Jeszcze 10 lat temu głównym problemem w firmach było pirackie oprogramowanie, a o cyberprzestępczości czytało się tylko w książkach. W ostatnich latach zmieniło się postrzeganie tego, co jest w organizacji ważne. Jednocześnie przybywa ataków, bo coraz więcej urządzeń „podpiętych” jest do Internetu. Rozwój technologiczny przynosi nam wiele udogodnień i ułatwień. Musimy jednak mieć świadomość, że wraz z nim otrzymujemy pakiet zupełnie nowych zagrożeń z którymi będziemy musieli sobie poradzić – mówi Przemysław Szczurek, Product Manager ds. bezpieczeństwa informacji TÜV NORD Polska.
Na cyberataki narażona jest każda organizacja, która przetwarza informacje, stanowiące wartość dla potencjalnych przestępców. Występują tam, gdzie kradzież informacji jest szczególnie intratna, lub tam, gdzie następstwa ich ujawnienia mogą być kosztowne. Informacja o ataku w 2010 r. na instalacje atomowe w Iranie, czy też w 2015 r. na system energetyczny Ukrainy, w wyniku czego ponad milion odbiorców w obwodzie Iwano-Frankowskim zostało na pewien czas pozbawionych prądu, bardzo szybko przedostały się do opinii publicznej. Równie niebezpieczna jest kradzież danych wrażliwych w celu szantażowania firmy lub ich sprzedaży. Tak było np. w przypadku Plus Banku, z którego skradziono dane klientów a następnie udostępniono w sieci Tor.
Pytanie, które należy zadać brzmi – co firmy robią i mogą zrobić dla zabezpieczenia przed takimi sytuacjami? Istotna w tym obszarze jest ustawa o Krajowym Systemie Cyberbezpieczeństwa. Nakłada ona na operatorów usług kluczowych obowiązek ich zabezpieczenia. Objęte są nią organizacje działające m.in. w sektorze energetycznym, ochrony zdrowia, bankowości, transporcie, wodociągach, telekomunikacji i administracji publicznej. Jej istotą jest zapewnienie ciągłości świadczenia usługi kluczowej. Wyobraźmy sobie ile jesteśmy dziś w stanie funkcjonować bez prądu? Po ile dniach zapanuje anarchia?
Głównym standardem mogącym zabezpieczyć informacje jest norma 27001. Chodzi tutaj o świadome podejście do tego obszaru i jego systematyzacja. ISO 27001 to standard przeznaczony dla dowolnego rodzaju organizacji: od kilkuosobowej firmy do dużego holdingu, który ma swoje przedstawicielstwa na całym świecie. Branża nie ma tu także znaczenia. Norma i wymagania przez nią stawiane są uniwersalne – podkreśla Przemysław Szczurek. Fundament na którym się opiera to ocena ryzyka. Najpierw sprawdza się, jakie aktywa informacyjne są przetwarzane i w jakich obszarach. Bezpieczeństwo informacji analizuje się pod kątem: poufności, integralności, dostępności. Trzeba się dowiedzieć, co się stanie w razie ataku, jakie spowoduje on straty i ile będzie kosztować ewentualne zabezpieczenie. Podczas audytu sprawdza się czy firma zarządza informacją zgodnie z wymaganiami zawartymi w normie. Tym standardem najpierw zainteresowały się duże firmy, a potem ich dostawcy, ponieważ norma nakazuje, by informacja im przekazywana była nadal bezpieczna. W sumie w Polsce certyfikowanych jest około 800 podmiotów.
Informacja zawsze wycieka kanałem, który jest najsłabiej zabezpieczony. Zazwyczaj najsłabszym ogniwem okazuje się czynnik ludzki. Stąd wiele cyberataków odbywa się za pomocą socjotechniki skłaniającej do oczekiwanego przez przestępców zachowania, np. kliknięcia w link, co spowoduje zainstalowanie w komputerze złośliwego oprogramowania.
W przypadku dużych organizacji, zatrudniających dziesiątki tysięcy pracowników, nie jesteśmy w stanie sprawdzić wszystkiego i wszystkich. Posługujemy się próbką. Co ważne, weryfikujemy nie tylko „procedury na papierze”, ale także ludzi. Standard musi działać i my musimy być do tego przekonani w stu procentach. Certyfikat ważny jest przez trzy lata, z tym że co roku następuje weryfikacja czy system działa sprawnie.
Cyberataki na poszczególne systemy mogą mieć różne kategorie konsekwencji. Dlatego nie zawsze konieczne jest, aby wszystkie systemy były zabezpieczone w taki sam sposób. Poszczególne komponenty wchodzące w skład systemów OT powinny być zabezpieczone tak, aby bezpieczeństwo ich pracy było na poziomie akceptowalnym. Wpływ cyberataków na poszczególne komponenty systemów może mieć różne skutki oraz prawdopodobieństwa zależne od rodzaju urządzenia oraz poziomu zaimplementowanych zabezpieczeń. W tym zakresie pomocne jest przeprowadzenie analizy z wykorzystaniem metodyki S-HAZOP. Rekomendacje dotyczące zabezpieczeń poszczególnych komponentów są powiązane bezpośrednio z ryzykiem, a plany zabezpieczeń opracowane są indywidulanie dla poszczególnych komponentów i są ukierunkowane na redukcję ryzyka. Narzędzie pozwala również zdefiniować działania naprawcze, które należy wykonać w celu podniesienia poziomu bezpieczeństwa. S-HAZOP pozwala określić, w jaki sposób cyberataki mogą wpływać na bezpieczeństwo procesu i w jaki sposób incydenty bezpieczeństwa mogą wpływać na parametry procesu i doprowadzić do poważnych awarii przemysłowych.
Według badań Gartnera do 2022 roku w przeciętnym gospodarstwie domowym będzie około 500 urządzeń podpiętych do sieci, nie tylko tablety i smartfony, ale także lodówki, odkurzacze, oczyszczacze powietrza, a nawet poszczególne żarówki i gniazdka. Ta tendencja wzrostowa ma również odniesienie do środowiska biznesu. Rozwój technologiczny przynosi nam wiele udogodnień i ułatwień. Musimy jednak mieć świadomość, że wraz z nim otrzymujemy pakiet zupełnie nowych zagrożeń z którymi będziemy musieli sobie poradzić.
autor: Przemysław Szczurek
Źródło: TÜV NORD Polska Sp. z o.o.