30 sierpnia 2021

Nieistotne dane - cyberprzestępcy nie znają takiej kategorii

Od maja 2018 r. w Europie obowiązuje Ogólne Rozporządzenie o Ochronie Danych (RODO). Na jego podstawie dane osobowe dotyczące pochodzenia, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności do związków zawodowych, dane biometryczne, a także te dotyczące zdrowia oraz orientacji seksualnej podlegają ochronie. Ich przetwarzanie, w tym zbieranie i wykorzystywanie, jest ściśle regulowane przez prawo. Ale czy to jedyne zasoby, które wymagają szczególnej ochrony m.in. ze względu na rosnące zainteresowanie danymi ze strony cyberprzestępców?

Czy w każdej firmie ochrona danych innych niż objęte dyrektywą RODO jest koniecznością?

Wiele danych, które pozostają w zasobach firm i przedsiębiorstw wykracza poza katalog zwykłych danych wrażliwych. Za niezbędne do normalnego funkcjonowania organizacji uważa się: dane produkcyjne, finansowe czy te z obszaru Badań i Rozwoju. W szpitalach będą nimi z pewnością informacje tworzące Elektroniczną Dokumentację Medyczną. W każdym z powyższych przypadków ich ujawnienie, kradzież lub utrata miałyby krytyczne znaczenie dla przedsiębiorstwa - firma przestaje funkcjonować lub traci przewagę konkurencyjną. A każdy z tych zbiorów, i nie tylko one, pozostaje w orbicie zainteresowań cyberprzestępców. Właściwie nie ma danych, o których można by powiedzieć, że są nieistotne. Z perspektywy mniejszej firmy brak możliwości dostępu do prostej księgi zamówień może oznaczać w praktyce jej paraliż. Zatem na spektrum zasobów wymagających ochrony w większości organizacji należy patrzeć w znacznie szerszej perspektywie, mając świadomość rosnącego zainteresowania tą sferą ze strony cyberprzestępców.

Jak wskazują raporty wyspecjalizowanych agend, np. francuskiej ANSSI (Sekretariat Generalny Obrony Narodowej i Bezpieczeństwa), coraz więcej małych organizacji pada ofiarą ataków, których celem jest odcięcie ich od krytycznych dla ich funkcjonowania danych. Wyniki czwartej edycji raportu „Barometr Cyberbezpieczeństwa” opracowanego przez KPMG, który diagnozuje trendy, w tym podejście krajowych firm do zagadnień ochrony zasobów cyfrowych pokazały, że 58 proc. ankietowanych oceniło, że pandemia wywołana koronawirusem spowodowała wzrost ryzyka cyberataków. W badaniu wzięło udział 100 małych, średnich i dużych polskich firm. Zjawiskiem, na które zwracają uwagę specjaliści Stormshield, jest rosnąca skuteczność ataków phishingowych. W 2020 roku wskaźnik udanych prób wyłudzenia poufnych informacji wzrósł o 30 proc., w porównaniu do lat wcześniejszych. Dotyczy to nie tylko osób prywatnych, ale również firm. W jednej z francuskich firm księgowych cyberprzestępcy włamali się do konta e-mail starszego menadżera i podszywając się pod niego zlecili przelew na 15 mln euro.

Jak chronić swoje dane?

Pierwszą kwestią jest dokładna diagnoza posiadanych zasobów gromadzących informacje i dane. W praktyce oznacza to inwentaryzację, odnoszącą się zarówno do operacji przetwarzania danych, ich typów (np. akta klientów, umowy) oraz nośników, na których są oparte – nie tylko pod kątem sprzętu (np. serwery, laptopy, dyski twarde) i oprogramowania (np. systemy operacyjne, oprogramowanie biznesowe), ale także kanałów komunikacji (np. światłowód, Wi-Fi, Internet). Po audycie można zastosować klasyfikację danych do sortowania ich według poziomu krytyczności, a tym samym ich poufności i polityki/zasad rozpowszechniania. Praktycznie w każdej firmie czy organizacji istnieje realna potrzeba zapewnienia różnych warstw ochrony dla wyselekcjonowanych katalogów danych. Od zapór sieciowych, przez punkty końcowe dla stacji roboczych, aż po rozwiązania do szyfrowania lub zapobiegania wyciekom informacji. Wdrożenie tych rozwiązań świadczy o dojrzałości organizacji w zakresie polityki zarządzania danymi.

Ważnym elementem systemu bezpieczeństwa IT pozostaje tworzenie kopii zapasowych. Odpowiedzialność za ten obszar powinna być podzielona między dział IT i jednostki biznesowe.

Jednostka biznesowa musi w pierwszej kolejności określić czy posiada dane, które mają wartość dla firmy. W drugim kroku należy ustalić w jakim stopniu zniszczenie, utrata lub kradzież tych danych może być problematyczna dla organizacji. Dział IT musi być zaznajomiony z tymi danymi, dzięki czemu będzie mógł wdrożyć i utrzymywać odpowiednie narzędzia i infrastrukturę, które chronią zasoby oraz w razie potrzeby pomogą je przywrócić. Celem jest uniknięcie „kopii w tle” lub „przechowywania danych w tle” w przypadkach, gdy zespoły biznesowe wdrażają własne rozwiązanie lokalne i przechowują dane na serwerze lub w chmurze bez wiedzy działu IT lub zespołu ds. bezpieczeństwa. Aby zmaksymalizować bezpieczeństwo tych zasobów można je wydrukować i przechowywać w fizycznie bezpiecznej przestrzeni lub w formacie cyfrowym. Jednak w takiej sytuacji należy pamiętać, że w tym ostatnim przypadku przechowywanie powinno mieć miejsce na oddzielnym i odizolowanym serwerze, do którego dostęp jest zaszyfrowany.

Piotr Zielaskiewicz

Piotr Zielaskiewicz
senior product manager STORMSHIELD

Masz pytania?
Skontaktuj się ze mną:
zielaskiewicz.p@dagma.pl
32 259 11 38