Streszczenie: Zabezpieczenie danych cyfrowych w dobie rosnących zagrożeń staje się kluczowym wyzwaniem. Cyberprzestępczość rozwija się w zastraszającym tempie, a ataki na zasoby cyfrowe podwajają się co 15 miesięcy. W obliczu tej rosnącej fali zagrożeń, liczba specjalistów od cyberbezpieczeństwa nie rośnie proporcjonalnie, co stawia organizacje w trudnej sytuacji. Brak odpowiednich zabezpieczeń, takich jak aktualizacje oprogramowania czy luki w zabezpieczeniach, stwarza idealne warunki dla cyberprzestępców. Do przeprowadzania ataków nie są potrzebne specjalistyczne umiejętności – wystarczy dostęp do odpowiednich narzędzi na Dark Net, które umożliwiają przeprowadzenie ataków, nawet przez amatorów. Cyberataki mogą prowadzić do ogromnych strat finansowych, a konsekwencje są nie tylko finansowe, ale i prawne – RODO wprowadza wysokie kary za naruszenia ochrony danych.
Dane to ropa naftowa XXI w. Perspektywie wielkich zysków zawsze towarzyszy jednak zagrożenie ze strony złodziei liczących na łatwy łup. Jak się zabezpieczyć przed cyberprzestępcami, gdy każde urządzenie połączone z siecią może się okazać przekaźnikiem cennych danych?
O tym, że dane cyfrowe muszą być chronione, i to za wszelką cenę, wiemy wszyscy. Nie wszyscy zdają sobie jednak sprawę, że poziom zagrożenia ze strony cyberprzestępców nieustannie się zwiększa. Liczba zdalnie przeprowadzanych ataków na zasoby cyfrowe narasta lawinowo – podwaja się co każde 15 miesięcy.
Rosnące zagrożenie
Niestety, wraz z coraz większą skalą zagrożenia symetrycznie nie wzrasta skala wysiłków, by tym zagrożeniom przeciwdziałać. Problem ten nie wynika ani z lekceważenia problemu, ani z braku kompetencji. Parafrazując pewnego burmistrza, tłumaczącego Napoleonowi, dlaczego nie oddał salwy na jego cześć – po pierwsze, brakuje armat. Dramatycznie rosną niedobory specjalistów od cyberbezpieczeństwa. Szacuje się, że w 2021 r. brakować będzie aż 3,5 miliona wyszkolonych w tej dziedzinie ekspertów.
W tym samym czasie szeregi cyfrowych złodziei rosną. Co więcej, do przeprowadzenia cyberataku nie są wcale potrzebne wyjątkowe kwalifikacje. W odmętach Dark Netu każdy może kupić program, dzięki któremu – jeśli atak się powiedzie – sparaliżuje nawet dużą, na pozór dobrze zabezpieczoną przed hakerami firmę, powodując straty liczone w setkach milionów dolarów. Jak to jest możliwe? Wystarczy jedno słabe ogniwo. Przeoczona aktualizacja na pozór mało istotnego, peryferyjnego urządzenia. Wykryta nagle i upubliczniona „furtka” – dziura w oprogramowaniu, której informatycy nie zdążyli jeszcze załatać. Przez zwykły ludzki błąd dostęp do danych firmy jest łatwiejszy dla nieproszonych osób,
Niestety walka z cyberprzestępcami jest nierówna. Po akcie cyfrowej agresji, który przestępca mógł przygotowywać miesiącami, zaatakowany system musi adekwatnie zareagować w trakcie zaledwie milisekund. Takich ataków hakerzy mogą w krótkim czasie przeprowadzić wiele, licząc na znalezienie luki w zabezpieczeniach. A przecież wystarczy, aby powiódł się tylko jeden.
Wśród intruzów są grupy zorganizowanej przestępczości, samotni cyberzłodzieje, wywiady obcych państw zainteresowane zarówno szpiegostwem przemysłowym, jak i dostępem do danych osobowych, haktywiści, hakerzy, nastolatki żądne wyzwań i sławy środowiskowej, jaką zapewnia włamanie się do silnie zabezpieczonej sieci. Paradoksalnie, przyczyną poważnych szkód może być np. atak typu ransomware przeprowadzony przez amatora, który nie potrafi należycie skonfigurować programu, w wyniku czego nawet zapłacenie okupu nie spowoduje odkodowania zaszyfrowanych danych.
To, że cyberprzestępczość zaczyna dotyczyć coraz większej liczby obywateli, dostrzega także regulator, który wymaga większej odpowiedzialności za ochronę danych i prywatności od podmiotów przetwarzających dane, poprzez wdrożenie rozporządzenia o ochronie danych osobowych. RODO wprowadza kary finansowe w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa w wysokości 4% jego całkowitego rocznego światowego obrotu.
Wielkie koszty tanich ataków
Nie zawsze zdajemy sobie sprawę, że dziś celem ataku może paść każdy, a nie tylko banki, korporacje o dużych budżetach czy nowatorskie firmy technologiczne strzegące informacji o swych przełomowych rozwiązaniach, mogących zapewnić rynkową przewagę temu, kto je ukradnie. Coraz większa liczba podłączonych do sieci urządzeń, jak choćby smartfonów, sprawia, że już dziś celem może stać się olbrzymi procent populacji. Według Statistica, w roku 2022 aż 42 mld urządzeń będzie podłączonych do sieci. Zgodnie z przewidywaniami Cybersecurity Ventures, w tym samym roku celem cyberataków stanie się sześć miliardów ludzi, szacunkowo 75% globalnej populacji.
Już teraz każdy z nas może paść ofiarą ataku typu ransomware i po włączeniu komputera odkryć, że zamiast znajomego pulpitu wyświetla się okno z komunikatem: „Ups, twoje ważne dane zostały zaszyfrowane” i wezwaniem do uiszczenia okupu. Taką właśnie wiadomość odebrały ofiary ataku o nazwie kodowej NotPetya, w tym zarząd pewnej fabryki czekolady, którą ten akt agresji kosztował łącznie 150 mln dol., gównie w straconych zyskach ze sprzedaży. Odtwarzanie danych i przywracanie systemu do działania zabrało firmie miesiące.
Więcej szczęścia miała znana globalna firma wyspecjalizowana w produktach służących ochronie skóry, o rocznej sprzedaży wartości 6 mld euro. W wyniku ataku typu ransomware krytyczne aplikacje przestały działać, w 17 fabrykach stanęły linie produkcyjne, a straty wyniosły miliony euro. Brzmi to bardzo źle, skąd zatem mowa o szczęściu? Mogło być znacznie gorzej. Etap przywracania pełnej sprawności trwał wyjątkowo krótko, co pozwoliło znacząco zminimalizować rozmiary katastrofy. Co ciekawe, ta firma miała solidną strategię ochrony danych, ale zawiodło słabe ogniwo – przestarzałe biblioteki taśmowe. Znacznie większej katastrofie, potencjalnie zagrażającej przyszłości firmy, zapobiegła ostatnia linia obrony. Firma Dell w trybie alarmowym aktywowała zespoły ratunkowe w USA i Europie. Przywracanie krytycznych systemów zabrało tylko cztery dni – a nie cztery tygodnie czy wręcz cztery miesiące.
System ochrony danych nowej generacji
W procesie transformacji IT siłą rzeczy kluczową rolę pełnić musi transformacja systemu ochrony danych (security transformation), bo dotychczasowe strategie, w obliczu nowych wyzwań i transformacji cyberprzestępczości, nie są już należycie efektywne.
W dalszej części przedstawię transformację systemu ochrony danych, jaką proponuje firma Dell w swoich rozwiązaniach. Oparty jest on na modelu Struktury Cyberbezpieczeństwa (Cybersecurity Framework) opracowanym przez amerykański NIST (National Institute of Standards and Technology). Przewiduje on pięć podstawowych kroków. Są to: identyfikacja, ochrona, detekcja, odpowiedź, odtworzenie.
Przyjrzyjmy się na tym przykładzie, na czym polegają różnice między zwyczajowymi strategiami ochrony danych a nowoczesnymi, po procesie transformacji.
1. Identyfikacja
W tradycyjnym podejściu, opartym na sztywnych założeniach (ang. compliance‑driven), ustanawiane są arbitralnie przez ekspertów IT pewne zasady, których należy przestrzegać. Przyjmuje się, że ścisłe trzymanie się tych reguł zapewni organizacji bezpieczeństwo. Na przykład ustala się, że pracownicy nie mogą odbierać zaszyfrowanych załączników – dział IT blokuje zatem taką możliwość.
Nowoczesne podejście w identyfikowaniu zagrożeń wychodzi poza obręb tych reguł, dodając do nich – uwaga! – możliwość podejmowania ryzyka (ang. risk‑driven). Aby wypracować strategię związaną z zarządzaniem ryzykiem, dział IT musi spotkać się z reprezentantami firmy odpowiedzialnymi za prowadzenie biznesu i ustalić, co jest największym zagrożeniem dla firmy. To oni bowiem najlepiej rozumieją, jak działa organizacja i wyciek których danych miałby największe znaczenie. Zadaniem IT jest przełożenie tych informacji na konkretne działania prewencyjne, tak aby zminimalizować ryzyko utraty danych w krytycznych obszarach.
2. Ochrona
W tradycyjnym podejściu dział IT skupiony wyłącznie na ochronie danych, bez uwzględniania szerszego kontekstu, tworzy polityki bezpieczeństwa, które w skrajnych przypadkach mogą sparaliżować firmę. Eliminuje mobilność danych, ustalając na przykład, że dane nie mogą być przechowywane w telefonach komórkowych, ogranicza w pewnym zakresie mailing, blokuje serwisy do wymiany plików etc. W ten sposób, a także stosując najróżniejsze narzędzia w obrębie własnej sieci, dąży do osiągnięcia satysfakcjonującego poziomu bezpieczeństwa.
Tego typu systemowe, statyczne metody mają w tradycyjnym rozumieniu IT zabezpieczyć organizację przed wyciekiem danych i szkodami wywołanymi przez złośliwe oprogramowanie.
W nowoczesnym podejściu, po transformacji, wykorzystujemy narzędzia do przetwarzania danych, które już mają wbudowane mechanizmy zabezpieczające. Przykładowo, jeśli służbowa komórka ma przechowywać wrażliwe dane, to musi mieć możliwość szyfrowania zapisywanych w jej pamięci plików i wysyłać informacje bezpiecznym kanałem. Trzeba też zadbać o gwarancję zdalnego skasowania danych, gdy dane urządzenie zostanie zgubione lub ukradzione. Podobnie należy zabezpieczać laptopy. Reasumując, w nowoczesnym podejściu zakłada się, że można przetwarzać dane poza fizyczną serwerownią organizacji.
Różnice między tradycyjnym a nowoczesnym podejściem do ochrony danych oraz związane z tym korzyści są oczywiste. Podczas gdy w pierwszym podejściu chroni się dane przez zabieranie dostępu do nich, w podejściu drugim pracownicy firmy mają większą swobodę korzystania z urządzeń z aktywną ochroną danych. Także poza siedzibą organizacji. Dziś, gdy biznes wymaga pełnej dyspozycji i zdolności operacyjnej, jest to przewaga nie do przecenienia.
3. Detekcja
Jeśli system zbudowany jest w sposób patchworkowy, czyli składa się na niego wiele różnych narzędzi rozsianych po całej infrastrukturze, zwykle nieskorelowanych, do tego dochodzą urządzenia mobilne, być może chmura – monitorowanie zagrożeń w sposób tradycyjny jest nieefektywne. Gdy coś się dzieje, z różnych źródeł napływa do operatora systemu zabezpieczeń lawina komunikatów, których po prostu nie jest w stanie przetworzyć. W takiej sytuacji nie ma nawet mowy o tym, aby dodatkowo analizował występujące anomalie lub prawidłowo ocenił skalę zagrożenia.
W nowej strategii jesteśmy w stanie zebrać na jednej platformie wszystkie logi, podać w czasie rzeczywistym analizie wszystkie napływające informacje, skorelować je między sobą, zastosować uczenie maszynowe i dokonać analizy, który z ataków niesie największe zagrożenie.
4. Odpowiedź
W tradycyjnym podejściu odpowiedzi na atak mają charakter manualny i szablonowy (w języku ekspertów: bazują na statycznych politykach), reakcje na poszczególne zdarzenia oparte są na zebranych uprzednio danych i dokonanych ustaleniach. Wykorzystywane do tego narzędzia nie są w stanie uczyć się ataków (machine learning – uczenie maszynowe) w miarę spływania logów, nie adaptują się do zmieniającej się sytuacji.
W nowoczesnym podejściu bazuje się na zarządzaniu cyklem życia zagrożenia ocenianym z perspektywy wielkości ryzyka – co jest bardzo ważne, bo takich zagrożeń może się pojawiać równolegle wiele. Najważniejsze są te, które mogą spowodować największe straty z perspektywy biznesu. Konieczne jest zatem ustalenie, od eliminacji którego zagrożenia należy zacząć odpowiedź na atak, by minimalizować straty.
5. Odtwarzanie
Tradycyjne metody opierają się na zaimplementowanych mechanizmach Business Continuity, na kopiach bezpieczeństwa, na mechanizmach Disaster Recovery, czyli kładących akcent na odporność ośrodka na awarię lub szyfrowanie danych. Nie są to natomiast metody zapewniające pełne odtwarzanie po ataku.
W pełnym odtwarzaniu, stosowanym w podejściu po transformacji, wykorzystuje się mechanizmy szacowania ryzyka. Proces odtwarzania przebiega w oparciu o przygotowany wcześniej i przetestowany plan, uwzględniający jako priorytetowe najbardziej wartościowe zasoby.
