archiwumBezpieczeństwo

Mała firma w sieci

Bezpieczeństwo pracy zdalnej

Nowa normalność rzuca wyzwanie nam wszystkim, czy to w formie pracy zdalnej czy zasad dystansu społecznego, niekiedy radykalnie wpływając na naszą rutynę, wprowadzając niepokój i chaos. Czy istnieją praktyczne zasady adaptacji do życia w nowej normalności, takie z zarządzanymi kosztami i „ludzką twarzą”? Zapraszam do krótkiego podsumowania kluczowych zasad bezpieczeństwa nowej rzeczywistości. Grypa sezonowa od zawsze jest problemem każdego pracodawcy, często zarządzanym mniej lub bardziej formalnymi planami ciągłości działania. Plany zastępstw, a szczególnie praca zdalna (tam gdzie to możliwe), to powszechne strategie postępowania w czasie sezonowej grypy. Szczególnie praca z domu, kiedy pracownik – jeśli tylko czuje się „na siłach” – może pracować, nie zarażając współpracowników, jest atrakcyjną taktyką przetrwania i minimalizacji strat w przypadku tego zagrożenia. Atrakcyjna zarówno dla pracownika, jak i pracodawcy, nawet jeśli jest obwarowana szeregiem prawnych wymogów, przy dobrej woli z obu stron – sprawdza się tak dobrze jak dojrzała jest kultura pracy w danej organizacji. Z punktu widzenia bezpieczeństwa ogólnego (psychicznego, fizycznego i informacji) praca zdalna jest bezpośrednim (jakościowym i ilościowym) miernikiem kultury organizacji stosującej tę strategię. Wiosna 2020 zawołała: „Sprawdzam!” w rynkowej grze o zachowanie ciągłości działania. W Polsce zastosowano (przynajmniej na początku) strategię młota i tańca rekomendowaną przez analityków i badaczy danych dotyczących pandemii COVID-19. Zamknięcie kraju, w tym miejsc pracy, było nie tylko szokiem finansowym, ale i kulturowym, szczególnie dla tych organizacji, w których kultura pracy ma formy dalekie od zalecanych standardów. Niektóre organizacje szybko migrowały do chmury, inne już tam były i albo fakt ten uzmysłowiły wszystkim pracownikom, albo jedynie zaktualizowały swoje procedury operacyjne. Transformacja cyfrowa nie jest nowym trendem, jednak w jej przypadku sytuacja pandemii przyniosła efekt „selekcji naturalnej”. W tym kontekście, niepokojące może być spostrzeżenie, że pierwsze półrocze powinno być lekcją, z której należy wyciągnąć wnioski na przyszłość, co również jest cechą dojrzałości kultury danej organizacji. Czy zachowanie firm wokoło nas pokazuje, że wnioski te wyciągnięto? Jesień i kolejne sezony pokażą. Bezpieczeństwo a kultura organizacji Mając zarysowany kontekst, warto poświęcić kilka słów na „rozwiązanie”, które uważny czytelnik prawdopodobnie już dostrzegł. Jest nim dojrzała kultura organizacji. Czy ta „kultura” ma roboczo dodawane przymiotniki typu: „pracy”, „bezpieczeństwa”, „ludzkiej twarzy” czy dowolne inne, pozostawiamy do samodzielnego zgłębienia, tutaj istotny jest inny element – musi być „dojrzała” albo przynajmniej do takiej dążyć. Jakie cechy ma „dojrzała” kultura organizacji? Po pierwsze, prezentuje „gospodarskie” podejście, jest świadoma zasobów i nimi dysponowania, wspiera decyzje kontekstem celu, środowiska i ocenia siebie. Po drugie, dotyczy „tu i teraz”, balansując pomiędzy swobodą i umocowaniem do konkretnych reguł, również ekonomicznie. Po trzecie, wspomaga „planowanie”, czyli umożliwia rozpatrywanie decyzji w konsekwencjach horyzontów czasowych, krótko- i długoterminowych.   Gospodarskie podejście, świadomość sytuacyjna i planowanie to kluczowe komponenty efektywnej pracy w modelu rozproszonym – zdalnym. Współczesna kultura cyfrowej organizacji wyraża te trzy elementy przez zasady ekonomii danych, w ramach cyberbezpieczeństwa poprzez model zerowego zaufania (zero-trust), a dla strategii rozwoju pracownika w ramach podejścia „growth-mindset”. Pracownik w obliczu zagrożeń Praktyczna realizacja zasad gospodarskiego podejścia jest zgodna z naturalnym wyobrażeniem tego zachowania – organizacja musi być gotowa na podział odpowiedzialności pomiędzy dostawcę technologii (np. dostawcę chmury – AWS, MS Azure, Google etc.), własne polityki i standardy obowiązujące „za murami” organizacji oraz pracownika pracującego zdalnie, najczęściej ze swojego domu. Przyjęło się stosować dla tego zagadnienia sformułowanie „ufaj i kontroluj”, które niestety nie wnosi nic do pożądanej kultury organizacji i jest przykładem braku zrozumienia natury problemu. Jakkolwiek kontrola wydaje się naturalna i oczywista w zakresie zasobów „za murem” oraz częściowo w chmurze danych, tak przy pracy pracownika zdalnego jest jedynie życzeniem. Pracownik oddelegowany do pracy poza miejscem pracy, praktycznie nie ma szans w pełni zachować zasad, standardów i polityk stworzonych do realizacji w miejscu pracy. Do tego wyzwania dołączają „życiowe problemy” jak: awarie technologii, utrata uwagi w wyniku zdarzeń w domu, brak nawyków pracy poza miejscem pracy (np. inny schemat zarządzania czasem), obecność osób nieupoważnionych do danych firmowych, ergonomia miejsca pracy, zmęczenie, problem „ciągłego podłączenia” do spraw firmowych i wiele, wiele innych. I tak z jednej strony pracownik jest zobowiązany do przestrzegania zasad „pracy w biurze”, a z drugiej do produktywności, co prowadzi do znanego pozornego konfliktu, bezpieczeństwo albo wyniki. Alarmujący wzrost skutecznej aktywności przestępców w czasie COVID-19, nie pomaga rozstrzygnąć tego problemu, prowadząc często do poważnych ograniczeń lub nawet zaniechania modelu pracy zdalnej, jeśli tylko jest to możliwe w ramach strategii utrzymania działania. W organizacjach doświadczających takich problemów pomóc może wsparcie kierownictwa w ustaleniu zasad pracy z domu z uwzględnieniem wartości i celów organizacji i skupieniem uwagi zabezpieczeń na ochronie właśnie tych elementów. Monitorowanie sytuacji, komunikacja potrzeb i oczekiwań, szkolenia z nowych zasad oraz cyberhigiena to podstawowe narzędzia budowania dojrzałej kultury organizacji dla potrzeb pracy zdalnej. Gospodarcze podejście pracownika, w którym mentalne nastawienie do realizacji celów pracodawcy pozwala zoptymalizować zasady bezpieczeństwa, stosowne do warunków i możliwości pracownika zdalnego jest zalecaną strategią postępowania. Naturalną w tym modelu jest zmiana realizowanych obowiązków przez pracownika zdalnego. Utrzymanie status quo w sytuacji, gdy pracownik nie jest w stanie czy zapewnić bezpieczeństwa danych, czy swojej uwagi, prowadzi do incydentu i strat. Takie adaptacyjne podejście do potrzeb vs. możliwości zapewnia balans pomiędzy zabezpieczeniami i wydajnością wykonywanej pracy. 10 zasad bezpieczeństwa Zapewniając wsparcie kierownictwa firmy do organizacji pracy zdalnej oraz dbając o dojrzałość kultury organizacji w zakresie gospodarskiego podejścia jej pracowników, można wprowadzać zasady bezpieczeństwa technologicznego mającego również istotny wpływ na określone zachowania pracowników. Europejska Agencja Cyberbezpieczeństwa zaleca wdrożenie następujących 10 zasad: Uzyskaj wsparcie kierownictwa dla wymaganych zmian. Przeprowadź analizę ryzyk. Zapewnij wdrożenie polityk cyberbezpieczeństwa. Buduj świadomość sytuacyjną swoich pracowników zgodnie z potrzebami. Aktualizuj wszystkie urządzenia stosowane do przetwarzania danych, w tym pomóż pracownikowi w aktualizacjach jego domowej sieci. Upewnij się, że Twoje backupy są aktualne i przydatne. Zabezpiecz dostęp do przetwarzanych informacji bez względu na to, gdzie są (chmura, komputer pracownika zdalnego, budynki firmy). Chroń urządzenia końcowe przetwarzające dane, np. przez bezpieczną konfigurację oraz oprogramowanie ochronne. Ogranicz zdalny dostęp do przetwarzanych danych do faktycznie wymaganego potrzebami biznesu. Przetestuj i stosuj swój plan reakcji na incydenty. Każdego pracownika zachęcam do zapoznania się z zasadami „nowej normy” w ramach zalecanych krajowych zasad bezpieczeństwa na stronie Instytutu NASK. I tutaj, zasady gospodarskiego podejścia do powierzonych...
Niebezpiecznik Piotr Konieczny
Mała firma w sieci

Zabawa w kotka i myszkę. Rozmowa z Piotrem Koniecznym

„Porzućcie wszelką nadzieję, którzy tu wchodzicie”. W 2020 roku słowami wprost ze średniowiecznego poematu mógłby witać internet, który dla nieświadomych jego zagrożeń, może okazać się piekielnie groźny. Bo czy obecnie w kontekście funkcjonowania w sieci w ogóle możemy mówić o „bezpieczeństwie”? Czy raczej o tym, co możemy zrobić, by zminimalizować ryzyko ataku? Po ciemnych zaułkach internetu oprowadza nas Piotr Konieczny – ekspert ds. bezpieczeństwa sieciowego, założyciel Niebezpiecznik.pl, firmy szkoleniowej i doradczej konsultującej projekty informatyczne pod kątem bezpieczeństwa, wykonującej audyty i testy penetracyjne systemów teleinformatycznych.   Jak bardzo źle jest z bezpieczeństwem cyfrowym polskich firm? Odpowiem przewrotnie. Tak samo źle jak z bezpieczeństwem firm zagranicznych. Każdemu przytrafiają się ataki. W ostatnich latach widzieliśmy udane włamania zarówno do dużych i małych firm z Polski, jak i dużych, i małych firm zagranicznych. Internet zresztą nie ma granic. Dość dobitnie pokazał to przypadek robaka WannaCry* i później NotPetya**. Oba zagrożenia zaczęły się poza Polską, ale po kilkunastu minutach padły też komputery w niektórych miejscach w naszym kraju. Zwłaszcza NotPetya pokazał, że atak jednego państwa (Rosji) na drugie (Ukraina) może spowodować szkody poza granicami kraju-ofiary. Wiele polskich firm mających odnogi w Ukrainie zostało wtedy zainfekowanych, bo – mówiąc obrazowo – komputery w Polsce widziały te ukraińskie tak samo jak te z pokoju zza ściany.   Złośliwe oprogramowanie nie potrzebuje wiz i paszportów, i porusza się szybciej niż jumbo jet.   O tym, w jakich obszarach firmy mają największe problemy, dowiadujecie się przeprowadzając na zlecenie tych firm testy penetracyjne, symulujące prawdziwe ataki. Z Waszego doświadczenia – jakie są najpopularniejsze luki w zabezpieczeniach polskich firm? Każda firma ma dwa grzechy. Pierwszy, to dług technologiczny i brak regularnego czuwania nad infrastrukturą. Drugi, to zapominanie, że nawet najlepiej zabezpieczone oprogramowanie i najnowszy sprzęt nic nie dadzą, jeśli nie uświadomi się pracowników, o co chodzi w tym całym bezpieczeństwie i na co, dlaczego oraz jak należy reagować. Na styku tych dwóch grzechów od lat rozwija się tzw. ransomware, czyli złośliwe oprogramowanie, które – jeśli nieprzeszkolony pracownik kliknie nie tam, gdzie powinien – rozpocznie szyfrowanie plików na jego komputerze. I byłoby to nieistotne zdarzenie, bo przywracamy kopie bezpieczeństwa i po 3 godzinach wszystko wraca do normy, ale... dług technologiczny powoduje, że zasoby sieciowe, do których podpięty był zaatakowany komputer, nie były odpowiednio skonfigurowane i tam też utracono dane. W dodatku, sieć nie była posegmentowana, a najnowsze urządzenia kupione za dziesiątki tysięcy złotych nie zostały poprawnie skonfigurowane i ransomware rozprzestrzenił się po całej firmie, a często także po systemach podwykonawców. To już jest tragedia. W Polsce mamy mniej „dużych” firm działających na międzynarodową skalę. Dlatego ataki ransomware’em na nasze spółki na razie nie powodują tak dużych strat jak np. w USA czy Skandynawii (przypadek Norsk Hydro***), gdzie straty idą w setki milionów dolarów. Czego przedsiębiorcy mogą obawiać się najbardziej? Jakie są podatności stanowiące największe zagrożenie dla małych firm? Przedsiębiorcy powinni zrozumieć, że bezpieczeństwo to proces, a nie produkt. Ono kosztuje, ale nie da się kupić magicznego pudełka za 50 tysięcy złotych i mieć spokój na kilka lat. Bezpieczeństwo trzeba zaplanować, ale przede wszystkim dopasować do danej firmy. To jest najtrudniejsze i o tym wielu zapomina. Nie ma jednej uniwersalnej rady, która pozwoli „zabezpieczyć przedsiębiorcę”. Wszystko zależy od tego, na czym polega dany biznes, gdzie ma kluczowe zasoby, których utrata spowoduje znaczne straty lub konieczność ogłoszenia upadłości. Trzeba wiedzieć, co może się zdarzyć i jakie motywy mogą mieć atakujący. Jedne będą mniej, drugie bardziej prawdopodobne.   Podstawą dobrze wdrożonego bezpieczeństwa jest zrobienie tzw. analizy ryzyka.   Do tego potrzeba dobrze przeszkolonych ludzi i czasu. I warto w tę analizę ryzyka zainwestować, aby nie wydawać setek tysięcy złotych rocznie na minimalizowanie ryzyk, które nie są najbardziej prawdopodobnym czarnym scenariuszem dla danej firmy. Podsumowując, przedsiębiorcy najbardziej powinni obawiać się swojej niewiedzy w temacie bezpieczeństwa. I pamiętać, że nie ma nic gorszego niż fałszywe poczucie bezpieczeństwa – to, że coś w tym temacie się robi, nie oznacza, że robi się to, co powinno się robić. Od czego zależy zatem poziom zabezpieczenia firmy? Od wiedzy – to jedno, a poza nią? Od pieniędzy, uwarunkowań prawnych, jakim podlegają? Czy firmy prywatne są mniej zabezpieczone od państwowych? Czy małe firmy, które nie mają działów IT, są na straconej pozycji? Skalpel to narzędzie, które każdy z nas może kupić w aptece. Ale pewnie nie bylibyśmy w stanie przy jego pomocy od razu wyciąć komuś wyrostka robaczkowego tak dobrze, jak zrobi to wykwalifikowany chirurg. I podobnie jest z bezpieczeństwem. Narzędzia są powszechnie dostępne i często darmowe. Zarówno mali, jak i duzi mogą z powodzeniem korzystać z tych samych rozwiązań, zwłaszcza jeśli są dostępne w modelu SaaS, w „chmurze”. Gorzej jest właśnie z wiedzą na temat tego, jak je poprawnie skonfigurować i kiedy których z nich użyć. Brakuje wykwalifikowanej kadry, bo – w przeciwieństwie do chirurgów – nie uczymy w Polsce ludzi na specjalistów do spraw bezpieczeństwa. Dopiero teraz zaczęły się pojawiać jakieś kierunki studiów w tym obszarze. Długo za późno. Mamy samouków,i to genialnych!, ale jest ich skończona liczba. To jak bardzo brakuje wiedzy w tym obszarze, widzę po nas samych – mamy klientów, którzy zapisują się na nasze usługi testów bezpieczeństwa z datą realizacji za pół roku, bo to pierwszy możliwy termin. Brakuje rąk do pracy. Staramy się z tym walczyć także poprzez edukację – jeśli firma ma administratora sieci, może go do nas wysłać na trzy dni praktycznych do bólu warsztatów. I zaraz po nich ten administrator będzie w stanie samodzielnie znaleźć i wyeliminować większość najczęściej spotykanych błędów w firmowej sieci, tych od których zaczynają włamywacze. Co więcej, takie przekwalifikowanie przez szkolenie to też spora oszczędność dla firmy – zamiast wydawać kilkadziesiąt tysięcy na testy penetracyjne, firma wydaje kilka na szkolenie i „leczy się sama”, a potem jest w stanie zamówić profesjonalistów tylko do bardziej zaawansowanych usług bezpieczeństwa. Powiedziałeś, że nie ma jednej złotej rady, która działałaby jak parasol ochronny. Ale czy można wskazać jakieś filary bezpieczeństwa? Czy cyberprzestępcy zawsze będą jednak krok do przodu? To jak zabawa w kotka i myszkę. Jak tylko pojawi się nowe zabezpieczenie, pojawia się też sposób na jego obejście. A potem zabezpieczenie na...
Artur Marek Maciąg
ABC biznesu

Czy grozi Ci atak APT?

Advanced Persistent Threat to termin, który warto znać z uwagi na informacje o wyciekach danych i atakach hakerskich na firmy.
1 2
Strona 1 z 2