Najczęściej popełniane błędy w podejściu do bezpieczeństwa IT
Najbardziej powszechne zaniedbania bezpieczeństwa IT, które narażają firmy na ataki i niepotrzebne przestoje.
Sporo mówi się dzisiaj o bezpieczeństwie IT. Zastanówmy się jak to wygląda faktycznie w praktyce. Wiele firm i instytucji zostało zobligowane do bardziej odpowiedzialnego podejścia związanego z cyberbezpieczeństwem w momencie nowelizacji ustawy KSC. Czy tak naprawdę to jest ten, punkt zwrotny? Warto zauważyć, że RODO, które zaczęło obowiązywać od 25 maja 2018r. w pewnym stopniu wymusiło na nas podjęcie odpowiednich działań związanych z ochroną danych osobowych. Ponieważ bardzo często dane osobowe, również są przetwarzane w cyberprzestrzeni to konieczne było spełnienie dodatkowych wymagań z tym związanych również w obszarze IT.
Wiele firm wychodzi z założenia, że wystarczy kupić Firewall bardziej lub mniej zaawansowany, do tego jakiś EDR i teoretycznie sprawa bezpieczeństwa zostaje rozwiązana może jakiś SIEM. Teoretycznie sprawa wydawałaby się rozwiązana. Problem polega na tym, że mimo wszystkich tych rozwiązań, przy pierwszym poważnym incydencie okazuje się, że nic nie działa tak jak powinno.
To nie jest problem technologii.
To jest problem podejścia.
W praktyce scenariusz wygląda bardzo podobnie. Potrzebujemy bezpieczeństwa więc kupujemy technologie.
Tyle że :
- Nie wiadomo co dokładnie ma być chronione.
- Nie wiadomo przed czym
- Nie wiadomo jakie są priorytety.
Efekt jest taki, że mamy narzędzia ale nie rozwiązują one realnych problemów.
Drugim błędem jest robienie bezpieczeństwa pod audyt.
Pojawiają się dokumenty:
- Polityki
- Procedury
- „SZBI”
Na papierze wszystko wygląda dobrze.
Tyle że:
- Nikt z tego nie korzysta
- Nikt tego nie testuje
- Nikt tego nie rozumie
Dokumentacja żyje sobie swoim życiem całkowicie oderwanym od infrastruktury.
Często sprowadza się to do tego, że organizacje nie mają pełnej wiedzy na temat tego jakimi zasobami dysponują co przekłada się na to, że nie mają:
- Pełnej listy systemów
- Wiedzy gdzie i jakie dane są przechowywane
- Informacji jakie procesy są krytyczne
W praktyce przekłada się to na brak wiedzy co tak naprawdę jest chronione a bez tego ciężko jest mówić o bezpieczeństwie.
To wszystko przekłada się na brak priorytetów. Kiedy wszystko jest ważne nic nie jest dobrze chronione a zasoby mające zapewnić bezpieczeństwo nie są optymalnie wykorzystywane.
W efekcie takie podejście nie działa i nie daje efektu bo brakuje powiązania pomiędzy ryzykiem a zabezpieczeniami. Technologia jest wdrażana na ślepo bez odpowiedzi na podstawowe pytania:
- Co się stanie jeśli dane zostaną utracone?
- Co się stanie jeśli ten system przestanie działać?
- Co się stanie jeśli ktoś uzyska dostęp?
Do tego wszystkiego dochodzi jeszcze brak testów:
- Backup istnieje, ale nikt go nie sprawdza.
- Procedury są, ale nikt ich nie ćwiczy
Dopiero w momencie incydentu dowiadujemy się co tak naprawdę zawiodło.
W praktyce powinno to wyglądać całkowicie odwrotnie. Podejście do bezpieczeństwa powinno się zacząć od inwentaryzacji zasobów w celu określenia co i w jaki sposób powinno być chronione. Gdzie i jakie dane są przetwarzane oraz jakie procesy są dla naszej Organizacji krytyczne. Kiedy już mamy pełną wiedzę na temat naszych zasobów powinniśmy przeprowadzić analizę ryzyka, żeby określić co i w jaki sposób powinno być chronione. Na tej podstawie jesteśmy w stanie dopiero stworzyć polityki i procedury i na końcu dobrać pod to zabezpieczenia techniczne.
Zatem posiadanie dobrych zabezpieczeń jak firewall, backupy, antywirusy ma sens dopiero wówczas, kiedy jest to zaimplementowane na podstawie przemyślanego projektu i polityk. Dosyć istotną kwestią jest również przestrzeganie procedur i mam tutaj na myśli regularne testowanie backupów zgodnie z wcześniej ustalonym harmonogramem, sposobu zachowania na wypadek incydentu a także planu działania po incydencie, żeby w jak najkrótszym czasie przywrócić działanie w pierwszej kolejności krytycznych systemów a następnie wszystkich pozostałych, czyli mówimy tutaj do DRP.
Wszystkie te działania sprowadzają się do procesu, który nazywamy Systemem Zarządzania Bezpieczeństwem Informacji.
Wniosek z tego jest taki, że bezpieczeństwo Organizacji nie powinno się opierać wyłącznie na zaawansowanych technicznie rozwiązaniach ale na odpowiednim podejściu do szeroko pojętego bezpieczeństwa.
Brach tych wszystkich elementów może doprowadzić do nieprzyjemnych sytuacji a w efekcie narazić nas na poważne konsekwencji nie tylko wizerunkowa i finansowe ale przede wszystkim też te związane z utratą wiarygodności i co najgorsze czasem bardzo kluczowych danych. Dlatego zanim zaczniemy mówić o bezpieczeństwie IT zastanówmy się, czy spełniamy te wszystkie założenia i wdrażane rozwiązania są ze sobą spójne.