Wyższy poziom bezpieczeństwa 1

Transkrypt

1 1

2 Największy cyberatak ransomware zwany WannaCry zainfekował urządzeń w ponad 150 krajach. Zaatakowane zostały szpitale, uniwersytety, firmy produkujące, transport i agencje rządowe w takich krajach jak Wielka Brytania, Chiny, Rosja, Niemcy, USA i Hiszpanii. Atakujący blokując zainfekowane komputery żądali okupu wysokości 300$ - 600$ w Bitcoinach. Zapewne w najbliższym czasie możemy spodziewać się coraz częstszych i bardziej wyrafinowanych ataków na podobną skalę. Paradoksalnie nowa ustawa GDPR (General Data Protection Regulation), mająca chronić dane osobowe obywateli UE spowoduje uaktywnienie cyberprzestępców, ponieważ dane te stają się dla nich bardziej wartościowe. Kary za łamanie GDPR są odstraszające i znaczące, jest to do czterech procent globalnego, rocznego obrotu lub 20 mln euro, w zależności co jest większe. W 2016 r. było 4149 incydentów naruszeń danych osobowych obejmujących ponad 4,2 mld rekordów. Biorąc pod uwagę ten fakt, cyberprzestępcy będą atakować słabo zabezpieczone organizacje, by skraść dane osobowe oraz by szantażować firmę lub zgłosić ją do odpowiednich organów zajmujących się przestrzeganiem zapisów GDPR. Pokusa, by zapłacić okup i nie zgłaszać incydentu do UODO (Urząd Ochrony Danych Osobowych) będzie bardzo duża, z drugiej strony firma łamiąc prawo nie ma gwarancji, że cyberprzestępca nie zgłosi niedostatecznego zabezpieczenia danych osobowych odpowiednim służbom. Można także spodziewać się, że cyberprzestępcy w ciągu najbliższych miesięcy będą infiltrować organizacje, by po wejściu w życie przepisów GDPR ujawnić lub zgłosić niedostateczne zabezpieczenie i wypływ danych osobowych. Wystarczy w tym kontekście uświadomić sobie, że wg. Raportu Risk Based Security w 2016 r. było 4149 incy- 2

3 dentów naruszeń danych osobowych obejmujących ponad 4,2 mld rekordów. Powstaje pytanie: Co można zrobić, by zminimalizować ryzyko skutecznego ataku? Odpowiedzi można udzielić idąc w dwóch uzupełniających się kierunkach: zabezpieczeń technicznych i aktywnego zarządzania polityką ryzyka w firmie. Najlepiej, by obydwa kierunki spotykały się w jednym kompleksowym rozwiązaniu. Rozwiązania techniczne Wdrożenie polityki GRC w najwyższym z możliwych stopniu przygotowuje organizację na obronę przed zagrożeniami. Rozwiązanie RSA Archer pozwala kompleksowo i szybko połączyć incydenty bezpieczeństwa, takie jak ransomware z kontekstem biznesowym. Rozwiązanie to pozwala nam ocenić wpływ incydentu na ciągłość biznesową, bezpieczeństwo bazy danych osobowych czy własności intelektualnej. Wdrożenie polityki GRC (Governance Risk and Compliance) w najwyższym z możliwych stopniu przygotowuje organizację na obronę przed zagrożeniami. GRC opisuje zestaw najlepszych praktyk i narzędzi służących do zarządzania przedsiębiorstwem w trzech wymiarach biznesowych: zarządzanie organizacją (normy i procedury), ryzykiem (w szczególności operacyjnym) i zgodnością (z obowiązującym prawem). Punktem wyjścia jest włączenie do GRC wszystkich elementów architektury bezpieczeństwa, takich jak: sprzęt, 3

4 sieć, oprogramowanie systemowe, aplikacje, bazy danych, itd. i powiązanie ich z normami i procedurami związanymi z kluczowymi procesami biznesowymi oraz przetwarzaną informacją. Projektując architekturę bezpieczeństwa IT, z uwzględnieniem podejścia GRC, należy mieć na uwadze: PREWENCJA DETEKCJA ASEKURACJA REMEDIACJA 1. Prewencję. Infrastruktura IT powinna w najlepszy możliwy sposób zapobiegać atakom cybernetycznym. Warto zauważyć, że same programy antywirusowe nie spełniają tej roli ponieważ wykrywają one tylko niewielką (ok. 20%) część złośliwego oprogramowania. Zalecanym rozwiązaniem są narzędzia pracujące w oparciu o tzw. whitelisting takie, jak Carbon Black Protection oraz Carbon Black Defense (NGAV+EDR). 2. Asekurację, którą rozumiemy jako ograniczanie podatności na ataki komputerowe, dzięki wdrożeniu odpowiednich procedur oraz rozwiązań informatycznych zarządzających nimi np. RSA Archer 3. Detekcję, czyli jak najszybsze rozpoznanie ataku. Punkt ten jest szczególnie ważny w przypadku ataków celowych skierowanych na wybraną firmę. Zaleca się tu wykorzystywanie narzędzi analizujących nietypowe zachowanie użytkownika lub oprogramowania przykładem może być Carbon Black Response czy RSA Netwitness for Endpoints. 4. Remediację. Minimalizowanie szkód i czasu jaki upływa od ataków cybernetycznych, które mogą faktycznie pojawić się, aż do reakcji służb IT. Zalecanym rozwiązaniem jest oprogramowanie EnCase Endpoint Security. 4

5 Co możesz zrobić już dzisiaj? Wzrost roli służb bezpieczeństwa IT w organizacjach. Zysk generowany przez dział bezpieczeństwa wynikaj z zapobieżenia kradzieży bazy danych. Regulacja GDPR wprowadza dział bezpieczeństwa IT w firmach na nowy poziom zarządzania biznesu. Osoby odpowiedzialne za bezpieczeństwo organizacji stają się pełnoprawnym partnerem biznesu umożliwiającym bezpieczne jego funkcjonowanie w przyszłości. Co więcej, wchodzące w maju 2018 roku prawo pozwala oszacować zysk generowany przez dział bezpieczeństwa wynikający z zapobieżenia kradzieży bazy danych. Problem bezpieczeństwa i ochrony bazy danych został zauważony przez zarządy i rady nadzorcze wielu firm. Odpowiednie, umiejętne zarządzanie tematem pozwoli zwiększyć świadomość pracowników także na poziomie wykonawczym. Aby tak się stało należy uwzględnić i uświadomić współpracownikom wpływ ryzyka technologicznego wynikającego z zaniedbań lub niedofinansowania działu IT w ujęciu wartościowym. Dzięki temu kierownictwo będzie mogło podejmować świadome decyzje dotyczące kierunków działania biznesu. Wzmocnienie czynnika ludzkiego. Ludzie zazwyczaj są najsłabszym punktem w obronie przed zagrożeniami sieciowymi, takimi jak ransomware. Nie zmieniają swoich haseł, bezmyślnie otwierają odnośnik zawierający złośliwe oprogramowanie. Wyspecjalizowane firmy takie jak Mediarecovery oferują audyty pomiaru podatności oraz szkolenia podnoszące 5

6 świadomość użytkownika w kwestii bezpieczeństwa. Pomagają także w wypracowaniu najbardziej bezpiecznych, najlepszych praktyk. Koncentracja na tym, co jest krytyczne. Jednym z najbardziej skutecznych sposobów identyfikacji krytycznych procesów biznesowych firmy są regularnie przeprowadzane analizy wpływu (BIA). Najbardziej krytyczne procesy biznesowe, systemy, urządzenia i zasoby informacyjne powinny otrzymać odpowiednio wysokie priorytety. Utrzymanie ciągłości działania systemów. Organizacje muszą regularnie modernizować i aktualizować oprogramowania w celu zmniejszenia ich podatności na atak. Zaniedbania związane z aktualizacją programów mogą już dzisiaj - nieodwracalnie zaszkodzić reputacji danej organizacji, lub - w przyszłości narazić ją na znaczne straty finansowe. Oszczędzanie na bezpieczeństwie jest chodzeniem po cienkiej linie i zachęcaniem cyberprzestępców do ataku. Regularne tworzenie kopii zapasowych. Dane osobowe są dla firmy informacjami krytycznymi, stanowią przecież pełną bazę naszych pracowników, dostawców i klientów. Nie będąc w stanie odzyskać utraconych danych w wyniku cyberataku działalność organizacji może zostać skutecznie sparaliżowana. Podczas analizy wpływu incydentu na firmę, należy określić jakie krytyczne zasoby informacyjne zostały utracone oraz jak daleko z przeszłości można rozsądnie odtworzyć te dane? GDPR wymusza na organizacjach mechanizmy zapewniające ochronę danych na najwyższym poziomie. 6

7 Przygotuj plan kryzysowy. Nie wystarczy tylko przygo- tować plan kryzysowy, trzeba go jeszcze przetestować. Zakładanie, że skoro dotąd nie mieliśmy poważnych cyberataków (będąc bardziej precyzyjnym nie wykryliśmy ich) to nie padniemy ich ofiarą w przyszłości jest myśleniem życzeniowym. Co by się stało, gdyby nagle kluczowy w Twojej firmie system komputerowy przestał działać? Jeśli nie działasz w branży lotniczej, energetycznej, bankowej lub medycznej, być może możesz sobie pozwolić na chwilowy przestój, ale jak długo? Krytycznym etapem budowania ciągłości biznesowej, choć nie w optymalnym stanie, jest przygotowanie planu kryzysowego przewidującego nieuniknione zakłócenia procesów biznesowych, systemów lub urządzeń. Plany kryzysowe powinny być udokumentowane dla (co najmniej) wszystkich krytycznych procesów biznesowych oraz wspierających ich systemów. Jednak nie wystarczy tylko przygotować plan kryzysowy, trzeba go jeszcze przetestować. Co jeszcze można zrobić? Przede wszystkim należy budować świadomość pracowników, nie tylko w oczywistych działach (HR, marketing, sprzedaż, zakupy) gdzie są przetwarzane dane osobowe. Wiele także można zrobić samemu już teraz. 1. Przejrzyj ponownie wszelkie EULA, zakresy i warunki korzystania z usług, umowy o pracę i zasady użytkowania komputera w kontekście zabezpieczenia danych osobowych. Uzyskaj opinię prawną. 2. Zidentyfikuj miejsce przechowywania danych po- 7

8 trzebnych do prowadzenia działalności gospodarczej z klientami i zarządzania pracownikami. 3. Upewnij się, że masz zgodę klienta i pracownika do wszelkich zmian w przetwarzaniu, kontroli, przekazywania i przechowywania ich danych osobowych. Konieczna jest wyraźna zgoda klienta i pracownika. 4. Dokumentuj przetwarzanie, kontrolę, przekazywanie i przechowywanie zabezpieczeń danych osobowych. Posumowanie Najlepszym sposobem, aby zniwelować możliwość ataku i odpowiednio zareagować na niego jest wdrożenie polityki zarządzania ryzykiem biznesowym opartym na GRC. Pracę nad wdrażaniem polityki bezpieczeństwa w firmie najlepiej połączyć z budową systemu do zarządzania informacją i zdarzeniami bezpieczeństwa ( SIEM Security Information and Event Management). By skrócić czas reakcji na wykryte zagrożenie warto rozbudować SIEM do Centrum Bezpieczeństwa Operacyjnego (Security Operations Center). Kontakt z nami: Media Sp. z o.o. ul. Piotrowicka 61, Katowice tel: biuro@mediarecovery.pl 8