Nowe potrzeby
Stale rosnąca ilość danych, miejsc ich przechowywania i przetwarzania, interfejsów międzysystemowych oraz złożone zarządzanie uprawnieniami przy jednoczesnym zapewnieniu swobodnego dostępu do zasobów – to tylko niektóre wyzwania, które organizacje muszą wziąć pod uwagę dla zapewnienia poufności, integralności i dostępności danych. We współczesnych, rozproszonych środowiskach IT zwykle nie ma ani centralnego punktu, w którym należy zapewnić ochronę całego przechodzącego ruchu sieciowego, ani też nie da się zastosować jednej technologii, która zaadresuje wszystkie aspekty bezpieczeństwa informacji, a w szczególności cyberbezpieczeństwa. Wszystko to znacznie podnosi ryzyko rozprzestrzenienia się w organizacji złośliwego oprogramowania bądź skutecznego włamania do systemów IT.
Realizowany scenariusz ochrony często jest podobny – działy IT implementują fragmentaryczne rozwiązania techniczne, zwykle niewystarczające z perspektywy całościowych potrzeb bezpieczeństwa informacji.
Nowe podejście
Uznane światowe standardy, dobre praktyki branżowe oraz nasze doświadczenia wdrożeniowe pokazują, że skutecznym rozwiązaniem tego problemu jest przeniesienie zagadnień bezpieczeństwa informacji poza dział IT i zainteresowanie nimi całej organizacji, będącej przecież właścicielem danych, które muszą być chronione. Bardzo dobrym sposobem na osiągnięcia tego celu jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (zgodnego z ISO/IEC 27001) i/lub Systemu Zarządzania Ciągłością Działania (zgodnego z ISO/IEC 22301). Systemy te, zbudowane na koncepcji zarządzania ryzykiem, tworzą w organizacji przestrzeń do świadomego decydowania o priorytetach, wdrażanych środkach ochrony i budżetach na cyberbezpieczeństwo. Obserwujemy, że ogólna skuteczność takiego systemowego podejścia jest znacznie wyższa niż działań podejmowanych autonomicznie przez działy IT, bez zaangażowania najwyższego kierownictwa i właścicieli procesów biznesowych.
Zminimalizowane ryzyko
W ramach wdrożonego SZBI lub SZCD, dokumentacja systemowa i operacyjna powinna uwzględniać w szczególności wpływ zagrożeń cybernetycznych na zasoby informacyjne organizacji, w tym m.in.:
- Plan szkoleń dla pracowników
- Plan audytów wewnętrznych i zewnętrznych
- Zasady bezpiecznej pracy w biurze oraz dostępu zdalnego
- Politykę zarządzania hasłami
- Monitoring podatności i zasady patchowania systemów
- Wytyczne dla aktywnej ochrony zasobów informacyjnych organizacji
- Zasady przechowywania i analizy logów z systemów IT
- Politykę kopii bezpieczeństwa
- Rejestr incydentów
Podejście takie, połączone z ciągłym doskonaleniem (cykl Deminga), w kontrolowany i przewidywalny sposób adresuje problematykę cyberbezpieczeństwa w organizacji. W naturalny sposób angażuje wszystkich interesariuszy w proces ochrony informacji przed zagrożeniami wewnętrznymi i zewnętrznymi.
Oczywiście niezbędnym uzupełnieniem jest techniczna implementacja zapisów zawartych w dokumentacji systemowej, aby ochrona nie pozostała jedynie „na papierze”. Do najczęściej stosowanych rozwiązań należą:
- Cykliczne skanowania podatności
- Testy socjotechniczne
- Testy penetracyjne infrastruktury i aplikacji
- Wymuszanie mocnych haseł oraz dwuskładnikowego uwierzytelnienia (hasła jednorazowe)
- Centralna konsola aktualizacji aplikacji oraz antywirusowa
- Segmentacja sieci i stosowanie dostępnych mechanizmów ochrony w LAN (np. NAC)
- Systemy NGFW, UTM i IPS na styku z Internetem
- Odpowiednie polityki i system backupowy
- Analiza i korelacja zdarzeń z wielu źródeł (SIEM)
- Aktywny monitoring bezpieczeństwa (Security Operations Center)
Dyrektywa NIS i Krajowy Systemu Cyberbezpieczeństwa (KSC)
Podobną koncepcję podejścia do cyberbezpieczeństwa zawarto w unijnej dyrektywie NIS i jej polskiej implementacji – ustawie o krajowym systemie cyberbezpieczeństwa.
Dyrektywa NIS – czyli dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Genezą powstania dyrektywy było stworzenie wspólnych i zharmonizowanych na terenie całej Unii mechanizmów zabezpieczających cyberprzestrzeń w jej kluczowych dla funkcjonowania państwa obszarach.
Ustawa o krajowym systemie cyberbezpieczeństwa – stanowi implementację postanowień unijnych do polskiego systemu prawnego. W oparciu o rozwiązania systemowe w niej zawarte, został zbudowany Krajowy Systemu Cyberbezpieczeństwa (KSC), którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym wykrywanie, zapobieganie i minimalizowanie skutków ataków naruszających bezpieczeństwo informatyczne kraju. W przepisach wskazano sektory gospodarki, dla których zastosowanie będą miały przepisy ustawy oraz określono, kim są dostawcy usług cyfrowych oraz operatorzy usług kluczowych. Za kluczowe obszary gospodarki uznano sektor:
- energii,
- transportu,
- bankowości i infrastruktury rynków finansowych,
- ochrony zdrowia,
- zaopatrzenia w wodę pitną i jej dystrybucję,
- infrastrukturę cyfrową.
W momencie, gdy właściwy organ administracyjny wyda decyzję o uznaniu danego podmiotu gospodarczego za operatora usługi kluczowej, podmiot ten musi spełnić określone w ustawie wymagania. Podstawowym obowiązkiem operatora usługi kluczowej jest wdrożenie systemu zarządzania bezpieczeństwem obejmującego system informatyczny wykorzystywany do świadczenia usługi kluczowej. Wdrożenie postanowień ustawodawcy zostało uszeregowane w trzech etapach. W każdym z nich konsultanci SNP (aktualnie All for One Poland) zapewnić mogą kompleksowe wsparcie przy wypełnianiu nałożonych obowiązków.
W pierwszym etapie, trwającym do trzech miesięcy, operator usługi kluczowej zobowiązany jest do dostosowania organizacyjnego. Obowiązek ten może zostać spełniony w dwojaki sposób. Operator usługi kluczowej może powołać wewnętrzną komórkę organizacyjną odpowiedzialną za cyberbezpieczeństwo, bądź zawrzeć umowę outsourcingową z zewnętrznym podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Następnym obowiązkiem jest dokonywanie systematycznego szacowania ryzyka wystąpienia incydentu, oraz zarządzania nim. Możemy zapewnić wsparcie w tym zakresie i konsultacje mające na celu inwentaryzację aktywów, szacowanie ryzyka oraz zbudowanie planu postępowania z ryzykiem wystąpienia incydentu. Nasi konsultanci udzielą wsparcia w klasyfikacji incydentów i sposobie ich obsługi. Opcjonalnie, dodatkowo możemy dostarczyć i wdrożyć system wspomagający zarządzanie incydentami.
W drugim etapie dostosowania do postanowień ustawy, polegającego na spełnieniu wymogów organizacyjno-technicznych, konieczne jest wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków ochrony, zgodnie z normami ISO/IEC 27001 i ISO/IEC 22301. Na tym etapie SNP zapewnia wykonywanie cyklicznych testów penetracyjnych oraz audytów bezpieczeństwa. Wywiązanie się z obowiązku nakładanego przez rozporządzenie do ustawy (Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej (Dz .U. z 2018 r., poz. 2080)), zapewniamy poprzez wsparcie operatora usługi kluczowej we wdrożeniu i opracowaniu wskazanej dokumentacji zarówno normatywnej jak i operacyjnej.
Trzecim etapem, zamykającym proces wdrożenia postanowień ustawowych, stawianym operatorom usług kluczowych, jest etap wykonania audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyt ma za zadanie potwierdzić prawidłowość wykonanych obowiązków. Pierwszy audyt musi odbyć się w terminie 12 miesięcy od otrzymania decyzji administracyjnej, kolejne cyklicznie co 2 lata. Również w tym zakresie, SNP posiada kompetencje do przeprowadzenia audytu bezpieczeństwa.
Wszystkie powyżej wymienione wymogi mają na celu zapewnienie bezpieczeństwa w kluczowych obszarach gospodarki. Jedynie właściwe zarządzanie ryzykiem w odniesieniu do systemów informacyjnych i kompleksowe podejście do kwestii cyberbezpieczeństwa może zapewnić bezpieczne i skuteczne korzystanie z możliwości, które daje nam postępująca cyfryzacja.
Joanna Szymańska, Konsultant, All for One Poland