W dzisiejszym artykule poruszę zagadnienia, które na pierwszy rzut oka mogłyby się wydawać niepowiązane, jednak ich wspólnym mianownikiem jest szeroko rozumiane cyberbezpieczeństwo. Wymienione w tytule trzy zagadnienia nie są wskazane wprost jako obszary NIS2, jednakże wszystkie występują w zapisach dyrektywy jako jedne z wielu technicznych i organizacyjnych środków służących zapewnieniu wyższego poziomu cyberbezpieczeństwa.
Zarządzanie aktywami
Zarządzanie aktywami jako jeden z bardziej oczywistych aspektów funkcjonowania organizacji nie zawsze jest postrzegany jako istotny element cyberbezpieczeństwa, ale nim jest.
Można by pomyśleć, że aktywa to jakiś element obszaru księgowości, środki trwałe, aktywa niskocenne, inne elementy wyposażenia, ale nie tylko. Z punktu widzenia bezpieczeństwa aktywem jest np. serwer, na którym dochodzi do przetwarzania informacji, a informacja jest zasobem, który należy chronić. Przekornie zatem przeprowadzę pewną dedukcję rozpoczynając od końca – od zarządzania ciągłością działania. Wykażę, jak ważna jest poprawna inwentaryzacja zasobów do prawidłowego działania procesów biznesowych w organizacji.
Przyjmijmy sobie, że w przestrzeni gospodarczej działa firma Q, której głównym procesem biznesowym jest dostarczanie analiz eksperckich do poczytnych tygodników branżowych. Analizy przygotowują Pracownicy korzystający z oprogramowania Qtext. Oprogramowanie Qtext jest systemem on-premise zlokalizowanym na klastrze geograficznym rozciągniętym pomiędzy dwie serwerownie firmy Q. W celu zabezpieczenia się przed ryzykiem niedostępności systemu, który stanowi filar krytycznego procesu biznesowego firmy – zdecydowano się na opracowanie planów ciągłości działania. W celu wypracowania dokumentacji odtworzeniowej – zgodnie z przyjętą metodyką zarządzania ciągłością działania – należy przeprowadzić analizę ryzyka, która wykaże, na okoliczność wystąpienia jakich zagrożeń organizacja musi być przygotowana. Przeprowadzenie analizy ryzyka wymaga zajęcia się poszczególnymi komponentami systemu Qtext z uwzględnieniem ich wagi w prawidłowym funkcjonowaniu tego systemu, ale również w kontekście występowania SPoF (Ang. Single Point of Failure – pojedynczy punkt awarii). Aby wiedzieć, jakie komponenty wchodzą w skład systemu, a tym bardziej, jaki mają wpływ na poprawne działanie całego systemu, musimy mieć dobrze zorganizowany obszar zarządzania aktywami. Oprócz opisanego wyżej wpływu na procesy bezpieczeństwa, takie jak zachowanie ciągłości działania czy zarządzanie ryzykiem – inwentaryzacji zasobów nie można rozdzielić od procesu klasyfikacji informacji. Każdy z aktywów – w szczególności zwanych zasobami lub aktywami informacyjnymi – nieodłącznie wiąże się z informacją i to właśnie waga czy klasa tej informacji, która przetwarzana jest na tym zasobie powinna determinować wagę czy klasę danego zasobu.
W pewien uproszczony sposób pokazałem Wam, że zarządzanie aktywami jest ważne i wpływa na ciągłość działania całej organizacji, gdyż błędy popełnione na najniższym poziomie mogą skutkować kaskadą błędnych założeń i powodować błędy na wyjściu procesów wyższego poziomu wpływających na działanie firmy. Wystarczy, że jeden z elementów nie został ujęty w rejestrze aktywów, a jego awaria przyczyniłaby się do całkowitej niedostępności systemu wspomagającego krytyczny proces biznesowy – nie przygotujemy swojej organizacji, nie opracujemy planów ciągłości działania, gdyż nie mieliśmy świadomości o istnieniu takiego zagrożenia.
Co powinien zawierać rejestr aktywów, aby był przydatny i kompletny?
Zapewne specyfika danego zasobu, jak i zasady działania danej organizacji w największym stopniu determinować będą zakres prowadzonej inwentaryzacji, jednakże z punktu widzenia bezpieczeństwa oraz dobrych praktyk są pewne wspólne elementy, które pomogą zbudować rejestr aktywów w sposób w miarę kompletny – szczególnie pod kątem cyberbezpieczeństwa. Wymienię kilka najistotniejszych elementów, które powinny być ujęte w takim zestawieniu:
- Identyfikacja – informacje identyfikujące dane aktywo – nazwa, numer seryjny, opis, adres IP, adres MAC itp.
- Kategoria – czy to jest np. sprzęt, usługa, oprogramowanie
- Lokalizacja – miejsce, w którym się znajduje, miejsce w infrastrukturze (np. serwerownia/szafa/ półka czy Vlan).
- Właścicielstwo – kto od strony biznesowej, ale również technicznej odpowiada za prawidłowe działanie danego aktywa.
- Waga – na ile krytyczny jest zasób (szacowany poziom ryzyka), na ile krytyczne informacje przetwarzane są na danym zasobie (klasy informacji); inny przyjęty przez organizację sposób oceny krytyczności zasobu.
- Zgodność – informacje na temat wymaganych zgodności z regulacjami np. RODO, UKSC, KNF.
- Parametry techniczne – np. informacje specyficzne dla kategorii „sprzęt” – takie jak liczba CPU, RAM czy HDD.
- Cykl życia – informacje na temat daty zakupu, daty wygaśnięcia wsparcia, planowanych przeglądów, audytów czy też daty wycofania z użytkowania.
- Dokumentacja – wszelkiego rodzaju instrukcje i procedury, umowy gwarancyjne oraz SLA czy inna dokumentacja techniczna dotycząca danego zasobu.
- Dostęp i uprawnienia – informacje o uprawnieniach/rejestr kont i uprawnień oraz opis sposobu zarządzania nimi.
Mając tak przygotowany, a co najważniejsze uzupełniony i stale aktualizowany rejestr zasobów, możemy być spokojni, że istotne informacje o naszych zasobach znajdują się w jednym miejscu i nie ominiemy żadnych istotnych elementów przy prowadzeniu pozostałych procesów związanych z cyberbezpieczeństwem.
Wyjaśniłem, jak praktycznie powinien wyglądać obszar zarządzania aktywami, teraz omówię pozostałe dwa wątki poruszone w tytule artykułu. Przejdę do Kontroli dostępu.
Kontrola Dostępu
Kontrola dostępu stanowi fundament bezpieczeństwa, który obejmuje dwa kluczowe obszary: bezpieczeństwo fizyczne oraz bezpieczeństwo teleinformatyczne. Choć często kojarzona jest jedynie z systemami zabezpieczającymi budynki i pomieszczenia przed wejściem niepożądanych osób, w rzeczywistości ma duże znaczenie w ochronie zasobów cyfrowych. Skuteczne zarządzanie dostępem do zasobów organizacji minimalizuje ryzyko nieautoryzowanego dostępu, naruszeń danych oraz cyberataków.
Perspektywa dostępu fizycznego
Pomimo, że dostęp fizyczny do pomieszczeń może na pierwszy rzut oka nie mieć wiele wspólnego z dostępem do zasobów teleinformatycznych, jednak w rzeczywistości ma i to bardzo dużo. Każdy fizyczny dostęp do urządzenia teleinformatycznego zmniejsza diametralnie poziom jego bezpieczeństwa w kontekście ochrony informacji na nim przetwarzanych. Z tego też powodu nieprzypadkowo wdrażając systemy monitorujące i korelujące zdarzenia (SIEM: ang. Security Information and Event Management) jako źródła poza systemami, aplikacjami, bazami danych, dodaje się również Systemy Kontroli Dostępu (SKD), Systemy Sygnalizacji Włamań i Napadu (SSWiN) czy inne czujniki znane bardziej z obszaru zarządzania budynkami. Czasem mało istotne zdarzenie, które mogłoby być traktowane jako zwykła awaria fizyczna serwera i przełączenie jego funkcjonalności na ośrodek zapasowy, okaże się poważnym incydentem cyberbezpieczeństwa, gdy skorelujemy to zdarzenie z wcześniejszym naruszeniem strefy bezpieczeństwa w serwerowni podstawowej. Może to sygnalizować, że dane zdarzenie miało charakter celowego uszkodzenia, a może nawet kradzieży całego urządzenia wraz z informacjami, jakie były na nim przetwarzane. Dlatego bardzo dużą wagę należy przyłożyć do zapewnienia bezpieczeństwa fizycznego. Na szczęście mamy wiele środków technicznych i organizacyjnych, a zastosowanie konkretnych powinno być adekwatne do zagrożeń i wynikać z przeprowadzonej analizy ryzyka.
Przykładowe metody zapewnienia dostępu fizycznego:
- karty dostępu – systemy oparte na kartach RFID, NFC lub magnetycznych do uwierzytelniania osób.
- Zamki elektroniczne i biometryczne – wykorzystujące odciski palców, skany twarzy lub siatkówki oka.
- Monitoring wizyjny (CCTV) – systemy kamer do monitorowania wejść i kluczowych obszarów.
- Straż i ochrona fizyczna – personel odpowiedzialny za kontrolę ruchu osób i egzekwowanie procedur.
- Strefy o ograniczonym dostępie – wydzielone obszary wymagające specjalnych uprawnień do wejścia.
Skuteczna kontrola dostępu fizycznego powinna w szczególności zabezpieczać kluczowe zasoby, takie jak serwerownie, krosownie, archiwa dokumentów czy inne miejsca, w których dochodzi do przetwarzania wrażliwych informacji.
Perspektywa dostępu teleinformatycznego
Tu chyba nie jest wymagane tłumaczenie powiązań – jak w przypadku bezpieczeństwa fizycznego – gdyż sam kontekst dyrektywy NIS2 dotyczy cyberbezpieczeństwa oraz zapewnienia cyberodporności. Co zatem można zaliczyć do środków, metod kontroli dostępu? Poniżej wymienię kilka najbardziej popularnych:
- Uwierzytelnianie wieloskładnikowe (MFA – ang. Multi Factor Autentication) – wymaga więcej niż jednego sposobu potwierdzenia tożsamości (np. hasło + kod SMS lub klucz sprzętowy).
- Zarządzanie tożsamością i uprawnieniami (IAM – ang. Identity and Access Management) – systemy centralnie kontrolujące kto ma dostęp do jakich zasobów i na jakich zasadach.
- Kontrola dostępu oparta na rolach (RBAC – ang. Role Based Access Control) – przypisywanie uprawnień w zależności od roli użytkownika w organizacji.
- Lista kontroli dostępu (ACL – ang. Access Control List) – ograniczanie dostępu do plików, folderów lub systemów na podstawie reguł administratora.
- Segmentacja sieci – ograniczenie możliwości przemieszczania się w obrębie infrastruktury sieciowej (np. VLAN, Zero Trust).
- Szyfrowanie i certyfikaty cyfrowe – zabezpieczanie transmisji danych oraz potwierdzanie autentyczności systemów.
- Logowanie i monitorowanie dostępu – prowadzenie dzienników aktywności i analiza logów w celu wykrywania nieautoryzowanych prób dostępu.
Odpowiednie zarządzanie kontrolą dostępu w obszarze teleinformatycznym pomaga organizacjom spełniać wymogi regulacyjne np. NIS2, ale przede wszystkim chronić przed zagrożeniami cybernetycznymi swoje najcenniejsze zasoby – czyli informacje.
Opowiedziałem już o dwóch wątkach wynikających z tytułu dzisiejszego artykułu, czas skupić się na najciekawszym i najbardziej wrażliwym – gdyż jak mówią, najsłabszym ogniwem łańcucha bezpieczeństwa jest człowiek.
Bezpieczeństwo zasobów ludzkich
Bezpieczeństwo zasobów ludzkich w kontekście wymagań dyrektywy NIS2 oraz szeroko pojętego cyberbezpieczeństwa odnosi się do zapewnienia, że pracownicy i inne osoby mające dostęp do informacji służbowych oraz systemów teleinformatycznych w organizacji są odpowiednio przeszkolone, monitorowane i zobowiązane do przestrzegania polityk bezpieczeństwa czy zachowania poufności informacji wrażliwych.
Do kluczowych aspektów bezpieczeństwa zasobów ludzkich należą w szczególności:
- Budowanie świadomości (tzw. Awerness) – regularne szkolenia z zakresu cyberbezpieczeństwa i polityki dostępu oraz cykliczna weryfikacja wiedzy.
- Polityka minimalnych uprawnień – zapewnienie, że pracownicy mają dostęp tylko do niezbędnych zasobów np. poprzez regularne weryfikacje i przeglądy uprawnień w systemach teleinformatycznych.
- Monitorowanie aktywności – rejestrowanie i analiza działań użytkowników w systemach IT.
- Procedury związane z cyklem życia tożsamości – poprawnie zdefiniowane i funkcjonujące procesy Joiner (podjęcie współpracy), Mover (zmiana warunków pracy), Leaver (zakończenia współpracy), które zapewniają, że w danym momencie pracownik posiada wymagane, ale nie nadmiarowe uprawnienia.
- Zobowiązanie do poufności – podpisywanie umów i klauzul zachowania poufności (NDA – ang. Non-Disclosure Agreement) i egzekwowanie zasad ochrony informacji.
- Zarządzanie incydentami ludzkimi – reagowanie na przypadki naruszeń bezpieczeństwa przez pracowników, współpracowników, w tym działania nieumyślne oraz celowe ataki na bezpieczeństwo informacji.
- Odpowiedzialność za bezpieczeństwo – wdrażanie kultury bezpieczeństwa poprzez jasno określone obowiązki i odpowiedzialność pracowników w zakresie ochrony zasobów organizacji w tym – zgodnie z zasadą „przykład idzie z góry” – czynne zaangażowanie kierownictwa w procesy cyberbezpieczeństwa.
- Bezpieczne zarządzanie urządzeniami służbowymi – polityki dotyczące korzystania z laptopów, telefonów i nośników danych, w tym szyfrowanie i kontrola dostępu.
- Rekrutacja i zatrudnianie – procedury weryfikacji kandydatów pod kątem bezpieczeństwa, np. weryfikacja przeszłości zawodowej i referencji.
Wdrożenie skutecznych procedur bezpieczeństwa zasobów ludzkich minimalizuje ryzyko wewnętrznych zagrożeń i wspiera zgodność organizacji z wymaganiami NIS2. Nie sposób nie wspomnieć w kontekście bezpieczeństwa zasobów ludzkich o pojęciu OSINT.
OSINT – co to takiego?
OSINT (Ang. Open-Source Intelligence) jest to metoda zbierania i analizowania informacji z ogólnodostępnych źródeł, takich jak:
- Internet, media społecznościowe, fora, blogi i inne,
- publikacje naukowe i techniczne,
- publiczne rejestry i bazy danych,
- komunikaty prasowe,
- raporty i strony firmowe.
Jest to technika wykorzystywana przez różne podmioty, zarówno w celach zapewnienia cyberbezpieczeństwa, jak i przygotowania działań przestępczych. Z tego też powodu w kontekście bezpieczeństwa zasobów ludzkich, OSINT może być zarówno zagrożeniem, jak i narzędziem do poprawy cyberbezpieczeństwa organizacji.
Z punktu widzenia zagrożeń – atakujący mogą wykorzystywać OSINT np. do:
- zbierania informacji o pracownikach,
- tworzenia spersonalizowanych ataków phishingowych,
- identyfikowania infrastruktury IT firmy,
- podszywania się pod pracowników.
Organizacje mogą również wykorzystywać OSINT w celu podniesienia poziomu cyberbezpieczeństwa np. poprzez:
- monitorowanie potencjalnych wycieków danych – sprawdzanie, czy dane pracowników lub firmowe informacje nie są dostępne w DarkNecie czy publicznie dostępnych rejestrach,
- analizę zagrożeń – identyfikację osób i grup, które mogą planować ataki na organizację,
- szkolenie pracowników – edukację na temat tego, jakie informacje nie powinny być publicznie udostępniane,
- testy bezpieczeństwa – analizę śladu cyfrowego organizacji i pracowników, w celu minimalizacji ryzyka ataków OSINT-owych.
Jak chronić pracowników przed zagrożeniami płynącymi z OSINT?
- Polityka prywatności – ograniczenie ilości udostępnianych informacji na temat organizacji i jej pracowników.
- Szkolenia z cyberhigieny – uświadamianie, jakie dane mogą być wykorzystane przez cyberprzestępców.
- Monitorowanie wycieków – korzystanie z narzędzi do wykrywania publicznie dostępnych informacji o firmie.
- Bezpieczna konfiguracja kont – ustawienia prywatności w mediach społecznościowych, blokowanie zbędnych informacji w stopkach maili.
Podsumowując, OSINT to potężne narzędzie, które może być zarówno zagrożeniem, jak i wsparciem dla bezpieczeństwa organizacji. Kluczowe jest świadome zarządzanie informacjami dostępnymi publicznie w sieci oraz edukacja pracowników na temat potencjalnego ryzyka.
Podsumowanie
Przybliżyłem Wam temat aktywów informatycznych i wykazałem na przykładzie, jak istotne jest zarządzanie tym obszarem i jak łączy się on z pozostałymi procesami cyberbezpieczeństwa. Przedstawiłem zakres inwentaryzacji zasobów, co pozwoli w sposób praktyczny podejść do implementacji tego procesu w Waszych organizacjach. W zakresie kontroli dostępu opowiedziałem zarówno o perspektywie dostępu fizycznego, jak i teleinformatycznego, natomiast przy okazji wątku bezpieczeństwa zasobów ludzkich pozwoliłem sobie na wtrącenie kilku słów o OSINT – gdyż wiele się o tym mówi, a nie zawsze mamy świadomość o dwóch stronach tej techniki – wzmacniającej nasze bezpieczeństwo oraz narażającej organizację na zagrożenia.
Mam nadzieję, że przekazane informacje pozwolą Wam w prosty, logiczny, a przede wszystkim praktyczny sposób podejść do organizacji procesów bezpieczeństwa w Waszych organizacjach. W ramach realizowanej usługi FortCyber wspomagamy naszych Klientów w budowie bezpiecznego środowiska pracy i zawsze dotykamy wszystkich trzech obszarów – bez względu na wielkość oraz poziom świadomości organizacji – zawsze znajdujemy pole do doskonalenia.
Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne