W obliczu rosnącej liczby ataków cybernetycznych, coraz sprytniejszego oprogramowania ransomware, czy wyrafinowanych socjotechnik oraz ataków phishingowych, organizacje raz za razem boleśnie przekonują się, że posiadanie systemów mitygujących cyberzagrożenia to za mało, by czuć się w pełni bezpiecznie. Aby więc zwiększyć skuteczność i kompleksowo zabezpieczyć ciągłość działania, warto spojrzeć na problem szerzej i zamiast skupiać się na narzędziach, zająć się całościową cyberodpornością organizacji.
Firmy dziś, bardziej niż kiedykolwiek, potrzebują kompleksowej strategii odporności cybernetycznej. Pytanie jednak brzmi, czym właściwie jest cyberodporność, na czym polega i w jaki sposób wdrożyć jej zasady w organizacji? O tym właśnie jest najnowszy artykuł Veeam, na bazie którego stworzyliśmy krótki przewodnik dla tych, dla których klasyczne cyberbezpieczeństwo to już o wiele za mało.
Trochę teorii
Aby dobrze zrozumieć zjawisko, jakim jest cyberodporność, należy sięgnąć do źródła – czyli do definicji.
Idąc za zgrabną formułką Jackie Ostlie z Veeam, należy zaznaczyć, że u podstaw cyberodporności leży przede wszystkim zdolność organizacji do oceny zagrożeń i incydentów cybernetycznych, przygotowania się na nie, reagowania i odzyskiwania sprawności po nich.
Narodowy Instytut Standardów i Technologii (NIST) z kolei nieco rozwija tę myśl, definiując odporność cybernetyczną jako zdolność przewidywania, wytrzymywania, odzyskiwania i dostosowywania się do niesprzyjających warunków, napięć i ataków w systemach, które korzystają z zasobów cybernetycznych lub są przez nie obsługiwane. Cyberodporność ma umożliwić realizację celów strategicznych lub biznesowych, które zależą od dostępnych zasobów w środowisku cybernetycznym.
MITRE to organizacja non-profit, która, jako swoisty pioner zagadnień związanych z cyberodpornością, opracowała framework MITRE Attack, będący jedną z największych dostępnych baz wiedzy o cyberzagrożeniach i naruszeniach danych, a także badań nad nowymi technikami cyberataków. MITRE zatem ma swoją własną, krótką i konkretną definicję cyberodporności, wedle której jest to potrzeba, aby systemy informacyjno-komunikacyjne oraz osoby od nich zależne, były odporne na uporczywe, ukryte i wyrafinowane ataki skupiające się na zasobach cybernetycznych.
Niezależnie jednak od tego, jaką definicję zagadnienia przyjmiemy, kluczowe w tym przypadku nie jest tak naprawdę to, CZYM jest cyberodporność, ale to, w JAKI SPOSÓB wdrażać ją w organizacji. Nie chodzi przecież tylko o zapobieganie atakom, ale także o to, by sprawnie działać w trakcie ataku oraz po nim, minimalizując przestoje i ryzyko utraty danych oraz strat finansowych i wizerunkowych. Nie jest to proste, bo wymaga spójnej współpracy zespołów IT i cyberbezpieczeństwa, a także świadomości wszystkich członków organizacji, która pozwoli być o krok do przodu wobec mnożących się cyberzagrożeń.
Framework odporności cybernetycznej – najważniejsze elementy
Przechodząc jednak do konkretów, warto skupić się na tym, jakie działania kryją się pod definicją cyberodporności NIST oraz MITRE oraz jakie wskazówki w tym zakresie warto wdrożyć, budując cyberodporną organizację. Na bazie najlepszych praktyk powstał zatem swoisty framework, który obejmuje 4 najważniejsze zasady. Budując organizację opartą o strategię cyberodporności, przede wszystkim należy:
Przewidywać -regularnie identyfikuj swoje wewnętrzne i zewnętrzne słabe punkty oraz najcenniejsze zasoby. Wymaga to współpracy zespołów IT i cyberbezpieczeństwa, kompleksowego mapowania procesów oraz wysokopoziomowej integracji istniejących systemów.
Egzekwować – wprowadź swój plan w życie i monitoruj procesy oraz systemy pod kątem nietypowej aktywności, która może wskazywać na złośliwy atak i/lub naruszenie. Uwzględnij w tym procesie korzystanie z narzędzi bezpieczeństwa, takich jak SIEM i XDR, upewnij się, że Twoja organizacja stosuje podejście Zero Trust oraz koniecznie zaimplementuj zasady zarządzania tożsamością i dostępem, wzmocnione uwierzytelnianiem wieloskładnikowym (MFA – Multi-Factor Authentication).
Mieć z czego odzyskiwać – kopia zapasowa to ostatnia linia obrony w przypadku cyberataku, nie można więc traktować jej po macoszemu, bo nierzadko ratuje organizacji ,,życie”. Upewnij się więc, że Twój backup jest nienaruszalny, wolny od wirusów oraz przechowywany poza siedzibą, zgodnie z zasadą 3-2-1-0 – w kryzysowej sytuacji pozwoli Ci to na skuteczne odzyskanie kluczowych dla organizacji danych.
Dostosowywać – poddawaj regularnej ewaluacji firmowe procesy, zasady i systemy oraz na bieżąco modyfikuj je w razie potrzeby, aby jak najlepiej dostosować je do zewnętrznych, wciąż ewoluujących i coraz bardziej wyrafinowanych cyberzagrożeń.
Budowanie cyberodporności – bariery i zagrożenia
Zrozumienie ryzyka związanego z zagrożeniami cybernetycznymi ma kluczowe znaczenie dla zbudowania odpowiedniej strategii. Według Veeam do najczęstszych zagrożeń, które stoją na drodze do stworzenia cyberodporności organizacji, należą m.in. poniższe bariery:
- Zespoły IT i cyberbezpieczeństwa dość często są od siebie funkcjonalnie i strukturalnie odizolowane, co utrudnia zrozumienie przepływu narzędzi, procesów i planów, w efekcie opóźniając szybką reakcję na incydent cyberbezpieczeństwa.
- Testowanie kopii zapasowych i próbne odzyskiwanie danych jest traktowane w kategoriach fanaberii, będąc jednocześnie procesem wyłączonym ze strategii odporności cybernetycznej organizacji.
- Organizacje nie przestrzegają podstawowych zasad higieny bezpieczeństwa i ochrony danych.
- Organizacje zaniedbują szkolenia pracowników na wszystkich szczeblach oraz we wszystkich obszarach biznesowych, co znacząco zwiększa ryzyko błędów ludzkich mogących prowadzić do incydentu.
Skutki powyższych zaniechań mogą być dla organizacji katastrofalne, zarówno pod względem finansowym, jak i reputacyjnym. Według najnowszych danych, średni koszt naruszenia bezpieczeństwa danych wynosi 3,86 mln dolarów, a zidentyfikowanie i powstrzymanie naruszenia zajmuje średnio 280 dni. Statystyki te podkreślają znaczenie solidnej strategii odporności cybernetycznej.
Wdrażanie dobrych, sprawdzonych praktyk, kluczem do sukcesu
Budowanie odporności cybernetycznej wymaga czegoś więcej niż tylko wdrażania narzędzi i zasobów bezpieczeństwa; wymaga holistycznego podejścia, obejmującego szereg najlepszych dostępnych i sprawdzonych praktyk, takich jak:
Współpraca na linii IT – zespół cybersecurity: tylko pełen, transparentny przepływ informacji oraz integracja procesów i systemów pozwala na zbudowanie kompleksowej bariery ochronnej przeciw cyberatakom oraz natychmiastową identyfikację słabych stron i obszarów wysokiego ryzyka w organizacji.
Dbałość o porządny, rzetelny backup: regularne tworzenie kopii zapasowych danych to tylko pierwszy krok do szybkiego powrotu do działania w przypadku incydentu cybernetycznego. Kompleksowy backup powinien być regularnie testowany, wolny od wirusów i uszkodzeń, nienaruszalny oraz powinien występować przynajmniej w trzech egzemplarzach, na dwóch różnych nośnikach, a jeden z nich powinien znajdować się poza siedzibą.
Opracowanie planu reagowania na incydenty: plan reagowania na incydenty to dokument obejmującywstępnie zdefiniowane kroki, które Twoja organizacja powinna zrealizować w przypadku wystąpienia incydentu cyberbezpieczeństwa. Jest nieodzowny, bo w sytuacji krytycznej porządkuje i systematyzuje działania, które należy podjąć, by zminimalizować straty w przypadku cyberataku.
Stała ewaluacja strategii: świat cyberzagrożeń stale się rozwija, co oznacza, że Twoja organizacja również musi to robić. Na bieżąco należy więc oceniać narzędzia, procesy, systemy i zasady, aby identyfikować wszelkie luki i słabe punkty w zabezpieczeniach Twojej organizacji.
Szkolenia pracowników: każdy pracownik, bez względu na stanowisko, odgrywa rolę w ochronie Twojej firmy, klientów i danych. Edukacja pracowników w zakresie rozpoznawania i reagowania na cyberzagrożenia może znacząco zmniejszyć ryzyko powodzenia ataku.
Podsumowanie
W czasach, gdy zagrożenia cybernetyczne są nieuniknione, odporność cybernetyczna stała się swoistym „must have” każdej organizacji, której celem jest ochrona swoich zasobów i utrzymanie ciągłości działania. W bezpieczeństwie cybernetycznym nie chodzi bowiem tylko o posiadanie odpowiednich narzędzi – bo to zdecydowanie zbyt mało – ale także o wdrażanie i egzekwowanie odpowiednich strategii, procedur i szkoleń, które wymaga partnerstwa między zespołami IT, zarządem oraz resztą organizacji.
Cyberodporność jako zagadnienie wciąż ewoluuje, w miarę, jak pojawiają się nowe zagrożenia – a jak wiadomo, dzieje się to w zastraszającym tempie. Tym ważniejsze jest zatem odejście od nastawienia reaktywnego, które obejmuje reagowanie w odpowiedzi na problem, a przejście na zdecydowanie proaktywny model działania – który, rzetelnie wdrożony, pozwala być krok do przodu wobec czyhających cyberzagrożeń oraz daje pewność, że Twoja organizacja jest zawsze przygotowana na to, co potencjalnie nadejdzie.
Pamiętaj, że celem organizacji nie jest jedynie przetrwanie cyberataku, ale także jak najdalej idące minimalizowanie szkód, zarówno operacyjnych, jak i reputacyjnych. W tym kontekście odporność cybernetyczna to odpowiedzialność nie tylko działu IT – to kwestia mindsetu całej organizacji.
*Artykuł powstał na podstawie materiału ,,What is cyber resilience?” Veeam Software: https://www.veeam.com/blog/what-is-cyber-resilience.html, dostęp na dzień 04.12.2023 r.
Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.