Materiał wydrukowany z portalu www.wnp.pl. © Polskie Towarzystwo Wspierania Przedsiębiorczości 1997-2020

Informacja to dziś dla firm skarb, który warto chronić

Autor: Adrian Ołdak
Dodano: 30-11-2019 15:11

W ostatnich latach zmieniło się postrzeganie tego, co jest w organizacji ważne. Dzisiaj są to informacje. Rozsądek nakazuje je chronić. Stąd coraz większa świadomość ryzyka. Jednocześnie przybywa ataków, bo coraz więcej urządzeń „podpiętych” jest do internetu - mówi Przemysław Szczurek, Product Manager ds. bezpieczeństwa informacji TÜV NORD Polska.


W jakich obszarach gospodarki występuje największe zagrożenie cyberatakami?


- Na ceberataki narażona jest każda organizacja przetwarzająca informacje, które są ważne, mają wartość dla potencjalnych przestępców. Występują tam, gdzie kradzież informacji jest szczególnie intratna, lub tam, gdzie następstwa ich ujawnienia mogą być kosztowne. Cyberatakami są zagrożone nie tylko firmy, ale także prywatne osoby, które świadomie, a częściej nieświadomie, stają celem przestępców.

Czyli atakuje się tam, gdzie się opłaca.

- Tak, cyberprzestępczość nie jest dziś placem zabaw dla hackerów, ale formą "biznesu". Zagrożenia typu ransomware polegają na zaszyfrowaniu danych po to, aby wymusić na ofierze wpłatę środków - najczęściej w bitcoinach - w celu otrzymania kodów deszyfrujących. Musimy pamiętać, że wpłacając „okup”, nie mamy pewności, że przestępcy prześlą do nas odpowiednie klucze... To zresztą trend, który będzie się rozwijał.

Czytaj także: Ryzyka implementacji rozwiązań 4.0. Przemysł potrzebuje niezależnej weryfikacji

Najgłośniej jest jednak o atakach, które mają podłoże polityczne.

- Bo one są najbardziej medialne. Dlatego informacje o nich łatwo przebijają się do opinii publicznej. Np. o ataku w 2010 r. na instalacje atomowe w Iranie, czy też w 2015 r. na system energetyczny Ukrainy, w wyniku czego ponad milion odbiorców w obwodzie iwanofrankowskim zostało na pewien czas pozbawionych prądu.

Ale wróćmy na pole biznesu. Jakie inne ataki oprócz ransomware stosowane są przez cyberprzestępców?

- Szczególnie niebezpieczna jest kradzież danych wrażliwych w celu szantażowania firmy lub ich sprzedaży. Tak było w przypadku Plus Banku, z którego skradziono dane klientów, a następnie udostępniono w sieci Tor.

O atakach na polskie firmy mówi się stosunkowo mało. To wynika z tego, że są tak dobrze chronione, czy ich atakowanie się nie opłaca? Albo, co najgorsze, zarządzający nimi lekceważą to zagrożenie?

- Moim zdaniem, polskie firmy są dość dobrze chronione. Inna rzecz, że w cyberprzestępczości nie ma granic, więc nie ma znaczenia, gdzie firma się znajduje. Z reguły jednak, częściej atakowane są firmy w krajach zamożnych niż w biednych. Dziś firmy w Polsce nie mogą liczyć na żadną taryfę ulgową u cyberprzestępców.

Jakie są koszty cyberataków?

- Według danych z raportu McAfee, w 2017 r. działalność cyberprzestępców przyniosła na świecie około 600 mld dolarów strat, tj. około 0,8 proc. światowego PKB. Ale bardziej niepokojące jest, że liczby te rosną. W 2014 r. koszty te szacowano na 445 mld dolarów. Wielu kosztów nie da się precyzyjnie oszacować, np. kosztów wizerunkowych.

Mam wrażenie, że jeszcze 10 lat temu głównym problemem w firmach było pirackie oprogramowanie, a o cyberprzestępczości czytało się w amerykańskich książkach.

- W ostatnich latach zmieniło się postrzeganie tego, co jest w organizacji ważne. Dzisiaj są to informacje. Rozsądek nakazuje je chronić. Stąd coraz większa świadomość ryzyka. Jednocześnie przybywa ataków, bo coraz więcej urządzeń „podpiętych” jest do internetu.

Jakie standardy certyfikacyjne pomagają zabezpieczyć obieg informacji w firmie.

- Głównym standardem jest norma 27001. Mówi ona o zarządzaniu bezpieczeństwem informacji. Nie chodzi tu o budowanie Pentagonu, ale świadome podejście do tej wrażliwej materii. ISO 27001 to standard przeznaczony dla dowolnego rodzaju organizacji: od kilkuosobowej firmy do dużego holdingu, który ma swoje przedstawicielstwa na całym świecie. Branża nie ma tu także znaczenia. Norma i wymagania przez nią stawiane są uniwersalne. Nic lepszego na razie na rynku się nie pojawiło.

Na jakim fundamencie opiera się ISO 27001?

- Jego podstawą jest ocena ryzyka. Najpierw sprawdza się, jakie aktywa informacyjne są przetwarzane i w jakich obszarach. Bezpieczeństwo informacji analizuje się pod kątem: poufności, integralności, dostępności. Trzeba się dowiedzieć, co się stanie w razie ataku, jakie spowoduje on koszty, i ile będzie kosztować ewentualne zabezpieczenie.

Czyli weryfikujecie, jak organizacja zarządza informacją i jakie mogą być negatywne skutki, jeśli to zarządzanie nie jest odpowiednie?

- To wie organizacja. My jako firma certyfikująca weryfikujemy głównie zgodność z wymaganiami normy oraz wewnętrznymi regulacjami w zakresie bezpieczeństwa informacji. Nie znamy dokładnej wartości aktywów informacyjnych klienta. Sprawdzamy, czy zarządza informacją zgodnie ze wymaganiami zawartymi w normie.

Dotyczy to organizacji pracy i ludzi czy sprawdzacie też software?

- Informacja zawsze wycieka kanałem, który jest najsłabiej zabezpieczony. Zwykle odnosi się to do ludzi. Stąd wiele cyberataków odbywa się za pomocą socjotechniki skłaniającej do oczekiwanego przez przestępców zachowania, np. kliknięcia w link, co spowoduje zainstalowanie w komputerze złośliwego oprogramowania.

Podczas audytu nie weryfikujemy bezpieczeństwa aplikacji. Za to jest odpowiedzialny producent. My możemy sprawdzić, jak wygląda obieg informacji w nich przetwarzanych. Analiza kodu źródłowego trwa długo i jest kosztowna. Często zresztą aplikacje posiadają własne certyfikaty bezpieczeństwa.

W przypadku dużych organizacji, zatrudniających dziesiątki tysięcy pracowników, nie jesteśmy w stanie sprawdzić wszystkiego i wszystkich. Posługujemy się próbką. Co ważne, weryfikujemy nie tylko „procedury na papierze”, ale także ludzi. Standard musi działać i my musimy być do tego przekonani w stu procentach. Certyfikat ważny jest przez trzy lata, z tym że co roku następuje weryfikacja.

Posiadanie certyfikatu nie jest obowiązkowe, ale firma, która go zdobywa, staje bardziej wiarygodna dla kontrahenta?

- Jak najbardziej tak. Dlatego tak ważna jest niezależność firmy certyfikującej.

Ile kosztuje przeprowadzenie audytu pod kątem cyberbezpieczeństwa?

- W przypadku normy 27001 na jednostkę certyfikującą nałożone są pewne wymagania wynikające z posiadania zewnętrznej akredytacji. Chodzi m.in. o kalkulowanie czasu, który powinno się przeznaczyć na audyt. Czas wpływa wprost na cenę. Wpływa na nią także liczba zatrudniony osób, a także liczba lokalizacji. Standard pozostawia jednak pewne pole wyboru. Można np. zamiast sprawdzać całą firmę ograniczyć się do weryfikacji jej centrali. Ceny audytu można szacować od kilku, kilkunastu do kilkudziesięciu tysięcy złotych.

Kogo weryfikowaliście już pod kątem cyberbezpieczeństwa?

- Współpracujemy z Grupą PGNiG, Orange, Transition Technologies, ze spółkami z Grupy Orlen. W grudniu planujemy certyfikację jednego z dużych banków.

W przypadku ISO 27001 zadziałał następujący mechanizm. Najpierw zainteresowały się nim duże firmy, a potem ich dostawcy, ponieważ norma nakazuje, by informacja im przekazywana była nadal bezpieczna. W sumie w Polsce certyfikowanych jest około 800 podmiotów.

W ubiegłym roku mocno dało się we znaki firmom wprowadzenie RODO, którego przepisy odnoszą się w dużej części do bezpieczeństwa o obiegu informacji.

- To prawda, ale z naszego punktu widzenia równie ważna jest ustawa o Krajowym Systemie Cyberbezpieczeństwa. Nakłada ona na operatorów usług kluczowych obowiązek ich zabezpieczenia. Objęte są nią organizacje działające m.in. w sektorze energetycznym, ochrony zdrowia, bankowości, w transporcie, wodociągach, telekomunikacji i administracji publicznej. Jej istotą jest zapewnienie ciągłości świadczenia usługi kluczowej. Wyobraźmy sobie, ile jesteśmy dziś w stanie wytrzymać bez prądu? Po ilu dniach zapanuje anarchia?

Wracając do początku naszej rozmowy, specjaliści zwracają uwagę, że największe zagrożenia cyberbezpieczeństwa związane są obecnie z internetem rzeczy i 5G. W zaskakujący sposób, jak na tak rozwinięte technologie, nie są one dobrze zabezpieczone przed atakami.

- Według badań Gartnera do 2022 roku w przeciętnym gospodarstwie domowym będzie około 500 urządzeń podpiętych do sieci, nie tylko tablety i smartfony, ale także lodówki, odkurzacze, oczyszczacze powietrza, a nawet poszczególne żarówki i gniazdka. Wyobrażam sobie ataki ransomware na domowe urządzenia IoT. To samo dotyczy także samochodów. Ten obszar naszego życia zmienia się bardzo dynamicznie.

Pracy wam więc nie zabraknie.

- Rozwój technologiczny przynosi nam wiele udogodnień i ułatwień. Musimy jednak mieć świadomość, że wraz z nim otrzymujemy pakiet zupełnie nowych zagrożeń, z którymi będziemy musieli sobie poradzić.

Czytaj także: Dwa standardy w drodze do gospodarki obiegu zamkniętego

* * *
TUV NORD jest globalną jednostką działającą w obszarze TIC (Testing, Inspection, Certification)

Materiał wydrukowany z portalu www.wnp.pl. © Polskie Towarzystwo Wspierania Przedsiębiorczości 1997-2020