Cyberodporność w świecie ewoluujących zagrożeń Nowe ... · oraz czerpanie wiedzy z doświadczeń innych organizacji. ... antywirusowe, zapory sieciowe czy aktywne i pasywne

Kwiecień 2013

Cyberodporność w świecie ewoluujących zagrożeńNowe drogi w bezpieczeństwie informacji

2 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

Obserwując skalę oraz tempo zmian cyberzagrożeń można założyć, że każda organizacja została lub zostanie zaatakowana. Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań w skali całej organizacji, opartych na fundamentach dobrego zrozumienia apetytu na ryzyko oraz profilu zagrożeń, dopasowania strategii działania do celów biznesowych organizacji, dobrego przygotowania do szybkiej reakcji na incydenty, współdziałania z partnerami w zwalczaniu cyberataków oraz ciągłej edukacji, doskonalenia i ćwiczeń.

Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 3

Spis treści

7 Wprowadzenie

9 Ewolucja zagrożeń

17 Droga do odporności

23 Rola odpowiedzialnego partnerstwa

26 5 zasad bezpieczeństwa

27 Kontakt

28 Przypisy


Świat nowoczesnych technologii ulega gwałtownym przemianom. Wynikają one przede wszystkim z powszechnego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich systemami informatycznymi oraz popularyzacji technologii mobilnych. Granice między organizacjami w szybkim tempie ulegają zatarciu. Za dynamicznymi zmianami technologicznymi niezwłocznie podążają zorganizowane grupy przestępcze, które zachęcone pozorną anonimowością sieci, ograniczoną skutecznością organów ścigania oraz niskim kosztem podejmowa-nych działań atakują regularnie organizacje oraz ich klientów tam, gdzie są oni najbar-dziej podatni – w cyberprzestrzeni.

Stosowane od lat podejście do ochrony kluczowych aktywów oparte na wykrywaniu i neutralizowaniu cyberzagrożeń już po ich wystąpieniu oraz doskonaleniu procesów ochrony w oparciu o wnioski wynikłe z analizy zagrożeń, przestało obecnie być sku-teczne. Skala potencjalnych strat w organizacjach silnie uzależnionych od technologii może być tak znaczna, że nie będą one miały szans wyciągnąć wniosków z własnych błędów – przestaną istnieć w wyniku skutecznego cyberataku.

Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań opartych na następujących fundamentach:

•założeniu, że każda organizacja została lub zostanie zaatakowana przez cyberprzestepców,

• skutecznym przygotowaniu do szybkiej reakcji na incydenty – pozwalającym organi-zacji przetrwać nieuchronny atak,

•ciągłej edukacji, doskonaleniu i ćwiczeniach – budujących stan gotowości organizacji do zmierzenia się z nadchodzącym atakiem,

•współdziałaniu z partnerami biznesowymi, ułatwiającym pozyskiwanie informacji oraz czerpanie wiedzy z doświadczeń innych organizacji.

Raport podsumowuje aktualne i możliwe zagrożenia związane z aktywnością przedsię-biorstw w sieci. W opracowaniu znajdują się informacje o kluczowych wyzwaniach związanych z integracją sieci w procesach biznesowych oraz świadczonych usługach, ze szczególnym ukierunkowaniem na zagadnienia partnerstwa i kooperacji. Liderami na rynku staną się te instytucje, które nie tylko w sposób proaktywny będą potrafiły reagować na zagrożenia, ale te, które będą potrafiły je przewidzieć i im zapobiec.

Jakub BojanowskiPartnerDział Zarządzania Ryzykiem



Rzeczywistość wymiany informacji ulega głębokim przemianom, które odbywają się niemal niezauważalnie, lecz w sposób ciągły. Przemiany te powodują, że na zagadnienia takie jak prywatność, ochrona danych czy bezpieczeństwo, będziemy musieli spojrzeć w zupełnie nowy, świeży sposób i dostosować naszą działalność do nowej cyberrzeczywistości. Przemiany te oznaczają również dogłębną zmianę sposobu, w jaki chronimy nasze tajemnice, zmianę zasad zaufania między pracow-nikami, a pracodawcą, usługodawcą, a usługobiorcą, zmianę metod wykorzystania technologii czy nawet zmianę procesów biznesowych lub relacji z klientami. Przemiany te wynikają przede wszystkim z powszech-nego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich strukturami danych oraz popularyzacji urządzeń i aplikacji mobilnych. Nie bez znaczenia pozostaje profesjonalizacja grup przestępczych wykorzystujących powszechny rozwój technologii, globalny przepływ informacji czy rosnące zaangażowanie aktywnych społecznie hakerów (np. Anonymous).

Dynamika tych zmian powoduje, że organizacje, chcąc zachować ciągłość działalności biznesowej, potrzebują nowego spojrzenia na kwestię ochrony przed cyberza-grożeniami. Zarówno skala, jak i charakter ataków świadczą o tym, że atakujący, świadomie i z rozmysłem, wykorzystują fakt olbrzymiej współzależności między organizacjami oraz dostępność nowych technologii, a także brak skutecznej kontroli nad ich wykorzystaniem. Ofensywne działania w cyberprzestrzeni stały się sku-teczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. To, kto lub co jest celem, wyznaczane jest przez interes polityczny oraz finansowy lub ideologię. Stosowane od lat podejście defensywne, polegające na wykrywaniu i neutralizowaniu zagrożeń, przestało być skuteczne. Każda organizacja we własnym zakresie musi odpowiedzieć sobie na pytania, na ile działania podejmowane w obszarze cyberprzestrzeni są skuteczne, czy zarządza ryzykiem we właściwy sposób i co się stanie, gdy zostanie zaatakowana. Nie podlega dyskusji, czy dana organizacja zostanie zaatakowana, tylko kiedy i w jaki sposób.

Raport zawiera wiele danych oraz odniesień dotyczących sektora finansowego, który zarówno w wymiarze technologicznym, jak i zarządczym, pełni rolę wskaźnika wyprzedzającego dla zagadnień związanych z bezpie-czeństwem informacji w innych sektorach gospodarki. Z tego powodu doświadczenia z sektora finansowego stanowią dobrą podstawę do dyskusji nad przyszłymi zmianami w obszarze ochrony informacji w całym otoczeniu biznesowym.

Zatarcie granicStale postępujący rozwój technologii, czy powszechny outsourcing, to niektóre z przyczyn zacierania się granic technologicznych. Przedsiębiorstwa szukają oszczędno-ści, a outsourcing jest sposobem na to, by przenosząc procesy poza organizację, potencjalnie obniżyć koszty z nimi związane. Sprzyja temu olbrzymia konkurencja, a także budowanie centrów kompetencyjnych w różnych regionach świata, w tym w Polsce. Outsourcing jest już na tyle powszechną formą realizacji usług, że sieć powiązań organizacyjno-technicznych między firmami zaczyna być bardzo skomplikowana. Dodatkowo, współzależność infrastruktury oraz procesów sprawia, że granice między organizacjami są trudne do określenia.

Wprowadzenie

Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw.


Przez lata systemy informatyczne funkcjonowały jako rozwiązania odseparowane od sieci publicznej, a połą-czenie z Internetem stanowiło dla nich jedyne okno na świat. Dynamiczny rozwój technologii informatycznych, a przede wszystkim uzasadniona potrzeba integracji między organizacjami, spowodowały, że pojawiło się więcej możliwości. Współzależność wielu organizacji postępowała wraz z implementacją nowych technologii. Poza pozytywnymi rezultatami, takimi jak oszczędności, większa elastyczność, szybszy i bardziej efektywny przepływ informacji, pojawiły się również zagrożenia. Firmy, które decydują się na ten model działania (zarówno usługodawcy jak i usługobiorcy) muszą być przygotowane na to, że szeroki dostęp do ich środowisk teleinformatycznych i przetwarzanych w nich danych, wymaga spełnienia bardzo wysokich standardów, a przede wszystkim równoważenia rozważnymi mecha-nizmami ochrony. Za postępującymi zmianami nie nadążały procesy zarządzania bezpieczeństwem infor-macji oraz przepisy prawa. W efekcie, z jednej strony widoczny był od lat szybki postęp technologiczny,

a z drugiej, usiłujące go dogonić działy bezpieczeństwa, prawnicy i regulatorzy. Na wiele zmian jest już za późno, a wdrożenie innych (zwłaszcza na gruncie prawnym np. w obszarze cloud-computingu) wiązać się będzie ze znacznymi wyzwaniami i nakładami.

Zachodzącym zmianom i zacierającym się granicom bacznie przyglądają się regulatorzy, zwłaszcza rynków finansowych i telekomunikacyjnych. Przyglądają im się także cyberprzestępcy, którzy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami. W bardziej elastyczny sposób dostosowują się do zachodzących zmian i często sami jej wywołują.

Mając na uwadze znaczny skok technologiczny, który nastąpił w ciągu ostatnich trzech dekad, można stwier-dzić, że dzisiejsze ataki są bardziej zaawansowane, co w połączeniu z rosnącą współzależnością środowisk IT wywołuje coraz większe straty.

Cyberprzestępcy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami.


Zatarcie granic pomiędzy organizacjami nie dzieje się w oderwaniu od rzeczywistości, zwłaszcza tej wirtualnej. Bezpośrednio wiąże się ono z rozwojem technologii, a także powstawaniem nowych trendów oraz ewolucją następujących, kluczowych zjawisk:

• Większe zaangażowanie technologii w fundamenty procesów biznesowych oraz coraz większa trudność w nakreśleniu jasnych granic pomiędzy środowiskami czy procesami zarządzanymi przez poszczególne organizacje.

• Profesjonalizacja ataków polegająca na stosowaniu wzorców wypracowanych przez tradycyjne organiza-cje przestępcze do działań w cyberprzestrzeni.

• Istotna zmiana technologiczna wynikająca głównie z popularyzacji przetwarzania mobilnego i powszech-nej dostępności serwisów społecznościowych.

• Ograniczona skuteczność tradycyjnych metod ochrony infrastruktury informatycznej, takich jak systemy antywirusowe, zapory sieciowe czy aktywne i pasywne systemy wykrywania intruzów.

• Coraz większa presja na racjonalne i oszczędne alokowanie środków przeznaczanych na ochronę informacji, a przez to konieczność rozważania nakła-dów na ochronę informacji w tradycyjnym modelu zwrotu z nakładów inwestycyjnych.

Połączenie powyższych czynników stawia osoby zarzą-dzające organizacjami, które są w istotny sposób oparte o skuteczną wymianę informacji, pod wielką presją znalezienia optymalnych rozwiązań bezpieczeństwa przy jednoczesnym zapewnieniu ich efektywności finansowej.

Ewolucja zagrożeń

Wykres 1. Ewolucja zagrożeń

Przypadkowe odkrycie

Złośliwe oprogramowanie

“Insider”Sfrustrowany ex-pracownik

“Script kiddy”

Determinacja atakującego

Wyr

afino

wan

ie a

taku

“Hacktivism”

Sfrustrowany klientPartner biznesowy Cyberterroryzm

KonkurencjaHobbysta Zrzeszenie hackerów

Sfrustrowany ex-IT adminis-trator

Zorganizowana przestępczość

Atak kontrolowany


Profesjonalizacja atakówDziałania przestępcze w cyberprzestrzeni stały się atrakcyjnym źródłem korzyści materialnych dla kryminali-stów, których w niewirtualnej rzeczywistości coraz skuteczniej osaczają organy ścigania. Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę. Atrakcyjność cyberrzeczywistości, jako platformy prze-znaczonej do nielegalnych działań, wynika z kilku czynników:

• pozornej (a w niektórych warunkach rzeczywistej) anonimowości cyberprzestępców,

• braku gotowości organów ścigania i wymiaru sprawie-dliwości do sprawnego reagowania na zagrożenia i braku efektywnej współpracy w tym zakresie z sektorem prywatnym,

• bardzo ograniczonego ryzyka kary za działalność przestępczą,

• niskiego wstępnego kosztu inwestycji w działania przestępcze w sieci,

• znacznego potencjału wzrostu przychodów z tej platformy działań przestępczych w nadchodzących latach.

Efektem powyższych zachęt jest dynamicznie postępu-jąca profesjonalizacja cyberprzestępców, w wyniku której powstają wyspecjalizowane struktury oferujące usługi na rzecz środowiska cyberprzestępców, takie jak przechowywanie danych, dzierżawa sieci typu bot-net, wysyłka spamu, dostosowywanie narzędzi technologicz-nych do wymagań poszczególnych ataków czy usługi typu escrow. Wyspecjalizowane struktury cyberprzestęp-cze tworzą klasyczny system przepływu informacji oraz pieniędzy ukierunkowany na maksymalizację korzyści, a także ograniczenie ryzyka związanego z prowadze-niem działalności przestępczej. Typowy schemat działań cyberprzestępców można podzielić na następujące bloki (Wykres 2):

• Wyciek informacji, do którego dochodzi w wyniku ataku na indywidualną organizację, ich grupę lub użytkowników końcowych. Do zdarzenia tego docho-dzi często w wyniku skoordynowanych działań wielu grup przestępczych udzielających sobie wsparcia.

• Sprzedaż lub dystrybucja danych w ramach „podziem-nych” struktur komunikacyjnych. Działanie to jest ukierunkowane na możliwie szybkie spieniężenie pozyskanych danych jeżeli przestępca, który dane pozyskał nie jest w stanie spieniężyć ich przy pomocy bardziej zaawansowanego ataku.

• Wzbogacanie i weryfikacja danych oparta o korelację informacji pochodzących z różnych źródeł. W ramach tego działania dane są katalogowane oraz przezna-czane do konkretnego typu ataku (np. phishing, wyłudzenie kredytów lub świadczeń, itp.). Przetworzone i wzbogacone dane są sprzedawane grupom specjalizującym się w konkretnych rodzajach przestępstw.

• Spieniężenie oraz legalizacja środków. W ramach tej działalności pozyskane dane są wykorzystywane w sposób zależny od ich przydatności do konkretnych rodzajów przestępstw. Uzyskiwane w ten sposób środki są wielokrotnie przetwarzane, często z wykorzy-staniem tak zwanych wirtualnych walut (np. Bitcoin), w celu ukrycia źródła oraz sposobu ich zdobycia.

Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę.

Ponad 80% dokonywanych przestępstw jest przeprow-adzanych przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci

80%


Miejsca przerzutu skradzionych danych

Botnet

Phishing Keylogger-y

Kolekcjonerzy tożsamości Kasjerzy Cyberprzestępcy

Usługa walidacji danych

Bramki płatnicze

Fora carderów

Komunikatory

Strony e-commerce

Usługi rozprzestrzeniające złośliwe oprogramowanie

Usługi zakupu danych Eksploatacja i wzbogacanie

danych

Sprzedaż danych Spieniężenie

Wykres 2. Profesjonalizacja zagrożeń

Wyciek informacji Zakup informacjiWzbogacenie i

weryfikacja danychSprzedaż Realizacja zysków

Twórcy Botnet-u

Twórcy złośliwego oprogramowania

Spamerzy Sprzedawcyusług

i towarów

Instytucje finansowe

Pieniądz elektroniczny

Przelewy

Hazard on-line

Adres dostawy chroniący

anonimowość


Omówiona profesjonalizacja jest wysoce zaawansowana i powszechna. Badanie obszaru cyberprzestepczości1

wskazuje, że ponad 80% dokonywanych przestępstw jest przeprowadzane przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci. To samo badanie sugeruje, że cyberprzestęp-czość jest czwartą generacją rozwoju zorganizowanych grup przestępczych, zaraz po generacji pierw-szej opartej o hazard oraz nielegalne wytwarzanie alkoholu, generacji drugiej opartej o rozwój czarnego rynku po drugiej wojnie światowej oraz generacji trzeciej skoncentrowanej na rozwoju rynku handlu narkotykami w latach osiemdziesiątych oraz dziewięćdziesiątych XX wieku. Niezależnie od toczących się dyskusji o metody-kach i wiarygodności badań prowadzonych w obszarze wyceny cyberzagrożeń należy zauważyć, że nawet najbardziej sceptyczne opracowania wskazują na gwałtowny wzrost ich skali oraz złożoności. Z uwagi na pozbawiony granic charakter sieci, polskie przedsię-biorstwa są w podobnym zakresie narażone na cyberza-grożenia, jak ich konkurenci na rynku regionalnym i globalnym.

Działalność przestępców to jednak tylko jedno z wielu źródeł współczesnych zagrożeń dla organizacji działają-cych w cyberrzeczywistości. Organizacje uczestniczące w globalnym badaniu Deloitte TMT Security Survey 20132 wskazały, że dostrzegają istotne zagrożenia związane:

• z ilością oraz rodzajem danych przekazywanych stronom trzecim (78% respondentów),

• coraz szerszym wykorzystaniem urządzeń mobilnych (74%) oraz

• brakiem odpowiedniej świadomości wśród pracowni-ków (70%).

Powoduje to sytuację, w której z jednej strony organiza-cje stoją przed wyzwaniami związanymi z cyberprzestęp-czością, a trendami w dziedzinie wykorzystania technologii z drugiej. Budowanie mechanizmów ochron-nych, które skutecznie zaadresują ryzyka w obu obsza-rach, jest zadaniem wymagającym nowego spojrzenia na rzeczywistość, którą kształtują dynamicznie postępu-jące zmiany technologiczne. Stanowi to kolejny czynnik sprzyjający szerzeniu się znanych wcześniej niebezpie-czeństw i powstawaniu nowych zagrożeń.

Wpływ technologiiOkreślenia takie jak cloud-computing i wirtualizacja, big data, BYOD, technologie mobilne czy social-media, na stałe wpisały się do słowników zarówno przedsię-biorstw, jak i użytkowników końcowych. Powszechna dostępność, łatwość obsługi i stosunkowo niewielki koszt wdrożenia oraz obsługi tych technologii i usług sprawia, że tradycyjnie rozumiany dział IT stoi przed nowymi wyzwaniami. Wyzwania te dotyczą także osób odpowie-dzialnych w firmach za bezpieczeństwo informacji.

Cloud computingTechnologią, która na wielu frontach rewolucjonizuje podejście do kwestii prywatności i ochrony danych jest wirtualizacja. Przetwarzanie w chmurze nie jest jedynie sposobem na szukanie oszczędności. W praktyce zwięk-sza ono dostępność usług i stwarza nowe możliwości ich rozwoju, dając zarówno działom biznesowym jak i IT większą elastyczność w doborze rozwiązań. Przedsiębiorstwa, z początku nieufne, coraz częściej przekonują się do tej technologii. W branży TMT 40% badanych firm przyznaje, że korzysta z chmury obliczenio-wej. Należy przy tym zwrócić uwagę na fakt, że łatwa dostępność i niski koszt sprawiają, iż działy biznesowe mogą korzystać z usług typu SaaS (Software as a Service) bez wiedzy i wsparcia działów IT. Powoduje to ryzyko funkcjonowania w firmach tzw. dzikiego IT (ang. rogue IT). Jest to zjawisko o tyle niepożądane, że, jak wskazują wyniki badania w branży finansowej, najczęściej zgłaszane przez audytorów zastrzeżenia w obszarze IT dotyczą nadmiarowych praw przyznanych użytkownikom i developerom w tego typu środowiskach.

Prawie 50% badanych organizacji z sektora finansowego nie zdecydowało się jeszcze na przetwarzanie w chmu-rze, właśnie z powodu obaw o bezpieczeństwo danych, niedojrzałość samej technologii czy też braku jej dosto-sowania do potrzeb organizacji. Jednak wśród tych, którzy się na to zdecydowali, prawie wszyscy potwier-dzili, że na różne sposoby, organizacyjne i techniczne, dbają o bezpieczeństwo danych przetwarzanych w chmurze. Od strony organizacyjnej firmy zabezpie-czają się poprzez odpowiednie klauzule w umowach z dostawcami usług, wymuszające stosowanie określo-nych mechanizmów bezpieczeństwa oraz definiujące kryteria dotyczące m.in. dostępności tych usług. Rozwiązania techniczne dotyczą głównie kontroli dostępu do zasobów, należytej priorytetyzacji ruchu sieciowego względem poszczególnych usług w chmurze oraz testowania procedur związanych z zapewnieniem

Najistotniejsze zagrożenia dla organizacji działających w cyberrzeczywistości

Dane przekazywane stronom trzecim

78%

Wykorzystanie urządzeń mobilnych

74%

Brak odpowiedniej świadomości wśród pracowników

70%


ciągłości działania. Częściowym rozwiązaniem z obu obszarów jest zapis umowny zezwalający na prawo do audytu infrastruktury wirtualnej dostawcy tego typu usług, a także późniejsze kontrolowanie sposobu, w jaki dostawca wywiązuje się ze swoich zobowiązań związa-nych z ochroną danych.

Bring Your Own DeviceKolejnym trendem nadającym kształt cyberzagrożeniom jest BYOD (ang. Bring Your Own Device). W czasach, gdy telefon komórkowy lub tablet potrafią zastąpić komputer, mobilność pracowników bywa krytycznym aspektem funkcjonowania przedsiębiorstwa, a granica między tym, co służbowe i prywatne często jest niedo-strzegalna, rozsądne wydaje się szukanie oszczędności właśnie w kieszeni pracownika. Przyczyny takiego stanu rzeczy wykraczają jednak poza zwykłe ograniczanie kosztów. Nosząc więcej niż jeden telefon pracownicy mogą chcieć dążyć do optymalizacji warunków, w których funkcjonują. Przejawem tego będzie współ-dzielenie danych pomiędzy ich urządzeniami, korzystanie z aplikacji mobilnych integrujących się z serwisami internetowymi (np. społecznościowymi), a w efekcie rezygnacja z dwóch urządzeń na rzecz jednego. Stąd krok do sytuacji, w której pracownik przychodzi do firmy z własnym urządzeniem, na którym przetwarza klu-czowe dane firmowe.

Połowa firm badanych w ramach Deloitte TMT Security Survey 2013 stwierdziła, że posiada uregulowania dotyczące BYOD, a trzy czwarte badanych widzi w wykorzystaniu technologii mobilnych poważne zagrożenie. Stosowanie tradycyjnych mechanizmów ochronnych nie wystarczy, gdy pracownicy korzystają ze sprzętu (telefonu, tabletu, laptopa itp.) znajdującego się poza kontrolą pracodawców. W celu zapewnienia bezpiecznego funkcjonowania sprzętu pracownika, większość z firm stosuje tylko najprostsze środki organi-zacyjne, takie jak polityka dozwolonego użytku, pro-gramy security awareness, czy techniczne np. hasło lub PIN, szyfrowanie, „czyszczenie” urządzenia w przypadku jego oddania lub kilkukrotnego podania błędnego hasła. Może być to podyktowane obawami związanymi z kwestiami regulacyjnymi, gdyż telefon należy do pracownika i przechowuje on w nim także swoje prywatne dane (takie jak zdjęcia, notatki czy wiadomości SMS). Wydawać się może, że rozwiązania typu MDM (ang. Mobile Device Management) stanowią panaceum na piętrzące się problemy związane z BYOD oraz techno-

logiami mobilnymi. Jednak bez właściwych regulacji i skutecznego zakomunikowania zainteresowanym pracownikom celowości ich wprowadzania, żadna technologia nie rozwiąże problemów.

Media społecznościoweFirmy i ich pracownicy mają potrzebę obecności w mediach społecznościowych. Jest to skuteczne i tanie narzędzie marketingowe, a także sposób na pozostanie w kontakcie z klientami. Należy jednak przemyśleć, w jaki sposób można pozwolić pracownikom na korzy-stanie z serwisów społecznościowych dbając jednocze-śnie o bezpieczeństwo przetwarzanych przez nich danych firmowych (a niekiedy prywatnych). 37% organizacji z branży finansowej dokonuje w związku z tym przeglądu istniejących regulacji, a 31% uświada-mia swoich pracowników, mówiąc o zagrożeniach, które wiążą się z obecnością w serwisach społecznościowych. Złożoność tych zagrożeń sprawia, że tradycyjne mecha-nizmy obrony przestają być skuteczne, choć nadal większość organizacji postrzega rozwiązania takie jak firewall, webfilter czy antywirus jako wystarczające. W przypadku mediów społecznościowych te zabezpie-czenia nie sprawdzają się. Cyberprzestępcy swoje działania kierują tam, gdzie znajdują się ich potencjalne ofiary. Dlatego oprócz zabezpieczeń technologicznych, należy przede wszystkim budować świadomość pracow-ników. Olbrzymia popularność serwisów społecznościo-wych jest zatem czynnikiem ryzyka, którego nie można pomijać w procesie zarządzania bezpieczeństwem informacji.


Big dataInnym trendem, który istotnie wpływa na sposób postrzegania bezpieczeństwa informacji jest big data. Olbrzymia ilość danych w połączeniu z możliwościami, jakie daje technologia, stanowi odpowiedź na coraz śmielsze pomysły dotyczące ich wykorzystania. Rozpatrując kwestie bezpieczeństwa informacji w kontekście big data należy skupić się na koncepcji „Four V”:

• Volume - ilość danych wpływa na ich dostępność, gdyż przekłada się na wydajność rozwiązań służących do ich przetwarzania. Oznacza także, że każdy, nawet najmniejszy wyciek informacji, może stanowić duży problem.

• Variety - olbrzymia różnorodność danych wymaga dogłębnej analizy dopuszczalności ich przetwarzania. Rygorystyczne przepisy prawa mogą zabraniać prze-twarzania danych po określonym czasie, a nieprze-strzeganie tego zakazu rodzi ryzyka natury regulacyjnej.

• Velocity - potrzeba zapewnienia szybkości generowa-nia i przetwarzania danych, a w efekcie dostarczania wyników analiz sprawia, że upraszczając architekturę systemów IT, pominięte mogą zostać, zbędne w opinii ekspertów od data miningu, elementy bezpieczeństwa.

• Value - wartość danych składających się na big data jest trudna do oszacowania, jednak, jak argumentują zwolennicy tej koncepcji, jest znacząca. Tym samym analiza ryzyka i dobór właściwych rozwiązań w obsza-rze bezpieczeństwa tych danych nie jest zadaniem prostym.

Rozwiązania zapobiegające wyciekom danych (ang. Data Leak/Loss Prevention - DLP) w najbliższej przyszłości będą musiały zostać dostosowane do nowych wymagań bezpieczeństwa, co w obliczu wskazanych powyżej czynników będzie stanowić szczególne wyzwanie. Stawić czoła temu wyzwaniu może pomóc właśnie big data. Popularne systemy SIEM (ang. Security Information and Event Management) czy threat intelligence, opierają się na analizie w czasie rzeczywistym dużych woluminów różnorodnych danych. Ich wartość w kontekście bezpie-czeństwa informacji jest nieoceniona.

Nieskuteczność tradycyjnych metod ochrony danychW czasach, w których informacja jest dla przedsiębiorstw najcenniejsza, stosowane od lat tradycyjne systemy realizujące funkcje bezpieczeństwa przestają być wystar-czające. Stanowią one wprawdzie jedną z pierwszych linii obrony przed atakami, jednak widoczne tendencje podpowiadają, że aby chronić informacje, trzeba zacząć samemu je zdobywać. Przykładem aktywnego działania na tym polu jest wykorzystywanie systemów typu SIEM. Systemy takie są niezbędnymi narzędziami w rękach zespołów SOC (ang. Security Operations Centre), lecz nawet najlepszy system będzie bezużyteczny, jeśli dane, które przetwarza będą niskiej jakości.

W obliczu zagrożeń typu APT (ang. Advanced Persistent Threats) najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja. Możliwość jak najszybszego reagowania może zapewnić korelowanie danych z systemów klasy SIEM, z informacjami pochodzą-cymi od innego rodzaju rozwiązań, tj. threat intelligence gathering. Tradycyjne metody oparte na kontroli dostępu, rozliczalności czy zapobieganiu zdarzeniom, okazują się nieadekwatne do stopnia złożoności i szkodliwości aktualnych zagrożeń. Funkcjonując w świecie biznesu opartego o technologie należy liczyć się z tym, że prawdo-podobieństwo skutecznego ataku na sieć przedsiębior-stwa jest bliskie 100%. Skrajnym przypadkiem jest założenie, że infrastruktura teleinformatyczna została spenetrowana (taki model działania przyjęła Narodowa Agencja Bezpieczeństwa w Stanach Zjednoczonych). Informacja, że spośród badanych firm z sektora finanso-wego, 98% korzysta z programu antywirusowego, niekoniecznie jest wyznacznikiem poziomu bezpieczeń-stwa ich systemów. Wątpliwości co do bezpieczeństwa danych budzi 2% firm niekorzystających z takiego rozwią-zania. Niezależnie od wykorzystywanych rozwiązań technologicznych należy pamiętać, że tradycyjne metody oparte na analizie sygnatur, detekcji anomalii, czy też heurystyce przestają być skuteczne.

Proaktywne podejście do zarządzania bezpieczeństwem, oparte na zdobywaniu informacji (tj. threat intelligence) zarówno z wnętrza sieci, jak i spoza niej, pomaga kształtować linię obrony i podejmować właściwe decyzje we właściwym czasie. Im szybciej naruszenie bezpieczeń-stwa zostanie zidentyfikowane, tym szybciej podjęte zostaną działania mające na celu minimalizację skutków, wykrycie sprawców i zabezpieczenie materiałów mogą-cych stanowić dowód w postępowaniu.

Organizacje, które uświadamiają pracowników o zagrożeniach, wiążących się z obecnością w serwisach społecznościowych

31%


Dla osiągniecia proponowanego stanu gotowości należy wypracować struktury oraz procedury funkcjonowania na wypadek cyberataku, bazujące na zespołach typu SOC. Ich sprawne funkcjonowanie oparte jest na narzędziach i procedurach, lecz przede wszystkim wynika z dogłębnego zrozumienia procesów zachodzą-cych w firmie, a nie tylko w infrastrukturze IT przedsię-biorstwa. Tym samym inicjatywy typu BYOD, cloud-computing, big data czy też współpraca z partne-rami zewnętrznymi, nie mogą pozostać bez wpływu na poziom ochrony danych w firmie.

Wzrost kosztów i presja optymalizacji budżetuMożna przypuszczać, że wraz z istotnymi zmianami technologicznymi zmianie ulegnie także poczucie istotności bezpieczeństwa informacji. Z badania Deloitte3 wynika jednak, że mimo rosnącej skali oraz złożoności zagrożeń, budżety przeznaczane na ochronę kluczowych informacji oraz obronę przed cybezagrożeniami pozo-stają niemal bez zmian od 3 lat.

Stopień skomplikowania technologii i opartych o nią procesów biznesowych wymaga znacznych nakładów na jej utrzymanie i inwestycje z nią związane.

Z obserwacji rynku wynika, że tradycyjne pojmowanie bezpieczeństwa jako problemu IT lub kwestii zgodności z wymogami regulacyjnymi powoli staje się nieaktualne. Bezpieczeństwo informacji coraz częściej jest elementem biznesu, należałoby więc oczekiwać, że planowanie wydatków związanych z ochroną danych oparte będzie o znane mechanizmy bazujące na wskaźniku zwrotu nakładu na inwestycje (ang. Return on Investment - ROI).

Blisko połowa firm z sektora bankowego i technologicz-nego zwraca uwagę, że kolejny rok z rzędu ograniczenia budżetowe stanowią poważną przeszkodę na drodze do budowania efektywnego programu bezpieczeństwa informacji w organizacji. Wydatki na bezpieczeństwo, w tym na dedykowane urządzenia i platformy, a także usługi, mogą przynieść wymierną wartość finansową większości organizacji, gdy przyjmie się odpowiednie założenia i właściwy model funkcjonowania bezpieczeń-stwa w firmie i poza nią.

W obliczu zagrożeń typu APT najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja.



Dynamicznie postępująca ewolucja zagrożeń wymaga zastosowania nowego podejścia do zarządzania bezpie-czeństwem informacji. We wcześniejszej części raportu opisane zostały przyczyny, dla których zmiana postrzega-nia jest niezbędna i uzasadniona. Dalsza część skupia się na możliwych do podjęcia działaniach mających na celu osiągnięcie takiego poziomu odporności, który pozwoli odeprzeć pierwsze uderzenie cyberataku i w szybki oraz elastyczny sposób zareagować i dostosować się do stale zmieniających się reguł gry.

Najbardziej korzystne rezultaty zostaną osiągnięte, gdy działania będą podejmowane wielotorowo, we wszyst-kich wskazanych obszarach. Osiągnięty dzięki temu efekt synergii pozwoli na sprawne funkcjonowanie organizacji odpornej na cyberzagrożenia.

Stosuj metody wywiadowczeZasadnicza zmiana, jaka nastąpiła w podejściu do ochrony tajemnic przedsiębiorstwa dotyczy spojrzenia, które coraz częściej koncentruje się na tym, co dzieje się poza przedsiębiorstwem. Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz. Hacktywizm, cyberkonflikty między narodami czy szpiegostwo przemysłowe na stałe wpisały się na listę tych zagrożeń. Mechanizmy obrony przed nimi powinny mieć charakter wyprzedzający i muszą funkcjonować niczym sprawny wywiad (threat intelligence) dostarczający informacji na czas. Informacje te są niezbędne, by móc uniknąć niepożądanych zdarzeń lub wręcz kształtować wydarzenia w cyberrzeczywisto-ści, a nierzadko i poza nią.

Właściwe podejście zakłada, że do skutecznego ataku może dojść z prawdopodobieństwem graniczącym z pewnością. Dlatego jednym z głównych filarów cyberodporności jest zbieranie i analiza informacji zarówno z wnętrza organizacji jak i spoza niej. Sprzyja temu organizowanie się w branżowe organizacje i dzielenie się wiedzą i doświadczeniem, zwłaszcza że koszt takiej inicjatywy jest stosunkowo niewielki.

Podstawowe informacje, które będą miały wartość dla naszej organizacji możemy uzyskać:

• Śledząc informacje pojawiające się na branżowych forach internetowych zawierające dane o zagrożeniach, które dotknęły organizacje podobne do naszej. Podobieństwo to dotyczy zarówno wymiaru technologicznego jak i profilu ryzyka.

• Poszukując aktywnie informacji o zagrożeniach w sieciach anonimowych (takich jak sieć TOR) będą-cych zwyczajową płaszczyzną komunikacji dla począt-kujących cyberprzestępców.

• Starannie obserwując własną infrastrukturę oraz gromadząc i korelując informacje o zdarzeniach bezpieczeństwa w infrastrukturze technologicznej.

Istniejące na rynku wyspecjalizowane firmy, gromadzące i analizujące informacje o zagrożeniach w cyberprze-strzeni, niejednokrotnie schodzą do tzw. podziemia, by jeszcze szybciej i skuteczniej informować swoich klientów o przygotowywanych na nich atakach. Popyt na tego typu usługi będzie rósł wraz ze zwiększającą się skalą i powagą zagrożeń.

Odpowiednio poinformowane organizacje będą w stanie z wyprzedzeniem zareagować na cyberatak np. usuwając nieznaną wcześniej lukę w swoich syste-mach IT lub czasowo zwiększając zasoby dostępne dla atakowanego serwisu.

Droga do odporności

Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz.


Zarządzaj incydentamiTradycyjny model zarządzania incydentami bezpieczeń-stwa informacji (oparty o monitorowanie zdarzeń, reakcję na incydent, analizę, wyciąganie wniosków i działanie) przestaje wystarczać. Zarówno skala jak i charakter niepożądanych zdarzeń coraz częściej przerastają możliwości ich obsługi przez zaatakowane podmioty.

W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%. Należy szukać odpowiedzi na pytanie jakie działania zostaną podjęte, gdy moja organizacja zostanie zaatakowana, a nie czy jest bezpieczna. Niezbędna jest proaktywna postawa, mająca na celu przygotowanie się na cyberatak. Czynności te mogą mieć charakter zarówno organiza-cyjny jak i techniczny:

• Analizuj starannie informacje uzyskane w ramach „białego wywiadu”. Poszukuj w nich sygnałów świad-czących o możliwym ataku lub przygotowaniach do niego.

• Zapewnij gotowość narzędzi do zbierania materiału mogącego stanowić dowód w postępowaniu; środ-ków komunikacji na wypadek uszkodzenia tych podstawowych; grupy ekspertów, którzy niezwłocznie podejmą działania eliminujące podatności wykorzy-stane przez atakujących.

• Prawidłowe reagowanie na powstałe lub powstające zagrożenia wymaga od osób na szczeblu zarządczym zrozumienia istoty tych negatywnych zdarzeń. Przedyskutuj z kluczowymi członkami kadry kierowni-czej potencjalny wpływ oraz metody reagowania na cyberzagrożenia.

Opracowanie założeń do modelu proaktywnego reago-wania na incydenty wymaga doskonałej znajomości procesów w organizacji, właściwych struktur i środków.

Są to elementy niezbędne do zbudowania efektywnego systemu odpornościowego przedsiębiorstwa. Funkcjonowanie w tradycyjnym modelu (monitorowanie - incydent - postępowanie - wnioski - działanie - monito-rowanie) z czasem przestanie być skuteczne i opłacalne.

Dbaj o świadomość swoich pracowników oraz stron trzecichW ocenie badanych organizacji z sektorów telekomuni-kacyjnego i finansowego, podnoszenie świadomości użytkowników jest na czołowym miejscu wśród inicja-tyw, mających na celu dbanie o bezpieczeństwo infor-macji w firmie. Dla 70% respondentów ze świata technologii, brak wiedzy z zakresu ochrony danych wśród personelu stanowi poważne zagrożenie. Jednak niecała połowa z nich organizuje dla swoich pracowni-ków szkolenia na ten temat, a wśród dużych organizacji tylko 8% uważa to za sprawę priorytetową.

Właściwe podejście do zarządzania cyberbezpieczeń-stwem wymaga spełnienia trzech warunków w obszarze budowania świadomości pracowników przedsiębiorstwa:

•Wymagany jest jasny i spójny system regulacji wewnętrznych dotyczących ochrony przed cyberzagro-żeniami. System, który będzie przystępny i dostępny dla pracowników, od których wymaga się przy zatrud-nieniu podpisania oświadczenia o zapoznaniu z wewnętrznymi przepisami. Warto, aby personel miał świadomość, gdzie znajdzie poszukiwane dokumenty i że są one aktualne oraz pozostające w mocy. Tę wiedzę najłatwiej przekazać za pomocą stron intranetowych.

•Organizacja, poprzez formę i treść swoich procedur i zasad, nie może zniechęcać pracowników do ich stosowania. Wśród personelu musi panować przeko-nanie, że regulacje pozostają w racjonalnym związku z tym, czego dotyczą.

•Właściwy przykład w stosowaniu wewnętrznych regulacji, płynący od samego kierownictwa. Należy dbać o to, aby promować postępowanie właściwe i w umiejętny sposób wskazywać i eliminować prze-jawy negatywnego postępowania.

W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%.



Obecne zagrożenia

Znane i rozumiałe

Znane, ale niezrozumiałe

Nieznane i niezrozumiałe

Nowo powstające zagrożenia

Przyszłe zagrożenia

Wykryw

anie i reagowanie

Zapobieganie

Utrata danych z powodu zaawansowanego ataku (użycie wielu technik i wektorów ataku jednocześnie)

Sankcje z powodu naruszeń dotyczących międzynarodowego przetwarzania i przepływu danych

Wdrożenie nowej technologii o znacznym stopniu złożoności

Sponsorowana przez państwo cyber wojnaUtrata danych z powodu

celowej działalności osoby wewnątrz organizacji

Utrata danych z powodu zastosowania metod socjotechnicznych

Utrata danych z powodu naruszenia bezpieczeństwa urządzeń mobilnych

Zakłocenie działalności operacyjnej jako skutek celowego działania osoby wewnątrz organizacji

Sponsorowane przez konkurencje celowe działania zorganizowanych grup przestępczych

Utrata reputacji poprzez podmianę treści na stronie internetowej

Zablokowanie dostępności kanału klienckiego

Utrata danych w wyniku wykorzystania podatności technicznych

Utrata reputacji marki poprzez media społecznościowe

Niski

Poziom obaw

Średni

Wysoki

Wykres 3. Radar cyberzagrożeń

Szkolenia i budowanie św

iadomości

Polityki i standardy Arc

hite

ktur

a i p

lany

Zarz

ądza

nie

ryzy

kiem

i zg

odno

ścią

Usługi kryptograficzne

Monitorowanie i ochrona danych

Zarządzanie tożsamością

Identyfikacja i klasyfikacja informacjiArchiwizacja i utylizacja danych

Zarządzanie rolami i uprawnieniami

Zape

wni

enie

inte

graln

ości

aplik

acji

Uwierzytelnienie klientów i pracowników

Dos

tęp

zdal

ny

Bezpieczny ro

zwój oprogramowania

Ochrona sieci

Ochron

a apli

kacji

Ochrona platform

Och

rona

prz

ed z

łosli

wym

opro

gram

owan

iem

Tworzenie profilu zachowania

pracowników/klientów

Ochrona markiIdent

yfika

cja za

groż

eńZa

rząd

zani

e pł

atno

ścia

mi

Monitorowanie zdarzeń bezpieczeństwa

Reagowanie na incydenty i

podtrzymywanie ciągłosci usług

Przygotowanie na cyber ataki

E-discovery i informatyka śledcza

Tworzenie profilu aktywności sieci i systemów

Tworzenie modeli zagrożeń

CyberSecurity

Wykres 4. Mapa dojrzałości cyberbezpieczeństwa

Wykryw

anieZ

apob

iega

nie

Och

rona

info

rmacj

i

Zarządzanie

bezpieczeństwem Zarządzanie

zagrożeniami

Analiza

zachowaniaKo

ntro

lado

stęp

u

aplikacji

Ochronaincyd

enta

mi

Zarzą

dzan

ie

infrastrukturyOchrona

Zarządzanie


Sposobem na realizację programów security awareness może być tzw. grywalizacja. Jest to metoda przekazywa-nia wiedzy, połączona z promocją określonych postaw przez gry i zabawy internetowe. Służyć ma głównie poszerzeniu i pogłębieniu zaangażowania użytkowników w sprawy niebędące ani grą, ani zabawą. Wiele firm już zdecydowało się zastosować tę technikę, nie tylko w ramach programów security awareness i dostrzegają one skuteczność tego typu rozwiązań w podnoszeniu gotowości do odpowiedzi na cyberzagrożenia. W dążeniu do zbudowania właściwego modelu zarzą-dzania bezpieczeństwem w miejscu pracy istotna jest rzeczowa wymiana argumentów, zrozumienie potrzeb przedsiębiorstwa i samych pracowników.

Bądź elastycznyW obliczu aktualnie obowiązujących trendów, którym ulegają firmy oraz zwykli użytkownicy sieci, niezbędne jest zweryfikowanie podejścia do zarządzania bezpie-czeństwem w organizacji. Polityki i zasady bezpieczeń-stwa mogą opierać się na zakazach i nakazach, ale bez związku z rzeczywistością pozostaną martwe i nie będą przestrzegane.

W procesie zarządzania bezpieczeństwem informacji niezbędna jest elastyczność, umiejętność dostosowania się oraz zdolność do przewidywania przyszłych trendów i zagrożeń w cyberprzestrzeni. Istotnym aspektem takiego podejścia jest stałe monitorowanie i pozyskiwanie informacji zarówno w ujęciu globalnym - czyli zdarzeń na rynku oraz arenie geopolitycznej, jak i lokalnym - czyli w ramach własnej organizacji i jej infrastruktury. Ocena sytuacji będzie pełna tylko wtedy, gdy z jednej strony skupi się na szczególe, a z drugiej umieści go w kontek-ście innych zebranych informacji. Osiągnięcie

omawianego stanu elastyczności w odpowiedzi na cyberzagrożenia będzie łatwiejsze w odpowiedniej strukturze zarządzania. Oto sugestie umożliwiające jej stworzenie:

•Powołaj zespół zarządczy (np. Komitet ds. Cyber-zagrożeń) odpowiadający za koordynację działań pomiędzy różnymi komórkami Twojej organizacji. Zapewnij obecność przedstawicieli kluczowych zespo-łów biznesowych, zespołów technologicznych oraz osób odpowiedzialnych za bezpieczeństwo, ale pamiętaj o zachowaniu elastyczności zespołu zarządczego.

•Zintegruj różne źródła informacji o zagrożeniach (analizy incydentów, „biały wywiad”, informacje od partnerów i kooperantów). Koreluj informacje z wielu źródeł i szukaj wskazówek. Analizuj wyniki wspólnie z przedstawicielami biznesu (np. w ramach Komitetu ds. Cyberzagrożeń).

•Analizuj istniejące projekty oraz strategie biznesowe. Połącz omawianą nową strukturę zarządzania z procesami zarządzania zmianą w organizacji tak, aby informacja o planowanych i toczących się inicjaty-wach płynnie docierała do członków Komitetu ds. Cyberzagrożeń pozwalając im na ocenę sposobu, w jaki wpłyną one na profil zagrożeń.

•Dbaj o aktywność i elastyczność powołanego zespołu zarządczego dostarczając sprawne narzędzia komunikacji oraz unikając nadmiernej formalizacji procesów w ramach zespołu. Nadrzędnym celem zespołu jest skuteczne działanie przed i w czasie sytuacji cyberzagrożenia.


Jednym z pierwszym zadań powołanego zespołu zarząd-czego powinna być analiza podstawowych założeń dotyczących obecności organizacji w sieci. W świetle przywołanych wcześniej danych opieranie się trendom (m.in. blokowanie dostępu do serwisów społecznościo-wych, wprowadzanie zakazu korzystania z prywatnych urządzeń w firmie, nieuzasadniony opór przed wirtuali-zacją czy big data) długofalowo może okazać się strate-gią nieprzynoszącą korzyści. Wspomniane trendy kierowane w umiejętny sposób, pozwalają obniżyć wydatki i stanowią doskonałe fundamenty do rozwoju biznesu. Idący za postępem technologicznym użytkow-nicy będą korzystać z tego, co jest dla nich łatwe i przystępne w użytkowaniu, niekoniecznie dzieląc się tą informacją z jednostkami odpowiedzialnymi za bezpie-czeństwo i infrastrukturę. Jest to przykład tzw. dzikiego IT w firmach, które nie nadążają za zmianami. Stąd ważne jest rozumienie potrzeb przedsiębiorstwa jako całości, i użytkowników sieci w szczególności oraz zaspokajanie ich oczekiwań w racjonalny sposób. W związku z powyższym ponowna ocena podstawo-wych założeń dotyczących zakresu oraz metod obecno-ści organizacji w sieci jest zasadna i może prowadzić do lepszego dopasowania metod ochrony do faktycznego profilu ryzyka.

Następnie, nowo powstały zespół zarządzania powinien skupić się na analizie dojrzałości poszczególnych proce-sów wpływających na gotowość organizacji do odpo-wiedzi na cyberzagrożenia. Podstawą do analizy dojrzałości może być podejście przedstawione na Wykresie 4. Ilustruje on obszary będące fundamentem skutecznych procesów zarządzania cyberzagrożeniami:

• Obszar zarządzania bezpieczeństwem skupiający się na zapewnieniu skutecznych ram dla zarządzania cyberzagrożeniami.

• Obszar wykrywania zagrożeń ukierunkowany na zarządzanie nimi, analizę zachowań oraz obsługę incydentów.

• Obszar zapobiegania, koncentrujący się na ochronie infrastruktury, aplikacji oraz informacji, a także kontroli dostępu do danych.

Łącząc informacje dotyczące profilu ryzyka organizacji, metod oraz zakresu obecnego i planowanego wykorzy-stania nowych technologii oraz aktualnej dojrzałości procesów zarządzania w obszarze cyberzagrożeń, organizacje będą w stanie utworzyć strategię postępo-wania, która zapewni pożądaną elastyczność oraz skuteczność.


Opisane w poprzednim rozdziale działania mogą stanowić szczególne wyzwanie dla organizacji chcącej je zaimple-mentować, niezależnie od jej skali i zasobności. Racjonalność ekonomiczna podejmowanych działań, a także ich efektywność będzie w znacznej części zależna od skutecznego poszukiwania partnerów do wspólnej realizacji omawianych działań. Partnerstwo to ma nastę-pujące wymiary:

• Relacja przedsiębiorstwo - przedsiębiorstwo, gdzie czynnikami skłaniającymi do współpracy będzie podobieństwo w wymiarze świadczonych usług lub produkowanych towarów (sektor gospodarki) lub podobny profil ryzyka (np. wynikający z wykorzystania zbliżonych technologii informatycznych).

• Relacja przedsiębiorstwo - państwo oparta przede wszystkim na skutecznej wymianie informacji o zagrożeniach oraz współpracy w ściganiu sprawców przestępstw.

• Relacja przedsiębiorstwo - organizacje pozarządowe (np. uczelnie, stowarzyszenia), gdzie zachętą do współpracy będzie konieczność pozyskania kompeten-cji oraz wymiany wiedzy.

Partnerstwo w sektorze prywatnymW świecie szybko zmieniających się zagrożeń kluczem do sukcesu staje się partnerstwo oraz kolektywne działanie organizacji działających w tym samym sektorze gospodarki lub posiadających zbliżony profil ryzyka. Konieczność współpracy w sektorze prywatnym wynika przede wszystkim z następujących czynników:

• Konieczność zapewnienia proaktywnej identyfikacji zagrożeń jest kosztowna. Samo pozyskanie kompeten-cji koniecznych do wykonywania cyklicznych badań bezpieczeństwa jest nietrywialne. Ponadto może się okazać, że dla znacznej części średnich przedsię-biorstw rzeczywisty okres zwrotu z inwestycji w tego typu funkcję w ramach zespołu bezpieczeństwa może przekraczać akceptowalny horyzont inwestycyjny.

• Przestępcy wykorzystujący cyberrzeczywistość stwo-rzyli sprawne płaszczyzny wymiany informacji pomię-dzy różnymi uczestnikami tej nielegalnej aktywności. Wielojęzyczne fora w sieciach anonimowych stały się skuteczną platformą handlu informacjami o nowych zagrożeniach, scenariuszach ataków, podatnościach, jak również miejscami obrotu kradzionymi informa-cjami oraz danymi autoryzującymi. Ataki, które zostały sprawdzone w jednej części sieci, firmie czy lokalizacji geograficznej niemal niezwłocznie są transferowane i implementowane w innych, podobnych miejscach, lokalizacjach i organizacjach.

•Większość organizacji, z którymi pracujemy, jest istotnie powiązana w elektronicznym łańcuchu dostaw ze swoimi podwykonawcami, klientami czy dostaw-cami. Oznacza to, że indywidualne działanie, niezależ-nie od jego wagi, nie będzie wiele warte, jeżeli inne organizacje uczestniczące w tym samym łańcuchu nie zechcą stosować podobnych zasad.

Gdzie więc szukać partnerów we wspólnym przeciw-działaniu cyberzagrożeniom? Część organizacji w Polsce znajduje się w komfortowej sytuacji, w której istnieją już sprawne platformy komunikacji pomiędzy uczestnikami poszczególnych sektorów gospodarki umożliwiające aktywną wymianę informacji o zagrożeniach. Przykładem tego typu platformy może być sektor telekomunikacyjny, zrzeszający w ramach Abuse Forum firmy telekomunikacyjne oraz technologiczne aktywnie wymieniające się informacjami o zagrożeniach. Podobnej roli możemy doszukiwać się w działaniach zespołów CERT4 - na przykład zespołu działającego w ramach Naukowej i Akademickiej Sieci Komputerowej. Dla sektora bankowego rolę platformy komunikacji starają się pełnić agendy Związku Banków Polskich, a także silne, bezpośrednie relacje pomiędzy kluczowymi pracownikami odpowiedzialnymi za bezpieczeństwo informacji w poszczególnych instytucjach.

Wszystkie powyżej wymienione działania stanowią dobrą platformę do rozwoju współpracy w zwalczaniu

Rola odpowiedzialnego partnerstwa

W świecie szybko zmieniających się zagrożeń kluczem do sukcesu staje się partnerstwo oraz kolektywne działanie organizacji działających w tym samym sektorze gospodarki lub posiadających zbliżony profil ryzyka.


zagrożeń. Należy jednak zauważyć, że działania podej-mowane w tych dwóch istotnych sektorach gospodarki są raczej wyjątkiem w świetle szerszego spojrzenia na działania podejmowane w wymiarze koordynacji ochrony przed cyberzagrożeniami w Polsce. Konieczne jest tworzenie nowych platform koordynacji oraz doskonalenie istniejących. Firmy z sektorów gospodarki dla których bezpieczeństwo jest kluczowe m.in. energe-tyka czy logistyka, podejmują jedynie ograniczone działania na płaszczyźnie współpracy pomiędzy poszcze-gólnymi spółkami w zwalczaniu cyberzagrożeń. Koncentrują się one przede wszystkim na relacji z nadzorcą i państwem oraz wdrażaniu zaleceń, a nie na współpracy z uczestnikami rynku. Niezależnie od oceny merytorycznej rekomendacji nadzorcy pań-stwowego, indywidualne działania koordynowane z innymi spółkami z tego samego sektora gospodarki lub posiadającymi podobny profil ryzyka powinny być podstawą skutecznego programu zwalczania cyberzagrożeń.

Dalsze działania indywidualne, niezależnie od sektora gospodarki, w którym funkcjonuje przedsiębiorstwo, powinny być skoncentrowane na poszukiwaniu okazji do kooperacji i wymiany wiedzy o zagrożeniach. Konferencje, bezpośrednie relacje, rozmowy z eksper-tami, wymiany personelu, szkolenia oraz nieprzerwana edukacja w obszarze ewoluujących ataków, będą stanowiły fundament współpracy, która jest kluczowa dla wspólnej odporności na cyberzagrożenia. Widzimy również przestrzeń do tworzenia sektorowych zespołów typu CERT lub CSIRT5, które, poza swoją tradycyjnie rozumianą rolą wsparcia w zarządzaniu incydentami, aktywnie propagowałyby wiedzę o zagrożeniach oraz metodach przeciwdziałania im, zarówno w wymiarze technicznym jak i zarządczym.

Partnerstwo publiczno - prywatne oraz rola państwaDo ustanawiania zespołów i procedur związanych z reagowaniem na incydenty zachęcają również regula-torzy polskiego rynku finansowego i telekomunikacyj-nego. Widać w tym obszarze dużą aktywność GIODO, UKE oraz KNF. Nowelizacje Ustawy o ochronie danych osobowych i Prawa telekomunikacyjnego, czy też aktualizacja przez KNF Rekomendacji D i M to kroki w dobrym kierunku. Rządowy Program Ochrony Cyberprzestrzeni na lata 2011-2016 oraz Polityka Ochrony Cyberprzestrzeni zakłada, że do osiągnięcia celu - jakim jest ciągłe bezpieczeństwo RP w cyberprze-strzeni, niezbędne jest utworzenie ram o charakterze organizacyjno-prawnym, technologicznym i edukacyj-nym, które obejmą swoim zakresem administrację publiczną, przedsiębiorców i użytkowników sieci w Polsce. W ocenie autorów programu niezbędne są zmiany legislacyjne, których celem jest stworzenie lepszych warunków do współpracy pomiędzy admini-stracją publiczną, a sektorem prywatnym.

W planowaniu kształtu przyszłych przepisów, nie tylko związanych z ochroną cyberprzestrzeni, należy uwzględ-nić również czynniki związane ze skutecznością ścigania sprawców przestępstw w cyberprzestrzeni.

Ciekawe wnioski przynosi analiza przeprowadzona na zlecenie Ministerstwa Obrony Wielkiej Brytanii6. Wskazuje ona, że racjonalnym rozwiązaniem może być ograniczenie nakładów na tradycyjne metody ochrony, takie jak systemy antywirusowe czy zapory sieciowe oraz przeznaczenie zaoszczędzonych w ten sposób środków na skuteczne identyfikowanie i karanie przestępców zaangażowanych w cyberzagrożenia. To właśnie brak świadomości zagrożenia karą, a także możliwość łatwego zatarcia śladów w świetle ograniczonej współ-pracy między organami ścigania oraz państwami stano-wią najistotniejsze, poza korzyściami materialnymi, zachęty do działalności cyberprzestępców.


Dyskusja na temat zagrożeń w sieci odbywa się także w ramach Światowego Forum Gospodarczego. W raporcie wydanym wspólnie z Deloitte7, autorzy zwracają uwagę na wiele kwestii dotyczących potrzeby zastosowania nowego podejścia do bezpieczeństwa w cyberprzestrzeni. W szczególności zalecają:

• stosowanie bardziej elastycznych rozwiązań technicz-nych i organizacyjnych, których istotą jest gromadze-nie i analiza informacji oraz dzielenie się nimi,

• zasadniczą zmianę w spostrzeganiu mechanizmów obronnych z typowo wykrywająco - zapobiegających na reagująco - informujące,

• jeszcze bliższą współpracę organizacji z sektora prywatnego i publicznego,

• konieczność budowania w świadomości organizacji, jej pracowników i współpracowników obrazu współ-zależności i współodpowiedzialności za bezpieczeń-stwo w cyberprzestrzeni.

Partnerstwo publiczno - prywatne musi mieć charakter zarówno długofalowy, strategiczny i operacyjny. To jedyny sposób na osiągnięcie celów pozwalających zaspokoić potrzeby państwa i przedsiębiorców prywatnych.

Racjonalnym rozwiązaniem może być ograniczenie nakładów na tradycyjne metody ochrony, takie jak systemy antywirusowe czy zapory sieciowe oraz przeznaczenie zaoszczędzonych w ten sposób środków na skuteczne identyfikowanie i karanie przestępców zaangażowanych w cyberzagrożenia.


Skuteczna odpowiedź na nowe lub rozwijające się zagrożenia związane z działaniem w cyberrzeczywistości wymaga zastosowania nowego podejścia. Poniżej prezentujemy kluczowe zalecenia, które mogą stać się fundamentem dalszych działań każdej organizacji w celu zapewnienia jej bezpieczeństwa w świecie zmieniających

się cyberzagrożeń. Ich staranna implementacja pozwoli organizacjom, niezależnie od sektora w którym działają, lepiej rozumieć zmiany technologiczne oraz ryzyka z nimi związane, a także przygotować się na zdarzenia, z którymi do tej pory nie musiały się świadomie zmierzyć.

5 zasad bezpieczeństwa

1. Określ apetyt na ryzyko, a także profil zagrożeń z którymi mierzy się Twoja organizacja.

• Skuteczna ochrona jest możliwa wtedy, gdy w pełni rozumiemy wartość naszych zasobów. Przeanalizuj, które spośród zasobów organizacji są najistotniejsze i które z nich będą najistotniejsze w przyszłości.

• Zastanów się, w jaki sposób aktywność organizacji, jej personelu i stron trzecich wpływa na bezpieczeństwo i wizerunek. Czy masz kontrolę nad tym, co dzieje się w sieci i dotyka Twojej organizacji?

• Odpowiedz na pytanie – jak bardzo bezpieczni chcemy być? Czy chcemy chronić wszystkie zasoby czy tylko wybrane? Przez jaki czas?

2. Dopasuj strategię postępowania do strategicznych celów biznesowych oraz nadchodzących zmian.

• Przeanalizuj i przedyskutuj ze współpracownikami, gdzie Twoja organizacja będzie w ciągu najbliższych lat i w jaki sposób technologia będzie wspierała osiągnięcie tego celu.

•Zastanów się, w jaki sposób cyberbezpieczeństwo może wesprzeć osiągnięcie założonych celów oraz jakie ryzyka są związane z planowanymi zmianami.

• Zidentyfikuj te obszary działań strategicznych, które w przyszłości mogą wiązać się ze zmianą profilu zagrożeń dla Twojej organizacji i już teraz przygotuj się na odpowiedź.

3. Przygotuj się do nie-zwłocznej reakcji na zdarzenia.

• Zidentyfikuj i zsynchronizuj techniczne i organizacyjne mechanizmy reakcji na incydenty (nie tylko związane z bezpieczeństwem) w organizacji.

• Powołaj osobę lub zespół odpowiedzialne za zarządzanie przygotowaniem do cyberzagrożenia. • Zapewnij mechanizmy reakcji na incydenty dopasowane do Twoich oczekiwań biznesowych przy założeniu,

że incydent wydarzy się w najmniej pożądanym momencie.

4. Współdziałaj z partne-rami z sektora oraz spoza niego.

• Odszukaj partnerów w Twoim sektorze gospodarki i poza nim. Identyfikuj firmy o podobnym profilu zagrożeń, korzystających z podobnej technologii lub w oparciu o podobny model biznesowy.

• Szukaj płaszczyzn komunikacji zarówno na poziomie zarządczym jak i eksperckim. Buduj sieć kontaktów i nie obawiaj się bezpośredniej rozmowy o Twoich problemach w obszarze bezpieczeństwa informacji. Dotykają one w podobnym stopniu inne firmy.

• Nawiązuj i utrzymuj relacje z organizacjami państwowymi odpowiedzialnymi za monitorowanie i zapewnienie bezpieczeństwa. Utrzymuj i dbaj o aktualną sieć kontaktów.

• Aktywnie dziel się informacjami na temat zidentyfikowanych zagrożeń. Bądź liderem w tym obszarze.• Szukaj możliwości obniżenia kosztów zapewnienia cyberbezpieczeństwa przez kooperację z innymi podmiotami.

5. Edukuj, ćwicz i dbaj o aktualność wiedzy.

• Dbaj o świadomość swoich współpracowników i stron trzecich. • Aktualizuj i dystrybuuj wiedzę.• Mierz skuteczność stosowanych rozwiązań i ciągle je doskonal. • Ćwicz reakcję na incydenty i przyglądaj się doświadczeniom innych.


Jakub BojanowskiPartnerDział Zarządzania Ryzykieme-mail: [email protected] tel.: +48 (22) 511 09 53

Cezary Piekarski Starszy Menedżer Dział Zarządzania Ryzykieme-mail: [email protected] tel.: +48 (22) 511 02 52

Sylwia JackowskaMenedżer ds. komunikacji i rozwoju biznesuDział Zarządzania Ryzykieme-mail: [email protected].: +48 (22) 511 05 25

www.deloitte.com/pl/cyber


Kontakt

1. “ORGANISED CRIME IN THE DIGITAL AGE”; BAE Systems Detica oraz John Grieve Centre for Policing and Community Safety; 2012

2. 2013 TMT Global Security Study: Blurring the lines; Deloitte

3. Badania Deloitte GFSI Security Survey oraz TMT Security Survey; 2010-2012

4. Computer Emergency Response Team

5. Computer Security Incident Response Team

6. Measuring the Cost of Cybercrime; R. Anderson oraz inni autorzy; 2012

7. http://www.weforum.org/reports/risk-and-responsibility-hyperconnected-world-pathways-global-cyber-resilience

Przypisy



Deloitte świadczy usługi audytorskie, konsultingowe, doradztwa podatkowego i finansowego klientom z sektora publicznego oraz

prywatnego, działającym w różnych branżach. Dzięki globalnej sieci firm członkowskich obejmującej 150 krajów oferujemy najwyższej klasy

umiejętności, doświadczenie i wiedzę w połączeniu ze znajomością lokalnego rynku. Pomagamy klientom odnieść sukces niezależnie od

miejsca i branży, w jakiej działają. 200 000 pracowników Deloitte na świecie realizuje misję firmy: stanowić standard najwyższej jakości.

Specjalistów Deloitte łączy kultura współpracy oparta na zawodowej rzetelności i uczciwości, maksymalnej wartości dla klientów, lojalnym

współdziałaniu i sile, którą czerpią z różnorodności. Deloitte to środowisko sprzyjające ciągłemu pogłębianiu wiedzy, zdobywaniu nowych

doświadczeń oraz rozwojowi zawodowemu. Eksperci Deloitte z zaangażowaniem współtworzą społeczną odpowiedzialność biznesu,

podejmując inicjatywy na rzecz budowania zaufania publicznego i wspierania lokalnych społeczności.

Nazwa Deloitte odnosi się do jednej lub kilku jednostek Deloitte Touche Tohmatsu Limited, prywatnego podmiotu prawa brytyjskiego

z ograniczoną odpowiedzialnością i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury

prawnej Deloitte Touche Tohmatsu Limited oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas

© 2013 Deloitte Polska. Member of Deloitte Touche Tohmatsu Limited

www.deloitte.com/pl/cyber

Cyberodporność w świecie ewoluujących zagrożeń Nowe ... · oraz czerpanie wiedzy z doświadczeń innych organizacji. ... antywirusowe, zapory sieciowe czy aktywne i pasywne

Documents