Według ankiety przeprowadzonej w 2020 roku przez firmę Sophos, zajmującą się bezpieczeństwem informacji, 51% firm padło ofiarą ataków na dane w 2019 roku, a 73% danych firmy zostało zaszyfrowanych przez hakerów i groziły im dalsze wymuszenia. W ostatnich latach wzrosły zagrożenia związane z bezpieczeństwem informacji. Oprócz ciągłego wprowadzania nowego oprogramowania ransomware, hakerzy wykorzystywali również strony phishingowe i łamanie słabych haseł atakiem typu “brute force” w celu uzyskania cennych informacji.
Nagłe incydenty związane z bezpieczeństwem informacji zawsze zaskakują ludzi. Koncepcja zapobiegania bezpieczeństwu informacji powinna być jak walka z chorobą. Lepiej jest zapobiegać niż leczyć. Odpowiednie środki należy podjąć zanim wydarzy się coś złego. W porównaniu do danych osobowych, dane firmowe mogą zawierać dużo cenniejsze informacje handlowe. Wyobraź sobie, że jesteś administratorem MIS w korporacji, a zadaniem przydzielonym Ci przez przełożonego jest sprawdzenie, czy struktura bezpieczeństwa informacji jest wystarczająco stabilna. Od czego powinieneś zacząć?
Synology sugeruje, że firmy mogą wykonać pięć kroków: „identyfikacja”, „ochrona”, „wykrywanie”, „odpowiedź” i „odzyskiwanie” zgodnie z NIST’s Cybersecurity Framework (CSF), aby zapewnić bezpieczeństwo danych firmowych.
Pierwszy krok: Identyfikacja: zapewnienie kluczowego wyposażenia organizacji, przeprowadzenie oceny ryzyka i stworzenie strategii
Pierwszy krok „Identyfikacja” określa, czy firma posiada wystarczającą wiedzę na temat wewnętrznych zasobów organizacji, aby móc określić zakres incydentu i zająć się nim natychmiast po jego wystąpieniu. Chodzi o to, aby wiedzieć w pierwszej kolejności „Czy zostałeś zaatakowany?” i „W jakim stopniu jesteś dotknięty?”
Na przykład, jeśli dzisiaj w wiadomościach pojawi się informacja o oprogramowaniu ransomware ukierunkowanym na dany serwer lub pewien producent miał problem z określonym układem wyprodukowanym w tym roku, to pierwsze pytanie szefa musi brzmieć: „Czy nas to dotknęło?” Jeśli konto aktywów firmy jest w tej chwili nieznane, to trudno będzie podjąć pierwsze właściwe decyzje.
W związku z tym dział IT zwykle musi przeprowadzić kompleksową inwentaryzację zasobów wewnętrznych, w tym serwerów, komputerów, maszyn wirtualnych itp., na których znajdują się różne usługi, a także urządzeń używanych przez pracowników, takich jak komputery, telefony komórkowe itp. Oprócz aktywów fizycznych dział IT musi również opanować metody komunikacji wewnątrz organizacji i przepływu danych, a także faktycznie policzyć, z jakich usług zewnętrznych, takich jak Gmail lub AWS itp. będą korzystać, aby upewnić się, czy usługi używane przez te firmy niosą potencjalne ryzyko .
Po przeprowadzeniu inwentaryzacji będziesz wiedział, jakie aktywa i usługi posiada firma, a następnie możesz przejść do wstępnej oceny ryzyka i opracowania odpowiedniego planu reakcji. Na przykład przedsiębiorstwo będzie miało wiele kluczowych systemów, takich jak ERP, CRM, system płacowy itp. Usługi te są klasyfikowane według ich krytyczności. Czynniki, które należy wziąć pod uwagę, obejmują dostępność usług, częstotliwość użytkowania, które systemy są bardziej opanowane i łatwość użytkowania, częstotliwość konserwacji, itp. Oceń kompleksowo te czynniki, aby określić priorytet naprawy i metodę naprawy w przypadku napotkania problemów.
Krok 2: Ochrona: Zaplanuj i wdroż strukturę ochrony
W drugim kroku „Ochrona” należy zaplanować i wdrożyć strukturę ochrony przedsiębiorstwa. Oprócz ustalenia podstawowych ustawień bezpieczeństwa sieci, takich jak podział sieci lokalnej na podsieci, wirtualna sieć lokalna i ustawienia zapory, pierwsza koncepcja to: Zbudowanie wewnętrznej kontroli uprawnień za pomocą koncepcji “Zero Zaufania”.
“Zero Zaufania” to koncepcja, którą branża ogólnie popiera. Nie będzie zakładać, że użytkownik jest godny zaufania i ma nadane odpowiednie uprawnienia, ale będzie przeprowadzać ciągłą weryfikację i przegląd zgodnie z najwyższymi standardami. Zaleca się, aby firmy wzmocniły swoje mechanizmy uwierzytelniania tożsamości i kontrolowały uprawnienia do kont w celu zapewnienia bezpieczeństwa strukturalnego, szczególnie w przypadku zarządzania kontami z wysokimi uprawnieniami.
Ponadto, zgodnie z pierwszą dziesiątką iThome 2019, jeśli chodzi o zagrożenia związane z bezpieczeństwem informacji w korporacji, na szczycie rankingu znajdują się zaniedbania pracowników i brak świadomości dotyczący bezpieczeństwa informacji (57,1%). Tworząc mechanizm ochrony przedsiębiorstwa, konieczne jest również ciągłe podnoszenie świadomości pracowników w zakresie bezpieczeństwa informacji, w tym złośliwych wiadomości phishingowych, a także reklam internetowych, nielegalnych stron internetowych i innych zagrożeń.
Trzeci krok: Wykrywanie: regularnie aktualizuj system, oprogramowanie antywirusowe i sprawdzaj status ruchu wszystkich usług
Trzeci krok to „Wykrywanie”. Firma powinna regularnie zwracać uwagę na to, czy system, przeglądarka i inne powszechnie używane programy są aktualizowane do najnowszej wersji, a także naprawiać znane słabości, aby uzyskać pełną ochronę. Jednocześnie powinna monitorować stan ruchu wszystkich usług i wykorzystywać oprogramowanie antywirusowe oraz inne narzędzia bezpieczeństwa do wykrywania i zwalczania złośliwych zagrożeń w czasie rzeczywistym oraz wzmocnić ochronę bezpieczeństwa. Ponadto, obejmuje również to, czy ryzyko można wykryć natychmiast po wystąpieniu incydentu związanego z bezpieczeństwem informacji. Weźmy za przykład ważne logi audytu w firmie. To, czy te dzienniki są normalnie kontrolowane, kto zostanie powiadomiony w przypadku nieporządanych logowań lub problemów z bezpieczeństwem informacji oraz sposobu powiadamiania, należy ustalić z wyprzedzeniem, aby zapewnić, że incydenty związane z bezpieczeństwem informacji będą zgłaszane, a ktoś kto to zauważy, będzie wiedział, jak sobie z tym poradzić.
Krok 4: Odpowiedź: Sprawne wewnętrzne i zewnętrzne kanały komunikacji oraz plany awaryjne
W celu zapewnienia odpowiedniego postępowania natychmiast po wystąpieniu zdarzenia, konieczne jest zapewnienie listy kontaktów powiązanych producentów, takich jak dostawcy sprzętu do przechowywania danych, dostawcy oprogramowania antywirusowego, firmy PR lub radców prawnych, itp. Kontynuując fundament pierwszego etapu „inwentaryzacji”, firmy mogą z wyprzedzeniem ustalić kanały komunikacji z dostawcami, aby potwierdzić jak najkrótszy czas wsparcia w przypadku wystąpienia incydentu. Jeśli incydent nas dotyczy, możemy przedyskutować z nimu w pierwszej kolejności, jak to naprawić lub znaleźć sposób, aby to załagodzić sytuację.
Dodatkowo bardzo ważne jest to, czy komunikacja wewnątrz organizacji przebiega płynnie i czy istnieje proces przygotowania odpowiedzi z wyprzedzeniem. W chwili, gdy dochodzi do incydentu związanego z bezpieczeństwem informacji, większość firm działa w pośpiechu. Dlatego zwykle muszą zaplanować, jak zespół informacyjny określi powagę incydentu, w jak najkrótszym czasie i przystąpić do naprawy oraz jak przedsiębiorstwo powinno utworzyć tymczasową jednostkę decyzyjną, która będzie zaangażowana we współpracę międzywydziałową, lub które szczeble zarządzania powinny być zaangarzowane oraz jakie jakie działania powinni podejmować menadżerowie najwyższego szczebla.
Krok 5: Odzyskiwanie: Ciągle ulepszaj proces planowania
Piąty krok „Odzyskiwanie”, oprócz kontynuacji poprzedniego kroku, planu odzyskiwania i naprawy w momencie wystąpienia incydentu, obejmuje również “przegląd pomeczowy”. Kiedy firma wprowadza z góry ustalony plan reakcji, ważne jest, aby zwrócić uwagę na ustalenie wskaźnika osiągnięcia celu i sprawdzić, czy ustawienie procesu jest zbyt idealne i trudne do wdrożenia, stale ulepszać proces planowania i zapewnić aktualizację dla personelu. Ponadto zaleca się również, aby firmy ciągle zwracały uwagę na najnowsze trendy w zakresie bezpieczeństwa informacji i nowości w branży, aby mieć pewność, że ogólna struktura nadąża za duchem czasu.