Statystyki są bezlitosne. Częstotliwość i skuteczność ataków na organizacje wzrasta. Narzędzia podmiotów atakujących są coraz lepsze, a ich kompetencje wyższe. Publikowana przez Center for Strategic and International Studies (CSIS) lista udanych cyberataków na agencje rządowe, sektor obronny, zaawansowane technologicznie firmy lub przestępstwa gospodarcze, w których straty z powodu ataków przekroczyły milion dolarów, zawiera już blisko 600 przykładów. W samym tylko 2019 r. przybyło na niej prawie 100 pozycji.

Wobec przytoczonych danych obawy o to, czy w naszym biznesie na nie mamy jakichś nieznanych, „niewyłączonych żelazek”, są jak najbardziej uzasadnione. Musimy też pamiętać, że nawet w wyspecjalizowanych zespołach zajmujących się bezpieczeństwem z czasem czujność może osłabnąć. Pojawia się przypadkowa niewrażliwość na oczywiste luki lub akceptacja dla znanych ryzyk, które jednak przez wiele lat nie zakończyły się incydentem.

Audyt bezpieczeństwa informacji

W eliminowaniu luk bezpieczeństwa bardzo pomocne jest wykonanie audytu bezpieczeństwa informacji, szczególnie gdy wykonują go eksperci zewnętrzni, mający świeże spojrzenie na liczne zagadnienia. Audytorzy – co oczywiste – nie mają pełnych informacji o organizacji o muszą je uzyskać od pracowników audytowanego podmiotu. Równocześnie jednak audytorzy przystępują do pracy uzbrojeni w wiedzę na temat zapewnienia bezpieczeństwa informacji w biznesie oraz praktyczne doświadczenie i znajomość najczęściej popełnianych błędów i luk bezpieczeństwa.

Dodatkowe wsparcie stanową kryteria oraz dobre praktyki zawarte w normach, np. ISO 27001, 20000, 22301, 62443, i systemach bezpieczeństwa (VDA ISA/TISAX, TPN i in.). Nie bez znaczenia jest także efekt świeżego spojrzenia na istniejące rozwiązania. Często osoba z zewnątrz łatwiej dostrzega oczywiste błędy, na które zespół wewnętrzny stał się nieczuły.

Cele audytu

Wykonanie audytu bezpieczeństwa informacji pozwala zrealizować różne cele, zależnie od aktualnych potrzeb danej organizacji. Audyt prowadzony przez zewnętrznego partnera pozwoli także rozszerzyć zakres i podnieść jakość realizowanych audytów wewnętrznych.

Jeśli przedsiębiorstwo przygotowuje się do wdrożenia systemu zarządzania opartego na konkretnej normie lub systemie, wykonanie audytu bezpieczeństwa według danych kryteriów pozwala na stwierdzenie skali odstępstw organizacji od wybranego standardu. Zyskujemy możliwość określenia szczegółowego planu oraz kosztorysu wdrożenia (powyższe może też dotyczyć określonych ustaw, np. UODO lub KRI).

Gdy organizacja posiada już wdrożony system zarządzania i chce uzyskać certyfikat, wykonanie audytu pozwala określić stopień przygotowania do certyfikacji. Warto taki audyt przeprowadzić jako próbę generalną. W razie wykrycia luk zyskujemy możliwość uniknięcia kosztownego przerwania audytu certyfikującego w wyniku wykrytych dużych niezgodności.

Audyt w organizacji, która posiada już certyfikat, może być użyty jako przykład audytu wykonanego przez niezależną jednostkę zewnętrzną. Niektóre normy wymagają takich działań. Można go też wykorzystać jako element przeglądu systemu zarządzania.

Oderwijmy się jednak od zagadnień certyfikacyjnych. Wykonanie audytu zerowego tworzy „snapshot” poziomu zarządzania i bezpieczeństwa organizacji w danym momencie. Obnażamy luki bezpieczeństwa informacji oraz ciągłości działania w odniesieniu do ogólnie przyjętych dobrych praktyk. Możemy określić realny poziom ryzyk związanych z różnymi aktywami i celami strategicznymi. Możemy wreszcie dokonać korekt planów postępowania z ryzykiem w oparciu o rzeczywiste potrzeby.

Doświadczeni audytorzy przychodzący do organizacji z zewnątrz są w stanie w trakcie audytu wyłapać ukryte lub oczywiste luki (efekt „dziecka we mgle”), które umykają specjalistom z wewnątrz organizacji.

Podczas audytu audytorzy występują jako neutralna, zewnętrzna organizacja. To ułatwia rozmowy z pracownikami. Gwarantując im anonimowość, zbierają informacje na temat luk bezpieczeństwa. Często to jedyny sposób, by ta wiedza dotarła do najwyższego kierownictwa danej organizacji.

Poprzez wykonanie audytu organizacja uzyskuje weryfikację, czy procesy i incydenty bezpieczeństwa informacji są prawidłowo adresowane i raportowane do najwyższego szczebla.

Przygotowując się do audytu, pracownicy mimowolnie, „przy okazji”, podnoszą swoje kompetencje, zwiększając zgodność realizowanych procesów z przyjętymi w firmie politykami i procedurami. Ponadto audytorzy, rozmawiając z pracownikami w trakcie audytu, podnoszą ich poziom wiedzy o możliwych ryzykach i wskazują metody ich unikania;

Udokumentowany audyt bezpieczeństwa informacji, w szczególności w połączeniu z testami penetracyjnymi oraz socjotechnicznymi, można wykorzystać do udowodnienia kontrahentom, jak dużą wagę przykładamy do zagadnienia bezpiecznego zarządzania organizacją i danymi. To  istotne, bo praktycznie każda interakcja biznesowa wiąże się z wymianą wrażliwych danych.

Rosnąca odpowiedzialność

Organizacje ponoszą coraz większą odpowiedzialność za zapewnienie poziomu bezpieczeństwa informacji zgodnego z przyjętymi rynkowo dobrymi praktykami oraz standardami. Kolejne ustawy, w tym ostatnia ustawa o krajowym systemie cyberbezpieczeństwa, czy wcześniejsze ogólne rozporządzenie o ochronie danych osobowych, zwiększają odpowiedzialność finansową, a nawet karną przedsiębiorstw i osób nimi kierujących. Z samego tylko tytułu naruszeń RODO w Europie nałożono już 130 kar, z czego najwyższe przekroczyły pułap 10 milinów euro.

Typowe obszary ryzyka

Zagrożenia dla bezpieczeństwa informacji kojarzą się zwykle z atakami hakerskimi, wirusami, zaawansowanym technologicznie wrogim oprogramowaniem. Jednak duże, a często ignorowane ryzyko wiąże się z banalnymi lukami bezpieczeństwa, które nie mają nic wspólnego z IT, a wynikają z braku świadomości, zaniedbań czy lekkomyślności. Przedstawiamy wybrane przykłady zagrożeń bezpieczeństwa napotkane przez audytorów SNP (aktualnie All for One Poland).

Otwarte tylne drzwi. Bardzo mocne zabezpieczenia „od frontu” organizacji, a równocześnie brak zabezpieczenia innych dróg dostępu (niezabezpieczone drzwi, furtki i szlabany, ochrona tylko z jednej strony obiektu, z przodu przeciwpancerne mury, z tyłu zardzewiałe siatki).

Oczywiste luki bezpieczeństwa. Monitory CCTV z obrazami z obszarów wrażliwych widoczne dla gości, ochrona zapewniona 24 godz., ale tylko 5 dni w tygodniu, pracownicy wyłączający lub demontujący zabezpieczenia albo wprost sprzeciwiający się ich instalacji.
Zakłócenia komunikacji. Brak procesów on/off boardingu (byli pracownicy mający latami dostęp do aktywów organizacji, wykorzystujący zasoby firmy do swoich celów, np. mieszkanie na terenie firmy, kopalnia Bitcoin na serwerach firmowych), części firmy działające „na własną rękę”, brak rozwoju struktury organizacyjnej mimo wzrostu liczby pracowników od kilku do kilku tysięcy osób, pracownicy obcojęzyczni niedostający materiałów w swoim języku.
Brak ciągłości działania. Prezesi noszący backupy w kieszeni, na pendrive, pracownicy szyfrujący całe zasoby firmy jednym malware/pendrive, opieranie się na „poduszkach finansowych” dla zapewnienia dalszego działania, wąskie gardła z powodu braku wyznaczonych zastępstw na wypadek nieobecności, delegacji zadań lub brak jasnych kanałów przepływu informacji, szczególnie w razie kryzysu, utrata dostępu do aktywów z powodu odejścia jednego pracownika, uszkodzenia backupu niezweryfikowane testami odtworzeniowymi, pojedyncze punkty awarii (sześć urządzeń, jedna ładowarka).
Dokumentacja „na półkę”. Nieaktualne polityki, niestosowanie się do polityk (np. brak kasowania uprawnień, kont, pracownicy korzystający z kont firmowych 2 lata po zwolnieniu), realizacja certyfikacji przez nieznane firmy, wykazywanie zgodności i ryzykowanie utraty kontraktu przy braku faktycznie wdrożonych rozwiązań, wyznaczanie pracowników „z przypadku” do realizacji odpowiedzialnych ról i zadań.
Wirtualne strefy bezpieczeństwa. Dostawca cateringu wchodzi wszędzie, sale konferencyjne sąsiadujące przez cienką ściankę z publicznymi kuchniami, szatnie pracownicze w pomieszczeniach serwerowni, strefa produkcyjna niezabezpieczona przed kradzieżami przez pracowników, obszary logistyki otwierane „na guzik”, hasła do zasobów IT w obszarach logistyki/produkcji/załadunku przyklejone do monitorów, otwarte pokoje pocztowe/faksowe.
Niewłaściwa kontrola środowiska. Klimatyzowanie serwerowni poprzez otwarte okna, generatory nietestowane od momentu instalacji, węzły komunikacyjne i serwerowe otwarte dla gości, wykorzystywanie serwerowni jako magazynów zużytych części IT, braki systemów powiadamiania, systemy gaszenia wodą w obiektach z instalacjami elektrycznymi, systemy ogrzewania wodą w serwerowniach, umiejscowienie wrażliwych obiektów w miejscach szczególnie narażonych (dyspozytornie w sąsiedztwie BOK-ów, prysznice dla załogi zlokalizowane nad serwerowniami, lokalizacja serwerowni w kotłowniach, kuchniach, szybach wind), detekcja pożaru ropy czujnikami gazu, zainstalowane systemy i urządzenia, których nikt nie nadzoruje lub nie wiadomo nawet, do czego służą.
Brak zasobów. Drukowanie list płac na brudnopisach, wystawianie starszych materiałów, nadal wrażliwych, w obszary niezabezpieczone, zabezpieczanie newralgicznych zasobów tylko w minimalny sposób (kluczyk).
Nieuczciwi pracownicy. Prywatne chmury, praca na zasobach prywatnych (Windows 95 serwisowany przez wnuczka), wykorzystanie zasobów firmowych do działań prywatnych/konkurencyjnych (materiały problematyczne pozostawione w środowisku firmy – obce dane, nagie zdjęcia).
Braki kompetencji pracowników. Pożyczanie haseł, zapisywanie haseł w niezabezpieczonych aktywach, wykonywanie działań ryzykownych, brak szkoleń, wyrzucanie wrażliwych informacji do kosza na śmieci.

TISAX® jest zarejestrowanym znakiem towarowym ENX Association. All for One Polska sp. z o.o. nie jest w relacji biznesowej z ENX. Wskazanie znaku towarowego TISAX® nie oznacza żadnego oświadczenia właściciela znaku towarowego, dotyczącego przydatności opisywanych tutaj usług.