W świecie cyfrowym, gdzie każda transakcja, komunikacja i operacja biznesowa przenosi się do przestrzeni wirtualnej, cyberzagrożenia stają się coraz bardziej realnym i poważnym wyzwaniem dla firm wszelkich rozmiarów.
Powszechnym błędnym przekonaniem jest, że cyberprzestępcy celują wyłącznie w duże korporacje. Niestety, statystyki pokazują coś innego – małe i średnie przedsiębiorstwa często stają się ofiarami ataków ze względu na mniejsze zasoby przeznaczone na ochronę IT. Ataki ransomware, phishing, czy kradzież danych to tylko niektóre z zagrożeń, które mogą poważnie zaszkodzić Twojemu biznesowi. Przemyślana cyfryzacja twojego biznesu, to jeden ze środków zapobieżenia katastrofie.
Aktualizacje systemów
Każdego dnia odkrywane są nowe luki w zabezpieczeniach, a cyberprzestępcy nieustannie szukają sposobów na wykorzystanie tych słabości. Regularne aktualizacje systemów i aplikacji zawierają łatki bezpieczeństwa, które zabezpieczają przed nowymi zagrożeniami. To trochę jak szczepionka na wirusy komputerowe – bez niej jesteśmy znacznie bardziej narażeni na ataki.
Aktualizacje systemu operacyjnego
Najczęściej używanymi systemami operacyjnymi stosowanymi w biznesie są Windows i Mac OS. Niezwykle istotne jest aby były jak najbardziej aktualne nie tylko ze względów bezpieczeństwa ale i wydajności czy zgodności z najnowszymi aplikacjami.
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: częstotliwość wykonywania aktualizacji (regularne, raz na tydzień, miesiąc, rok, z doskoku), pracochłonność (automatyczne, ręczne), kompletność (aktualizacje zarówno dostawcy systemu operacyjnego jak i dostawczy sprzętu).
Aktualizacje oprogramowania
W funkcjonującej organizacji wykorzystuje się zwykle dużą ilość różnego rodzaju oprogramowania. Od popularnych pakietów office, poprzez programy narzędziowe typu kompresja plików, obróbka grafiki, do specjalistycznych programów księgowych, ERP czy inżynierskich. Bardzo często użytkownicy mają swobodę w instalowaniu oprogramowania na własnych stacjach roboczych, a takie programy „darmowe” mogą zawierać dodatkowe funkcje, niepożądane lub wręcz szkodliwe z punktu widzenia organizacji. Mówimy tu o śledzeniu, podatności na ataki czy wręcz stworzone do ingerencji z zewnątrz w infrastrukturę na której zostały zainstalowane.
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: świadomość właściciela / służb IT na temat oprogramowania zainstalowanego w ramach infrastruktury firmy (kontrola możliwości instalowania oprogramowania, inwentaryzacja oprogramowania), konieczność aktualizacji (systemy „w chmurze” nie wymagają przeprowadzania aktualizacji przez użytkownika, w odróżnieniu od aplikacji instalowanych na komputerze), pracochłonność (automatyczne, ręczne).
Aktualizacje urządzeń mobilnych
Często niedocenianym elementem infrastruktury firmowej są urządzenia mobilne. Dzisiejsze smartfony są to już pełnoprawne komputery z dostępem do zasobów firmy, kont bankowych, komunikatorów, mediów społecznościowych oraz wielu innych systemów i aplikacji. Daje nam to ogromną swobodę w pracy ale stwarza też nie mniejsze zagrożenie z uwagi na potencjalną podatność dostępu do tych wszystkich zasobów zarówno fizycznego (kradzież, zagubienie) czy zdalnego (włamania w związku ze słabą ochroną).
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: świadomość właściciela / służb IT / użytkowników na temat oprogramowania zainstalowanego na smartfonach mających dostęp do zasobów firmy (kontrola możliwości instalowania oprogramowania, inwentaryzacja oprogramowania), pracochłonność (automatyczne, ręczne).
Kontrola dostępu do danych
Konieczność zabezpieczania dostępów hasłem / pinem wydaje się już być bezdyskusyjna. Jednak w dzisiejszych czasach okazuje się, że to nie wystarcza. Tak jak ciągle powstają nowe sposób ataków na systemy informatyczne tak też cyberprzestępcy tworzą nowe techniki łamania czy wyłudzania haseł.
Hasła użytkowników, 2FA
Oprócz dbania o dostateczną złożoność haseł mierzymy się z wyzwaniami takimi jak ich duża ilość do różnych systemów co rodzi problem przechowywania / współdzielenia haseł. Dodatkowo często spotyka się np. scenariusz, gdzie mamy własne konto, owszem, zabezpieczone, ale istnieje też konto dodatkowe, techniczne, z uprawnieniami administracyjnymi dostępne nieznanej liczbie osób. Dlatego niezbędnym jest wprowadzanie kolejnych barier takich jak autentykacja dwueapowa (2FA), klucze sprzętowe, itp.
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: kontrola złożoności tworzonych haseł (wymuszanie cyfr, liter małych i wielkich, znaków specjalnych, minimalnej długości), wymuszanie cyklicznej zmiany haseł, stosowanie 2FA, bezpieczne udostępnianie haseł.
Kontrola poziomu uprawnień
Pracownicy firmy mają zróżnicowane kompetencje i powinni mieć różne poziomy dostępu do systemów informatycznych. Mówimy tu o dostępie w ramach poszczególnych aplikacji (np. możliwość wykonywania operacji w systemie księgowym) czy dostęp do plików (do edycji, do odczytu, zabroniony). W zależności od sposobu organizacji możemy realizować to poprzez tworzenie grup i przypisywanie do nich określonych praw, wówczas aby przyznać uprawnienia konkretnemu użytkownikowi wystarczy dodać go do określonej grupy a aby odebrać, usunąć z tej grupy. Drugim sposobem jest przyznawania uprawnień indywidualnie, np. do każdego pliku / funkcji dla konkretnego użytkownika konkretny poziom uprawnień.
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: stosowanie kontroli poziomu dostępu w ogóle (wszyscy jesteśmy adminami vs pilnujemy kto może co), jednorodność kontroli dostępu (np. stosowanie grup domenowych vs kontrola dostępu w każdym podsystemie IT z osobna).
Usuwanie uprawnień do zasobów, np. po odejściu pracownika z pracy
W procesie angażowania pracownika w coraz to nowe projekty / kompetencje wzrasta też ilość zasobów do których uzyskuje dostęp. W związku z tym pojawia się wyzwanie – jak „odciąć” danego użytkownika od przyznanych dostępów w przypadku jego odejścia z pracy lub przejścia do innego działu / projektu, gdzie aktualnie przyznane prawa nie będą już zasadne. Problem urasta szczególnie w przypadku, kiedy do celów służbowych wykorzystuje się prywatne konta pracowników (np. GMail, FB, itp.)
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: świadomość właściciela / służb IT o przyznanych uprawnieniach do zasobów cyfrowych firmy, łatwość opanowania odpowiedniego poziomu uprawnień dla użytkownika z natychmiastowym ich wyłączeniem włącznie.
Ochrona przed atakami
Ataki na infrastrukturę IT firm były zawsze, a po wybuchu wojny na Ukrainie nasiliły się zdecydowanie. Zgubnym jest przeświadczenie, że ofiarami są tylko duże firmy. Celem ataków są również małe i średnie biznesy, choćby z uwagi na mniejsze nakłady na technologie IT. Należy mieć świadomość, że ataków nie dokonują zwykle młodzi zbuntowani hakerzy w czarnych bluzach z kapturem, ale setki tysięcy jeśli nie miliony specjalnie spreparowanych skryptów (botów), które próbują dostać się do naszych systemów 24 h / doba. Oprócz tego wszelkiego rodzaju ataki phishingowe usiłujące wyłudzić od nas dostępy do systemów / dane osobowe, itp.
Świadomość użytkowników
Powszechnie znane stwierdzenie, że człowiek jest najsłabszym ogniwem w systemie zabezpieczeń nie traci na aktualności. Nic nie da najlepsze oprogramowanie do kontroli dostępu czy antywirusowe jeśli użytkownicy nie będą przestrzegać określonych zasad i nie będą używać zasobów IT świadomie.
W kontekście Twojej firmy zastanów się nad poziomem świadomości cyberzagrożeń oraz konieczności stosowania zasad i środków ochrony przed zagrożeniami cyberbezpieczeństwa.
Systemy zabezpieczeń
W dzisiejszej rzeczywistości obrona przed atakami z zewnątrz (a bywa, że i z wewnątrz) trudna jest do wyobrażenia bez wsparcia dedykowanych systemów. Brać pod uwagę należy szereg aspektów takich jak ochrona antywirusowa, antyspamowa, zapobieganie konsekwencjom otwierania niebezpiecznych linków, monitorowanie stanu systemów, możliwość prześledzenia zdarzeń po ataku lub podejrzeniu ataku.
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: ochrona antywirusowa (czy jest i za pomocą jakich środków, np. darmowe czy komercyjne wersje programów antywirusowych, jak często aktualizowanych), czy są stosowane inne system prewencji przed potencjalnymi zagrożeniami, czy są gromadzone logi zdarzeń.
Przywrócenie systemów po ataku
Dobrze zabezpieczona organizacja powinna przewidywać także czarne scenariusze. Jednym z takich scenariuszy jest utrata danych / dostępu do danych, choćby w wyniku powszechnych ostatnio przypadków szyfrowania dysków albo np. zniszczenia dysku serwera w wyniku awarii lub zdarzenia losowego (pożar, zalanie).
W kontekście Twojej firmy zastanów się nad aspektami takimi jak: przechowywanie danych w kilku niezależnych lokalizacjach, regularne tworzenie kopii zapasowych oraz testowanie ich odtwarzania.
Wymogi prawne – Dyrektywa NIS2 i Rozporządzenie DORA
W październiku 2024r wchodzi w życie Dyrektywa Unijna NIS2, która rozszerza zakres obowiązków dotyczących cyberbezpieczeństwa na większą grupę organizacji niż poprzednia wersja dyrektywy. Przedsiębiorstwa muszą się dostosować do nowych wymogów, jednak jak wynika z badań, 25% firm nie jest świadomych, że dyrektywa ich dotyczy, a tylko 38% planuje uruchomić oddzielny projekt w związku z jej wdrożeniem.
Dyrektywa NIS2 obejmuje podmioty podzielone na dwie główne kategorie: kluczowe i ważne. Do kategorii „podmiotów kluczowych” należą organizacje działające w dziesięciu kluczowych sektorach gospodarki, które zatrudniają co najmniej 50 pracowników oraz osiągają roczny obrót przekraczający 10 mln euro. Są to przedsiębiorstwa z takich dziedzin jak:
- Energetyka
- Transport
- Bankowość
- Ochrona zdrowia
- Infrastruktura cyfrowa
- Zarządzanie ściekami
- Dostarczanie wody pitnej
- Administracja publiczna
Te sektory zostały uznane za szczególnie istotne dla funkcjonowania państwa i gospodarki, co podkreśla ich znaczenie w kontekście cyberbezpieczeństwa.
Podmioty kwalifikujące się do kategorii „ważne” według dyrektywy NIS2 obejmują organizacje z następujących sektorów:
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja (w ogólności)
- Usługi cyfrowe
- Badania naukowe
Rozporządzenie DORA jest jedynym aktem sektorowym wymienionym w wytycznych NIS2, co oznacza, że podmioty stosujące się do DORA mogą być zwolnione z niektórych obowiązków wynikających z NIS2. Kluczowe tu jest zapewnienie równoważności obowiązków w zakresie bezpieczeństwa sieci i systemów informatycznych oraz zgłaszania incydentów.
Czy powyższe regulacje są Ci znane?
Ankieta
Z perspektywy wspierania klientów w transformacji cyfrowej zależy nam na jak najdokładniejszym poznaniu ich potrzeb. Poniższa ankieta porusza sprawy dość podstawowe ale aby wdrażać bardziej zaawansowane narzędzia, należy się upewnić, że podstawy są zrealizowane. Analiza wyników pozwoli nam na zdefiniowanie konkretnych obszarów do optymalizacji w ujęciu ogólnym jak i poszczególnych firm. Jeżeli nie zdecydują się Państwo na przesłanie tej ankiety, prosimy przynajmniej o zapoznanie się z jej treścią i przemyślenie wyników dla własnych potrzeb. Jeśli pomoże Państwu w poprawie bezpieczeństwa ich biznesów, będzie nam niezmiernie miło. Pozostajemy oczywiście do dyspozycji gdyby chcieli Państwo porozmawiać z nami w zakresie objętym poniższą ankietą czy innych rozwiązań z zakresu transformacji cyfrowej.
Zachęcamy też do udostępnienia tej ankiety waszym zaprzyjaźnionym firmom, jeśli uznają Państwo, poruszone tu zagadnienia za istotne dla bezpieczeństwa biznesu.