Cyberbezpieczeństwo, czyli niezbędna odpowiedź przedsiębiorców na wiele zagrożeń z różnych źródeł

Jak wynika z raportów podmiotów odpowiedzialnych za wdrożenie krajowych systemów cyberbezpieczeństwa w poszczególnych krajach, największym zagrożeniem dla przedsiębiorców nie jest żaden pojedynczy atak, ale cała seria powtarzalnych i nieskoordynowanych zagrożeń pochodzących z wielu źródeł, które mogą dotyczyć m.in. prób wyłudzenia lub przejęcia danych osobowych, podmiany numerów rachunków bankowych, zainstalowania szkodliwego oprogramowania, kradzieży środków pieniężnych, przekazania środków pieniężnych nieuprawnionej osobie, wymuszenia okupu i/lub zakłócenia ciągłości świadczonych usług.

Standard minimum, czyli zapewnienie kompleksowej obsługi incydentów

W konsekwencji nie budzi wątpliwości, że skuteczne zarządzenie ryzykiem w takim przypadku wymaga od przedsiębiorców wdrożenia systemu zarządzania bezpieczeństwem przynajmniej dla tych systemów informacyjnych, jakie są wykorzystywane przez nich do świadczenia usług. W praktyce oznacza to co najmniej zapewnienie odpowiedniej i kompleksowej obsługi incydentów rozumianych jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo danej organizacji. Z kolei pod pojęciem obsługi takich incydentów można rozumieć proces mający na celu ich wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, a także podejmowanie działań naprawczych i ograniczenie ich skutków.

W tym celu przedsiębiorcy mogą ustanowić wewnętrzną strukturę odpowiedzialną za cyberbezpieczeństwo lub skorzystać z usług podmiotów zewnętrznych. W drugim z powyższych przypadków niezbędne byłoby przeprowadzenie weryfikacji, czy ewentualny usługodawca spełnia warunki organizacyjne i techniczne pozwalające na zapewnienie przedsiębiorcy cyberbezpieczeństwa, dysponuje pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi, a także czy stosuje zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów. Trzecim rozwiązaniem z kolei jest wykupienie odpowiedniej polisy, w ramach której zostanie m.in. zapewniona obsługa incydentu przez podmioty wynajęte przez ubezpieczającego oraz pokryte koszty obsługi prawnej, ochrony dobrego imienia, odzyskania utraconych danych, śledztwa oraz zawiadomienia właściwych organów.

Zespoły obsługi incydentów o charakterze doraźnym

Ostatnie z przedstawionych powyżej rozwiązań będzie korzystne przede wszystkim z perspektywy drobnych i średnich przedsiębiorców, którzy ze względów finansowych nie byliby w stanie zapewnić sobie usług dedykowanego personelu oraz sprzętu teleinformatycznego odpowiedniej klasy. Powyższe jest o tyle istotne, iż personel odpowiedzialny za obsługę incydentów od strony technicznej powinien – jak np. wynika z Ustawy o krajowym systemie cyberbezpieczeństwa – być zdolny co najmniej:

  • analizować oprogramowanie szkodliwe i określić jego wpływ na system informacyjny poszkodowanego przedsiębiorcy, jak również
  • wykrywać przełamania i ominięcia zabezpieczeń powyższego systemu, a także
  • prowadzić analizy powłamaniowe wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informacyjnego, jaki został dotknięty incydentem.

Dodatkowo należy podkreślić, iż poza specjalistami od cyberbezpieczeństwa obsługa incydentów wymaga wsparcia prawnego oraz medialnego (ochrony wizerunku). Wsparcie prawne ma bowiem pozwolić na odpowiednią kwalifikację incydentów pod kątem m.in. ochrony danych osobowych (np. czy incydent podlega zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych, czy też nie) oraz sporządzenie rekomendacji w zakresie potencjalnych działań następczych jak np. zawiadomienie o podejrzeniu popełnienia przestępstwa, wypowiedzenie umów nierzetelnym podwykonawcom lub obrona interesów przedsiębiorcy dotkniętego incydentem w przypadku zaistnienia ryzyka wystąpienia wobec niego z roszczeniami ze strony kontrahentów lub konsumentów.

Nie bez znaczenia pozostanie także ocena o charakterze prawno-technicznym w zakresie tego, czy przedsiębiorca dotknięty incydentem w jakimś stopniu nie dopuścił się naruszenia przepisów obowiązującego prawa np. poprzez brak wdrożenia środków zaradczych, które są odpowiednie i zapewniające stopień bezpieczeństwa odpowiadający stwierdzonemu ryzyku. W takim przypadku wsparcie prawne może także obejmować reprezentowanie ubezpieczonego w trakcie postępowania przed właściwymi organami nadzorczymi. Wsparcie medialne z kolei to już plan konkretnych aktywności mających na celu nie dopuścić do szkody na wizerunku przedsiębiorcy lub ograniczyć szkodę już wynikłą w tym zakresie.

Komplementarność działań

Co istotne, wszystkie trzy wymienione powyżej obszary działania (tj. prawny, bezpieczeństwo IT oraz medialny) wymagają koordynacji, ponieważ mają wobec siebie charakter komplementarny, czyli ściśle się uzupełniają. Obsługa prawna nie dokona bowiem należytej oceny prawnej stanu faktycznego bez uprzedniego uzyskania informacji ze strony dedykowanego personelu do spraw cyberbezpieczeństwa. Wsparcie medialne (ochrony wizerunku) z kolei powinno uwzględnić w trakcie swoich prac zarówno rezultaty działań zespołu prawnego, jak i zespołu do spraw cyberbezpieczeństwa.

Przykładowo, każdy komunikat, jaki jest kierowany przez przedsiębiorcę dotkniętego incydentem do jego kontrahentów lub konsumentów korzystających z jego usług, powinien opierać się o ustalenia faktyczne zespołu do spraw cyberbezpieczeństwa oraz uwzględniać skutki prawne incydentu, jakie zostały rozpoznane przez obsługę prawną.

Doraźny zespół nie zrobi wszystkiego

Dodatkowo, należy zwrócić uwagę na okoliczność, iż w ramach analizowanego rozwiązania dedykowany do obsługi incydentu zespół o charakterze doraźnym (ad hoc) nie będzie prowadził dla danego przedsiębiorcy działań polegających na objęciu jego systemów informacyjnych systemem monitorowania w trybie ciągłym (24/7) ani prac analitycznych mogących polegać m.in. na zbieraniu informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty, a także wyszukiwaniu powiązań pomiędzy incydentami. Nic nie stoi jednak na przeszkodzie ku temu, aby powyższe prace analityczne zostały zlecone przez przedsiębiorcę niezależnie od przedstawionej powyżej doraźnej obsługi incydentu (ad hoc) objętej polisą ubezpieczeniową oraz w ramach np. okresowych przeglądów zleconych podmiotowi zewnętrznemu.

Praca domowa przedsiębiorcy

Jednocześnie nie można zapominać o tym, że skuteczność działań zewnętrznego oraz doraźnego zespołu obsługi incydentów (ad hoc) będzie uzależniona od tego, czy dany przedsiębiorca wdrożył w ramach swojej organizacji określone zasady działania. Do powyższego należy zaliczyć np. obowiązek zgłaszania incydentów wewnątrz organizacji oraz odpowiednimi kanałami zarządczymi najszybciej jak to jest możliwe, a także zobowiązanie kontrahentów, podwykonawców i  pracowników (niezależnie od podstawy na jakiej zostali zatrudnieni) do odnotowywania oraz zgłaszania takich zdarzeń, jakie mogą wynikać np. z nieskutecznych zabezpieczeń, błędów ludzkich, naruszenia bezpieczeństwa fizycznego pomieszczeń oraz braku nadzoru nad systemami informacyjnymi.

Bardzo pomocne mogą się okazać także takie działania jak sporządzenie wewnętrznego wzoru formularza do zgłaszania zdarzeń mogących stanowić incydenty (dot. pracowników i kontrahentów) oraz procedury postępowania w przypadku zaistnienia takiego zagrożenia, a także procedury dyscyplinującej pracowników oraz kontrahentów w razie naruszenia obowiązków dot. zgłoszenia w/w zdarzeń. Dodatkowo rekomendowane jest opracowanie przez przedsiębiorcę zasad przekazywania pracownikom oraz kontrahentom, w tym podwykonawcom informacji zwrotnych dot. zgłoszonych zdarzeń, a także zasad przekazywania wniosków z badania zdarzenia uznanego za incydent do innych podmiotów w łańcuchu dostaw.

Paweł Gruszecki

Paweł Gruszecki


Pawel.Gruszecki@dzp.pl

komentarze 2

  1. Artykuł mocno na czasie, cyberbezpieczenstwo to zagadnienie które zaniedługo będzie pewnie standardem w każdej firmie.

  2. Rozpoznanie zagrożenia to już połowa sukcesu, wyciągnięcie wniosków na przyszłość to lekcja, która każdego uczy czegoś nowego. Po prostu dobrze jest mieć taką wiedzę.

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *