Ransomware, phishing i IoT to tylko kilka z przykładów zagrożeń, jakie dotykały firmy w 2017 roku. Jakie trendy zabezpieczeń pojawią się w najbliższych latach? Małgorzata Zabieglińska-Lupa, ICT Product Manager rozmawiała z Pauliną Świątek, Business Solution Manager i Maciejem Rosołkiem, kierownikiem zespołu ds. zarządzania ryzykiem i bezpieczeństwem IT o trendach na rynku technologii bezpieczeństwa i o tym, co firmy mogą zrobić, aby jeszcze lepiej zabezpieczać swój biznes.

 

Małgorzata Zabieglińska-Lupa: Bezpieczeństwo jest jednym z najszybciej rozwijających się sektorów na rynku IT. Obszarami najbardziej znaczącymi dla wzrostu zainteresowania bezpieczeństwem są: analityka bezpieczeństwa, narzędzia typu SIEM, rosnące ilość zagrożeń, mobilność i bezpieczeństwo w chmurze. Dlaczego bezpieczeństwo wymaga nieustannego trzymania ręki na pulsie?

Maciej Rosołek: Postaram się odpowiedzieć na to pytanie możliwie jak najbardziej obrazowo. Działania ochronne, które prowadzą działy bezpieczeństwa na całym świecie możemy przyrównać do tamy postawionej na rzece (rzeka w tym przypadku obrazuje działania realizowane przez osoby lub zespoły osób, np. hakerów mające na celu przełamanie zabezpieczeń, przedostanie się na drugą stronę i wyrządzenie szeroko rozumianych szkód).
Aby przeciwstawić się ciągłemu naporowi rzeki, budujemy tamę - zgodnie z najlepszymi praktykami, dostępną wiedzą oraz posiadanym doświadczeniem. Szczęśliwi, że nie grozi nam już powódź, czujemy się bezpieczni i chronieni. Ważne jest by w tym czasie nie utracić czujności, gdyż po pewnym czasie, płynąca woda wydrąży w naszej zaporze szczeliny – z początku małe, takie, które z łatwością będziemy w stanie załatać. Z czasem szczelin będzie przybywać i stawać się będą one coraz większe. Dochodzimy wówczas do punktu, w którym dalsze łatanie naszej tamy może okazać się niemożliwe bądź nieopłacalne Wykorzystujemy więc zebrane doświadczenie i budujemy kolejną jeszcze wytrzymalszą, szczelniejszą, i jednocześnie bezpieczniejszą tamę. Rzeka jednak jest nieugięta, staje się coraz bardziej rwąca i po pewnym czasie nasza tama znów zaczyna przeciekać…

Tak mniej więcej wygląda praca zespołów bezpieczeństwa - zgodnie z najlepszymi praktykami, wiedzą i doświadczeniem budujemy zabezpieczenia, w których ktoś inny drąży „tunele” by dostać się na „drugą stronę”. Bardzo szybki rozwój techniki, inżynierii mikroprocesorowej sprawił, że niemal każdy ma dostęp do ogromnej mocy obliczeniowej, lawinowo przybywa więc narzędzi umożliwiających tak zwanym hackerom, crackerom (malicious people) drążenie tuneli w naszej zaporze, które to tunele trzeba natychmiast łatać…

Bespieczeństwo firmy w internecie 2018

Paulina Świątek: Cyfrowy świat szybko się zmienia. Najszybciej rozwijają się nowe metody ataków i łamania środków zabezpieczających systemy komputerowe. Czasem wydaje się, że hakerzy są najszybciej uczącą się podgrupą społeczności teleinformatycznej, więc rzeczywiście bezpieczeństwo wymaga trzymania ręki na pulsie. Żeby ochronić się przed atakami, musimy być o krok przed hakerami. Oczywiście trudno to osiągnąć, jeśli nie inwestuje się w szkolenia pracownicze i infrastrukturę teleinformatyczną. Dlatego można powiedzieć, że w tej grze powodzenie ataków hakerskich jest odwrotnie proporcjonalne do czasu i środków przeznaczanych na ochronę.

Czytaj więcej o rozwiązaniach Comarch z zakresu bezpieczeństwa IT

Małgorzata Zabieglińska-Lupa: Skoro obszar bezpieczeństwa staje się kluczowym elementem w grze czy zauważyliście zmiany w nastawieniu firm,organizacji do kwestii bezpieczeństwa w ostatnich kilku latach? Czy bezpieczeństwo wpisało się już na dobre w strategię biznesową, czy może nadal uważana jest za coś odrębnego, niezależnego?

Paulina Świątek: Bezpieczeństwo zawsze było uważane za koszt. A skoro było kosztem, to zadawano sobie pytanie, czy na pewno jest konieczne. Na szczęście to podejście się zmienia. Między innymi dlatego, że coraz powszechniejsze stają się różnego rodzaju ataki hakerskie. Chyba każdy o nich słyszał: wystarczy wspomnieć choćby zmasowane ataki z użyciem oprogramowania ransomware na brytyjskie szpitale, ujawnienie poufnych danych przez Edwarda Snowdena czy wycieki nagich zdjęć aktorek. Media codziennie informują o tego typu zdarzeniach, więc ludzie coraz poważniej podchodzą do tematu bezpieczeństwa teleinformatycznego. Poza tym, coraz więcej firm ma za sobą ataki hakerów, w związku z czym właściciele przedsiębiorstw zaczynają rozumieć, że tego typu złośliwe działania mogą kosztować ich o wiele więcej niż inwestycja w rozwiązania chroniące przed hakerami. Strategia bezpieczeństwa IT powinna być traktowana jako element strategii biznesowej i razem z nią projektowana. Niestety nie zawsze tak jest. Rozdzielenie tych strategii sprawia, że wdrażanie tej pierwszej jest bardziej kosztowne i nie zawsze odpowiada potrzebom firmy.

 

Małgorzata Zabieglińska-Lupa: Jakich trendów możemy się spodziewać w obszarze bezpieczeństwa w następnych kilku miesiącach?

Maciej Rosołek: Zagrożeń z każdym dniem przybywa - na jednej z ostatnich konferencji (Tech Leaders Summit https://www.techleaderssummit.co.uk/) usłyszałem, że dziennie powstaje ponad 100 tysięcy nowych wirusów/złośliwego oprogramowania. Z taką lawiną zagrożeń ciężko jest poradzić sobie stosując "zwyczajne" programy antywirusowe, opierające się głównie na sygnaturach, czy też wykorzystywać ludzi do analizy logów i zdarzeń bezpieczeństwa. Potrzebujemy rozwiązań automatycznych, ale "myślących", takich, które na podstawie przeprowadzonej analizy będą w stanie rozpoznać czy dany plik bądź działanie może stanowić zagrożenie czy też nie. Zatem wszelkiego rodzaju urządzenia bezpieczeństwa posiadające funkcjonalność określaną jako machine learning takich jak np.:
• narzędzia typu SIEM, które muszą potrafić skorelować dane z różnych źródeł i na ich podstawie zdecydować czy dane zachowanie systemu bądź użytkownika świadczy o potencjalnym włamaniu czy też nie;
• systemy IPS/IDS również z funkcją uczenia się;
• systemy do analizy przepływów uzupełnione funkcją uczenia się;
• wiele, wiele innych „inteligentnych” rozwiązań.
Myślę, że machine learning będzie tą właśnie funkcjonalnością, która uzupełni systemy bezpieczeństwa i sprawi, że znacząco wzrośnie bezpieczeństwo naszych organizacji, a przy tym bezpieczeństwo posiadanych danych.

Paulina Świątek: W związku z tym, że w maju 2018 roku wchodzi w życie nowa unijna dyrektywa o ochronie danych osobowych (GDPR), można zakładać, że wiele firm będzie zmuszonych przeanalizować, zweryfikować i poprawić jakość swoich systemów bezpieczeństwa teleinformatycznego. Jeśli tego nie zrobią, mogą im grozić wysokie kary finansowe. Wiele przedsiębiorstw nie posiada koniecznych zasobów, zwłaszcza gdy chodzi o kompetencje personelu, dlatego będą się one zwracać o wsparcie do firm zewnętrznych specjalizujących się w bezpieczeństwie IT (integratorów, usługodawców). Będziemy więc obserwować wzrost nakładów na bezpieczeństwo IT.

 

Małgorzata Zabieglińska-Lupa: Paulina wspomniała o nadchodzących zmianach w zakresie ochrony danych osobowych. Zostańmy na chwilę przy temacie GDPR, bo to obecnie jeden z najgorętszych tematów w branży IT. W jaki sposób wspomniana dyrektywa wpłynie na strategie bezpieczeństwa przedsiębiorstw? Jak można przygotować się na nadchodzące zmiany?

Maciej Rosołek: Dużo mówi się ostatnio o unijnym rozporządzeniu dotyczącym ochrony danych osobowych, ale przyznam szczerze, iż odnoszę wrażenie, że gdyby nie horrendalne kary za ujawienie danych osobowych zawarte w rozporządzeniu, mało kto przejąłby się tym zagadnieniem. Dlaczego tak mówię? Otóż ustawa o ochronie danych osobowych powstała - jeśli się nie mylę - w 1997 roku. Oczywiście doczekała się ona kilku nowelizacji, jednak czy jej zapisy były przestrzegane? Przez świadome firmy i podmioty gospodarcze z pewnością tak, ale te stanowiły jedynie od kilku do kilkunastu procent wszystkich przedsiębiorstw, które przechowywały czy też przetwarzały wrażliwe dane. Nie będę ukrywał, że cieszą mnie zapisy tego rozporządzenia - mam nadzieję, że dzięki nim wiele firm przejrzy na oczy i potraktuje zagadnienia bezpieczeństwa z należytą starannością, chroniąc przy tym to, co mamy najcenniejsze - naszą osobowość.

Jak należy przygotować się na zmiany? Przede wszystkim należy ze zrozumieniem przeczytać rozporządzenie, zlokalizować miejsca, w których przechowywane są dane osobowe, sprawdzić kto ma do nich dostęp oraz ile "ścieżek" do tych danych prowadzi. Następnie wykonać analizę ryzyka i finalnie przygotować procesy oraz "właściwe zabezpieczenia". Co do zabezpieczeń to niestety nie ma tu podanego gotowca w postaci: "należy wyposażyć się w systemy/urządzenia A, B, C lub D i żadne kary nie są nam straszne". RODO/GDRP nie wskazuje rozwiązań, z których należy skorzystać, żeby być zgodnym z rozporządzeniem. Na bazie zebranych informacji oraz przeprowadzonej analizie ryzyka, każdy podmiot powinien dobrać „odpowiednie rozwiązania”, by należycie chronić przechowywane bądź przetwarzane dane.

 

Małgorzata Zabieglińska-Lupa: Wydaje się, że niezależnie od tego, ile rozwiązań z zakresu bezpieczeństwa wdrożymy, nasze przedsiębiorstwo wciąż pozostanie w kręgu zainteresowania cyberprzestępców. Jak tworzyć skuteczne strategie bezpieczeństwa? Na czym w pierwszej kolejności powinny skupić się firmy?

Paulina Świątek: Opracowując strategię bezpieczeństwa teleinformatycznego pod uwagę należy wziąć kilka istotnych czynników takich jak: strategia biznesowa i korporacyjna przedsiębiorstwa, strategia IT, obowiązujące przepisy i standardy oraz konieczność regularnej analizy zagrożeń, ryzyka i stanu bezpieczeństwa. Punktem wyjścia powinno być przy tym określenie celów i kierunku, w jakim ma podążać firma i jej działalność. Kolejnym krokiem jest ocena obecnego stanu bezpieczeństwa w przedsiębiorstwie. Konieczna jest tu dogłębna znajomość firmy, jej procesów, funkcjonowania i działalności. Strategia bezpieczeństwa powinna być zawsze kompatybilna ze strategią biznesową przedsiębiorstwa i powinna uwzględniać plany na przyszłość oraz projektowane produkty. Jeśli wiemy, gdzie jesteśmy i rozumiemy dokąd zmierzamy, możemy podjąć próbę określenia pożądanego stanu bezpieczeństwa w naszej firmie oraz ustalenia metod, kroków i szczegółowych etapów, które pomogą nam do niego dotrzeć. Należy pamiętać, że bezpieczeństwo teleinformatyczne nieustannie się zmienia, zmuszając nas do ciągłej weryfikacji strategii bezpieczeństwa i poziomu wdrożonych zabezpieczeń, do oceny ich skuteczności, a także typowania obszarów wymagających usprawnień.

 Zagrożenia dla firm wirusy, ataki, hackerzy 2018

Małgorzata Zabieglińska-Lupa: Mówi się, że bezpieczeństwo firmy w największym stopniu zależy od jej pracowników i że nawet najlepsza strategii i najnowsze wdrożone rozwiązania nie pomogą, jeśli nasi pracownicy nie będą świadomi czyhających zagrożeń. W takim razie w jaki sposób uświadomić znaczenie bezpieczeństwa danych i prywatności użytkownikom końcowym?

Paulina Świątek: Użytkownik końcowy jest zawsze najsłabszym ogniwem w łańcuchu bezpieczeństwa teleinformatycznego firmy. Nawet najbardziej wymyślne i profesjonalne narzędzia, kosztujące fortunę, na nic się nie przydadzą, jeśli pracownicy nie zostaną poinformowani o istniejących zagrożeniach czy właściwych sposobach postępowania. Dzisiaj już nieco łatwiej „uświadamiać” użytkowników w dziedzinie bezpieczeństwa komputerowego. Robią to choćby media, nieustannie informując nas o wyciekach danych, np. zdjęć celebrytek czy atakach typu ransomware.

Na początek dobrze jest założyć, że poziom wiedzy o bezpieczeństwie IT wśród pracowników firm jest bardzo niski. Następnie dobrą praktyką jest przeprowadzanie okresowych szkoleń z zakresu bezpieczeństwa IT, zakończonych obowiązkowymi egzaminami sprawdzającymi wiedzę o firmowej polityce bezpieczeństwa i sposobie postępowania z danymi wrażliwymi. W ten sposób nie tylko ułatwimy pracownikom wcielanie w życie postanowień tej polityki, ale i ograniczymy ryzyko wycieku poufnych danych.

Maciej Rosołek: To pytanie dotyka kluczowego zagadnienia bezpieczeństwa, i jednocześnie zagrożenia dla naszych danych wrażliwych. A zagrożeniem tym jest nikt inny jak tylko użytkownicy końcowi. To głównie od ich wiedzy i świadomości zależy bezpieczeństwo przechowywanych w firmie
danych. Bardzo ważne stają się więc akcje uświadamiające i odświeżające wiedzę dotyczącą podstawowych zagadnień bezpieczeństwa, np. takich jak:
- polityka haseł,
- umożliwiania dostępu do danych ze swojego konta osobom trzecim,
- kopiowanie danych na dysk lokalny,
- podatność ataki socjotechniczne,
- wiele, wiele innych.

 

Wszystkie zagadnienia opisane są w polityce bezpieczeństwa firmy. Definiuje ona również konieczność przeprowadzania akacji uświadamiających dla pracowników. Każdy nowo przyjęty pracownik powinien przejść szkolenie z zakresu bezpieczeństwa, po którym musi zdać egzamin. Na tym akcje oczywiście się nie kończą. Celem ugruntowania wiedzy, każdy pracownik przynajmniej raz w roku powinien odświeżyć sobie zagadnienia dotyczące bezpieczeństwa i co najmniej raz w roku zdać egzamin. Dodatkowo dla pracowników powinny być organizowane eventy bezpieczeństwa, na których pokazywane byłby metody, jakie stosują przestępcy celem pozyskiwania wrażliwych danych, w tym przedstawienie przykładów ataków socjotechnicznych. Sposobów na uświadomienie użytkowników jak i zainteresowanie ich zagadnieniami bezpieczeństwa jest naprawdę dużo...
Obecna technika daje nam wiele narzędzi przekazu - grunt to chcieć z nich skorzystać.

Skontaktuj się z ekspertem Comarch

Określ swoje potrzeby biznesowe, a my zaoferujemy Ci dedykowane rozwiązanie.