5 sposobów na uniknięcie incydentów bezpieczeństwa w Twojej firmie

Pomimo coraz większych nakładów na ochronę przed cyberatakiem z każdym rokiem rośnie ryzyko incydentów bezpieczeństwa. Coraz wyższe są także koszty ponoszone przez przedsiębiorstwa w związku z atakami na ich systemy. Informacje o klientach, tajemnice handlowe, własność intelektualna i dane korporacyjne są obecnie dla organizacji zasobem krytycznym, którego powinny strzec z równą starannością, jak pieniędzy na firmowych kontach. Przejęcie informacji przez zorganizowane grupy przestępcze stało się poważnym zagrożeniem zarówno dla dużych korporacji, jak i firm małych czy urzędów. W artykule przedstawiamy pięć elementarnych zasad dotyczących bezpieczeństwa, które powinny obowiązywać w każdej instytucji.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

W JAKI SPOSÓB ZAPEWNIĆ BEZPIECZEŃSTWO ORGANIZACJI ORAZ JEJ ZASOBÓW INFORMATYCZNYCH?
JAKĄ ROLĘ ODGRYWAJĄ SZKOLENIA W ZAKRESIE BEZPIECZEŃSTWA?
DLACZEGO POLITYKA BACKUPU I ZARZĄDZANIA KOPIAMI ZAPASOWYMI SĄ TAK WAŻNE DLA ZAPEWNIENIA CIĄGŁOŚCI DZIAŁANIA ORGANIZACJI?
NA CO NALEŻY ZWRÓCIĆ UWAGĘ PRZY ZAPEWNIANIU DOSTĘPU DO DANYCH PRACOWNIKOM?
JAKIE USŁUGI ZEWNĘTRZNE PRZYCZYNIAJĄ SIĘ DO POPRAWY BEZPIECZEŃSTWA ORGANIZACJI?
JAKĄ ROLĘ PEŁNIĄ POLITYKI BEZPIECZEŃSTWA?

Szkolenie użytkowników w zakresie świadomości bezpieczeństwa

Pierwszym krokiem w zarządzaniu informacjami poufnymi jest uświadomienie potencjalnych zagrożeń pracownikom organizacji. Pokazanie na przykładach, skąd pochodzić może zagrożenie i jakich podstawowych zasad należy przestrzegać, pozwoli uniknąć powszechnych wciąż jeszcze błędów w podejściu do zasad bezpieczeństwa. Należą do nich m.in. używanie prostych do złamania `haseł i niedostatecznie zabezpieczonych skrzynek pocztowych w całej organizacji. Przeszkoleni i poinformowani użytkownicy popełniają mniej błędów powodujących incydenty bezpieczeństwa.

Programy szkoleniowe w zakresie bezpieczeństwa powinny uwzględniać bezpieczne nawyki w korzystaniu z Internetu, które uniemożliwią atakującym przeniknięcie do sieci firmowej. W szkoleniu na poziomie podstawowym należy zwrócić uwagę m.in. na:

Pojawiające się w e-mailach i na komunikatorach podejrzane oraz sfałszowane domeny (cybersquatting). Według raportu Unit 42 Palo Alto z września 2020 roku w grupie najczęściej „podrabianych” przez oszustów domen znalazły się paypal.com, apple.com royalbank.com, netflix.com oraz linkedin.com. System Palo Alto Networks¹ wykrył, że w najbardziej aktywnym pod tym względem miesiącu grudniu 2019 r. zarejestrowano blisko 14 tys. takich domen, czyli średnio 450 dziennie. Spośród nich, około 20% nazw domen służy do rozpowszechniania złośliwego oprogramowania lub przeprowadzania ataków phishingowych (wyłudzenia danych). Ponadto, około 36% „podrabianych” przez oszustów domen stanowi wysokie ryzyko dla odwiedzających je użytkowników, co oznacza, że istnieją dowody na powiązanie ich ze złośliwymi adresami internetowymi
Istotne jest także, by zwykli użytkownicy rozumieli różnicę między stroną z połączeniem nieszyfrowanym HTTP oraz szyfrowanym HTTPS oraz w jaki sposób zidentyfikować niezabezpieczone połączenie
Niebezpieczeństwa związane z pobieraniem niezaufanego lub podejrzanego oprogramowania z Internetu
Ryzyko związane z wprowadzaniem danych uwierzytelniających lub danych logowania na niezaufanych lub niebezpiecznych witrynach internetowych (w tym na stronach sfałszowanych i służących do wyłudzania danych, czyli do phishingu)

Polityka tworzenia kopii zapasowych, ich przechowywania i weryfikacji poprawności działania

Usługa backupu zabezpiecza firmy przed utratą danych, które mogą być wynikiem incydentów bezpieczeństwa, takich jak ransomware. Backup stanowi istotną część kompleksowych planów związanych z zapobieganiem katastrofom, czyli Disaster Recovery. Reguła 3-2-1 to jedna z podstawowych zasad dotyczących tworzenia kopii zapasowych. Nakazuje ona tworzyć 3 kopie danych na co najmniej 2 różnych urządzeniach lub mediach służących do przechowywania danych, przy czym jedną z kopii należy przechowywać poza siedzibą firmy.

Backup w chmurze jest o wiele wygodniejszy niż tradycyjne korzystanie z taśm, które mogą ulec uszkodzeniu lub zostać ukradzione. Umożliwia także spełnienie jednego z warunków reguły 3-2-1, czyli przechowywania kopii poza lokalizacją przedsiębiorstwa. Najbardziej zaawansowane i wszechstronne mechanizmy zapewniają tworzenie kopii zapasowych systemów operacyjnych, maszyn wirtualnych, maszyn fizycznych, baz danych i plików oraz pozwalają na wykonywanie backupów obecnego stanu systemu (snapshotowych). Tak zaawansowane możliwości backupu w lokalizacji zdalnej dostarcza operator T-Mobile w ramach usług Data Center. Umożliwia on składowanie zasobów w zdalnych lokalizacjach z wykorzystaniem łączy światłowodowych. Duża szybkość transferu danych pomiędzy ośrodkami Data Center pozwala uzyskać właściwą reakcję w sytuacjach awaryjnych i błyskawicznie przywracać sprawność usług w nowej, zapasowej lokalizacji.

Polityka haseł i dostępu do danych

Ataki typu brute force polegają na „zgadywaniu” hasła przez automaty (boty) tak długo, aż nie zostaną zablokowane przez atakowany system, po zbyt dużej liczbie nieudanych prób zalogowania. Według raportu Verizon Data breach Investigation Report z 2021 r. ponad 89%² naruszeń bezpieczeństwa spowodowanych jest przez włamania brute force lub użycie zgubionych lub skradzionych danych uwierzytelniających. Wdrożenie zasad zawieszania lub wyłączania kont po wielokrotnych próbach logowania może pomóc w ograniczeniu tego rodzaju ataków. Równie istotne jest wdrożenie polityki wymagania od użytkowników odpowiedniej siły hasła, a także zasada uwierzytelnienia dwuskładnikowego – Two-factor authentication (2FA). Technologia pozwala obecnie stosować różne metody uwierzytelnienia dwuskładnikowego lub ogólniej – wieloskładnikowego. Najważniejsze z nich to:

Powiadomienie typu push poprzez aplikację uwierzytelniającą na urządzeniu (np. na smartfonie). W tym rozwiązaniu system wysyła powiadomienie przy każdej próbie logowania. Aplikacje te zwykle pokazują adres IP lub szacowaną lokalizację osoby próbującej zalogować się na konto. Powiadomienia push są najszybsze i najłatwiejsze w użyciu, ale wymagają połączenia z Internetem. Jest to obecnie najczęstsza metoda uwierzytelniania dwuskładnikowego
Hasło jednorazowe: zazwyczaj jest to sześciocyfrowy kod generowany za pośrednictwem aplikacji. Kod tworzony jest albo w momencie logowania, albo aplikacja stale wymienia nowe kody zsynchronizowane z wewnętrznym zegarem serwera, do którego loguje się użytkownik. Aplikacje te działają także w trybie offline i można je szybko skonfigurować.
Kod przesyłany przez e-mail/SMS. Metoda podobna jak wcześniejsza, ale kod wysyłany jest na adres e-mail użytkownika lub jako wiadomość tekstowa na telefon
Token dwuskładnikowy, czyli fizyczne urządzenie działające całkowicie w trybie offline. Jest to jedna z najbezpieczniejszych metod uwierzytelniania wieloskładnikowego, ponieważ osoba niepowołana musiałby ukraść je „fizycznie” uprawnionemu użytkownikowi, aby uzyskać dostęp. Tokeny mogą generować jednorazowe hasła lub działać jako klucze USB, które po podłączeniu do komputera odblokowują dostęp do konta, na którym są zarejestrowane
Ta metoda jest stosunkowo nowa i dlatego nie ma jeszcze aż tak szerokiego zastosowania jak inne wymienione. Obejmuje odciski palców, rozpoznawanie głosu i twarzy. Uważa się je za trudne do złamania

Kolejny aspekt związany z ochroną informacji w firmie to zarządzenie polityką dostępu do wrażliwych danych. Dostęp administracyjny, który umożliwia użytkownikowi wprowadzanie zmian w całym systemie i wgląd w te dane powinien być ograniczony wyłącznie do pracowników, którym powierzono tak szeroki zakres uprawnień. Równie istotne jest także usuwanie „martwych kont” osób, które już nie pracują lub zmienił się ich zakres obowiązków.

Update czyli aktualizacje oraz łatki bezpieczeństwa

Włamujący się do systemów przedsiębiorstwa wykorzystują najczęściej podatności, czyli luki w oprogramowaniu pozwalające im wykonać działania, których twórca nie przewidział. Najlepszym sposobem zapobiegania takim próbom włamań jest zatem aktualizowanie oprogramowania na bieżąco: od systemu operacyjnego poprzez aplikacje aż do sterowników urządzeń.

Warunkiem zapewnienia ochrony jest stałe monitorowanie podatności i ukazujących się patchy (łatek) dostarczanych przez twórców oprogramowania. W wykrywaniu podatności pomocna może być także usługa stałego monitoringu zespołów bezpieczeństwa. Rozwiązanie takie dostarcza T-Mobile w ramach Security Operations Center (SOC) dostępnych w Centrach Danych operatora. Pomaga ono non stop wykrywać i zapobiegać atakom wykorzystującym luki w oprogramowaniu. Ochrona przed tym typem zagrożeń realizowana jest w usłudze Cloud Security, w części end point protection. W ramach usług T-Mobile dostępna jest także ocena wrażliwości poszczególnych elementów posiadanej przez organizację infrastruktury oraz zasobów. W jej skład wchodzą:

Badanie bezpieczeństwa i zabezpieczeń aplikacji WEB czyli ocena wrażliwości bezpieczeństwa aplikacji webowych
Badanie wrażliwości infrastruktury teleinformatycznej
Ocena stanu Kultury Bezpieczeństwa czyli ocena wrażliwości pracowników
Weryfikacja sposobu ochrony systemów pocztowych
Ocena wrażliwości bezpieczeństwa punktu styku z Internetem

Wszystkie te elementy pozwalają uzyskać kompleksową ocenę wrażliwości organizacji i ułatwiają przygotowanie rekomendacji zmian w zakresie ochrony informacji.

Polityki bezpieczeństwa

Bez względu na wielkość firmy nieodzowne jest posiadanie polityk bezpieczeństwa. Zbiór reguł dotyczących postępowania z danymi i dostępami do systemów pozwala nie dopuszczać do zaistnienia sytuacji zagrażających bezpieczeństwu danych, a także uruchomić właściwe działania na wypadek zaistnienia incydentu bezpieczeństwa.

Podsumowanie

Przypomnijmy najważniejsze wskazówki pozwalające organizacji unikać zagrożeń związanych z incydentami bezpieczeństwa:

Istotnym krokiem w zarządzaniu informacjami poufnymi jest uświadomienie potencjalnych zagrożeń pracownikom organizacji. Programy szkoleniowe w zakresie bezpieczeństwa powinny uwzględniać bezpieczne nawyki w korzystaniu z Internetu, które uniemożliwią atakującym przeniknięcie do sieci firmowej.
Zasada uwierzytelnienia dwuskładnikowego – Two-factor authentication (2FA) pozwala uniknąć zagrożenia związanego z dostępem przez osoby niepowołane do zasobów wrażliwych po przejęciu hasła lub złamaniu zbyt prostego hasła.
Backup stanowi istotną część kompleksowych planów związanych z Disaster Recovery. Reguła 3-2-1 nakazuje tworzyć 3 kopie danych na co najmniej 2 różnych urządzeniach lub mediach służących do przechowywania danych, przy czym jedną z kopii należy przechowywać poza siedzibą firmy.
Włamujący się do systemów wykorzystują najczęściej podatności, czyli luki w oprogramowaniu pozwalające im wykonać działania, których twórca nie przewidział. Najlepszym sposobem zapobiegania jest aktualizowanie oprogramowania na bieżąco: od systemu operacyjnego poprzez aplikacje aż do sterowników urządzeń.
W ramach usług T-Mobile dostępna jest m.in. ocena wrażliwości poszczególnych elementów posiadanej przez organizację infrastruktury oraz zasobów.

¹ Cybersquatting: Attackers Mimicking Domains of Major Brands Including Facebook, Apple, Amazon and Netflix to Scam Consumers https://unit42.paloaltonetworks.com/cybersquatting/

² 2021 Data breach Investigation Report https://enterprise.verizon.com/resources/reports/2021-data-breach-investigations-report.pdf