Raport Global Risk 2022 określa incydent bezpieczeństwa jako jedno z dziesięciu zagrożeń, których możliwość wystąpienia wzrosła od początku kryzysu Covid-19. Co więcej, 85% liderów ds. cyberbezpieczeństwa zrzeszonych w ramach Światowego Forum Ekonomicznego podkreśliło, że oprogramowanie ransomware stanowi coraz większy problem dla utrzymania bezpieczeństwa publicznego.
Trwająca transformacja cyfrowa firm, przyśpieszona w wyniku pandemii, wymagała wdrożenia rozwiązań technologicznych, które umożliwiają zdalną komunikację czy agregację i analizę danych pochodzących z różnych źródeł. Jak pokazuje raport Global Risk 2022, dostęp do technologii informacyjnych oraz sieci internet zwiększa prawdopodobieństwo ataku cybernetycznego na infrastrukturę firmy.
Podstawowym narzędziem pozwalającym zminimalizować prawdopodobieństwo wystąpienia incydentu bezpieczeństwa jest szacowanie ryzyka. Zarządzanie ryzykiem skupia w sobie wszystkie aspekty działania organizacji. Niezwykle istotny jest jego związek z obszarem ochrony danych. Wymaganie prawne zawarte w rozporządzeniu RODO w art. 32 nakazuje administratorowi danych wprowadzenie adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych.
Budując system zarządzania ryzykiem w bezpieczeństwie informacji, warto skorzystać ze wskazówek zawartych w normach serii ISO 27001. W szczególności na uwagę zasługuje PN-EN ISO/IEC 27001:2017-06 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania, stanowiące podstawę systemu zarządzania bezpieczeństwem informacji.
Istotnym elementem systemu bezpieczeństwa informacji, który pozwala zarówno organizacji, jak i ubezpieczycielowi określić kluczowe ryzyka oraz poziom bezpieczeństwa wynikający z wdrożonych zabezpieczeń, jest audyt bezpieczeństwa informacji – lub bardziej ukierunkowany na kwestie technologiczne audyt cyberbezpieczeństwa.
Przyjrzyjmy się korzyściom, jakie możemy uzyskać, wykorzystując audyt jako narzędzie monitorowania i doskonalenia systemu bezpieczeństwa organizacji.
Nieuprawniony dostęp do przetwarzanych informacji
W jednej z organizacji sektora energetycznego pracownicy w ramach obowiązków służbowych otrzymywali dostęp do systemów zewnętrznych prowadzonych przez Zakład Ubezpieczeń Społecznych (ZUS PUE), bankowości elektronicznej, ePUAP, platformy usług elektronicznych służb skarbowo-celnych (PUESEC).
W ramach prowadzonych działań audytorzy analizowali proces zarządzania uprawnieniami do systemów zewnętrznych. Działania te ujawniły brak inwentaryzacji nadanych uprawnień oraz przeprowadzania ich okresowych przeglądów. W efekcie organizacja nie potrafiła skutecznie odebrać dostępu do wszystkich zewnętrznych systemów. Fakt ten powoduje powstanie ryzyka dostępu do informacji przetwarzanych w tych systemach (dane osobowe pracowników itp.) przez osoby formalnie niewiązane już z organizacją. Narażało to organizację na konsekwencje prawne związane z naruszeniem ochrony danych osobowych.
Przeprowadzony audyt zakończył się wydaniem rekomendacji, które umożliwiły organizacji określenie przyczyn zaistniałej sytuacji i wprowadzenie działań korygujących. Po pewnym czasie przeprowadzono ponowny audyt, który potwierdził skuteczność podjętych przez organizację działań korygujących.
Analiza stosowanych rozwiązań kryptograficznych
W organizacji sektora energetycznego przeprowadzano audyt bezpieczeństwa sieci szkieletowej łączącej poszczególne lokalizacje. W wyniku prowadzonych prac audytowych przeanalizowano opracowaną przez instytucję koncepcję wykorzystania rozwiązań kryptograficznych, a następnie zweryfikowano konfigurację poszczególnych urządzeń.
Przeprowadzone prace pozwoliły zidentyfikować obszary, w których organizacja nie przestrzegała standardów technologicznych oraz stosowanych zabezpieczeń kryptograficznych.
Przeprowadzone działania umożliwiły zastosowanie konfiguracji połączeń zgodnej z aktualnym stanem wiedzy oraz wprowadzenie mechanizmu okresowej weryfikacji stosowanych rozwiązań celem porównania ich z rozwiązaniami uznawanymi w danym momencie za bezpieczne.
Możliwość wycieku danych poprzez pliki tymczasowe
Audytowana organizacja, oferująca usługi z wykorzystaniem dedykowanej aplikacji, zleciła przeprowadzenie audytu bezpieczeństwa wykorzystywanego rozwiązania. Podczas prowadzonych prac audytorzy stwierdzili niezgodność w zakresie bezpiecznego usuwania plików tymczasowych, które mogą zawierać istotne dane.
W wyniku przeprowadzonych prac zastosowano rozwiązanie, które minimalizuje ryzyko pozostawienia w plikach tymczasowych istotnych danych, wykorzystując mikroserwisy.
Wykorzystanie chmury obliczeniowej w ramach systemu obsługi pacjentów
W organizacji sektora ochrony zdrowia wykorzystano chmurę obliczeniową celem utrzymania redundantnej instancji bazy danych. Rozwiązanie to zapewnia ciągłość działania systemu informatycznego wspierającego realizację priorytetowego procesu.
Zespół audytorów przeprowadzał audyt, którego celem była weryfikacja wdrożonych mechanizmów zapewniających bezpieczeństwo podczas korzystania z usług chmurowych. Jako kryteria odniesienia wykorzystano Załącznik A do normy ISO/IEC 27001, stanowiący wykaz zabezpieczeń, wraz z rozszerzeniami odnoszącymi się do ochrony danych przetwarzanych w chmurze ISO/IEC 27017 i ISO/IEC 27018.
Przeprowadzony audyt wykazał, że w trakcie użytkowania rozwiązania nastąpiła zmiana w konfiguracji usługi chmurowej, która uniemożliwiała automatyczne uruchomienie rozwiązania zgodnie z przygotowanym planem zapewnienia ciągłości działania. Tym samym brak dostępu do elektronicznej dokumentacji pacjentów uniemożliwiał udzielanie świadczeń.
W wyniku przeprowadzonych prac podjęto działania korekcyjne, polegające na modyfikacji konfiguracji rozwiązania, oraz działania korygujące, przypisujące odpowiedzialność za pozyskiwanie i analizę informacji od dostawcy rozwiązania pod kątem wpływu wprowadzanych zmian na infrastrukturę audytowanej organizacji.
Wykorzystanie komunikatora internetowego
Organizacja sektora nowych technologii w ramach prac nad rozwijanym oprogramowaniem prowadzi komunikację zespołu poprzez komunikator posiadający bogatą bibliotekę rozszerzeń dostępną dla każdego użytkownika.
W trakcie audytu przeprowadzono analizę użytkowania przez pracowników urządzenia w kontekście wykorzystania jego mechanizmów jako możliwych wektorów ataków na organizację. Zidentyfikowano 1015 aplikacji, które użytkownik może zainstalować. Instalacja danego rozszerzenia wymaga zaakceptowania polityki, co następnie umożliwia korzystanie z niego.
W trakcie audytu przeprowadzono test z dodatkiem „Wikipedia Search”, który po zainstalowaniu umożliwił komunikację z witryną Wikipedii i pobranie wyszukiwanych informacji. Podejście takie rodzi ryzyko udostępnienia informacji lub pobrania niechcianych treści.
Po przeprowadzonym audycie organizacja przeprowadziła analizę zidentyfikowanych słabości. Wprowadzono działania eliminujące możliwość wykorzystania tego kanału jako potencjalnej drogi ataku na organizację. Ponowne przeprowadzenie audytu potwierdziło skuteczność podjętych działań.
Jakość badania audytowego
Dla wyniku przeprowadzonego audytu zasadnicze znaczenie mają kompetencje realizujących je osób. Stąd istotny jest element zdefiniowania wymaganych kompetencji, np. znajomości wymagań standardu ISO 27001 oraz technik audytowania.
Problem wyboru audytorów posiadających odpowiednie kompetencje pomagają rozwiązać programy certyfikacji kompetencji personelu, takie jak akredytowany przez Polskie Centrum Akredytacji, Audytor Wiodący Systemu Bezpieczeństwa Informacji zgodnie z ISO 27001.
Tomasz Szczygieł
ekspert ds. ochrony danych, audytor DEKRA Certification sp. z o.o.
LinkedIn: https://www.linkedin.com/in/tomasz-szczygiel-cybersecurity/ www: https://www.dekra-certification.com.pl/