Jak zabezpieczyć firmowe dane przed atakiem hakerów.

CYBERPRZESTĘPCZOŚĆ A.D. 2019. PRZERAŻAJĄCA SKALA ZJAWISKA

Niestety. Ataki hakerskie zdarzają się częściej – i w znacznie większej liczbie firm – niż ktokolwiek z nas mógłby przypuszczać. Statystyki są bezwzględne: w wyniku działań cyberprzestępców firmy na całym świecie tracą co roku dziesiątki miliardów dolarów. Bezpieczni nie są ani duzi, ani mali przedsiębiorcy. Ci pierwsi padają najczęściej ofiarami zorganizowanych grup przestępczych, konkurencji oraz... rządów (zob. chociażby przypadek NotPetya); ci drudzy – początkujących hakerów, osób uczących się swojego przestępczego fachu i szlifujących umiejętności na źle zabezpieczonej firmowej infrastrukturze. Aby wyrobić sobie zdanie na temat skali działań internetowych przestępców, wystarczy odwiedzić stronę Breach Level Index. Jest to serwis zajmujący się dokumentowaniem przypadków wirtualnych włamań i kradzieży (a czasami także zwykłej nieostrożności). Od 2013 roku kradzieży lub wyciekowi uległo niemalże 15 000 000 000 rekordów. A są to tylko te odkryte, zgłoszone i udokumentowane przypadki. A ponieważ wykrywalność takich przestępstw nie należy do najwyższych, to rzeczywista liczba kradzieży i przecieków może być znacznie większa. Jak zabezpieczyć się przed podobną sytuacją? I jak chronić firmowe dane, za których wycieki my również możemy odpowiadać przed sądem (a kary przewidywane przez RODO i nadchodzącą Ustawę o e-privacy nie są najlżejsze)? Nie ma prostej odpowiedzi. Ale jest kilka istotnych wskazówek.

PO PIERWSZE: BACKUP, PO DRUGIE: BACKUP BACKUPU

Listę należy zacząć od tego, co oczywiste – a przynajmniej: co powinno być oczywiste. Doświadczenie pokazuje bowiem, że nawet największe firmy pracujące na dobrze zdefiniowanych procedurach miewają poważne problemy z poprawnością tworzenia i przechowywania kopii zapasowych danych. Idealną ilustracją tej tezy jest przypadek firmy Maersk, która na skutek ataku NotPetya straciła do 300 milionów dolarów (szacunki różnią się między sobą, ale poszczególne liczby oscylują wokół tej kwoty). Maersk jest firmą zajmującą się międzynarodowym transportem towarów; jest liderem tego rynku. Niestety, błędy w procedurach i niewłaściwa organizacja infrastruktury IT sprawiły, że na skutek ataku stanęła na granicy katastrofy. Ze wszystkich kopii zapasowych oprogramowania odpowiedzialnego za funkcjonowanie najważniejszych elementów systemu informatycznego firmy zachowała się tylko jedna – a i ona jedynie na skutek przypadku. Serwery, na których ją przechowywano (zlokalizowane w Ghanie) były podczas ataku odcięte od prądu. Gdyby nie awaria sieci, starty poniesione przez firmę mogłyby ulec zwielokrotnieniu. Ten przykład dowodzi, jak wielkie znaczenie może mieć sposób, w jaki tworzymy, przechowujemy i zabezpieczamy kopie zapasowe kluczowych danych naszej firmy. Pokazuje też, że w kwestii backupów najważniejsze są procedury: powinny być one napisane z uwzględnieniem sposobu, w jaki zorganizowana jest nasza firmowa infrastruktura informatyczna, i dążyć do zapewnienia danym bezpieczeństwa już na etapie organizacyjnym. Chociaż tworzenie i konserwacja kopii zapasowych nie jest zajęciem ani przyjemnym, ani inspirującym – większość działów IT nie przepada za tym zadaniem – to pamiętajmy: są sytuacje, w których jedynym ratunkiem jest backup.

REGULAMINY I PROCEDURY KONTRA FIRMOWA RZECZYWISTOŚĆ

Słowa „regulamin” i „procedura” nie kojarzą się najlepiej. W wielu organizacjach zawarte w tych dokumentach zapisy i „firmową codzienność” dzieli bowiem przepaść. Choć nie jest to dobrze, to trudno się dziwić. Problemy zaczynają się najczęściej już na etapie onboardingu nowych pracowników. Zarzucani są oni dokumentacją, z którą mają się zapoznać, ale – po pierwsze – nikt nie tłumaczy im *sensu* zapisów, po drugie zaś – związane z nimi kontrole zdarzają się rzadko i dość często są pobieżne. Tymczasem zapisy te nie powstały bez celu; osoby odpowiedzialne za opracowanie firmowych regulaminów i procedur nie zrobiły tego po to, aby utrudniać pozostałym pracownikom życie. W większości przypadków dokumenty te wychodzą spod rąk specjalistów, którzy doskonale zdają sobie sprawę z zagrożeń, z jakimi musi mierzyć się firma. Bardzo często jedynym sposobem na uniknięcie katastrofy (np. przypadkowego wycieku danych) jest właśnie zacieśnienie kontroli nad „firmową codziennością”. Dobrym przykładem nielubianego przez wielu pracowników, a jednak kluczowego dla bezpieczeństwa firmy dokumentu jest regulamin dotyczący pracy zdalnej, pracy na własnym urządzeniu w siedzibie firmy bądź też – przeciwnie – na urządzeniu firmowym poza jej siedzibą. Trend BYOD (z ang. „Bring Your Own Device” – przynieś/pracuj na własnym urządzeniu) z roku na rok coraz bardziej zyskuje na popularności. Niewielu z nas zdaje sobie jednak sprawę, jak poważne zagrożenia wiążą się z tak z pozoru nieistotnym działaniem jak przyniesienie do firmy własnego laptopa (albo zabranie do domu laptopa firmowego). W najlepszym wypadku ryzykujemy narażenie firmowych zabezpieczeń na dodatkowe obciążenie; w najgorszym – stawiamy na szali bezpieczeństwo firmowych danych. To właśnie dlatego tak wiele firm tak rygorystycznie podchodzi do tego tematu; praca na własnym urządzeniu w banku czy organizacji finansowej nie wchodzi w grę, podobnie jak zabranie któregokolwiek z urządzeń do domu. Dla pracowniczych urządzeń mobilnych przewidziane są natomiast specjalne punkty dostępowe do sieci WiFi; one również – co oczywiste – są odpowiednio zabezpieczane.

AKTUALNE OPROGRAMOWANIE? NIE TYLKO TO ANTYWIRUSOWE!

Aktualne oprogramowanie to znowu – z pozoru – oczywistość. W praktyce okazuje się jednak, że wiele firm ma pod tym względem spore zaległości. Zarówno te małe, jak i te duże. Największym problemem firm z sektora MŚP jest brak spójnej polityki zarządzania wersjami wykorzystywanego przez pracowników oprogramowania. Zdarza się, że doprowadza to do kuriozalnych sytuacji: w niektórych organizacjach wciąż jeszcze pracuje się na pakiecie biurowym Microsoftu w wersji z 2003 roku; w innych – na każdym komputerze zainstalowana jest inna wersja, co powoduje nie tylko problemy z kompatybilnością plików, ale naraża również m.in. bezpieczeństwo naszej poczty. Pakiet biurowy jest jednak tylko przykładem – wyrazistym, lecz stosunkowo niegroźnym. Prawdziwe problemy powstają na skutek niejednolitej polityki w kwestii oprogramowania zabezpieczającego (np. programów antywirusowych). Jest to istotne, bo ataki hakerskie często zaczynają się od przeniknięcia do firmowego systemu niezauważonego fragmentu złośliwego kodu. Dbać należy również o aktualność systemu operacyjnego i oprogramowania serwerowego. Jeżeli firmowa strona internetowa korzysta z którejś z popularnych technologii CMS, to tutaj także powinniśmy zadbać o instalację najnowszych aktualizacji – najlepiej od razu w dniu ich premiery. Duże firmy i międzynarodowe korporacje nie mają zazwyczaj takich problemów – posiadają jednak inne, o zgoła odmiennym charakterze. Firmy te posiadają najczęściej jednolitą politykę dotyczącą obowiązujących w nich wersji poszczególnych programów. Jest to rozwiązanie nieidealne, ale prawdopodobnie najlepsze z możliwych. Rzecz w tym, że same procedury również należy na bieżąco aktualizować – i dbać o ich przestrzeganie w poszczególnych oddziałach. Zarówno to pierwsze, jak i to drugie bywa czasami problematyczne. Natomiast unifikacja sama w sobie również prowadzi do pewnych problemów. Jak łatwo się bowiem domyślić, ktoś, kto znalazł lukę w zabezpieczeniach jednego oddziału, z łatwością odnajdzie ją również w zabezpieczeniach innego.

ZABEZPIECZENIA SPRZĘTOWE

Ostatnią rzeczą, o której warto wspomnieć, są zabezpieczenia sprzętowe. W odróżnieniu od zabezpieczeń programowych (takich jak specjalistyczne programy antyszpiegowskie), zabezpieczenia programowe mają uniemożliwić przejęcie danych na skutek np. kradzieży lub zagubienia firmowego sprzętu. Sam termin „zabezpieczenia sprzętowe” obejmuje bardzo wiele różnych rozwiązań – od zabezpieczeń biometrycznych (skanery linii papilarnych i ukrwienia nadgarstka, systemy rozpoznawania głosu lub twarzy etc. etc.) po bardziej wyrafinowane zabezpieczenia szyfrujące. Do najczęściej spotykanych rozwiązań należą czytniki kart inteligentnych czy moduły szyfrujące. Oprócz tego użytkownik ma do dyspozycji również rozwiązania „analogowe” – takie jak specjalne linki mocujące umożliwiające zabezpieczenie laptopa przed kradzieżą w miejscu publicznym czy plecaki i etui wyposażone w zamki szyfrowe ze specjalną kłódką. W przypadku osób regularnie pracujących poza firmą niezbędne mogą okazać się także filtry prywatyzujące, które uniemożliwiają „podejrzenie” danych przez osoby postronne (hacking wzrokowy w miejscach publicznych jest coraz częściej stosowaną metodą szpiegostwa przemysłowego). 

PODSUMOWANIE

Zabezpieczenie firmowych danych przed kradzieżą nie jest – i nigdy nie było – łatwym zadaniem. Możemy jednak uczynić je łatwiejszym – a kradzież wartościowych informacji trudniejszą – poprzez unikanie podstawowych błędów, które opisaliśmy powyżej. Nakłady ponoszone na zabezpieczenia zawsze wydają się „zbyt wysokie”. Jest tak dopóki nie nastąpi atak – po którym zazwyczaj okazuje się, że nie tylko były „zbyt niskie”, ale również źle zaplanowane.Na bezpieczeństwie danych nie warto oszczędzać. Od sposobu, w jaki podchodzimy do ich ochrony, zależy bowiem znacznie więcej niż tylko pieniądze: chodzi o reputację naszej firmy – i bezpieczeństwo naszych partnerów.