Ochrona informacji i zabezpieczanie systemów to drogie przedsięwzięcia. Wdrażanie nawet podstawowych zabezpieczeń w małej firmie, która korzysta z zaledwie kilku urządzeń podłączonych do sieci (oprócz komputerów także smartfonów i tabletów) wiąże się nie tylko z kosztem zakupu samych narzędzi informatycznych (takich jak choćby program antywirusowy), ale oznacza także konieczność ich prawidłowej konfiguracji i serwisowania.
Zanim zaczniemy inwestować w bezpieczeństwo, warto zaplanować działania (i wydatki) tak, aby skierować je tam, gdzie przyniosą one największe korzyści, chroniąc informacje rzeczywiście istotne dla naszego biznesu. Dlatego wiodące metodyki zarządzania bezpieczeństwem zalecają, by planowanie ochrony informacji w firmie zacząć od „identyfikacji cyberzagrożeń” i tak zwanej „klasyfikacji informacji” (pod kątem ich podatności na cyberzagrożenia).
Te fachowe terminy mogą zniechęcać i wydawać się zbyt „korporacyjne” dla małego biznesu, ale w praktyce sprowadzają się do odpowiedzi na dwa proste pytania.
Przeczytaj, a zrozumiesz lepiej:
- jakie informacje (lub zasoby) chcemy chronić w naszej firmie,
- przed czym (jakimi zdarzeniami) chcemy je chronić.
Paradoksalnie odpowiedź na te pytania z perspektywy small biznesu bywa duża łatwiejsza niż w wielkiej korporacji. W firmie działającej na międzynarodowym rynku nawet ustalenie, jakie zbiory danych (w której wersji i na jakich urządzeniach) są przez nas przetwarzane, może wymagać uruchomienia specjalnego, trwającego tygodnie lub miesiące, projektu.
Szef rodzinnego biznesu na tyle dobrze zna szczegóły jego funkcjonowania, że po krótkim zastanowieniu się, jest w stanie wskazać kluczowe informacje. W zależności od rodzaju działalności może to być lista telefoniczna klientów lub dostawców, wynegocjowane ceny, terminy zamówień czy dane techniczne dostarczanych towarów lub usług.
Po zidentyfikowaniu najważniejszych zasobów warto zastanowić się, na których komputerach lub urządzeniach są one przechowywane. Jeżeli dane znajdują się w kilku lokalizacjach (np. kilku komputerach lub kilku katalogach plików) trzeba wyznaczyć, która z nich jest tą oficjalna, a które stanowią tylko dodatkowe kopie.
Lista tak sklasyfikowanych zasobów, czy bardziej fachowo aktywów informacyjnych, będzie stanowiła podstawę do dalszego planowania działań z zakresu podnoszenia bezpieczeństwa informacji w firmie.
Atrybuty bezpieczeństwa
W kwestii bezpieczeństwa informacji przyda nam się trochę przygotowania teoretycznego, żebyśmy nie musieli opierać się wyłącznie na intuicji. Zaraz zrozumiesz, dlaczego to takie ważne.
W opinii publicznej działalność hakerów najczęściej utożsamia się z kradzieżą danych, czyli sforsowaniem zabezpieczeń i uzyskaniem dostępu do jakiegoś chronionego systemu. Takie postrzeganie bezpieczeństwa, wspierane przez powieści szpiegowskie i filmy sensacyjne, zawęża jednak katalog cyberzagrożeń, z którym możemy mieć do czynienia.
W działalności gospodarczej, zgodnie z ogólnie przyjętymi międzynarodowymi standardami, bezpieczeństwo informacji definiujemy przez pryzmat trzech atrybutów:
- poufność oznaczającą, że informacja jest udostępniana jest tylko odbiorcom, którzy są do tego upoważnieni;
- integralność oznaczającą, że informacja, którą przetwarzamy, nie została zmodyfikowana w wyniku nieuprawnionych działań;
- dostępność oznaczającą, że możemy mieć dostęp do informacji, gdy jest nam ona potrzebna.
Dla łatwiejszego zapamiętania tych atrybutów warto przytoczyć ich angielskie nazwy: Confidentiality, Integrity, Availability, które układają się w znany trzyliterowy skrót CIA.
Z doświadczenia wiem, że pierwszy kontakt z tymi terminami i uzmysłowienie sobie, że incydent bezpieczeństwa polega nie tylko na wykradzeniu informacji, ale na naruszeniu dowolnego z tych atrybutów, może być szokujący.
Aby oswoić się z tymi terminami, prześledźmy trzy przykłady incydentów.
Confidentiality, czyli poufność
Celina pracuje w dziale administracji. Po pandemii wykorzystanie biura zmniejszyło się na tyle, że firma wstępnie zastanawia się nad zredukowaniem wynajmowanej powierzchni, co m.in. będzie oznaczało zmniejszenie liczby gabinetów i przejście na model open space.
Celina przygotowuje dla zarządu wstępną analizę możliwych wariantów wykorzystania powierzchni. W momencie drukowania materiałów na współdzielonej drukarce (niezabezpieczonej hasłem użytkownika) odbiera ważny telefon, co pozwala innemu pracownikowi podejść do drukarki i zapoznać się z planowanymi zmianami. Poufność (Confidentiality) informacji jest naruszona, a propozycja zmian po jej upublicznieniu wywołuje wiele kontrowersji wśród pracowników.
Integrity, czyli integralność
Iwona, której zadaniem jest obsługa płac, przygotowuje plik z nagrodami kwartalnymi wypłacanymi handlowcom. Decyduje się na wprowadzenie nieautoryzowanej zmiany do pliku z nagrodami, zwiększając kwotę premii dla swojej koleżanki Ireny z 23 000 PLN na 32 000 PLN.
W przypadku wykrycia zmiany Iwona planuje wytłumaczyć zaistniałą sytuację pomyłką edytorską. Iwona korzysta z tego, że kwoty nagród są wyrażone tylko liczbowo (bez podania kwoty słownie) i dzięki temu zamiana dwóch cyfr może wyglądać na niewielkie, przypadkowe naruszenie integralności (Integrity) informacji.
Availability, czyli dostępność
Andrzej, handlowiec, uczestniczy w aukcji internetowej zorganizowanej przez jednego z klientów zainteresowanych zakupem dużej partii towarów i nawiązaniem umowy o ramowej współpracy. Andrzej zarejestrował się do aplikacji zarządzającej aukcją internetową i złożył pierwszą ofertę.
Artur, kolega Andrzeja, pracujący tego dnia z domu, chciał obserwować aukcję i także zarejestrował się w aplikacji, wykorzystując wspólne konto. Dotychczas taka sytuacja nie występowała, gdyż przed pandemią Artur i Andrzej uczestniczyli w aukcji, siedząc przy jednym komputerze w biurze.
Po zarejestrowaniu się Artura sesja Andrzeja w systemie została zerwana, gdyż aplikacja dopuszczała jednoczesne wykorzystanie konta tylko przez jedną osobę. System nie jest dostępny (Availability) i Andrzej stracił możliwość udziału w aukcji oraz składania dalszych ofert cenowych.
Posługując się trzema atrybutami bezpieczeństwa możemy znacznie lepiej zrozumieć cyberzagrożenia dla naszej firmy.
Omówmy osobno przykład dość podstawowej informacji, jaką jest nasz cennik produktów lub usług. Myśląc o bezpieczeństwie w sposób tradycyjny, intuicyjny i szukając głównie możliwości wykradzenia od nas „tajnych” informacji, na pewno nie umieścimy cennika na naszej liście zasobów wymagających szczególnej ochrony.
W odniesieniu do cennika nie zależy nam na jego poufności, gdyż jest to informacja, którą publikujemy dla naszych klientów, umieszczając ją na stronie www, w korespondencji czy w ulotkach reklamowych. Nie oznacza to jednak, że odpowiednie zabezpieczenie cennika nie ma dla nas znaczenia. Nieuprawniona zmiana w tym dokumencie lub jego skasowanie z systemu (lub kasy fiskalnej) mogą oznaczać dla nas straty finansowe, a przynajmniej zakłócenia w prowadzeniu sprzedaży.
W tym przykładzie atrybutami informacji, które chcemy chronić, nie jest więc poufność, ale integralność i dostępność.
Ocena zagrożeń dla rodzajów informacji
Analizując krok po kroku poszczególne obszary działania naszej firmy, możemy stworzyć listę informacji, które mają dla nas szczególne znaczenie. W typowej średniej wielkości firmie usługowej może ona na przykład wyglądać tak:
Rodzaj informacji | Atrybut bezpieczeństwa (zagrożenie) | ||
Poufność | Integralność | Dostępność | |
Konto bankowe | TAK | TAK | TAK |
Lista płac | TAK (?) | TAK | |
Dane pracowników (poza płacami) | TAK | ||
Cenniki | TAK | TAK | |
Oferty | TAK (?) | TAK | |
Dokumenty finansowe i księgowe | TAK | TAK | |
Dane techniczne produktów | ? | TAK | TAK |
Lista kontaktów do klientów | ? | TAK | |
Bieżące dane o zamówieniach | TAK | TAK | |
Historyczne (analityczne) dane o zamówieniach | zależy od rodzaju biznesu | ||
Bieżąca korespondencja służbowa | TAK | TAK | TAK |
Archiwum korespondencji i innych dokumentów | TAK | ||
Strony www, media społecznościowe | TAK | TAK |
Analiza scenariuszy
Jeżeli po dokonaniu inwentaryzacji lista wydaje nam się zbyt obszerna, to możemy ograniczyć ją, dzieląc informacje na mniej i bardziej ważne. Metoda oceny i kryteria, które stosujemy mogą być dowolne, jednak wiąże się to z pewnymi trudnościami. Porównywanie znaczenia poszczególnych całkowicie różnych informacji jest trudne – jak np. ocenić, czy faktury są ważniejsze od danych kadrowych?
Duże korporacje mogą stosować do tego zadania skomplikowane i sformalizowane metodyki.
Nam wystarczy prosta metoda identyfikowania tzw. czarnych scenariuszy. Dla każdego zasobu definiujemy hipotetyczne zdarzenie związane z naruszeniem bezpieczeństwa:
- dla konta bankowego będzie to włamanie hakerów i kradzież pieniędzy lub alternatywnie wyłudzenie dużego przelewu poprzez przekierowanie płatności za fakturę na sfałszowane konto;
- dla listy płac lub danych kadrowych może to być wyciek danych do konkurencji lub firmy pośrednictwa pracy;
- dla cennika – sprzedanie całodziennego (lub kilkudniowego) obrotu po znacznie zaniżonych cenach;
- dla archiwum (tradycyjnego lub elektronicznego) może to być jego całkowite zniszczenie (zarówno przez atak hakerski jak i przez pożar);
- dla strony www – podmienienie treści na stronie lub unieruchomienie możliwości składania zamówień online.
Zastępując rozważania nad abstrakcyjnymi aktywami informacyjnymi dyskusją o konkretnych zdarzeniach, łatwiej zidentyfikujemy te z nich, które zakwalifikujemy jako czarne scenariusze. Mogą one potencjalnie doprowadzić do czasowego lub całkowitego zatrzymania działalności naszej firmy.
Podczas oceny scenariuszy wyznaczymy informacje kluczowe dla naszego biznesu i lepiej poznamy charakterystyczne dla nich zagrożenia. W kolejnym etapie (który omówię w następnym artykule) zastanowimy się, jak dobrać adekwatne środki ochrony dla zdefiniowanych aktywów/zasobów.
Podsumowanie
Zachęcam Cię do próby samodzielnego wykonania opisanej powyżej analizy w odniesieniu do Twojego biznesu. Trudno przewidzieć, do jakich rezultatów to doprowadzi i które informacje zostaną uznane za kluczowe. Sądzę jednak, że niektóre wnioski będą zaskakujące:
- Liczba czarnych scenariuszy w większości firm prawdopodobnie nie przekroczy trzech (maksymalnie pięciu). Jak się okazuje, wiele z przetwarzanych przez nas informacji pomaga nam w biznesie i usprawnia jego prowadzenie, ale w praktyce nie jest tak kluczowa, jak nam się wydaje.
- Poufność (czyli tylko jedna z trzech cech bezpieczeństwa) informacji wcale nie jest atrybutem dominującym dla prowadzenia biznesu. Konieczność zachowania informacji w tajemnicy może wynikać z wymogów prawa (np. RODO) lub ogólnie przyjętych zwyczajów biznesowych.
- Potencjalne incydenty dotyczące integralności danych lub ich dostępności (takie jak sfałszowanie przelewu lub włamanie na konto bankowe) mogą być dla nas znacznie bardziej dotkliwe niż wyciek nawet bardzo ważnej biznesowo informacji do opinii publicznej.
Nie doszlibyśmy do powyższych wniosków, opierając się wyłącznie na intuicji (i filmach szpiegowskich). W rezultacie nasza uwaga byłaby rozproszona na zbyt wiele obszarów tematycznych, a jednocześnie nie dostrzeglibyśmy najbardziej istotnych zagrożeń.
Rozpocznij quiz
„Darmowy przegląd Twojej firmy”
I wywołaj w swojej firmie lawinę pozytywnych zmian
A zacznij od...
- usunięcia śmiertelnego grzechu małych firm. Znasz go?
- sprawdzenia, co TERAZ da Twojej firmie najwięcej gotówki. To nie zawsze klienci.
- wykorzystania ukrytego potencjału, który JUŻ w Twojej firmie JEST!
Mogę cofnąć zgodę w każdej chwili. Dane będą przetwarzane do czasu cofnięcia zgody.
Jakub Bojanowski
Doświadczony menedżer i doradca, od ponad 20 lat zajmujący się tematyką bezpieczeństwa teleinformatycznego. 9 września na rynku ukaże się jego książka pt. Zdążyć przed hakerem. Jak przygotować firmę na cyberatak, której celem jest przybliżenie tematyki cyberbezpieczeństwa menedżerom na co dzień niespecjalizującym się w zagadnieniach technologicznych.