Nie ma wątpliwości, że w ostatnich latach cyberbezpieczeństwo stało się głównym wyzwaniem zarówno na poziomie krajowym, jak i biznesowym. Sprzyjały temu zarówno czynniki regulacyjne (takie jak unijna dyrektywa NIS (2016/1148) i rozporządzenie o ogólnej ochronie danych [lub RODO] (2016/679)) oraz stały przepływ negatywnych danych o incydentach wycieku danych. W ten sposób firmy podlegające zestawowi wymagań określonych w tych przepisach są zmuszone do działania, podczas gdy inne patrzą na negatywne tło i rozważają podjęcie działań w celu ochrony ich biznesu.
Ale co konkretnie można zrobić, aby chronić swój biznes przed nieprzyjemnymi stratami? Od czego zacząć i gdzie jechać? Nie ma jednoznacznych odpowiedzi, ale postaramy się uporządkować te kwestie w logicznych krokach z praktycznymi zaleceniami działania.
Ale zanim porozmawiamy o rozwiązaniach, ważne jest, aby zrozumieć, gdzie jest uszkodzenie. Podsumujmy główne:
Szkody bezpośrednie
Straty ekonomiczne
Przerwa w działalności - Straty gospodarcze mogą wynikać przede wszystkim z przerwy w działalności, podczas której firma nie będzie mogła prowadzić działalności w wyniku różnych możliwych przerw w świadczeniu usług teleinformatycznych.
Koszty prac naprawczych - w przypadku incydentu wycieku danych mogą nastąpić szeroko zakrojone prace, które obejmą zarówno wewnętrzne zasoby kadrowe, jak i outsourcing (praca prawników, public relations, ochrona itp.), co będzie skutkowało kosztami bezpośrednimi.
Odszkodowanie dla klientów/konsumentów - Przełożeni często zobowiązują firmy do wypłaty odszkodowania klientom za wyciek ich danych osobowych. Na Łotwie nie było takich precedensów, ale w niektórych krajach świata są.
Straty regulacyjne
Ta pozycja strat obejmuje kary, które mogą wynieść do 4% rocznych obrotów firmy w przypadku incydentu wycieku danych osobowych.
Szkody pośrednie
Utrata reputacji
Utrata reputacji może przybrać formę utraty popytu na usługi i/lub towary sprzedawane przez firmę z powodu nieufności ze strony klientów i/lub konsumentów. Ta pozycja straty często staje się najważniejsza i najtrudniejsza do przywrócenia, ponieważ przywrócenie reputacji jest trudnym wyzwaniem na dłuższą metę.
Utrata kradzieży własności intelektualnej
Przeniesienie własności intelektualnej na konkurencję może spowodować ogromne problemy, m.in.: konkurenci będą mogli kopiować/imitować zaatakowaną technologię firmy lub procesy biznesowe, co obniży konkurencyjność firmy.
Wielkość strat przypadających na utracony (wyciek) rekord danych jest mierzona corocznie. Badanie jest prowadzone przez Instytut Ponemon w Stanach Zjednoczonych, który szacuje średni koszt rekordu danych na około 150 USD. Biorąc pod uwagę zastosowaną metodologię badawczą, stwierdziliśmy, że kwota ta nie jest szczególnie niższa w przypadku Łotwy.
Wróćmy do kroków, które należy podjąć. Bez względu na to, jak proste jest przedstawienie wszystkiego w „pięciu słowach” lub „trzech krokach do cyberbezpieczeństwa”, należy zaakceptować, że wdrożenie i zapewnienie cyberbezpieczeństwa w środowisku korporacyjnym nie jest zadaniem łatwym, które można łatwo rozwiązać jakimś cudownym lekarstwem . Dawne przekonanie, że dobry program antywirusowy i zapora sieciowa wystarczy, jest przestarzałe. Rodzaje i skala zagrożeń znacznie wzrosły, dlatego należy pamiętać, że nie jest to prosty proces. Poniżej przedstawiono serię 10 kluczowych kroków w zapewnianiu bezpieczeństwa cybernetycznego w porządku malejącym priorytetów (najważniejszy jako pierwszy).
1. Plan zarządzania ryzykiem bezpieczeństwa IT
Planowanie rozwiązań dla dowolnego obszaru korporacyjnego zaczyna się od analizy ryzyka, ponieważ nie ma sensu robić czegoś bez planu. W ramach analizy ryzyka oddziela się informacje, które mają być bezpośrednio chronione, od wszelkich informacji, ustala się priorytety, określa ryzyko wpływu zdarzeń niepożądanych oraz określa środki kontroli tych ryzyk. W małej firmie czynność ta jest zwykle stosunkowo łatwa do wykonania, ale wraz z rozwojem firmy i to zadanie staje się coraz trudniejsze. W zasadzie najlepiej powierzyć ten krok ekspertowi, który w ciągu kilku dni wykona analizę w małej firmie.
2. Podstawowe bezpieczeństwo zasobów informacyjnych
Informacje o luce w zabezpieczeniach, a także narzędzia, które pozwalają napastnikom je wykorzystać, rozprzestrzeniają się dość szybko i jest to jeden z najprostszych i najczęstszych rodzajów ataków wykorzystywanych przez łotrzyków. Te luki są nieuniknioną częścią każdego systemu informatycznego, ale stosunkowo łatwo można ich uniknąć, aktualizując aktualizacje i łatki bezpieczeństwa w odpowiednim czasie.
Oprócz „otworów bezpieczeństwa” producenta, istnieją również dopuszczone przez firmę otwory zabezpieczające, które należy zapieczętować:
- wyłączenie funkcjonalności nieużywanych narzędzi informatycznych i nadmiarowych systemów informatycznych;
- zmienić domyślne hasła do kont administratorów;
- wprowadzenie minimalnej złożoności hasła;
- uwierzytelnianie użytkowników wewnętrznych do pracy z siecią komputerową
3. Szkolenie z bezpieczeństwa IT użytkownika
Bez względu na to, jak bardzo staramy się korzystać z różnych narzędzi i rozwiązań informatycznych w celu ochrony firmy przed atakiem, bez przeszkolenia użytkowników końcowych nie będzie absolutnie nic. Najłatwiejszym sposobem uzyskania dostępu do informacji firmy jest przeprowadzanie ataków socjotechnicznych na użytkowników końcowych. Nieporównywalnie dużo łatwiej oszukać jednego lub kilku swoich pracowników sprytem wiadomości e-mail (ich treść) niż próba znalezienia i wykorzystania konkretnej luki, która wymaga stosunkowo większej wiedzy i doświadczenia w zakresie technologii teleinformatycznych.
Jak najlepiej przeprowadzić szkolenie z bezpieczeństwa IT? Udowodniono w praktyce, że e-learning sprawdza się najlepiej, ponieważ jest zarówno bardziej opłacalny dla firmy, jak i wygodniejszy dla jej pracowników, co przekłada się na lepsze efekty uczenia się poprzez testy teoretyczne i praktyczne pracowników. Testy teoretyczne to test wiedzy w formie testu, natomiast testy praktyczne to praktyczna symulacja ataków na pracowników w celu przetestowania i zmierzenia ich czujności. Z naszego doświadczenia wynika, że nawet 30% pracowników, którzy poznali tę teorię, otwiera również dobrze zaprojektowane złośliwe/oszukańcze wiadomości e-mail i dopiero po 2-3 otwarciach średni wskaźnik otwarcia może spaść do kilku procent.
Tego typu szkolenia można doskonale zrealizować za pomocą stworzonej przez naszą firmę platformy e-learningowej CloudStudy. Zawiera światowej klasy treści szkoleniowe i zawiera zautomatyzowaną i dynamiczną symulację phishingu, która może wykorzystywać do 12 szablonów phishingu na kampanię.
Więcej informacji o CloudStudy jest dostępnych na stronie www.cloudstudy.lv, gdzie możesz założyć darmowe konto próbne i wypróbować platformę za darmo.
4. Bezpieczeństwo pracy mobilnej i zdalnej
Biorąc pod uwagę obecne rozpowszechnienie telepracy, należy mieć świadomość, że pracownicy używają komputerów domowych do pracy i odwrotnie, dlatego należy zadbać o to, aby pracownicy korzystający z firmowych systemów informatycznych lub informacji byli przechowywani, przetwarzani i przesyłani w odpowiedni i bezpieczny sposób. Dlatego należy zadbać o bezpieczeństwo dostępu do sieci (w tym połączeń VPN) oraz dostęp do systemów informatycznych z danymi wrażliwymi.
Nie mniej ważne jest zabezpieczenie zawartości firmowego (pracy) komputera, czyli szyfrowanie, aby zawarte w nim dane nie zostały nadużyte w przypadku utraty.
5. Ochrona przed złośliwym oprogramowaniem
Złośliwe oprogramowanie lub złośliwe oprogramowanie (w tym wirusy komputerowe) to jedno z najważniejszych i nieprzewidywalnych zagrożeń, które mogą mieć wpływ na organizację. Modelowanie ich skutków i możliwych taktyk ochrony przed nimi może oczywiście doprowadzić do całkowitej paranoi każdego specjalisty ds. bezpieczeństwa IT, który również dojdzie do wniosku, że pełna ochrona jest niemożliwa. Ale to nie znaczy, że nie warto tego robić.
Większość potencjalnych problemów można rozwiązać za pomocą jednej z najpopularniejszych aplikacji do kompleksowej ochrony antywirusowej poczty e-mail. W ten sposób jedno rozwiązanie sprawdzi pocztę, zanim dotrze do skrzynki odbiorczej użytkownika, a drugie sprawdzi pliki, do których użytkownik próbuje uzyskać dostęp.
W tym segmencie aplikacji jest wiele freemium i darmowych rozwiązań, więc nie kosztuje to w ogóle działu IT firmy.
6. Zarządzanie prawami dostępu użytkowników
Bezpośrednio po atakach wywołanych socjotechniką i wykorzystaniu podatności teleinformatycznych, następne w kolejności jest ryzyko nadużyć ze strony użytkowników wewnętrznych, które wynikały ze zbyt szerokiego dostępu użytkowników do określonych informacji lub zasobów informacyjnych.
Aby temu zapobiec, konieczne jest, po pierwsze, ograniczenie praw użytkowników wykraczających poza to, co jest konieczne do wykonywania określonych obowiązków służbowych, a po drugie, zapewnienie, aby pracownicy odchodzący lub rotujący nie zachowali aktywnych praw dostępu.
Monitorowanie działań użytkowników uprzywilejowanych (administratorów) to osobny temat, ale należy je rozważyć, gdy problem użytkownika końcowego został już rozwiązany.
7. Przenośne nośniki pamięci
Dyski flash USB i różne inne przenośne nośniki pamięci są częstą przyczyną różnych problemów. Nie tylko bardzo dobrze „przenoszą” złośliwe oprogramowanie, ale są również gubione, kradzione i mogą być wykorzystywane przez pracowników do „przenoszenia” cennych informacji.
Firma musi bardzo mocno ocenić politykę korzystania z mediów, zwłaszcza jeśli obszar zarządzania prawami użytkowników nie jest dobrze zorganizowany.
Programem minimalnym byłaby obowiązkowa ochrona kryptograficzna nośników danych, a maksymalnym zakazem użytkowania, który można by rozwiązać również na poziomie oprogramowania, zakazując komputerom pracy na nośnikach danych (nawet w przypadkach, gdy porty USB są fizycznie odłączone).
8. Bezpieczeństwo sieci komputerowych i transmisji danych
Jest to stosunkowo poważny problem, ale należy zrozumieć, że istnieje wiele potencjalnych luk w zabezpieczeniach związanych z niepewnym połączeniem z Internetem. Problemy te zazwyczaj rozwiązuje się wybierając odpowiednią sieć komputerową i architekturę transmisji danych, która obejmuje infrastrukturę serwerową, fizyczne urządzenia do transmisji danych oraz rozwiązania firewall, które ograniczają transmisję danych do tego, co niezbędne. W zależności od wielkości firmy i ilości posiadanych zasobów informacyjnych rozwiązania te mogą być bardzo proste lub złożone.
Jednym z nowoczesnych sposobów rozwiązania tego problemu w prosty sposób jest skupienie się na korzystaniu z usług w chmurze. Oczywiście nie oznacza to, że nie musisz automatycznie martwić się o bezpieczeństwo danych, ale w przypadku dostawcy usług w chmurze Twój dostawca już zadbał o podstawowe bezpieczeństwo, hostując określone zasoby informacyjne, ale nadal będziesz musiał znaleźć bezpieczny sposób łączenia się z tym zasobem informacji.
9. Monitorowanie bezpieczeństwa
Bardzo często firmy dowiadują się o udanych atakach bezpieczeństwa z dużymi wyciekami danych dopiero po miesiącach, a nawet latach. Aby tego uniknąć, muszą istnieć środki monitorowania bezpieczeństwa w celu wykrywania incydentów związanych z danymi i podejmowania konkretnych działań w celu radzenia sobie z konsekwencjami.
Jeśli wszystko to było bardziej odstraszające, to ten obszar bezpieczeństwa IT jest już reaktywną odpowiedzią na to, co tak naprawdę robi rzadka firma. Zawiera zestaw działań służących do monitorowania przepływów danych i dostępu do różnych źródeł informacji w czasie rzeczywistym, identyfikowania działań podejrzanych lub nietypowych, zarówno dla działań pracowników, jak i zdarzeń wywołanych przez użytkowników zewnętrznych - nietypowe przepływy danych, próby dostępu do urządzeń sieciowych, systemów informatycznych itp.
W tym celu istnieją zautomatyzowane systemy informatyczne, które należy skonfigurować specjalnie pod kątem architektury sieci danej firmy, jej wyposażenia oraz wykorzystywanych zasobów informacyjnych. Praktycznie nieskończone możliwości dla specjalisty ds. bezpieczeństwa IT wyrażania się za pomocą szerokiej gamy narzędzi monitorujących, nic nie zastąpi umiejętnego konfigurowania i używania tych narzędzi w taki sposób, aby ilość przetwarzanych „podejrzanych” działań nie przekraczała dostępny czas pracy.
10. Zarządzanie incydentami
Wreszcie, aby proces zarządzania bezpieczeństwem był „aktywny”, konieczne jest zapewnienie procesu zarządzania zidentyfikowanymi incydentami bezpieczeństwa, aby zapewnić jak najszybsze usunięcie braków, ograniczenie potencjalnych strat oraz przyszłe kontrole zarządzania ryzykiem są ulepszone. I choć proces ten ma ważną formę (proces, porządek), najważniejsza jest wydajność lub responsywność firmy, która jest zakorzeniona we wsparciu kierownictwa firmy. Mianowicie, aby zapobieganie incydentom było kompletne i możliwe, konieczne będzie prędzej czy później zaangażowanie dużego zespołu zarządzającego w realizację różnych zadań. W takich momentach bardzo ważne jest posiadanie planu działania, którego przestrzegają pracownicy, aby zapewnić maksymalną ciągłość biznesową.
Podsumowując, zarządzanie ryzykiem cyberbezpieczeństwa, jak w każdym obszarze, musi być „oparte na ryzyku”, więc firma musi najpierw wyważyć potencjalne straty i zagrożenia z kosztami inwestycji w usprawnienie procesu, a rozwiązanie z pewnością będzie nieco inne. W takich przypadkach wykwalifikowany specjalista ds. zarządzania bezpieczeństwem IT pomoże w znalezieniu najbardziej odpowiednich rozwiązań.
Należy również pamiętać, że istnieje możliwość ubezpieczenia od ryzyka wystąpienia incydentów cyberbezpieczeństwa, ale nie oznacza to, że ubezpieczyciel będzie gotowy do wystawienia takiej polisy, jeśli w firmie nie ma zabezpieczeń. A także, jeśli polisa zostanie sprzedana, wysokość jej składki będzie zależeć bezpośrednio od tego, w jakim stopniu firma wdrożyła określone środki cyberbezpieczeństwa.