Wstęp do cyberbezpieczeństwa dla Biznesu

utworzone przez | lis 21, 2022

()

Wstęp

Na łamach Pushsec chcielibyśmy rozpocząć cykl budowania świadomości nt. cyberzagrożeń, cyberataków, wykorzystywanych narzędzi oraz jak się przed tym  można bronić w odniesieniu do  organizacji i społeczeństwa.

Nazywam się Mariusz Wilczyński, aktualnie pracuję w jednej z firm związanej ze wdrożeniami rozwiązań security. Klientami są duże organizacje prywatne, jak i z sektora publicznego, a także te małe.  Na co dzień widzę, z czym zmagają się przedsiębiorstwa i te, które tylko rozglądają się za rozwiązaniami security, jak i te, które padły ofiarą ataków cybernetycznych. Rozmawiając też z przedsiębiorcami oraz ludźmi, często wszystko sprowadza się do jednego – nie mają świadomości nt. zagrożeń występujących. Częstokroć uważają, że ich to nie dotyczy.

W niniejszej serii chciałbym przedstawić takie tematy jak: podstawowe informacje nt. cyberzagrożeń, rodzaje zagrożeń, przypadki ataków, ochrona organizacji, jak zacząć (dokumenty i procedury), systemy do ochrony (m.in.: SIEM/SOAR, EDR, NDR), usługa soc, wydarzenia i konferencje.

Co to są cyberzagrożenia?

Cyberzagrożenia:

” oznacza wszelkie zidentyfikowane działania mające na celu uzyskanie dostępu do danych, aplikacji lub systemu, ich eksfiltrację, manipulację lub naruszenie ich integralności, poufności, bezpieczeństwa lub dostępności, aplikacji lub systemu bez upoważnienia zgodnego z prawem.” [1] 

” to potencjalne zdarzenia cybernetyczne, które mogą powodować niepożądane skutki, powodując szkody dla systemu lub organizacji. Zagrożenia mogą pochodzić zewnętrznie lub wewnętrznie i mogą pochodzić od osób, lub organizacji.” [2]

” [to] wszystko, co może zagrozić bezpieczeństwu systemów informatycznych i urządzeń podłączonych do Internetu lub wyrządzić im szkody (w tym sprzęt, oprogramowanie i powiązaną infrastrukturę), zawarte w nich dane oraz świadczone przez nie usługi, głównie za pomocą środków cybernetycznych.” [3]

Analogicznie do zagrożenia w świecie security występuje pojęcie cyberbezpieczeństwo (ang. cybersecurity). Za Wikipedią: ”Cyberbezpieczeństwo to ogół technik, procesów i praktyk stosowanych w celu ochrony sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem. Cyberbezpieczeństwo bywa także określane jako „bezpieczeństwo technologii informatycznych”. Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Stanowi również zespół zagadnień związanych z zapewnianiem ochrony w obszarze cyberprzestrzeni. Z pojęciem cyberbezpieczeństwa związana jest między innymi ochrona przestrzeni przetwarzania informacji oraz zachodzących interakcji w sieciach teleinformatycznych.”[4]

Mając definicję, możemy przejść do kolejnego punktu.

Jakie mamy rodzaje cyberzagrożeń?

W cyberprzestrzeni możemy znaleźć wiele rodzajów cyberzagrożeń. Natomiast do najważniejszych należą: złośliwe oprogramowanie, ataki hakerskie i wyłudzanie informacji.

W 2022 roku w przedstawionym raporcie ENISA Threat Landscape 2022 [5] nt. cyberzagrożeń przedstawiono najważniejsze:

  • ransomware – to rodzaj ataku, w którym cyberprzestępcy przejmują kontrolę nad aktywami celu i żądają okupu w zamian za zwrot dostępności zasobu;
  • malware – to złośliwe oprogramowanie, zwane również złośliwym kodem, przeznaczone do wykonywania nieautoryzowanego procesu, który będzie miał niekorzystny wpływ na poufność, integralność lub dostępność systemu. Tradycyjnie przykłady typów złośliwego kodu obejmują wirusy, robaki, konie trojańskie lub inne jednostki oparte na kodzie, które infekują hosta.
  • social engineering / inżynieria społeczna — inżynieria społeczna obejmuje szeroki zakres działań, które mają na celu wykorzystanie ludzkiego błędu lub ludzkiego zachowania w celu uzyskania dostępu do informacji, lub usług. Wykorzystuje różne formy manipulacji, aby nakłonić ofiary do popełnienia błędów lub przekazania poufnych, lub tajnych informacji. Rodzaje: phishing, spear phishing, whaling, smishing, vishing, kompromitacja biznesowej poczty e-mail (BEC), oszustwa.
  • zagrożenia danych — to zbiór zagrożeń, których celem są źródła danych w celu uzyskania nieautoryzowanego dostępu i ujawnienia, a także manipulowania danymi w celu zakłócenia zachowania systemów. Zagrożenia te są również podstawą wielu innych zagrożeń np. ransomware, RdoS (Ransomware Denial of Service), DDoS (Distributed Denial of Service) mają na celu odmowę dostępu do danych i ewentualnie pobranie płatności w celu przywrócenia tego dostępu. Naruszenie/wyciek danych to celowy atak przeprowadzony przez cyberprzestępcę w celu uzyskania korzyści z nieautoryzowanego dostępu i ujawnienie danych wrażliwych, poufnych lub chronionych.
  • zagrożenia dostępności (np. DDoS) – dostępność jest celem wielu zagrożeń i ataków, wśród których wyróżnia się DDoS. DDoS atakuje dostępność systemu i danych i chociaż nie jest nowym zagrożeniem, odgrywa znaczącą rolę w krajobrazie zagrożeń cyberbezpieczeństwa. Ataki mają miejsce, gdy użytkownicy systemu lub usługi nie mają dostępu do odpowiednich danych, usług lub innych zasobów. Można to osiągnąć poprzez wyczerpanie usługi i jej zasobów lub przeciążenie elementów infrastruktury sieciowej.
  • zagrożenia dostępności (internetowe) –  ta grupa obejmuje zagrożenia, które mają wpływ na dostępność Internetu, takie jak przejęcie kontroli nad protokołem BGP (Border Gateway Protocol). Lub też odmowa usługi (DoS).
  • dezinformacja — dezinformacja i kampanie dezinformacyjne wciąż nasilają się, co jest spowodowane coraz częstszym korzystaniem z platform mediów społecznościowych i mediów internetowych. Platformy cyfrowe są obecnie normą dla wiadomości i mediów. Portale społecznościowe, serwisy informacyjne i media, a nawet wyszukiwarki są obecnie źródłem informacji dla wielu osób. Ze względu na charakter działania tych witryn, polegający na przyciąganiu ludzi i generowaniu ruchu w ich witrynach, informacje, które generują więcej widzów, są zwykle promowane, czasem bez ich walidacji.
  • supply chain attacks — celem ataku na łańcuch dostaw są relacje między organizacjami a ich dostawcami. Atak obejmujący element łańcucha dostaw występuje, jeżeli składa się z kombinacji co najmniej dwóch ataków po stronie dostawcy, jak i klienta. SolarWinds był jednym z pierwszych ujawnień tego rodzaju ataku i pokazał potencjalny wpływ ataków na łańcuch dostaw.

Poniżej przedstawiam pełną listę cyberzagrożeń według raportu Agencji UE ds. Cyberbezpieczeństwa (ENISA):

  • Złośliwe oprogramowania (malware);
  • Ataki z wykorzystaniem złośliwego kodu na stronach internetowych;
  • Phishing, czyli bezpośrednie wyłudzanie poufnych informacji lub za pomocą złośliwego oprogramowania;
  • Ataki na aplikacje internetowe;
  • SPAM – niechciana korespondencja;
  • Ataki DDoS – czyli blokowanie dostępu do usług poprzez sztuczne generowanie wzmożonego ruchu;
  • Kradzież tożsamości;
  • Naruszenie poufności, integralności lub dostępności danych;
  • Zagrożenia wewnętrzne powodowane przez pracowników;
  • Botnet-y – sieci komputerów przejętych przez przestępców;
  • Ingerencja fizyczna, uszkodzenia oraz kradzież;
  • Wyciek danych;
  • Ataki ransomware w celu wyłudzenia okupu za odszyfrowanie lub nieujawnianie wykradzionych danych;
  • Cyberszpiegostwo;
  • Kradzież kryptowalut (cryptojacking).

W osobnym artykule przedstawię szerzej rodzaje ataków.

Kto przeprowadza cyberataki?

Ataki hakerskie na organizacje czy też ludzi są przeprowadzane codziennie. Z jednej strony mogą to być zorganizowane grupy przestępcze, jak i też pojedyncze osoby. W ostatnich kilku latach można zaobserwować nowe zjawisko, jakim jest edukacja hakerska oraz haker jako usługa.

  • Państwa – zorganizowane grupy hakerów działających na zlecenie państw;
  • Zorganizowane grupy przestępcze — celem ich jest kompromitacja danego przedsiębiorstwa, aby uzyskać korzyści finansowe. Zazwyczaj atakowane są przedsiębiorstwa;
  • Pojedyncze osoby – celem jest budowanie swojej reputacji oraz uzyskiwanie korzyści majątkowych. Ataki mogą być na przedsiębiorstwa oraz na zwykłych ludzi;
  • Testerzy – dokładnie pentesterzy, czyli osoby, które na zlecenie danej firmy przeprowadzają atak, celem wykrycia słabych punktów zabezpieczeń firmy;
  • Hakerzy jako usługa – tj. hakerzy na wynajem, coraz popularniejszy sposób na zlecenie usługi przeprowadzenia ataku np. przez konkurencję, osoby prywatne;
  • Młodzi hakerzy – osoby, które dopiero wkraczają w cyberświat. Edukują się na różnych grupach, kursach online. Praktykę ćwiczą w realnym świecie głównie na ludziach (pomimo dostępności wielu środowisk laboratoryjnych do testów i nauki).

Wyzwania cyberbezpieczeństwa

Do niewątpliwie jednego z najtrudniejszych wyzwań w cyberbezpieczeństwie należy zmieniający się charakter zagrożeń. Zmieniający się świat, postęp technologiczny oraz coraz to nowsze metody ataków powodują i skala powodują, iż organizacje powinny na bieżąco monitorować zasoby w całym środowisku. Do ważnych obszarów cyberbezpieczeństwa, które należy monitorować, należą takie zasoby jak:

  1. bezpieczeństwo sieci — to szerokie pojęcie obejmujące ochronę wszystkich zasobów komputerowych przed atakami naruszającymi ich dostępność, integralność i poufność;
  2. bezpieczeństwo aplikacji — odnosi się do ochrony aplikacji korporacyjnych przed atakami zewnętrznymi, nadużyciami przywilejów i kradzieżą danych. Polega to na dodawaniu funkcji do oprogramowania, aby zapobiec wielu różnym zagrożeniom. Różne rodzaje zabezpieczeń aplikacji, takie jak zapory ogniowe, programy antywirusowe, programy szyfrujące i inne urządzenia, mogą pomóc w zapobieganiu nieautoryzowanemu dostępowi;
  3. bezpieczeństwo punktu końcowego — zwane również ochroną punktów końcowych, to podejście do ochrony sieci firmowej, skupiające się na momentach, gdy dostęp do niej odbywa się za pomocą urządzeń zdalnych, bezprzewodowych czy mobilnych, takich jak laptopy, tablety i telefony komórkowe;
  4. ochrona danych osobowych – to zabezpieczenie danych przed ich utratą, wyciekiem, czy niepowołanym dostępem;
  5. zarządzanie tożsamością i dostępem (identity and access management, IAM) – oznacza zarządzanie pełnym cyklem życia tożsamości i uprawnień użytkowników we wszystkich zasobach przedsiębiorstwa, zarówno w centrach danych, jak i w chmurze;
  6. bezpieczeństwo baz danych i infrastruktury odnosi się do zakresu narzędzi, mechanizmów kontroli i środków zaprojektowanych z myślą o zapewnieniu poufności, integralności i dostępności baz danych i infrastruktury z nią związaną;
  7. bezpieczeństwo w chmurze — to zbiór procedur, zasad i technologii chroniących na podstawie środowisk chmurowych przed cyberzagrożeniami;
  8. bezpieczeństwo mobilne — odnosi się do ochrony krytycznych, wrażliwych i w inny sposób cennych danych, które znajdują się lub są przesyłane na urządzenia mobilne. Przede wszystkim chodzi tutaj o smartfony i tablety;
  9. odzyskiwanie po awarii – planowanie ciągłości działania;
  10. odpowiednie zabezpieczenie techniczne firmowej sieci;
  11. optymalna architektura systemowo-serwerowa;
  12. utworzenie bezpiecznego połączenia zdalnego z firmowym serwerem;
  13. regularne szkolenie pracowników firmy z zakresu cyberbezpieczeństwa.

Jak się należy bronić przed cyberzagrożeniami?

W zakresie ochrony organizacji przed cyberzagrożeniami możemy podzielić na dwa elementy:

1. Ochrona na poziomie organizacyjnym – techniki, procedury, zasoby, narzędzia;

2. Ochrona na poziomie społecznym – budowanie świadomości, informowanie nt. polityki „security”, wczesne ostrzeganie.

Ochrona na poziomie organizacyjnym mówi o tworzeniu bezpiecznego środowiska umożliwiająca  wykonywanie pracy. W ramach niego możemy podzielić to na tzw. poziomy cyberbezpieczeństwa. Pierwszy to poziom techniczny – rozwiązania technologiczne (antywirusy, firewall’e, aktualne i legalne programowanie, Centra Operacji Bezpieczeństwa (Security Operation Center) itp.). Drugi to poziom organizacyjny – procedury bezpieczeństwa (w tym procedury na wypadek incydentu lub naruszenia oraz reagowania). Trzeci poziom to zasoby – czyli eksperci (osoby odpowiedzialne za monitorowanie, zarządzanie bezpieczeństwem organizacji).

Ochrona na poziomie społecznym mówi o budowaniu świadomości wśród pracowników, członków rodziny w zakresie zagrożeń występujących w sieci. Takie zwiększanie świadomości powinno polegać na informowaniu nt. prowadzonej polityki cyberbezpieczeństwa w danej organizacji oraz wczesne ostrzeganie w przypadku wykrycia podejrzanych lub nieuprawnionych zachowań użytkownika. Do podstawowych elementów ochrony możemy zaliczyć:

  • zainstalowanie i używanie oprogramowania przeciw wirusom i spyware (najlepiej stosować ochronę w czasie rzeczywistym);
  • aktualizowanie oprogramowania antywirusowego (najlepiej nowej generacji) oraz bazy danych wirusów lub innego systemu ochraniającego stacje robocze (np. EDR);
  • aktualizowanie systemu operacyjny i aplikacji bez zbędnej zwłoki;
  • nie otwieranie plików z nieznanego pochodzenia;
  • niekorzystanie ze stron banków, poczty elektronicznej czy portali społecznościowych, które nie mają ważnego certyfikatu bezpieczeństwa;
  • nieużywanie niesprawdzonych programów zabezpieczających (np. programu antywirusowego, który pochodzi od niezaufanego dostawcy) czy też do publikowania własnych plików w Internecie;
  • sprawdzanie plików pobranych z Internetu za pomocą skanera (np. program antywirusowy);
  • nieodwiedzanie stron, które oferują niesamowite atrakcje (darmowe filmiki, muzykę, albo łatwy zarobek przy rozsyłaniu spamu) – często na takich stronach znajdują się ukryte wirusy, trojany i inne zagrożenia;
  • niezostawianie danych osobowych w niesprawdzonych serwisach i na stronach;
  • niewysyłanie w e-mailach żadnych poufnych danych w formie otwartego tekstu – niech np. będą zabezpieczone hasłem i zaszyfrowane – hasło przekazujemy w sposób bezpieczny inną formą komunikacji (np. poprzez sms);
  • wykonywanie regularnie kopii zapasowych;
  • ograniczanie korzystania z ogólnodostępnych sieci WI-FI;
  • używanie silnych i zróżnicowanych haseł oraz systematyczna zmiana;
  • sprawdzanie uprawnień pobieranych aplikacji.

Podsumowując oba punkty, to można zauważyć, że do typowych zabezpieczeń w organizacji należą:

  • odpowiednie systemy, polityki i procedury;
  • silne hasła, dwuskładnikowe uwierzytelnianie;
  • odpowiednie narzędzia: antywirusy, edr, ndr, firewalle, IPS etc.;
  • wyłączne używanie legalnego oprogramowania;
  • regularne aktualizowanie oprogramowania;
  • edukacja pracowników;

Dlaczego moja organizacja jest bezpieczna i dlaczego się mylę ?

Większość firm i ludzi wydaje się, że ich to nie dotyczy. Że kto by zwracał uwagę na małą firmę. Albo, jaki też jest cel przeprowadzenia ataku na szpital, stację benzynową, czy małe przedsiębiorstwo produkcyjne. Albo większym firmom wydaje się, że jak mają zainstalowane standardowe rozwiązanie, przy Windowsie to wystarczy, albo posiadają darmowego antywirusa.

Chciałbym jednakże zwrócić uwagę, iż są różne cele przeprowadzania ataków, od finansowych, po reputacyjne, kończąc na atakach dla treningu. Wydaje się, że mniejsze firmy są mniej zabezpieczone przez atakami, stąd też są bardziej podatne dla początkujących/młodych hakerów. Organizacje przestępcze starają się szukać podatności w dużych przedsiębiorstwach. Jeśli weźmiemy pod analizę drogę ataków, to sprowadzają się często do ataku na człowieka, na pracownika.

Luki w systemie informatycznych powstają np. w sytuacji, gdzie pracownicy, bez wyraźnej zgody, korzystają z nieautoryzowanych i potencjalnie niebezpiecznych zasobów sieci np. stron internetowych, instalacji programów, komunikatorów lub trwałych nośników danych. Niewiadome pochodzenie takich zasobów generuje ryzyko infekcji systemu, co może narażać firmę na niebezpieczeństwo stania się ofiarą ataku cyberprzestępców.

Zdarza się, że pracownicy często w dobrej wierze, pobierają z internetu aplikacje, których celem jest usprawnienie wykonywanej pracy. Choć idea z pozoru wydaję się być słuszna, w praktyce może dojść do sytuacji, gdy pracownik wykorzysta źródło zainfekowane złośliwym oprogramowaniem. Niestety bywają też przypadki, gdy pracownicy pobierają i instalują programy w nielegalnych wersjach.

Zatem konfrontując atakujących i ludzi pracujących w organizacjach można zauważyć, że nasze cyberbezpieczeństwo jest pozorne. I tak naprawdę to jest kwestia czasu, kiedy zostaniemy zaatakowani. Spróbujmy teraz oszacować wartość ataków.

Zatem ile naprawdę kosztują cyberataki?

Niestety, ciężko jest tu określić konkretne liczby, ponieważ koszty mogą się znacznie różnić w zależności od regionu, przedsiębiorstw, wielkości ataku. Na przykład, gdy hakerzy oprogramowania ransomware ścigają duże międzynarodowe korporacje, mają tendencję do proszenia o ogromne okupy (czasem w milionach), ponieważ wiedzą, że ich cel może sobie pozwolić na zapłacenie. W przeciwieństwie do tego, ataki ransomware na mniejszą skalę zwykle wymagają znacznie mniej. Zważywszy, aby dobrze oszacować koszt cyberataku, należy wziąć pod uwagę takie składowe jak koszt ekonomiczny, koszt naprawy, czy też koszt naruszenia reputacji.

Wg wielu raportów nt. cyberzagrożeń, globalne koszty cyberprzestępczości rosną co najmniej o 15 procent rocznie w ciągu ostatnich i następnych pięciu lat, osiągając do 2025 r. 10,5 bln USD rocznie, w porównaniu z 3 bln USD w 2015 r. Stanowi to największy transfer bogactwa gospodarczego w historii, stwarza ryzyko zachęt do innowacji i inwestycji, jest wykładniczo większy niż szkody wyrządzone w ciągu roku w wyniku klęsk żywiołowych i będzie bardziej opłacalny niż globalny handel wszystkimi głównymi nielegalnymi narkotykami łącznie.

Oszacowanie kosztów szkód opiera się na historycznych danych liczbowych dotyczących cyberprzestępczości, w tym na wzroście z roku na rok, dramatycznym wzroście wrogich działań hakerskich sponsorowanych przez państwo i zorganizowanych gangach przestępczych oraz wektorów cyberataków, która w 2025 r. będzie o rząd wielkości większa, niż to jest dziś.

Poniżej lista przykładowych ataków w ostatnich latach:

  • Atak na spółkę Cenzin (Polska Grupa Zbrojeniowa) – strata 4 mln zł 2018 r.;
  • Toyota i 37 mln dolarów straty na skutek BEC – 2019 r.;
  • FACC – strata 42 mln euro – 2016 r. ;
  • Solarwinds – 25 mln dolarów 2020 r.;
  • Amazon – 75 mln dolarów 2021 r.;
  • Colonial Pipeline 5 mln dolarów 2021 r.;
  • Microsoft, Nvidia, Ubisoft, Samsung, Hotele Marriott – 2022 r.;
  • Crypto.com –  18 milionów dolarów w Bitcoinach oraz 15 milionów dolarów w Ethereum 2022r. ;
  • Ostatnie ataki na UBER (atak przez nastolatka), Bank Revolut, Rockstar – 2022 r.

W 2021 CERT odnotował aż 22 575 incydentów. Przykłady [6]:

  • Atak ransomware na sieć klinik kardiologicznych American Heart;
  • Włamanie na stronę Państwowej Agencji Atomistyki i portal zdrowie.gov.pl;
  • Upublicznienie paczki z danymi 533 milionów użytkowników Facebooka;
  • Wyciek danych klientów firmy Tauron;
  • Atak ransomware na firmę Totolotek;
  • Atak ransomware na europejskie oddziały Media Markt.

Roczne koszty ogólnoświatowe.

Jak widać z tego raportu [7] i [8], roczne koszty cyberprzestępczości są oszałamiające. Opracowany przez firmę McAfee raport zgromadził wiele danych dotyczących strat związanych z cyberprzestępczością (publicznych i prywatnych) i podsumował łączne straty. W 2020 roku straty te wyniosły ponad bilion dolarów. Widzimy również, że liczby te gwałtownie wzrosły od 2018 r., więc prawdopodobnie wzrost ten będzie kontynuowany. Aktualny raport — Raport IBM Cost of Data Breaches Report 2022 podaje średni całkowity koszt w wysokości 4,5 mln USD (wartość ta była w zasadzie taka sama, niezależnie od tego, czy chodziło o oprogramowanie ransomware, czy nie).

Spośród 550 firm, z którymi skontaktował się IBM, które doświadczyły naruszenia bezpieczeństwa danych, rozczarowujące 83% doświadczyło więcej niż jednej w tym samym okresie. Raport wykazał również, że naruszenia, w których czynnikiem była praca zdalna, podniosły średni koszt o około 1 mln USD. Po raz kolejny branża opieki zdrowotnej odnotowała najwyższe średnie koszty do odzyskania. To było ponad 10 milionów dolarów.

Najczęstszym wektorem ataku pozostaje kradzież danych uwierzytelniających (19%), następnie phishing (16%), źle skonfigurowana chmura (15%) oraz luki w oprogramowaniu firm trzecich (13%).

Średnie koszty na firmę

Musimy zawęzić te liczby, aby były bardziej przydatne, więc przyjrzyjmy się średniemu kosztowi (rocznie), który poniesie jedna firma w wyniku cyberataku. Należy pamiętać, że są to wartości uśrednione, więc nie odzwierciedlają one każdej indywidualnej firmy. Według danych [9] straty zależą w dużej mierze od wielkości firmy. Co jest naturalne: im więcej masz, tym więcej możesz stracić. Poniższe dane wg różnych analiz oscylują na podobnym poziomie.

Dla Polski trudno przedstawić dokładne wyliczenia choćby ze względu na to, iż firmy niespecjalnie chwalą się takimi danymi. Patrząc na liczbę ataków, wg CERT śmiało, można zauważyć, że coraz więcej polskich firm pada ofiarą ataków. Stąd też można w dużym uproszczeniu przyjąć wartości jednostki USD jako PLN.

  • Małe firmy (1-49 pracowników) straciły średnio 24 000 USD / rok
  • Średnie firmy (50-249 pracowników) straciły średnio 50 000 USD / rok
  • Duże firmy (250-999 pracowników) straciły średnio 133 000 USD / rok
  • Firmy na poziomie przedsiębiorstw (ponad 1000 pracowników) straciły średnio 504 000 USD / rok

Ale to dużo. Dużo za dużo.

Chociaż większość uważa, że wydatki na cyberbezpieczeństwo nie są opłacalne, chciałbym odnieść się do tego argumentu i pokazać, dlaczego jest on błędny. Nie można oczekiwać, że otrzymamy wysokiej jakości profesjonalne usługi bez płacenia za nie uczciwej ceny, a to tylko połowa równania. Z drugiej strony oczywiste jest również, że potencjalny koszt cyberataku jest znacznie większy niż prawdopodobny koszt odpowiedniego budżetu na cyberbezpieczeństwo.

Koszt cyberbezpieczeństwa. Podobnie jak w przypadku kosztów cyberataków, koszty dobrego cyberbezpieczeństwa będą się znacznie różnić. Dużą rolę odegra wybrana firma oraz rodzaj usług, które się chce. Aby jednak wyliczyć koszt, jaki powinna firma przeznaczyć na bezpieczeństwo, musimy podać przybliżone liczby. Zatem zobaczmy, ile przeciętna firma prawdopodobnie wyda rocznie na cyberbezpieczeństwo.

Według tego raportu [10] przeciętna firma przeznacza na cyberbezpieczeństwo od 6% do 14% swojego rocznego budżetu IT. To mniej niż jedna czwarta całkowitej kwoty przeznaczonej na cyberbezpieczeństwo, więc to wcale nie jest takie złe. Średnio większość firm wydawała około 10% swojego budżetu IT. Co prawda dane te są z 2020 roku, natomiast jedno można zauważyć, że kwota przeznaczana na bezpieczeństwo stale powinna rosnąć, wraz z rozwojem cyberzagrożeń.

Jak można przeliczyć, korzyści płynące z dobrego cyberbezpieczeństwa są warte poniesionych wydatków. Kiedy weźmiesz pod uwagę fakt, że spora część aplikacji jest open source’owa i tylko niewielką część budżetu można przeznaczyć na bezpieczeństwo to fakty stają się oczywiste. Cyberataki na duże firmy będą wymagały milionów. Na małe firmy tysiące. W związku z tym opłaca się zatrudniać kompetentnych specjalistów ds. cyberbezpieczeństwa

Mnie to nie dotyczy. Oszczędność vs. bezpieczeństwo!

Przytoczymy kilka faktów.

Według danych, wyrażonych w raporcie Check Pint Research [11], podmioty w naszym kraju są atakowane średnio 938 razy w tygodniu. Tendencja wzrostowa jest wyraźna – wynosi 35 procent w porównaniu ze stycznia 2022 roku.  Polska, w dużej mierze z powodu trwającej wojny na wschodzę, zajęła szóste miejsce w zestawieniu najczęściej atakowanych krajów. Wyprzedzają nas jedynie: Węgry, Cypr, Słowacja, Estonia i Białoruś. Warto podkreślić, że wg tego opracowania można zauważyć wzrostową tendencję, podczas gdy w większości krajów europejskich trend ten był odwrotny. Odnosząc tę statystykę w skali globalnej, okazuje się, że nie jesteśmy w czołówce. Średnia globalna liczba ataków wynosi bowiem 1130 tygodniowo.

Średni koszt ataku, jaki ponosi dane przedsiębiorstwo oscyluje od 24 000 USD/PLN* nawet do 500 000 USD/PLN*. Średni wydatek na cyberbezpieczeństwo może wynieść ok. 10% budżetu IT. Wobec powyższego, czy warto oszczędzać na bezpieczeństwie ?

* wartość w PLN jest szacunkową wartością.

A jednak – co zrobić, kiedy mnie to już spotkało?

Po pierwsze nie panikować, ale spokojnie zastanowić się nad kolejnymi krokami postępowania. Pochopne reakcje mogą pogłębić skalę zniszczeń.

Z pewnością będzie konieczny kontakt z osobami odpowiedzialnymi za bezpieczeństwo informatyczne w naszej firmie. Nie zawsze posiadamy pracowników, którzy znają się na bezpieczeństwie. Być może to właśnie z powodu niedostatecznych kompetencji własnych kadr doszło do ataku. Warto wtedy zwrócić się do profesjonalistów, którzy usuną skutki ataku, przywrócą funkcjonowanie i zabezpieczą przez kolejnymi.

Sprawdzone metodyki zarządzania bezpieczeństwem informacji wskazują, iż po pierwsze, należy zająć się skutkami ataku i usunąć jego skutki, zbadać przyczyny, a następnie wdrożyć zabezpieczenia uniemożliwiające kolejne niepożądane działania i przetestować ich skuteczność.

Kroki które należy przedsięwziąć w przypadku potencjalnego ataku hakerskiego:

  1. Potwierdzenie włamania;
  2. Powstrzymanie ataku;
  3. Usuwanie skutków ataku;
  4. Poinformowanie zainteresowanych stron;
  5. Analiza przyczyn ataku i ograniczenie możliwości wykonania kolejnych.

Generalnie po takim ataku warto zwrócić się do wyspecjalizowanej firmy celem oszacowania skutków ataków oraz przeprowadzenia audytu bezpieczeństwa. Dzięki temu dowiemy się jaki       element naszego systemu zabezpieczeń zawiódł. Dowiemy się, którędy oraz jaką techniką atakujący dostał się do naszej sieci. W tej sytuacji warto też, dokonać przeglądu zabezpieczeń oraz używanych procedur (jeśli są). Pozwoli to wskazać na słabe ogniwa oraz wyeliminować luki bezpieczeństwa. Najczęściej diagnozowanymi lukami są uprawnienia i procedury. Warto też zastanowić się nad wdrożeniem systemu zarządzania bezpieczeństwem informacji, wraz z określonymi procedurami, kompetencjami i wytycznymi.

Dobra, to od czego zacząć?

Przeczytać pozostałe moje artykuły, które naświetlą drogę do cyberbezpieczeństwa organizacji i pozwolą, bliżej zrozumieć co trzeba zrobić, jak zbudować bezpieczną sieć teleinformatyczną itd. Jednakże,  kiedy potrzebujesz działać tu i teraz i nie masz czasu na czytanie, poszukiwaniu informacji można to zlecić specjalistą. Poszukaj firmy, które zajmują się wdrożeniami rozwiązań security, albo firmy, które świadczą usługi SOC (Security Operation Center). Zlecenie przeprowadzenia audytu bezpieczeńśtwa da szeroki obraz naszego bezpieczeństwa w sieci. Również możesz napisać do mnie.

Jeśli masz więcej czasu i chcesz rozpocząć przygotowania do wdrożenia rozwiązań cybersecurity to zacznij od inwentaryzacji zasobów. Zacznij od zapoznania się ze środowiskiem sieciowym i posiadaną infrastrukturą software i hardware. W kolejnym kroku należy przygotować środowisko. Zebrać informacje nt. zachodzących procesów w organizacji, kluczowych elementów. Ponadto wyznaczyć osoby odpowiedzialne za proces wdrożenia. W kolejnym etapie, należałoby przeprowadzić skanowanie i analizę słabych obszarów. Mając gotowy raport możemy przejść do kolejnego etapu, w którym ustalamy priorytety wykrytym lukom. Na tej podstawie możemy dokonać rozeznania w zakresie produktów i usług dostępnych na rynku. W ostatnim etapie wdrażamy odpowiednie rozwiązanie.

Powyższe etapy są ogólnym podejściem do wprowadzenia cyberbezpieczeństwa. W przypadku każdej organizacji może to wyglądać zupełnie inaczej – często zależy to od indywidualnego podejścia w organizacji: zasobów, finansów, kluczowych obszarów i kompetencji.

Podsumowanie

W niniejszym artykule przedstawiłem podstawowe aspekty związane z cyberbezpieczeństwem i cyberzagrożeniami w kontekście organizacji. Mam nadzieję, że temat choć trochę został przybliżony. Aczkolwiek temat cyberbezpieczeństwa jest bardzo szeroki. Wynika to z mnogości zagadnień, które często są ze sobą bardzo powiązane. Jak można dowiedzieć się z treści, częstokroć przedsiębiorstwa nie zdają sobie sprawy z zagrożeń, albo traktują je powierzchownie. Nie mają świadomości jak dynamicznie zmienia się krajobraz cyberzagrożeń i tak naprawdę za chwilę to oni mogą stać się ofarą ataku.

Artykuł ten jest wstępem do dalszych publikacji nt. cyberbezpieczeństwa. W kolejnym postaram się przybliżyć informacje na temat zagrożeń i przypadków ataków. W kolejnych postaram się przedstawić szerzej na temat ochrony organizacji, narzędzi. Jeśli jest jakiś obszar, który chciałbyś, żebym opisał to daj znać.

PozdrawiamMariusz Wilczyński

Wszelkie informacje, które zostały napisane w tym artykule, nie dotyczą pracy/pracodawcy Mariusz a są jego własną opinią.

Bibliografia

[1] Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych , Ocena wpływu na prywatność inicjatywy trzeciej http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_nppd_initiative3exercise.pdf

[2] Partnerstwo na rzecz odporności cybernetycznej: ryzyko i odpowiedzialność w hiperpołączonym świecie – zasady i wytyczne, https://itlaw.fandom.com/wiki/Partnering_for_Cyber_Resilience:_Risk_and_Responsibility_in_a_Hyperconnected_World-Principles_and_Guidelines

[3] Narodowa Strategia Bezpieczeństwa Cybernetycznego 2016 do 2021, Słowniczek, Załącznik 2, https://itlaw.fandom.com/wiki/National_Cyber_Security_Strategy_2016_to_2021

[4] Wikipedia – definicja cyberbezpieczeństwa https://pl.wikipedia.org/wiki/Cyberbezpiecze%C5%84stwo

[5] Enisa Threat Landscape 2022 https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[6] Cert Polska https://www.cert.pl/uploads/docs/Raport_CP_2021.pdf

[7] https://www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf

[8] Raport IBM Cost of Data Breaches Report 2022

[9] https://pchtechnologies.com/cost-of-cyber-attacks-vs-cost-of-cyber-security-in-2021/

[10] https://www2.deloitte.com/us/en/insights/industry/financial-services/cybersecurity-maturity-financial-institutions-cyber-risk.html

[11] https://research.checkpoint.com/

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić

468

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *