Co obejmuje ryzyko cybernetyczne? Analiza ryzyka i ocena bezpieczeństwa cybernetycznego
Rosnąca złożoność infrastruktury indukuje zapotrzebowanie na kompleksowe, a jednocześnie czytelne narzędzia do oceny stanu bezpieczeństwa cybernetycznego organizacji. Zadanie wykonania audytu przedsiębiorstwa czy organizacji w tym zakresie można powierzyć jednostce zewnętrznej. Nie zawsze jest to rozwiązanie optymalne, ponieważ poziom bezpieczeństwa cybernetycznego jest bardzo zmienny w czasie. Wystarczy niewielka zmiana w samej infrastrukturze IT a czasem nawet pojawienie się nowego dostawcy, aby poziom mógł spaść zauważalnie. Czasem nieopatrznie jeden z naszych zasobów zostanie wystawiony na świat i ten stan rzeczy może pozostać długo niezauważony. Czasem wynika to z inercji w samej organizacji lub po prostu z niedoborów personelu. Niezależnie od przyczyny, maleje odporność organizacji na cyberataki, a efekty tych ostatnich potrafią być horrendalnie kosztowne. Istnieją rozwiązania, które znacząco potrafią usprawnić proces oceny cyberbezpieczeństwa. Co istotne nie wymagają angażowania ani znacznych środków, ani stron trzecich. Jednym z tego typu rozwiązań jest SecurityScorecard, na którego przykładzie omówimy podejście zakładające regularny wgląd w swoje cyberbezpieczeństwo.
Co to jest cyberbezpieczeństwo i jakie są zagrożenia bezpieczeństwa?
Cyberbezpieczeństwo możemy zdefiniować jako zestaw działań i technologii, których celem jest zabezpieczenie systemów komputerowych, sieci czy danych nie tylko przed atakiem z zewnątrz, ale również przed nieuprawnionym dostępem. Chroniona jest poufność danych, ich integralność i poziom dostępności. Aktualnie najczęstszymi typami ataków są ataki polegające na wyłudzaniu poufnych informacji za pomocą podszywania się pod zaufane źródła, czyli phising. Organizacje muszą się mierzyć często z atakami ransomware, czyli z atakami, których celem jest uzyskanie okupu w zamian za odszyfrowanie przejętych przez przestępców danych. To oczywiście wierzchołek góry lodowej a wyobraźnia i kreatywność cyberprzestępców wydają się być nieograniczone. Bezpieczeństwo informacji jest niemal bezcenne. W związku z tym dość oczywista wydaje się konkluzja, że do kwestii cyberbezpieczeństwa nie można podejść jednorazowo. Jest to swoisty nieustanny proces, który można zorganizować bardziej, lub mniej sprawnie. Dużo zależy od narzędzi, które wdrożymy do użytku w naszej organizacji.
Czym jest SecurityScorecard? Czy ocena bezpieczeństwa cybernetycznego jest trudna?
SecurityScorecard to platforma online, której celem jest wsparcie organizacji w procesie oceny i monitorowania ryzyk związanych z cyberbezpieczeństwem. Na platformie można ocenić firmy pod względem ich poziomu bezpieczeństwa cybernetycznego. Firma jest oceniana w skali od A do F (scorecard) na podstawie realnego poziomu bezpieczeństwa. Bardzo istotny jest fakt, że platformę można wykorzystywać do zarządzania ryzykiem nie tylko we własnej organizacji, ale również ryzykiem wynikającym ze współpracy z konkretnymi dostawcami i partnerami biznesowymi. Platformę zbudowano w taki sposób, że pozwala na ciągłe monitorowanie ich stanu bezpieczeństwa. Warto o tym pamiętać, ponieważ wzrost liczby osób pracujących zdalnie czy co raz szersze powiązania w łańcuchach dostaw powodują, że organizacje są narażone na zagrożenia bardziej niż kiedykolwiek, a same słabości technologiczne przekładają się na ryzyka rynkowe.
W jaki sposób SecurityScorecard (SSc) zbiera dane?
Ilość danych, które znajdują się na temat organizacji na platformie jest naprawdę zaskakująca. Tematem na osobny artykuł, o ile nie grubą książkę jest kwestia tego, ile informacji można wydobyć o firmach z samej sieci. A przecież na takich informacjach bazuje SSc.
Obserwując historię badanej organizacji z ostatnich miesięcy możemy przykładowo dowiedzieć się, czy nastąpiły wycieki informacji a nawet, czy dana organizacja jest przedmiotem komunikacji na podziemnych forach hackerskich i innych mniej dostępnych dla przeciętnego użytkownika miejscach w internecie. Dzięki temu organizacje wiedzą, czy są na celowniku hakerów i jakie potencjalne zagrożenia mogą się pojawić.
Bezpieczeństwo a dobre imię
Takie informacje jak zdrowie systemu DNS czy poziom zabezpieczenia końcówek nie są może zaskakujące, ale tzw. reputacja IP to bardzo ciekawy parametr. Reputacja IP jest oceniana przez platformę SecurityScorecard na podstawie tego, czy adresy IP były wykorzystywane do rozsyłania spamu, były zaangażowane w ataki DDoS lub czy generują sporą ilość niechcianego ruchu. Niski poziom reputacji IP może skutkować blokowaniem komunikacji z danej organizacji, powodując dużo uciążliwości.
A odpowiadając na pytanie – skąd platforma ma dane? Otóż platforma skanuje internet szukając słabości w zabezpieczeniach. Działa podobnie do cyberprzestępców. Z tą różnicą, że zamiast atakować, udostępnia informacje o podatnościach. Kwestia legalności takich działań to temat prawdopodobnie na kolejną grubszą pozycję.
Kwantyfikacja ryzyka a identyfikacja zagrożeń
Platforma pozwala nie tylko na identyfikację ryzyka u swoich dostawców i monitorowanie problemów na bieżąco, ale pozwala również szybciej wyodrębnić własne pozycje krytyczne. W cyberbezpieczeństwie czas gra bardzo dużą rolę. Dzięki platformie problemy, które musimy załatać, dostajemy na tacy. Tutaj kryje się ogromna zaleta tego rozwiązania. Informacje dotyczące tego, gdzie leży problem i jak go usnąć są jasno i klarownie obrazowane. Otrzymujemy zestaw komunikatów pogrupowanych automatycznie od najbardziej istotnego, do tych skutkujących mniejszym ryzykiem. Dzięki takiemu przedstawieniu danych ocena bezpieczeństwa cybernetycznego zostaje uproszczona do minimum.
Zakres bezpieczeństwa cybernetycznego
Platforma może nas na przykład poinformować o tym, że w łańcuchu przekierowań na stronie internetowej znajduje się przynajmniej jedno przekierowanie, które używa protokołu HTTP zamiast HTTPS. Możemy otrzymać informacje, że serwer używa przestarzałych protokołów a nawet o braku aktualności informacji o prawach autorskich. Ten ostatni przykład jest jedocześnie znakomitym zobrazowaniem faktu, że firmy muszą się skutecznie komunikować z klientami. Jeżeli na naszych stronach wiszą dawno nieaktualne informacje samo nasuwa się pytanie, czy nasza organizacja nadąża za zmianami?
Legislacja, normy i systemy certyfikacji cyberbezpieczeństwa
Pokrótce przedstawiłem jedno z rozwiązań upraszczających troskę o cyberbezpieczeństwo w organizacji. Jego ogromną zaletą jest możliwość monitorowania poziomu cyberbezpieczeństwa na bieżąco oraz ocena dostawców. To przykładowe, ale nie jedyne rozwiązanie upraszczające procedury badania swoich zabezpieczeń przed cyberzagrożeniami dla organizacji. W sieci funkcjonują konkurencyjne platformy, chociażby takie jak Bitsight Cyber Risk Management czy UpGuard Vendor Risk. Istnieją również ciekawe możliwości badania jedynie tego, co (powinno być) ukryte przed światem, np. za pomocą Shodan. W naszym przypadku chodzi o kompleksowe przeprowadzenie oceny bezpieczeństwa i wywnioskowanie, czy nasza polityka bezpieczeństwa informacji i infrastruktury zdaje egzamin. SSc udostępnia również moduł, za pomocą którego możemy szybko sprawdzić poziom zgodności naszej organizacji z wymogami takich norm jak ISO 27001 czy SOC 2. W równie łatwy sposób możemy przetestować compliance pod kątem frameworku MITRE czy Rozporządzenia DORA.
Audyt bezpieczeństwa we własnych rękach
SecurityScorecard jest narzędziem online, które umożliwia organizacjom ocenę i monitorowanie zagrożeń cybernetycznych. Zarówno tych wewnętrznych, jak i wynikających ze współpracy z dostawcami. Platforma ta dostarcza darmową ocenę bezpieczeństwa w formie karty scorecard, która odzwierciedla poziom zabezpieczeń. W związku z tym, można wykonać samodzielnie audyt swojego cyberbezpieczeństwa i samodzielnie zidentyfikować słabe punkty. SecurityScorecard ułatwia przeprowadzenie oceny ryzyka zbierając dane o firmach z publicznych źródeł, takich jak systemy DNS czy zabezpieczenia końcówek. W kontekście systemów certyfikacji cyberbezpieczeństwa, SecurityScorecard wspiera zgodność z normami, takimi jak ISO 27001, SOC 2, a także różnymi frameworkami. Jest jednym z ciekawszych rozwiązań dostępnych na rynku, ale ma i godnych konkurentów, których z przyjemnością przybliżę w kolejnych artykułach. Ocena bezpieczeństwa cybernetycznego nie musi być trudna.
Redaktor Net Complex Blog
