Jak zabezpieczyć firmę przed cyberzagrożeniami?

Pandemia koronawirusa zmieniła model świadczonej pracy. Sprawiła, że obowiązki służbowe realizowane są przez większość pracowników z ich miejsca zamieszkania. Z perspektywy pracodawcy taka organizacja pracy umożliwia zapewnienie ciągłości działania danej firmy, z drugiej strony generuje nowe wyzwania związane z ochroną informacji. Możliwość wykonywania zadań przez pracowników w sposób rozproszony powoduje, że organizacje narażone są na nowe ryzyka i zagrożenia dotyczące bezpieczeństwa informacji. Ten zmieniony model pracy wymusza na firmach konieczność rewizji i ponownej analizy zastosowanych zabezpieczeń w celu dostosowania się do bieżących warunków.

Ograniczone zaufanie

Aby skutecznie i efektywnie chronić informacje przetwarzane i przesyłane w organizacji, przede wszystkim należy zbudować solidny fundament w postaci architektury bezpieczeństwa, która w kompleksowy sposób zaadresuje wszystkie obszary, od zagadnień formalno-organizacyjnych po zabezpieczenia techniczne, związane z ochroną informacji.

Interesującą koncepcją, która może być bardzo przydatna i skuteczna w nowych okolicznościach jest idea „Zero Trust”, czyli w skrócie nie ufaj nikomu, niczemu i zawsze kontroluj. W tym modelu wykorzystuje się różnego rodzaju zabezpieczenia techniczne, które na bazie informacji o zasobach oraz charakterystyce pracy za każdym razem autoryzują dostęp użytkownika lub urządzenia do danej informacji.

Przy okazji zagadnienia uwierzytelniania użytkowników, czyli w obecnej sytuacji pracowników pracujących w modelu rozproszonym, warto także przeanalizować stosowane mechanizmy zabezpieczające w tym obszarze. Bez wątpienia najsłabszym, najbardziej podatnym na zagrożenia, aktualnie stosowanym mechanizmem uwierzytelnienia jest login i hasło. Stosowanie takiego zabezpieczenia jest z pozoru prostym rozwiązaniem, natomiast powoduje wśród użytkowników frustrację, kłopoty z zapamiętywaniem nowych haseł itd., szczególnie gdy w organizacji stosowane są rygorystyczne polityki dotyczące złożoności i długości hasła, jak również wymagające ich częstej zmiany. Rozwiązaniem, które może podnieść poziom bezpieczeństwa informacji, jest rezygnacja ze stosowania haseł, które obecnie stanowią słabą ochronę, na rzecz tzw. rozwiązań „Passwordless authentication”. Ta metoda uwierzytelnienia polega na tym, że użytkownik, aby zalogować się do systemu, nie musi podawać hasła, lecz wykorzystuje rozwiązania oparte o parę kluczy kryptograficznych. Uwierzytelnienie, logowanie do systemu odbywa się w tym wypadku z wykorzystaniem np. kart mikroprocesorowych (smart card) lub sprzętowych tokenów.

Kolejnym aspektem, który warto ponownie przeanalizować w związku ze zmienionym modelem pracy, to zabezpieczenie urządzeń końcowych, na których pracują użytkownicy. Należy pamiętać, że nie chodzi w tym przypadku tylko o laptopy czy komputery stacjonarne, ale również urządzenia mobilne np. telefony komórkowe czy tablety. Większość pracowników wykonuje obecnie i prawdopodobnie również po pandemii będzie wykonywała swoje zadania w domach, w których sieć nie jest tak dobrze zabezpieczona i chroniona jak w biurach. Istotne jest więc zabezpieczenie urządzeń, na których pracują użytkownicy za pomocą rozwiązań klasy EDR – Endpoint detection and response. EDR to technologia, która umożliwia identyfikowanie oraz reagowanie, np. automatyczne usuwanie złośliwego oprogramowania, na podejrzaną i złośliwą aktywność na chronionym urządzeniu.

Szyfruj i uświadamiaj

Zabezpieczeniem, które bez wątpienia powinno być wykorzystywane przez każdą organizację to szyfrowanie informacji. Aktualnie jest to najbardziej skuteczna metoda zabezpieczania informacji pod kątem ich poufności. Nie bez powodu przestępcy jako najczęstszą metodę ataków w ostatnim czasie, wykorzystują tzw. Ransomware, czyli złośliwe oprogramowanie, które szyfruje informacje w zaatakowanym systemie. Doskonale bowiem wiedzą, że odszyfrowanie informacji w przeważającej większości przypadków jest niemożliwe.

Przy stosowaniu rozwiązań związanych z szyfrowaniem informacji istotne jest to, żeby informacje szyfrować zarówno w trakcie ich przesyłania (in transit), gdy są one składowane na zasobach dyskowych (at rest) jak również w trakcie ich przetwarzania (in use).

Na koniec należy zwrócić uwagę na jeden z najbardziej istotnych, krytycznych „bezpieczników” – człowiek. Kluczową kwestią w bezpieczeństwie informacji jest świadomość pracowników. Wszystkie zastosowane technologie zabezpieczające, procedury, procesy, polityki nie będą skuteczne, jeżeli sami nie będziemy ich przestrzegać. Dlatego istotne jest, aby stale podnosić świadomość pracowników w tym zakresie. Tylko w ten sposób informacje będą mogły być skutecznie chronione. Należy pracować nad budowaniem i rozwojem kultury organizacyjnej, gdyż ma ona bardzo duże znaczenie, jeżeli chodzi o bezpieczeństwo informacji. To przede wszystkim od pracowników, co bardzo istotne z każdego szczebla organizacji zależy, czy informacje przetwarzane w danej organizacji będą chronione na odpowiednim poziomie. Świadomość pracowników w aktualnym modelu pracy nabiera szczególnego znaczenia, gdyż świadcząc pracę ze swoich miejsc zamieszkania, częściowo sami organizują sobie swoje stanowisko pracy.

Odpowiednio zbudowana i utrzymywana kultura organizacyjna, stały proces podnoszenia świadomości pracowników przez organizacje na pewno w znacznym stopniu ułatwi i pomoże pracownikom dostosować się do nowego modelu pracy z zachowaniem wysokiego poziomu bezpieczeństwa przetwarzanych informacji.

Bartłomiej Szlagowski, Dyrektor Działu Bezpieczeństwa Informacji i Elektronicznej Wymiany Danych, Asseco Poland. 

Bartłomiej SzlagowskicyberbezpeiczeństwocybersecurityEDRzero trust