2 lutego 2022

Wyciek danych – co oznacza i jak się przed nim bronić – część III

Jak pracownicy mogą spowodować wyciek firmowych danych? Jak często takie sytuacje mają miejsce i jakie są ich konsekwencje? Jakie obowiązki są nałożone na organizację, która przetwarza dane osobowe? To już ostatni wpis z serii „Wyciek danych – co oznacza i jak się przed nim bronić.”  

„Wyciek danych – co oznacza i jak się przed nim bronić – część 1” dostępny tutaj.

„Wyciek danych – co oznacza i jak się przed nim bronić – część 2” dostępny tutaj.

Jak zapobiegać wyciekowi danych?

Nie trudno zgadnąć, że wycieki danych mogą być dla firmy bardzo kosztowne, dlatego ważnym jest aby organizacja inwestowała środki finansowe, czas i zasoby ludzkie w działania, które zmniejszą prawdopodobieństwo ich wystąpienia.

Działania te w całości bazują na przytoczonej w poprzedniej części normie ISO/IEC 27001 oraz załączniku A.

Poniżej wskazuję najważniejsze kroki, które wpływają na zmniejszenie prawdopodobieństwa wycieku lub przywrócenie krytycznych usług, po wystąpieniu incydentu, przy czym należy je traktować jedynie jako drogowskaz i stosować zalecenia zarówno normy ISO/IEC 27001 jak i coraz bardziej popularnej normy ISO 22301:

  • Opracowanie, wdrożenie i, co najważniejsze – komunikowanie wewnątrz organizacji procedur i polityk bezpieczeństwa wszystkim zainteresowanym, w sposób zrozumiały,
  • Uświadamianie pracowników - budowanie świadomości wśród własnych pracowników, którzy bywają najsłabszym ogniwem wśród wszystkich zabezpieczeń. Walka z powszechną ignorancją jest jednym z najlepszych sposobów zapobiegania wyciekom danych a polegać powinna przede wszystkim na pomocy w zrozumieniu jak tworzyć silne hasła i uświadamianiu na różnego rodzaju ataki socjotechniczne. Co najważniejsze, działania te powinny mieć charakter cykliczny,
  • Nadawanie dostępów na zasadzie least privilege i w oparciu o role – RBAC,
  • Klasyfikowanie informacji – pracownicy muszą wiedzieć jak ważne i wrażliwe są dane, z którymi pracują na co dzień. Czy dane mogą być przetwarzane wewnątrz firmy, czy mogą być udostępniane na zewnątrz. Klasyfikacja, choć jest zabezpieczeniem na poziomie operacyjnym, stanowi podstawę dla zabezpieczeń na poziomie technicznym/logicznym,
  • Zapewnienie bezpieczeństwa fizycznego urządzeń, które służą do przetwarzania danych,
  • Ochrona urządzeń mobilnych i wszelkich nośników informacji,
  • Wykonywanie backupu krytycznych danych i przeprowadzanie testów odtworzeniowych,
  • Audytowanie systemów informacyjnych i ich stały monitoring,
  • Zapewnianie monitorowania powyższych działań w organizacji na poziomie operacyjnym – weryfikacja zastosowanych zabezpieczeń jest podstawą do doskonalenia i do przeprowadzania ewentualnych działań korygujących.

Jednakże, aby móc zapobiegać wyciekom danych, należy w pierwszej kolejności przeprowadzić inwentaryzację aktywów, czyli wszystkich danych, które mają wartość dla organizacji, a następnie je sklasyfikować względem ich krytyczności.

Najbardziej narażonymi na wycieki są aktywa informacyjne przetwarzane w formie różnego rodzaju dokumentów elektronicznych (procedur, instrukcji, specyfikacji, umów, prezentacji, wzorów, wyrysów, know-how).

Należy jednak pamiętać, że wszystkie działania proceduralne, aby zapewniać jak najwyższą skuteczność, powinny być wspierane środkami technicznymi, dlatego odpowiednio zinwentaryzowane i sklasyfikowane aktywa w postaci informacji powinny być wspierane przez systemy klasy DLP (Data Loss Prevention).

Z perspektywy czysto technicznej, wyróżniamy 3 obszary przetwarzanych danych:

  • Dane w spoczynku (data at rest)
  • Dane aktualnie używane (data in use)
  • Dane w locie (data in transit)

Każde z tych danych posiada określoną wartość i często podlega odrębnym przepisom prawa a ich przetwarzanie podlega różnym ryzykom, które mogą mieć określony wpływ na osiąganie celów biznesowych organizacji.

Aby rozwiązania klasy DLP (data leak prevention lub data loss prevention) mogły skutecznie funkcjonować, oprócz zinwentaryzowania zasobów informacyjnych, należy określić gdzie, wrażliwe z punktu widzenia organizacji informacje, zlokalizowane są w naszych systemach i za pomocą określonej przez organizację klasyfikacji, odpowiednio je oznaczać (tagować), dzięki czemu wykonywanie konkretnych operacji na tak oznaczonych plikach będzie dozwolone jedynie w granicy polityki, pod którą podlegają.

Jakie obszary normy ISO/IEC 27001 możemy spełnić dzięki wdrożeniu rozwiązania DLP?

Rozwiązania klasy DLP wspomagają firmę w zaopiekowaniu kilku tematów, istotnych z punktu widzenia Bezpieczeństwa Informacji:

  • Zarządzanie aktywami (A.8)
  • Bezpieczeństwo fizyczne i środowiskowe (A.11)
  • Bezpieczeństwo komunikacji (A.13)

Powyższe domeny posiadają nieco bardziej szczegółowo określone cele i zabezpieczenia (zawarte w normie ISO/IEC 27002), które mogą być spełnione przez rozwiązania klasy DLP.

Jednym z w/w zabezpieczeń ISO/IEC 27001 jest oznaczanie informacji (A.8.2.2), czyli zalecenie opracowania i wdrożenia odpowiednich procedur oznaczania informacji/danych zgodnych z przyjętym przez organizację systemem klasyfikacji. Na jej podstawie, dzięki rozwiązaniom klasy DLP można odpowiednio oznaczyć każdy rodzaj informacji i zdefiniować dla nich dozwolone i niedozwolone operacje (np. wysyłka wiadomości tylko przy użyciu służbowego adresu e-mail lub blokada wykonywania zrzutów ekranowych).

Kolejnym z zabezpieczeń normy jest zarządzanie nośnikami wymiennymi (A.8.3.1), czyli zalecenie wdrożenia procedur zarządzania nośnikami wymiennymi, w oparciu o przyjęty system klasyfikacji. Rozwiązania klasy DLP zapewniają kontrolę kopiowania na nośniki zewnętrzne oznaczonych informacji.

Rozwiązania klasy DLP wspomogą także kolejne zabezpieczenie wynikające z normy – wynoszenie aktywów (A.11.2.5), czyli zalecenie dotyczące pozyskiwania odpowiednich zezwoleń m.in. dla informacji. Przyjęta w organizacji klasyfikacja informacji będzie wspomagać systemy DLP w kontrolowaniu, jakie rodzaje danych mogą opuścić obszar administratora (np. czy konkretne informacje mogą być wysyłane tylko na adresy e-mail będące w domenie administratora czy mogą być wysyłane na adresy spoza organizacji). Wspomniana funkcjonalność pozwoli także zaadresować zalecenia zabezpieczenia A.13.2.1 – Polityki i procedury przesyłania informacji oraz A.13.2.3 – Wiadomości elektroniczne.

Rekomendacje bezpieczeństwa IT dla przedsiębiorstw od Niezależnego Audytora ISO…

Niezależnie od tego czy organizacja posiada, bądź nie, wdrożone systemy zarządzania bezpieczeństwem informacji (SZBI/ISMS) w oparciu o normę ISO/IEC 27001, czy systemy zarządzania ciągłością działania (SZCD/BCMS) w oparciu o normę ISO 22301, punktem wyjścia do prawidłowego zabezpieczania aktywów organizacji powinna być ich inwentaryzacja.

Skąd organizacja ma wiedzieć jak chronić własne aktywa, jeśli często nie ma świadomości, że jest w ich posiadaniu?

Inwentaryzacja aktywów jest podstawą do tego aby móc określić, które procesy w organizacji odpowiedzialne są za ich przetwarzanie a co za tym idzie, jakie potencjalne ryzyka związane są z tymi procesami.

Sklasyfikowanie tych aktywów, czyli określenie poziomu ich krytyczności powinno zawsze być kolejnym krokiem. Taką klasyfikację powinni nadawać właściciele aktywów, ponieważ oni mają największą wiedzę na temat wagi danego aktywa.

Prawidłowo nadana klasyfikacja jest punktem wejścia do analizy ryzyka (np. opartej o ISO 27005, ale metodologii na rynku jest wiele) czy analizy wpływu na biznes (Business Impact Analysis - BIA), które wspomogą organizację w doborze odpowiednich rozwiązań technicznych, operacyjnych czy fizycznych, ale także dostarczą narzędzia do zastosowania odpowiednich środków zapobiegawczych oraz korekcyjnych a w sytuacjach krytycznych – pomogą uchronić biznes przed upadkiem.

Każde działania organizacji, zmierzające do zmniejszenia prawdopodobieństwa zmaterializowania się ryzyka powinny iść zgodnie z zasadą „lepiej zapobiegać, niż leczyć”.

Autorem tekstu jest Karolina Kraśniewska

Karolina Kraśniewska
CISA data protection officer | ISO/IEC 27001 auditor

Masz pytania?
Skontaktuj się ze mną:
krasniewska.k@dagma.pl