Streszczenie: Pandemia COVID-19, która rozpoczęła się na początku 2020 roku, zmusiła wiele firm do przejścia na tryb pracy zdalnej, co uwypukliło znaczenie bezpieczeństwa IT. Tradycyjnie, przedsiębiorstwa przeprowadzały regularne audyty informatyczne i zgodności z RODO w swoich siedzibach, identyfikując słabe punkty technologiczne i oceniając ich wpływ na działalność biznesową. Obecnie, aby skutecznie chronić dane, zaleca się:
przeprowadzanie testów penetracyjnych i analiz podatności systemów;
audytowanie konfiguracji sieci;
analizowanie incydentów bezpieczeństwa;
wdrażanie dwupoziomowego uwierzytelniania (2FA) dla systemów wymagających logowania;
edukowanie pracowników na temat zagrożeń IT poprzez szkolenia i prezentacje;
podnoszenie kompetencji zespołów IT;
regularne aktualizowanie zabezpieczeń i korzystanie z systemów wspieranych przez producentów;
stosowanie zaleceń Inspektora Ochrony Danych.
Firma JAMANO, odpowiadając na te potrzeby, opracowała narzędzie do zdalnych audytów informatycznych, które umożliwia anonimową i bezpieczną analizę infrastruktury IT klientów, eliminując dane osobowe z procesu identyfikacji. System ten pozwala na kompleksową ocenę konfiguracji rozwiązań oraz przeprowadzanie testów penetracyjnych i kampanii phishingowych. Dzięki temu możliwe jest skuteczne zabezpieczenie takich obszarów, jak sieci LAN, WLAN, WAN, zdalny dostęp, serwery, stacje robocze, urządzenia mobilne oraz poczta e-mail.
Wraz z początkiem 2020 roku globalną rzeczywistością zawładnęła pandemia koronawirusa. Konieczność przejścia wielu podmiotów na tryb pracy zdalnej wymusiła poszukiwanie funkcjonalnych rozwiązań umożliwiających pracę na odległość. Choć bezpieczeństwo IT powinno być traktowane priorytetowo przez podmioty przetwarzające dane osobowe, z obserwacji z ostatnich kilku miesięcy wyłania się zgoła inny obraz.
Partnerem materiału jest JAMANO. Autorem materiału jest PIOTR DWORAKOWSKI, specjalista ds. bezpieczeństwa informacji, JAMANO Sp. z o.o.
WRAZ Z POCZĄTKIEM 2020 ROKU globalną rzeczywistością zawładnęła pandemia koronawirusa. Konieczność przejścia wielu podmiotów na tryb pracy zdalnej wymusiła poszukiwanie funkcjonalnych rozwiązań umożliwiających pracę na odległość. Choć bezpieczeństwo IT powinno być traktowane priorytetowo przez podmioty przetwarzające dane osobowe, z obserwacji z ostatnich kilku miesięcy wyłania się zgoła inny obraz.
W dotychczasowych działaniach firm codziennością było realizowanie cyklicznych fizycznych audytów, zarówno informatycznych, jak i sprawdzających zgodność z RODO. W przypadku audytu IT realizowanego bezpośrednio w siedzibie klienta oprócz przeprowadzenia wywiadu z administratorem audytorzy podejmowali się też działań o charakterze technicznym. Tego typu kontrole polegały m.in. na identyfikacji słabych punktów w stosowanych rozwiązaniach technologicznych, ocenie ich wpływu na prowadzony biznes oraz wdrażaniu procesów bezpieczeństwa IT.
W celu wdrażania odpowiednich strategii bezpieczeństwa IT warto dokonywać analizy wykrytych luk występujących w obecnych systemach oraz rozważyć podjęcie działań prewencyjnych.
Przykładowe rozwiązania podnoszące bezpieczeństwo IT:
testy penetracyjne, testy bezpieczeństwa oraz analiza podatności systemów;
audytu konfiguracji sieci;
analizy powłamaniowe;
ochrona poczty oraz innych systemów wymagających logowania z wykorzystaniem dwupoziomowego uwierzytelniania 2FA;
edukacja pracowników w zakresie zagrożeń bezpieczeństwa IT – szkolenia, prezentacje;
podnoszenie kompetencji zespołów wsparcia IT;
regularne wdrażanie nowych zabezpieczeń dostępnych na rynku – aktualizacja zabezpieczeń, korzystanie z systemów i urządzeń wspieranych przez producentów;
stosowaniezaleceń Inspektora Ochrony Danych.
Odpowiadając na potrzeby klientów, specjaliści ds. bezpieczeństwa IT firmy JAMANO rozpoczęli wdrażanie autorskiego narzędzia do przeprowadzania zdalnych audytów informatycznych wśród klientów firmy. Stworzony system audytowy eliminuje dane osobowe z procesu identyfikacji podmiotu, pozwalając na anonimową i bezpieczną analizę. Jednocześnie umożliwia kompleksową ocenę konfiguracji rozwiązań. Dodatkowo możliwe jest zastosowanie testów penetracyjnych, socjotechnik lub kampanii phishingowych. Proces zdalnego audytowania podmiotów medycznych oraz niemedycznych, będących klientami firmy JAMANO, w zakresie infrastruktury informatycznej, pozwolił na uzyskanie odpowiedzi w takich dziedzinach, jak:
zabezpieczenie sieci LAN, WLAN, WAN;
zdalny dostęp do sieci LAN;
bezpieczeństwo serwerów, dysków sieciowych, stacji roboczych, urządzeń mobilnych;
zabezpieczenie poczty e‑mail;
bezpieczeństwo i niezawodność wykonywanych kopii zapasowych;
zarządzanie środowiskiem informatycznym.
Szczegółowe pytania i uzyskane na nie odpowiedzi pozwoliły na przygotowanie wartościowych rekomendacji, uwzględniających procesy monitorowania i reagowania na możliwe incydenty.
Informatyzacja współczesnych organizacji przenika niemal każdy aspekt ich działalności. Prowadzi to do wysokich oczekiwań co do odporności stosowanych technologii na różnorakie zagrożenia. Realne bezpieczeństwo organizacji to więcej niż tylko dostosowanie regulaminów i klauzul do wymagań przepisów prawa. Duże znaczenie ma rozwój usług związanych z cyberbezpieczeństwem. Można uznać, że przymus stworzenia narzędzia, które mogłoby zastąpić fizyczne audyty bezpieczeństwa IT, okazał się być bardziej korzystny dla klientów firmy, niż pierwotnie zakładano. Rynek usług cyberbezpieczeństwa musi z kolei zmierzyć się w najbliższej przyszłości z wyzwaniami związanymi z realizacją wielopoziomowych zabezpieczeń.
Warto mieć na uwadze również fakt, iż nieodpowiednie zabezpieczenie danych, w posiadaniu których jest przedsiębiorstwo, może skutkować nie tylko narażaniem jego pracowników na niebezpieczeństwo, ale również nałożeniem urzędowej kary. Jedna z najwyższych grzywien tego typu, którą za wyciek 2,2 mln rekordów na skutek ataku hakerskiego nałożono na znany sklep internetowy, wyniosła ponad 2,8 mln zł. Biorąc pod uwagę okoliczności organ nadzorczy uznał nałożenie kary za zasadne. W uzasadnieniu decyzji Prezesa Urzędu Ochrony Danych Osobowych wskazano przede wszystkim na wysokie ryzyko negatywnych skutków, które mogły dotknąć osoby, których dane wyciekły. W udostępnionych osobom trzecim rekordach znalazły się ich imiona i nazwiska, numery telefonu, adresy e‑mail oraz korespondencyjne. Wobec powyższego uznano, iż doszło do naruszenia zasady poufności uregulowanej w art. 5 ust. 1 lit. f RODO: Stwierdzając naruszenie przez […] z siedzibą w […], przepisów […] rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej: „rozporządzenie 2016/679” nakłada się na […] z siedzibą w […] karę pieniężną w wysokości 2 830 410 PLN (co stanowi równowartość 660 000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.
Warto pamiętać, że na wysokie ryzyko ataku hakerskiego narażone są również podmioty publiczne. Z problemem tego typu zmagał się m. in. jeden z urzędów gminy, który został zaatakowany przez ransomware. Urzędnicy szantażowani okupem dzięki pomocy firmy tworzącej oprogramowanie antywirusowe szczęśliwie odzyskali dostęp do zaszyfrowanych plików. Czy można się przed tym uchronić? Oczywiście, że tak. Poczynając od dokładnego sprawdzania wiadomości e‑mail, w głównej mierze załączników i ich rozszerzeń, korzystając z aktualnego systemu operacyjnego oraz oprogramowania antywirusowego, na regularnym wykonywaniu i bezpiecznym przechowywaniu kopii zapasowych kończąc. Z myślą o walce z atakami hakerskimi w sferze publicznej powstał też projekt nomoreransom. com, który skupia specjalistów z całego świata tworzących tzw. decryptory – skuteczne narzędzie działające w kontrze do groźnego oprogramowania ransomware. W Polsce o bezpieczeństwo w internecie dba CERT Polska, który działa w strukturach Naukowej i Akademickiej Sieci Komputerowej. Bezpieczeństwo IT jest kluczowe w kontekście inwestycji w odpowiedzialny rozwój biznesu. Wartość wewnętrznych systemów, baz danych i archiwów należy oceniać jako bezcenną, jednocześnie nigdy nie uznając ich bezpieczeństwa za pewnik. •
