RODO i wzrost zagrożeń wymuszają porządki w obszarze bezpieczeństwa IT

Zmiany w przepisach dotyczących przetwarzania danych osobowych oraz coraz większa liczba zagrożeń okazały się punktem zwrotnym w zarządzaniu bezpieczeństwem informacji w polskich firmach: 82% z nich posiada udokumentowane polityki bezpieczeństwa. Procedury zachowania zgodności z RODO wdrożyło 87% tych organizacji. Przedstawiamy wybrane wyniki badania redakcyjnego „Computerworlda”.

Kluczowe znaczenie zaplecza IT w zapewnianiu ciągłości biznesu uzmysławia polskim menedżerom, jak ważne jest bezpieczeństwo firmowego środowiska IT. Trudno obecnie mówić o dojrzałej polityce bezpieczeństwa IT bez rzetelnie ustrukturyzowanej (udokumentowanej) wiedzy na temat posiadanych zasobów oraz szacowanych możliwości ich ochrony.

Dokument opisujący firmową politykę bezpieczeństwa powinien w związku z tym zawierać m.in. informacje na temat kluczowych procesów biznesowych oraz cennych zasobów informacyjnych przedsiębiorstwa w odniesieniu do kontekstu biznesowego organizacji. Polityka bezpieczeństwa informacji musi wskazywać najistotniejsze zagrożenia oraz ryzyka, procedury i narzędzia do zapobiegania im, a także zasady postępowania w przypadku wykrycia naruszenia bezpieczeństwa.

Zobacz również:

Najczęściej podnoszonymi przez polskich przedsiębiorców obawami w kontekście bezpieczeństwa IT okazały się kradzieże wrażliwych danych (65%), brak dostatecznej świadomości pracowników (60%) oraz przestoje w dostępie do usług (56%).

Dokument dotyczący polityki bezpieczeństwa powinien omawiać kwestie przetwarzania danych w firmie oraz zarządzania danymi osobowymi, wprowadzając np. zasady: minimalnych uprawnień i ograniczonego dostępu, wielowarstwowych zabezpieczeń, edukacji pracowników w zakresie bezpieczeństwa czy też wykorzystania firmowej infrastruktury IT.

Uzupełnieniem polityki bezpieczeństwa są szczegółowe standardy dotyczące konfigurowania i zabezpieczania firmowych systemów IT czy procedowania incydentów bezpieczeństwa. Jak z budową polityk bezpieczeństwa IT radzą sobie polskie organizacje?

Polskie firmy strukturyzują polityki bezpieczeństwa IT

Polskie przedsiębiorstwa poważnie traktują konieczność przepracowania firmowych polityk bezpieczeństwa. Według ustaleń redakcyjnego badania „Computerworlda”, ponad cztery na pięć polskich firm (82%) posiada spisane procedury i dokument dotyczący polityki bezpieczeństwa IT. Nadreprezentowane w tej grupie są duże firmy i korporacje (89%), deklarujące jednocześnie, że ich polityki bezpieczeństwa IT są stale aktualizowane w związku ze zmianami prawnymi czy wdrażaniem nowych procedur bądź narzędzi technologicznych.

Spośród firm sektora MŚP spisaną dokumentację dotyczącą bezpieczeństwa IT posiada blisko cztery na pięć podmiotów (78%), zarazem jednak niewiele więcej niż co piąte przedsiębiorstwo w tej grupie (22%) na bieżąco ją aktualizuje. Jedynie 6% wszystkich badanych organizacji nie ma usystematyzowanej polityki bezpieczeństwa IT. Blisko co dziesiąta firma (11%) jest w trakcie opracowywania dokumentacji.

„Obecnie, wobec ciągle zmieniającego się rynku usług IT, polityka bezpieczeństwa IT musi uwzględniać rozwiązania, które do niedawna były przez nią blokowane, np. chmurę obliczeniową w bankowości. To wymusza nie tylko jej ciągłą aktualizację, ale również zmianę podejścia polegającą na implementacji technicznych środków kontroli także poza rozwiązaniami on-premise” – mówi Radosław Stępień, dyrektor Departamentu Informatyki i Telekomunikacji w BOŚ Banku. „Połączenie środków bezpieczeństwa stosowanych w dotychczasowych rozwiązaniach on-premise z rozwiązaniami chmurowymi na pewno przyniesie wymierne korzyści dla organizacji” – dodaje.

„Z uwagi na skalę, przygotowanie organizacyjne i wymagania zewnętrzne duże firmy mają większy potencjał, żeby przygotować dobre procedury bezpieczeństwa. Niestety, z ich skutecznym egzekwowaniem bywa różnie. W tej sytuacji może pomóc narzędzie pozwalające na automatyzację i standaryzację procesów wdrożenia polityki bezpieczeństwa IT. Z kolei dla firm z sektora MŚP opracowanie i aktualizowanie polityk bezpieczeństwa jest znacznym wyzwaniem. Takie organizacje również skorzystają na wdrożeniu narzędzia klasy CASB [Cloud Access Security Broker – red.], wykorzystującego wbudowane wzorce i najlepsze praktyki, stale aktualizowane przez ekspertów bezpieczeństwa IT” – podpowiada Tomasz Głażewski, dyrektor Linii Biznesowej Hybrydowe IT w Betacom.

Elementy polityk bezpieczeństwa IT w polskich firmach

Najczęściej występującym czynnikiem polityki bezpieczeństwa IT w polskich firmach są procedury zachowania zgodności z przepisami, np. RODO (87%).Uczestnicy badania „Computerworlda” potwierdzili tym samym, jak istotny wpływ na działanie polskich przedsiębiorstw miało wejście w życie nowych procedur przetwarzania i ochrony danych osobowych.

Brak jednoznacznego określenia zakresu zmian oraz zobowiązanie firm do wzięcia odpowiedzialności za podjęte działania wymusiły na nich przeprowadzenie analiz dotyczących m.in. źródeł danych, celów oraz zakresu ich przetwarzania, zabezpieczeń technologicznych i organizacyjnych, itd. RODO (GDPR) okazało się ważnym impulsem do szerszych prac porządkowych w obszarze bezpieczeństwa informacji polskich firm oraz pretekstem do uspójnienia ich procesów biznesowych.

„Ochrona danych nie sprowadza się już tylko do zabezpieczania wewnętrznej sieci organizacji, ale również jej otoczenia zewnętrznego, czyli środowiska rozproszonego. Szczególnie widoczne przy implementacji przepisów dyrektywy RODO, która wywarła duży wpływ na instrukcje oraz systemy IT” – stwierdza Radosław Stępień. Nawiasem mówiąc, według informacji Ministerstwa Cyfryzacji, Polska jest także jednym z najbardziej zaawansowanych krajów UE w zakresie dostosowywania istniejących rozwiązań prawnych do nowych przepisów o ochronie danych.

Drugą najczęściej ujmowaną kwestią w firmowych politykach bezpieczeństwa informacji okazały się procedury tworzenia kopii zapasowych (85%). Do powszechności tego elementu być może przyczyniły się straty, jakie w ciągu ostatnich lat spowodowała popularyzacja złośliwego oprogramowania szyfrującego dyski, tzw. ransomwaru, za którego pomocą przestępcy wymuszają okup.

Poza udokumentowanymi procedurami przetwarzania danych oraz ich składowania i backupu bardzo wiele firm wdrożyło także polityki dotyczące ograniczania dostępu do danych (72%) oraz zarządzania środowiskiem IT i jego monitoringiem (71%). Jednocześnie zauważalnie mniej organizacji przeprowadza testy penetracyjne posiadanych systemów IT (32%) oraz audytuje ich bezpieczeństwo (41%).

„Wskazywane przez uczestników badania odpowiedzi potwierdzają moje doświadczenia. Firmy wiedzą, że muszą się zabezpieczać i to robią, jednak z różnych powodów obawiają się testowania bezpieczeństwa. W tym wypadku wyspecjalizowane narzędzie automatyzujące oraz monitorujące proces wdrożenia opracowanych polityk bezpieczeństwa jest nie do przecenienia” – uważa Jacek Kawecki, dyrektor handlowy Linii Biznesowej Hybrydowe IT w Betacom.

„Ograniczenie dostępu do danych to ważne zagadnienie w kontekście RODO. Monitorowanie środowiska IT jest zaś istotnym elementem Ustawy o krajowym systemie cyberbezpieczeństwa. Wyniki badania pokazują, że firmy uznają te kwestie za istotne i angażują środki w spełnienie wymagań. Podstawą i wspólnym mianownikiem ograniczania dostępu do danych oraz monitorowania zaplecza IT jest analiza ryzyka, umożliwiająca dobór adekwatnych środków technicznych czy organizacyjnych” – wyjaśnia Krzysztof Grabczak, Software Practice Leader w Oracle Polska. „Aby skutecznie zmniejszyć ryzyko w obszarze ryzyk wysokich, warto zastosować środki techniczne, mechanizmy kontrolne lub technologie wspierane elementami uczenia maszynowego”.

Identyfikacja zagrożeń bezpieczeństwa IT przekłada się na plany inwestycyjne firm. Według deklaracji respondentów badania, w ciągu najbliższych 18 miesięcy polityki bezpieczeństwa IT ich organizacji będą najchętniej rozszerzane o audyty bezpieczeństwa (36%), systemy monitoringu infrastruktury IT (35%) i szkolenia dla pracowników linii biznesowych (26%).

Konieczne jest także stałe rozwijanie polityk bezpieczeństwa w związku ze zmieniającymi się i coraz to nowymi zagrożeniami oraz technologiami. Przykład? Choć polskie firmy wciąż z dystansem podchodzą do rozwiązań oferowanych w chmurze publicznej, jej stale rosnąca rola oraz dojrzałość dostępnych usług wymuszają konieczność uwzględnienia ochrony danych w tego typu środowiskach. „Korzystanie z usług w chmurze wprowadza nowe kategorie zagrożeń, które wymagają więcej niż stosowanie klasycznego podejścia, skupiającego się na pentestach czy audytach. W przypadku usług chmurowych istotnym elementem są np. odpowiednie kontrakty i gwarancje bezpieczeństwa ze strony dostawcy” – podkreśla Radosław Stępień z BOŚ Banku.

„W Polsce widoczny jest trend dodawania do polityk bezpieczeństwa wymogów dotyczących zdalnego dostępu do danych z urządzeń mobilnych oraz warunków, jakie spełniać muszą prywatne urządzenia, jeśli mają być wykorzystane do celów służbowych – to tzw. polityki BYOD – Bring Your Own Device” – dodaje Bartosz Leoszewski, prezes FancyFon.

Ocena zagrożeń, identyfikacja ryzyka

Symptomatyczna jest zauważalna zależność najczęściej wdrażanych elementów polityk bezpieczeństwa IT z zagrożeniami określanymi przez ankietowanych jako szczególnie istotne z punktu widzenia ich organizacji. W efekcie szeroko przepracowanych procedur dotyczących zachowania zgodności z przepisami czy dużej popularności systemów zarządzania dostępem do danych brak kontroli nad poziomem dostępu do usług budzi obawy raptem 13% ankietowanych, zaś brak zgodności z przepisami RODO mniej niż co trzeciego (30%) respondenta.

Najczęściej podnoszonymi przez polskich przedsiębiorców obawami w kontekście bezpieczeństwa IT okazały się za to kradzieże wrażliwych danych (65%), brak dostatecznej świadomości pracowników (60%) oraz przestoje w dostępie do usług (56%). Wskazania te mają zapewne wiele wspólnego z głośnymi w ubiegłych latach atakami wykorzystującymi phishing czy wspomniane wcześniej szyfrowanie danych za pomocą ransomware, a także awariami infrastruktury i usług, dotykającymi nawet tak dużych dostawców jak OVH.

Identyfikacja zagrożeń bezpieczeństwa IT przekłada się na plany inwestycyjne firm. Według deklaracji respondentów badania, w ciągu najbliższych 18 miesięcy polityki bezpieczeństwa IT ich organizacji będą najchętniej rozszerzane o audyty bezpieczeństwa (36%), systemy monitoringu infrastruktury IT (35%, w szczególności małe i średnie przedsiębiorstwa), a także szkolenia dla pracowników linii biznesowych (26%). Korelacja planowanych inwestycji ze wskazywanymi ryzykami jest wyraźna.

„Wyniki badania potwierdzają nasze obserwacje: nawet najlepiej zdefiniowana polityka bezpieczeństwa nie będzie nigdy skuteczna bez odpowiednich szkoleń dla pracowników oraz zaangażowania w jej tworzenie szerszego grona pracowników działów zarówno bezpieczeństwa, jak i IT” – podkreśla Bartosz Leoszewski.

„W sierpniu 2018 r. weszła w życie Ustawa o krajowym systemie cyberbezpieczeństwa. Firmy biorące udział w krajowym systemie cyberbezpieczeństwa będą musiały w trybie ciągłym monitorować systemy IT wykorzystywane do świadczenia kluczowych usług. Dla wielu organizacji będzie to oznaczało zmianę podejścia do bezpieczeństwa. To nowe podeście, wspierane przez nowoczesne systemy, wykorzystujące uczenie maszynowe, powinno pozwolić na wykrywanie incydentów bezpieczeństwa na odpowiednio wczesnym etapie. Tym zmianom będzie musiał towarzyszyć proces edukacji pracowników” – przypomina Krzysztof Grabczak.

Zachmurzenie wciąż niskie

Mimo ciągłych nowych zagrożeń bezpieczeństwa oraz związanych z przeciwdziałaniem im stale rosnących kosztów polscy menedżerowie wciąż utrzymują dystans w stosunku do chmury obliczeniowej. Według wyników ubiegłorocznego badania „Computerworlda” pt. „Chmura obliczeniowa w polskich firmach”, mimo dynamicznego wzrostu wartości krajowego rynku chmurowego oraz presji ze strony dostawców, 44% przedsiębiorstw nie zamierza w ogóle wdrażać cloud computingu pod żadną postacią.

Usług bezpieczeństwa IT dostarczanych w tym modelu, np. tarcz antyDDoS czy zapór sieciowych, nie wykorzystuje w choćby minimalnym zakresie aż 70% polskich firm. Te, które się zdecydowały, najchętniej sięgają po mechanizmy szyfrujące (15%), a także zapory sieciowe, tunele VPN oraz rozwiązania do backupu (trzy razy po 12% wskazań).

„Mówiąc o bezpieczeństwie chmury, czy też o bezpieczeństwie w chmurze, trudno nie zwrócić uwagi na fakt, że preferowane przez ankietowanych rozwiązania dotyczą w zasadzie zabezpieczenia dostępu do własnej sieci, a więc bezpieczeństwa perymetrycznego. Natomiast w sytuacji, gdy coraz więcej firm przenosi swoje procesy do chmury i coraz częściej korzysta z usług w chmurze, pojawia się uzasadnione pytanie: jakie środki należy przedsięwziąć, aby bezpiecznie korzystać z tego typu usług oraz nie bać się przesyłania tam korporacyjnych danych?” – zastanawia się Sławomir Szydłowski, kierownik Zespołu Architektury Systemowej PRS w Comp SA.

Mimo dynamicznego wzrostu wartości krajowego rynku chmurowego oraz presji ze strony dostawców 44% przedsiębiorstw nie zamierza wdrażać cloud computingu. Usług bezpieczeństwa IT dostarczanych w tym modelu nie wykorzystuje aż 70% polskich firm. Te, które się zdecydowały, najchętniej sięgają po mechanizmy szyfrujące (15%), zapory sieciowe, tunele VPN i rozwiązania do backupu (po 12% wskazań).

Ryzyka o charakterze cyfrowym rosną, ponieważ także cyberprzestępcy coraz częściej sięgają po nowoczesne rozwiązania, takie jak narzędzia do uczenia maszynowego czy analityka Big Data. Wiele firm nie będzie miało dostatecznych zasobów, by dostarczyć narzędzia, które zapobiegną tego typu zagrożeniom. W tym kontekście zastanawiające jest, że aż 3/4 ankietowanych przez „Computerworld” menedżerów zadeklarowało, że nie zamierza wdrażać żadnych publicznych usług chmurowych w obszarze bezpieczeństwa IT także w przyszłości.

„Sądzę, że w tym obszarze w najbliższych latach nastąpi najwięcej zmian” – mówi Krzysztof Grabczak z Oracle. „W ramach transformacji cyfrowej chmura stanie się najbardziej elastyczną infrastrukturą zarówno dla wielu projektów biznesowych, jak i tych wynikających z postępujących zmian prawa. Jeżeli z biznesowej perspektywy projekt będzie korzystny, temat bezpieczeństwa chmury będzie czymś naturalnym, a dzięki nowym technologiom, np. Cloud Access Security Broker, możliwy do zrealizowania zgodnie z wymaganiami klienta”.

Powoli zmienia się otoczenie prawne i regulacyjne, dotąd traktujące usługi w chmurze publicznej raczej z rezerwą. Przykładowo, w wysoko regulowanym sektorze bankowym pod koniec października 2017 r. Urząd Komisji Nadzoru Finansowego wydał komunikat dotyczący wykorzystywania przez nadzorowane podmioty usług dostarczanych w modelu chmurowym. Dokument podejmuje m.in. takie kwestie, jak: warunki wdrożenia, umowa z dostawcą, zarządzanie ryzykiem, zarządzanie incydentami bezpieczeństwa. Banki analizują obecnie potencjał i zakresy usług, które mogłyby zostać wyniesione do zewnętrznych usługodawców.

„Bank Ochrony Środowiska wdrożył usługę Microsoft 365 i planuje uruchamianie kolejnych jej elementów w ramach posiadanej subskrypcji. Traktujemy to jako wstęp do migracji usług, które nie są usługami bankowymi, a jedynie wspierają procesy działające w naszym banku” – wyjaśnia Radosław Stępień. „Inną usługą w chmurze, którą wdrożyliśmy, jest oparty na rozwiązaniu Oracle Management Cloud monitoring infrastruktury IT, wyposażony w mechanizmy predykcyjne bazujące na sztucznej inteligencji. Dzięki takiemu rozwiązaniu z łatwością identyfikujemy anomalie w zachowaniu komponentów architektury rozwiązania. Szczególe wartościowe są predykcje dotyczące utylizacji zasobów, pozwalające na podjęcie działań mających na celu zapewnienie ich odpowiedniej liczby, która umożliwi niezakłócone świadczenie usług”.

Nazwa.pl wyznacza standardy bezpieczeństwa
Krzysztof Cebrat, prezes firmy nazwa.pl.

Krzysztof Cebrat, prezes firmy nazwa.pl.

Każdy użytkownik, który odwiedza witrynę internetową musi czuć się na niej bezpiecznie i mieć pewność, że jego dane są maksymalnie chronione, a dostęp do usług nie będzie w żaden sposób ograniczony. Nazwa.pl jako lider technologiczny wyznacza standardy bezpieczeństwa dla całej branży hostingowej, tworząc usługi o unikalnych parametrach związanych z bezpieczeństwem cyfrowym.

Jedyna bezpieczna domena

Unikalny pakiet zabezpieczeń kompleksowo chroniący witryny klientów firmy i dane ich użytkowników to rozwiązanie, które jest odpowiedzią na potrzeby współczesnego rynku. Pakiet Bezpieczna Domena od nazwa.pl obejmuje między innymi certyfikat nazwaSSL DV, protokół DNSSEC chroniący przed phishingiem oraz DNS over TLS zapewniający ochronę prywatności przesyłanych danych. W dodatku nazwa.pl jako jedyna w Polsce stosuje najnowszy protokół TLS 1.3, zabezpieczając w ten sposób ponad 650 tys. serwisów internetowych. W praktyce oznacza to, że jego użytkownicy są chronieni przed najpopularniejszymi atakami cyberprzestępców. W dodatku pakiet Bezpieczna Domena pozwala na uzyskanie wysokich wyników w wyszukiwarce Google, co z punktu widzenia właściciela serwisu jest dużą wartością dodaną.

Bezpieczeństwo w chmurze

Skrzynka e-mail, strona internetowa to podstawowe elementy budujące wiarygodność prowadzonego biznesu i codzienne narzędzia pracy. Rodzina serwerów Active Cloud od nazwa.pl to odpowiedź na potrzeby klientów związane z szybkością, stabilnością oraz bezpieczeństwem. Rozwiązanie to polega na dynamicznym przydzielaniu obsługi danej strony internetowej do wybranego serwera. Dzięki tej technologii awaria pojedynczego serwera lub konieczność jego konserwacji nie powoduje braku dostępu dla żadnej z utrzymywanych stron. W dodatku nazwa.pl wspiera najnowszy protokół HTTP/2, który w połączeniu z pakietem Bezpieczna Domena znacząco przyspiesza ładowanie się serwisów.

Globalny dostęp

Niezwykle istotną technologią z punktu widzenia bezpieczeństwa wprowadzoną przez nazwa.pl jest rozproszona sieć serwerów DNS, czyli serwery DNS Anycast rozlokowane w 15 kluczowych globalnych punktach wymiany ruchu sieci internetowej. Dzięki tej technologii użytkownicy mają błyskawiczny dostęp do interesujących ich serwisów internetowych. Zastosowane rozwiązanie jest w stanie obsługiwać kilka milionów zapytań na sekundę, skutecznie odpierając atak typu DDoS. DNS Anycast jest rozwiązaniem stosowanym przez największe firmy na świecie, a nazwa.pl dołączyła do tego grona jako pierwsza polska firma.

Krzysztof Cebrat, prezes zarządu nazwa.pl.