W tym artykule omówimy najczęściej występujące mity, głównie wśród kadry zarządzającej, które powodują fałszywe poczucie bezpieczeństwa.
- Mamy program antywirusowy, więc jesteśmy bezpieczni.
Program antywirusowy:
- Musi być zainstalowany na każdej stacji roboczej. Wydaje się to oczywiste, jednak w rzeczywistości wcale takie nie jest. Program antywirusowy działa w tle i nie widać jego aktywności w codziennej pracy, póki nie wykryje czegoś niepokojącego. Jak nic nie się nie zgłasza to wygląda, że jest dobrze, więc jego brak łatwo przegapić. Mając w organizacji sieć składającą się z kilku, kilkudziesięciu komputerów co jakiś czas dokonujemy zmian (wymiany komputera, reinstalacji systemów, itp.) i wtedy nierzadko się zdarza, że zapomina się o zainstalowaniu programu antywirusowego. Czasami dokładamy dodatkowe stacje robocze i zabraknie już licencji na kolejny program antywirusowy. W efekcie mamy stacje niechronione, które potencjalnie mogą być źródłem infekcji całej sieci.
- Musi być uruchomiony. Kolejny truizm, a po raz kolejny rzeczywistość pokazuje, że jednak nie. Czasami się zdarza, że program antywirusowy nam wyrzuca niezrozumiałe komunikaty lub blokuje uruchomienie potrzebny nam program. Wtedy, na szybko, wyłączamy antywirusa, żeby zaradzić problemowi tu i teraz. Potem już zapominamy go włączyć i stacja zostaje niechroniona. Efekt jak w punkcie wyżej.
- Musi być aktualny. Programy takie same się aktualizują w sposób automatyczny i niby nie ma problemu. Jednak jest sporo przypadków kiedy coś pójdzie nie tak i aktualizacja się nie udaje. Jak nie wiemy o takiej sytuacji, to tak już zostanie na dłużej.
- Działa na zasadzie porównywania sygnatur. Tzn. musi mieć w swojej bazie sygnaturę wirusa (znać go), żeby go rozpoznać i właściwie zadziałać. Jeżeli nie ma takiej sygnatury to nie zadziała. Czyli najpierw pojawia się nowy wirus i się rozprzestrzenia, a potem dopiero pojawia się na niego szczepionka, czyli sygnatura w bazie wirusów. Na część najnowszych wirusów antywirus może nie zadziałać.
- Niektóre, bardziej zaawansowane wirusy potrafią wyłączyć lub obejść zabezpieczenia antywirusa. Wtedy też jesteśmy bezbronni.
Podsumowanie.
Program antywirusowy warto mieć na każdej stacji roboczej z możliwością centralnego zarządzania (wtedy mamy kontrolę nad aktywnością i aktualizacjami systemu antywirusowego), jednak jako jeden z elementów systemu bezpieczeństwa, a nie jedyne zabezpieczenie.
- Nie mamy nic wartościowego dla przestępców więc jesteśmy bezpieczni.
Są dwa typy celów dla cyberprzestępców: wartościowe i łatwe. Łatwe, to takie gdzie niskim kosztem można włamać się do systemu. Powszechną metodą jest próbowanie (w ciemno) wysłania wiadomości ze złośliwym załącznikiem lub linkiem, testowanie zabezpieczeń lub włamywanie się przez znane podatności (dziury w oprogramowaniu lub konfiguracji). Na ogół robią to automaty (boty) w milionowych (miliardowych) ilościach, więc jednostkowy koszt takiego ataku jest bardzo niski. Jeżeli gdzieś się już uda dostać, to przechodzą do kolejnego etapu np. wpuszczenie ransomware, który zaszyfruje całą sieć i będzie okazja wymuszenia okupu.
Często też, takie słabo zabezpieczone systemy, są wykorzystywane jako narzędzia (boty) do innych przestępstw lub wykorzystywane do kopania kryptowalut. Wtedy konsekwencjami może być wizyta przedstawicieli służb (posądzenie o udział w przestępstwie) lub spadek wydajności komputerów i astronomiczne rachunki za prąd.
Podsumowanie.
Niezależnie czym się zajmujesz, jak małą organizacją i w jakim miejscu na świecie jesteś, jeżeli jesteś łatwym celem, to najprawdopodobniej przestępcy wcześniej czy później do ciebie trafią i już znajdą sposób żeby to wykorzystać.
- Kupiliśmy dokumentację wymaganą przepisami (np. RODO, NIS2) to mamy sprawę załatwioną.
Cześć zarządzających koncentruje się głównie na formalnym spełnieniu wymogów narzucanych przez przepisy. W swojej praktyce nie raz spotkaliśmy się ze stwierdzeniami, że analizę ryzyka lub stosowne procedury już kupili. Problem w tym, że trudno było znaleźć osobę w organizacji, która by wiedziała o co chodzi w tej kupionej dokumentacji, a czasami nawet był problem z ustaleniem gdzie ona w ogóle się znajduje. Oczywistym jest, że cyberprzestępcy niezbyt (mówiąc oględnie) zwracają uwagę na naszą dokumentacją (jakąkolwiek) i przed niczym realnie nas ona nie chroni. Mniej oczywiste, że kontrolujący, np. z UODO, też bardzo szybko orientują się, że przedstawiona dokumentacja ma się nijak do rzeczywistości. Lektura uzasadnień do kar nakładanych przez UODO, jednoznacznie wskazuje, że takie sytuacje są wyłapywane i ma to przełożenie na wysokość kary. Kary takie, naliczane są jako odsetek od przychodów (nie zysków) za poprzedni rok kalendarzowy i często są bardzo dotkliwe (liczone w mln.)
Podsumowanie.
Dokumentacja odnośnie bezpieczeństwa jest potrzebna i ma bardzo duży sens, ale jako efekt rzetelnie przeprowadzonej analizy przedsiębiorstwa, na podstawie jego aktywów informatycznych, procesów, sposobu działania i priorytetów biznesowych.
- Cyberbezpieczeństwo to wyłącznie sprawa informatyka
Budowanie odporności to jest ciągły proces obejmujący praktycznie całą organizację. Nie można tego dobrze zrobić bez zaangażowania całego personelu, a w szczególności kadry zarządzającej. Proces budowania odporności powinien zacząć się od inwentaryzacji wszystkich aktywów (tu udział informatyków jest potrzebny ale nie tylko ich), przeprowadzenia rzetelnej analizy ryzyka z której wynika plan działań (tutaj aktywny udział, wręcz przewodnictwo, decydentów jest nieodzowna). Taki plan trzeba następnie wdrożyć (są tam, na ogół, zadania techniczne, organizacyjne i proceduralne) do którego potrzebny jest znacznie szerszy zespół osób odpowiedzialnych (nie tylko zespół IT) za poszczególne elementy. Trzeba sprawdzać stan realizacji i czy osiągnięto założone efekty (niewskazane jest żeby osoby kontrolowały same siebie). Wprowadzane zmiany techniczne i organizacyjne winny być zrozumiałe przez cały personel, co jest często warunkiem koniecznym, żeby wszyscy współpracowali, a nie sabotowali. Tutaj rola osób zarządzających znów jest nie do przecenienia.
Podsumowanie.
Budowanie cyberodporności organizacji to nie jest tylko sprawa informatyków, to nawet nie jest głównie sprawa informatyków. To głównie sprawa zarządzających. Informatycy muszą uczestniczyć w tym procesie ale nie jako jedyni i to raczej nie oni powinni kierować tym procesem.
- Już kupowaliśmy jakieś zabezpieczenia więc na dłuższy czas mamy temat z głowy.
Niestety, dość powszechne jest podejście tzw. punkowego inwestowania w bezpieczeństwo. Informatykom uda się namówić decydentów na zakup 1 lub 2 systemów (urządzeń) poprawiających bezpieczeństwo. Czasami przeznaczane są na to dość spore pieniądze, a potem przegląd całości pokazuje, że wstawiliśmy bardzo solidną i nowoczesną bramę do rozwalającego się płotu. Atakujący wyszukują słabych stron żeby tam atakować i postawienie solidnej zapory tylko w jednym miejscu, gdzie inne obszary są mocno zaniedbane jest słabym pomysłem. Często dużo efektywniej takie pieniądze (czasem nawet mniejsze) przeznaczyć na kilka-kilkanaście mniej spektakularnych kroków ale zrobionych z planem i rozmysłem.
Podsumowanie.
Budowanie odporności organizacji najlepiej zaczynać od analizy ryzyka, która opisuje całość organizacji, pokazuje priorytety i pozwala zaplanować poszczególne działania w czasie i budżecie. Konieczne jest monitorowanie efektów wprowadzanych zmian i korygowanie zabezpieczeń. Jest proces ciągły który nigdy się nie kończy i wymaga ciągłej uwagi.
