Streszczenie: W firmie Compass podjęto decyzję o wprowadzeniu nowej polityki korzystania z urządzeń, koncentrując się głównie na aspektach finansowych. Zabrakło jednak rzetelnej analizy ryzyka i rozpoznania potencjalnych zagrożeń, które powinny być kluczowe przy takich zmianach. Brak dedykowanego działu bezpieczeństwa spowodował, że odpowiedzialność za te kwestie spadła na dział IT, którego głównym celem jest poszukiwanie oszczędności, co prowadzi do konfliktu interesów. W rezultacie zarząd nie dysponował pełną informacją o możliwych konsekwencjach nowej polityki, a dział IT przeniósł odpowiedzialność za bezpieczeństwo na użytkowników, nie egzekwując jej skutecznie.
Janusz Nawrat: analiza ryzyka to absolutna podstawa
Janusz Nawrat
Wyzwanie, przed którym stanęła firma Compass, staje się coraz powszechniejsze w wielu organizacjach. Szczególnie warto zwrócić uwagę na mechanizm podejmowania decyzji skupiający się niemal wyłącznie na kwestiach finansowych. Całkowicie pominięto natomiast rzetelne rozpoznanie zagrożeń i analizę ryzyka, które powinny być absolutną podstawą podczas wprowadzania nowej polityki korzystania z urządzeń w przedsiębiorstwie. Wygląda na to, że w opisywanej firmie zabrakło jednostki organizacyjnej zajmującej się bezpieczeństwem, a jej zadania realizuje dział IT. To błędne podejście, bo rolą działu IT jest m.in. poszukiwanie oszczędności, a kwestie bezpieczeństwa często oznaczają poważne wydatki. Mamy zatem do czynienia z dysonansem celów. Dlatego już na etapie podejmowania decyzji o wdrożeniu nowego modelu zarząd firmy nie miał pełnej informacji na temat możliwych następstw przyjętego rozwiązania. Ponadto dział IT zachował się również w dość typowy sposób i przeniósł odpowiedzialność za utrzymanie bezpieczeństwa na samych użytkowników. W żaden sposób nie próbował jej jednak egzekwować. Wreszcie firmowi informatycy nie przeprowadzili pogłębionej analizy wektora ataku. Nie mają również pewności, czy do podobnego zdarzenia nie dojdzie w najbliższej przyszłości.
Mimo to nie uważam, że prezes Popławski popełnił błąd, decydując się skorzystać z modelu BYOD, i nie zalecałbym powrotu do poprzedniego rozwiązania. Przed wprowadzeniem takiego modelu korzystania ze sprzętu dokonałbym jednak dogłębnej analizy punktów systemu, które są najbardziej podatne na niebezpieczeństwa. Następnie wzmocniłbym te miejsca adekwatnymi do poziomu ryzyka rozwiązaniami zabezpieczającymi, zarówno technicznymi, jak i proceduralno‑organizacyjnymi.
Teraz jednak przede wszystkim należy opanować kryzys, co nie będzie łatwe ze względu na brak procedur dotyczących naruszenia bezpieczeństwa firmowych danych. Niestety, z tego typu sytuacji nie da się wyjść w prosty sposób, jedynie dzięki jednej zdecydowanej decyzji zarządu. Jeśli już zezwolono pracownikom na korzystanie z prywatnych urządzeń do celów służbowych, to należy zadbać przede wszystkim o kilka kwestii.
Z pewnością firma powinna precyzyjnie określić dostęp użytkowników do poszczególnych części swoich zasobów na najniższym poziomie pozwalającym im na wykonywanie pracy. Nie ma przecież potrzeby, by księgowi mieli dostęp do tych samych elementów systemu co informatycy. Poza tym w dużych organizacjach zawsze istnieje możliwość, że ktoś z zewnątrz będzie korzystał z firmowej sieci. Z taką sytuacją mamy do czynienia na przykład, gdy do przedsiębiorstwa przychodzi zewnętrzny doradca i podłącza swój komputer do systemu. Wtedy także należy dać mu dostęp wyłącznie do tych elementów, których wymaga wykonywane przez niego zadanie. Dlatego firma powinna mieć politykę dostępu dla osób przyłączających się do jej sieci z zewnątrz i – co bardzo ważne – techniczne środki i sposoby jej egzekwowania.
Warto również pamiętać, że każda polityka zarządzania sprzętem ma swoje warianty. Dlatego także BYOD można wdrożyć w odmianie zapewniającej większy zakres bezpieczeństwa. Dobrym rozwiązaniem stosowanym w wielu organizacjach jest więc korzystanie z firmowych zasobów po zalogowaniu do tzw. zdalnego pulpitu. Dzięki temu wrażliwe dane znajdują się na firmowych serwerach, pozostając poza zasięgiem złośliwego oprogramowania, mogącego znajdować się na dysku użytkownika.
Jeśli niebezpieczne oprogramowanie dostało się do systemu, to nie istnieje uniwersalna metoda jego usunięcia lub odcięcia mu drogi do pustoszenia zasobów przedsiębiorstwa.
Wreszcie niezwykle ważnym elementem przemyślanej strategii bezpieczeństwa firmowego jest dbałość o świadomość zagrożeń wśród pracowników. Często zdarza się, że nawet przy bardzo zaawansowanych systemach zabezpieczających dane pracownicy dość niefrasobliwie traktują swoją cyfrową tożsamość. Zupełnie nieświadomi zagrożeń zamieszczają na przykład na portalach społecznościowych dane mogące zaszkodzić ich organizacji.
Osobną kwestią są czasem bardzo skomplikowane ataki służące wyłudzeniu danych. Mogą one przybierać formę wiadomości z prośbą o zalogowanie się do strony, która tylko udaje legalny system, na przykład bankowy. Podatność organizacji na tego typu zagrożenia zależy przede wszystkim od czujności tworzących ją ludzi. Nie wszystko da się więc rozwiązać za pomocą technologii i nie wolno zaniedbywać szkoleń poświęconych wymogom bezpieczeństwa.
Wszystkie wspomniane zalecenia są możliwe do wdrożenia przy zachowaniu modelu BYOD. Niestety, jeśli niebezpieczne oprogramowanie dostało się już do systemu, to nie istnieje jedna uniwersalna metoda jego usunięcia lub odcięcia mu drogi do pustoszenia zasobów przedsiębiorstwa. Najbardziej zaawansowane ataki są przygotowywane precyzyjnie pod kątem konkretnego obiektu, dlatego dość sprawnie omijają jego systemy detekcji. Wszystko to sprawia, że niezwykle trudno zidentyfikować, a następnie zneutralizować zagrożenie.
Ogromną pomoc stanowią systemy zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego (SIEM), które wykorzystują logikę korelacyjną do powiązania anomalii zachodzących w systemie i ustalenia, czy i z jakim rodzajem ataku mamy do czynienia. Szacuję jednak, że nawet 70–80% ataków wykorzystuje błędy w kodach źródłowych oprogramowania. Dlatego nigdy nie będziemy mieli całkowitej gwarancji bezpieczeństwa firmowych zasobów.
Przeczytaj pozostałe komentarze: »
Grzegorz Idzikowski: ubezpieczajmy się od cyberprzestępczości
|
,
Grzegorz Idzikowski PL
Artur Józefiak: profesjonalna reakcja jest kluczowa dla wizerunku firmy
|
,
Artur Józefiak PL
