami o ochronie danych osobowych czy polityk związanych z ochroną osób posiadających szczególnie wysokie uprawnienia w firmowych systemach IT. Sama analiza i ujawnienie podatności bywają trudne. Choć w tych obszarach pomogło wejście w życie RODO, pozostaje jeszcze wiele do zrobienia.

Niewielu naszych klientów ma spisane polityki bezpieczeństwa dotyczące wszystkich obszarów swojej działalności. Wdrażając nasze oprogramowanie, oczywiście definiują kwestie bezpieczeństwa, ale często nie wynika to z odgórnych, spisanych zasad” – mówi Marta Kusińska. „Problemem jest też brak kontroli nad zróżnicowaną flotą urządzeń w firmach” – dodaje.

Inna sprawa dotyczy tego, jak polityki bezpieczeństwa są realizowane, na ile są egzekwowane. Można je przecież włożyć do szafy, a pracownikowi kazać podpisać oświadczenie, że zapoznał się z danym dokumentem. Pytanie, czy to ma sens, czy będzie chroniło firmę przed nadużyciami? Polityki trzeba umieć wdrożyć i aktualizować, ponieważ procedura ma pomagać utrzymać pewien standard, a nie utrudniać jego realizację” – tłumaczy Adam Dzielnicki.

Krzysztof Grabczak, Software Practice Leader w Oracle Polska, podkreśla, że częstym źródłem problemów jest aktualizowanie systemów krytycznych, w których wykryto potencjalne luki w zabezpieczeniach: „Nikt nie pokusi się o ryzyko wysadzenia środowiska IT czy utraty stabilności jego działania. Najpierw przeprowadzone zostaną testy, które mogą trwać wiele miesięcy. Nie zamkniemy przecież systemu billingowego u operatora telekomunikacyjnego” – wyjaśnia.

Świadomość, ludzie, procedury, narzędzia

Zdaniem uczestników debaty „Computerworlda”, kwestią wpływającą fundamentalnie na poziom bezpieczeństwa jest świadomość firmy dotycząca potencjalnych zagrożeń oraz własnych podatności.

Podejście do bezpieczeństwa IT w firmie jest pochodną świadomości” – podkreśla Adam Dzielnicki. „Największym wyzwaniem jest zbudowanie dobrej bazy – świadomości tego, co oznacza bezpieczeństwo IT, oraz faktu, że to nie jest jakaś przypadkowo kupiona technologia, tylko cały program i szereg kwestii, które trzeba dobrze poukładać”.

Świadome podjęcie tematu bezpieczeństwa IT w firmie wymaga przeprowadzenia rzetelnej analizy ryzyka, uwzględniającej biznesowy kontekst działania organizacji. Konieczne są cykliczne audyty i testy bezpieczeństwa. Firma musi wiedzieć, jaki wpływ będą miały określone rodzaje zagrożeń na płynność jej procesów biznesowych. Budowa polityk bezpieczeństwa oraz szkolenie i uwrażliwianie pracowników są konieczne, niemniej sama edukacja to za mało, by wyraźnie obniżyć poziom ryzyka. Uczestnicy debaty zgodnie stwierdzili, że polityki bezpieczeństwa powinny być zaczątkiem i bazą doboru technologii. Twarde rozwiązania technologiczne są potrzebne, ponieważ złożoność zadań, z jaką mierzą się pracownicy, jest zbyt duża, by dało się pamiętać o wszystkim. Nawet duże i wyszkolone zespoły bezpieczeństwa nie są w stanie właściwie odpowiadać na zagrożenia, nie mając odpowiedniego wsparcia narzędziowego.

Według zapisów RODO, firmy zobowiązane są analizować ryzyko i na tej podstawie podejmować decyzje co do stosowania określonych środków organizacyjnych, tj. procedur bezpieczeństwa czy szkolenia pracowników. To dotyczy małych i średnich ryzyk. W przypadku dużego ryzyka trzeba już wdrożyć mechanizm kontrolny. Jeżeli takie ryzyko się zmaterializuje, potencjalne problemy prawne czy finansowe będą na tyle kosztowne i złożone, że mogą po prostu zabić biznes firmy”– stwierdza Krzysztof Grabczak.

Menedżer Oracle podkreśla przy tym, że podział na środki organizacyjne i techniczne znalazł się w unijnej dyrektywie NIS (Network and Information Security) – akcie prawnym poświęconym bezpieczeństwu cyberprzestrzeni w kluczowych obszarach gospodarki. Według zapisów dyrektywy, operator usług uznanych przez ustawodawcę za kluczowe musi przeprowadzić obligatoryjną analizę ryzyka, która stanie się fundamentem oraz punktem wyjścia dla dalszych działań. Ustalenia wynikające z analizy są podstawą do podjęcia właściwych środków technicznych i organizacyjnych, które mają wychodzić naprzeciw ujawnionym ryzykom. Następnym krokiem jest obowiązkowa integracja przyjętych rozwiązań z systemem krajowego cyberbezpieczeństwa.

Ważna jest także świadomość dostawców oprogramowania oraz integratorów. Firmy IT muszą stale sprawdzać, czy wdrażane przez nich rozwiązania nie mają podatności, są na bieżąco aktualizowane oraz serwisowane. W tym obszarze sporo zaczęło się dziać w związku z wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych. „RODO bardzo pomogło; sprawiło, że także małe i średnie firmy zaczęły poświęcać więcej uwagi kwestiom bezpieczeństwa” – zauważa Marta Kusińska. Przedsiębiorstwa rozpoczęły przeprowadzanie analiz ryzyka oraz audytów mających ustalić, na ile panują nad swoimi danymi: czy są one odpowiednio składowane, czy nikt ich nie wynosi poza siedzibę organizacji, czy środowisko IT pozwala zachować odpowiednią sterowność.

Jak zmniejszyć ryzyko

Pewnym standardem dla firm poważnie traktujących kwestie bezpieczeństwa jest regularne wprowadzanie aktualizacji do systemów IT oraz utrzymywanie możliwości sprawnego zmieniania reguł i reagowania na pojawiające się podatności. Kluczowa, choć problematyczna jest pełna identyfikacja podatności w firmowym środowisku IT. Pocieszający jest natomiast fakt, że rzetelnie przepracowane analizy ryzyka oraz audyty uświadamiają firmom, czym może się skończyć niedoinwestowanie obszaru bezpieczeństwa IT.„Zasobność portfela klienta końcowego ma znaczenie, niemniej firmy, które są świadome zagrożeń w obszarze bezpieczeństwa IT, wcale nie szukają tu oszczędności. Liczy się jakość” – przekonuje Adam Dzielnicki.

Choć niewiele polskich organizacji ma dostateczne zasoby, by we własnym zakresie budować wielowarstwowe i skomplikowane systemy bezpieczeństwa, część z nich potrafi rozsądnie dobierać takie rozwiązania jak klasyczne firewalle. Menedżerowie szukają budzących zaufanie sprawdzonych marek, jakie realnie odciążą administratorów w codziennej pracy, oraz partnerów, którzy posiadają zasoby i kompetencje, by doradzać w kierunkach rozwoju systemów bezpieczeństwa.

Zdaniem Adama Dzielnickiego menedżerowie IT obserwują również pojawiające się na rynku nowości, takie jak Next-generation Firewall (NGFW), ale nikt nie kupuje ich, opierając się tylko na marketingowych hasłach. Padają pytania: „Co zabezpieczyć? Jak zrobić segmentację sieci? Jakie usługi utrzymywać, a które wynieść do zewnętrznego data center?” – wylicza specjalista Atmana.

Odpowiedzi na pytania dotyczące systemu bezpieczeństwa w firmie muszą uwzględniać konkretne technologiczne rozwiązania. „Nie wystarczą nawet najlepsze polityki i zaufanie do administratora. Potrzebna jest technologia, która uchroni zarówno firmę, jak i samego administratora” – podkreśla Krzysztof Grabczak z Oracle. „Tam, gdzie ryzyko dotyka człowieka, działać mechanizmy kontrolne o charakterze technicznym”.

Konieczna jest analiza dotycząca usytuowania danych: gdzie są, kto ma dostęp do wrażliwych danych. Zawsze jest kilka kluczowych osób, będących punktami najwyższego ryzyka. Te osoby powinny być w szczególności chronione” – potwierdza Marta Kusińska.

Zaproszeni eksperci przypominali, że istotnym źródłem problemów jest aktualizowanie aplikacji krytycznych, które mimo przestarzałej architektury wciąż obsługują krytyczne, rdzeniowe procesy biznesowe w firmach. „Dotyczy to zwłaszcza organizacji zarządzających infrastrukturą krytyczną oraz takich, w których IT jest jedynie częścią znacznie bardziej rozbudowanego systemu automatyki przemysłowej” – precyzuje Krzysztof Grabczak. Co w tej sytuacji robią polskie organizacje? Według menedżera Oracle, jedyną ochroną tego typu zasobów jest ich wirtualizacja. Wiele możliwości dają także usługi chmurowe, pozwalające na nieporównywalnie łatwiejszy niż kiedykolwiek dostęp do zaawansowanych rozwiązań bezpieczeństwa. To także okazja dla mniejszych firm, które dawniej nie mogły sobie pozwolić na posiadanie dojrzałych systemów bezpieczeństwa. Krzysztof Grabczak twierdzi, że chmura obliczeniowa będzie napędzać rozwój nowoczesnej architektury IT, ponieważ nawet małe firmy mogą dzięki niej konkurować z wielkimi korporacjami.

Chmura obliczeniowa jest przy tym naturalnym nośnikiem czy środowiskiem, w którym rozwijane są nowoczesne rozwiązania IT, takie jak sztuczna inteligencja czy uczenie maszynowe. Tego typu systemy z czasem będą miały coraz większe znaczenie także w rozwijaniu platform bezpieczeństwa. „Uczenie maszynowe pozwoli szybciej wychwycić powstanie anomalii” – mówi Krzysztof Grabczak. „To ważne, ponieważ zanim przestępca wyrządzi szkodę, którą zaklasyfikujemy jako incydent, może minąć sporo czasu” – dodaje. Nowoczesne systemy wspierane przez sztuczną inteligencję, uczenie maszynowe czy statystykę i analizy Big Data stają się powoli standardem oraz elementem nowoczesnych rozwiązań bezpieczeństwa. Pozwala to wyjść naprzeciw coraz szerszej gamie zagrożeń, z jakimi mierzą się firmy i instytucje.

Z drugiej strony mamy przecież wiele technologii dziedzicznych, które wymagają tylko prostego, zdroworozsądkowego zabezpieczenia” – przypomina Adam Dzielnicki. Wiele firm wciąż nie przykłada dostatecznej wagi do kwestii bezpieczeństwa IT. „Wciąż widzimy bardzo dużo pracy do wykonania właśnie w obszarze legacy. Wdrożenie rozwiązań klasy SIEM [Security Information and Event Management – przyp. red.] to wciąż science fiction dla wielu firm w Polsce”.

Okrągły stół "Computerworld" na temat bezpieczeństwa IT

Okrągły stół "Computerworld" na temat bezpieczeństwa IT