Przegląd Techniczny Bezpieczeństwa
Jacek Tyburek
Inspiracją do napisania artykułu były dwie kwestie. Po pierwsze duża ilość przejeżdżanych kilometrów w celach służbowych spowodowała konieczność zrobienia przeglądu auta. Auto jest flotowe, nowe i azjatyckie, przyzwoite, ale bez ekstrawagancji. Niemniej wymaga przeglądu co 15 tys. km, bo inaczej właściciel będzie miał kłopoty z ubezpieczycielem.
W przypadku firmowej floty samochodów problem jest większej skali. Jakże daleko bardziej stałego trzymania ręki na pulsie wymagają przedsiębiorstwa. Zarządzanie bezpieczeństwem przez lata ukształtowało się w nich w typologie i utarte metody działania. Temat tych metod i konieczność rozprawienia się z nimi opisał w swoim świetnym tekście pt. Echa zmiany paradygmatu w bezpieczeństwie – przykazania współczesnego bezpiecznika Jan Kapusta. Przesłanie tekstu jest wyraźne: rolą „bezpiecznika” nie jest zapewnienie minimum formalnych wymogów stawianych organizacji przez prawo, rynek, partnerów czy standardy, lecz spowodowanie, aby wyznaczony cel biznesowy został skutecznie doprowadzony do celu.
Dalej można by prowadzić dyskusję na temat ukształtowania standardów pracy pionu lub menedżera bezpieczeństwa. Posiadanie struktur bezpieczeństwa jest oczywistością w międzynarodowych korporacjach, których globalne struktury powielają placówki rozsiane po świecie. Moim celem jest dotarcie nie tyle do ekspertów od bezpieczeństwa, ile do osób z biznesu, które czują, że bezpieczeństwo jest ważne, ale nie są do końca przekonani, że zarządzanie bezpieczeństwem napędzi ich przewagę konkurencyjną.
Wróćmy jednak na rodzimy rynek. W Polsce jest jeszcze dużo przedsiębiorstw, w których niestety nie ma osób zajmujących się bezpieczeństwem. I to niezależnie od wielości firmy, czy to dużych o zasięgu europejskim, a bywa, że globalnym czy niewielkich rodzinnych. Organizacje te działają bardzo pragmatyczne, jednak chcąc być konkurencyjne, powinny zatrudnić doświadczone osoby do zarządza ryzykiem, bezpieczeństwem czy – jak to się ostatnio coraz częściej określa – „dbającym o odporność biznesu”.
Jak to się ma do analogii z przeglądem auta? Firma zatrudniająca od kilkuset to kilku tysięcy osób, która wcześniej nie zbudowała własnej polityki bezpieczeństwa, doświadcza wielu mniejszych lub większych strat. Począwszy od prostych kradzieży i dewastacji produktów i majątku, poprzez straty w łańcuchu dostaw, skończywszy na nękających atakach cyberprzestępców. A tych strat można było uniknąć, decyzja zarządu o zatrudnieniu security managera jest jak najbardziej rekomendowana.
Jednak znalezienie odpowiedniej osoby nie jest łatwe, zwłaszcza jeśli w firmie nie ma kultury zarządzania ryzykiem, rozumianym jako ryzyka biznesowe, operacyjne, jeśli nie ma żadnych metod, procedur i świadomości bezpieczeństwa. Oczywiście oczami wyobraźni widzę już dyskusje w zarządzie nt. zasadności zatrudniania security managera (czyli domyślnie szefa ochrony). Po co nam szef ochrony za takie pieniądze, skoro można od razu zatrudnić cybersecurity managera (domyślnie szefa IT security, którego zarobki często przewyższają pensję prezesa zarządu).
Takich pułapek jest więcej, ponieważ bezpieczeństwo biznesu bardzo się skomplikowało. Stało się zdecydowanie bardziej technologiczne, cybernetyczne, tymczasem prawdziwe zagrożenia ciągle jednak czają się w świecie fizycznej wartości produktu, świadomości wartości przestoju produkcyjnego czy zapobieganiu manipulacjom pracowników, aby nie wyjawili krytycznych dla biznesu tajemnic lub nie ułatwili kradzież pieniędzy z kont bankowych.
Jakiego więc specjalistę firma powinna zatrudnić? Skąd w ogóle wiadomo, co jest rzeczywistym problemem w organizacji? Rozwiązaniem jest zlecenie przeprowadzenia audytu operacyjnego lub audytu bezpieczeństwa, który zbada prawdziwą kondycję przedsiębiorstwa. Niestety często raporty audytowe szybko stają się typowymi „półkownikami”. Po przedstawieniu zarządowi i wywołaniu krótkotrwałego szumu lądują w zasobach informatycznych i czekają na lepsze czasy. Pozostaje tylko wspomnienie wysokiego kosztu takiego raportu.
Dlatego w przypadku organizacji, która nie ma jeszcze wykrystalizowanej wizji, jak i kto ma zarządzać jej odpornością biznesową, warto zebrać wiedzę, która pomoże podjąć dojrzałe decyzje. Dla firmy, która nigdy nie prowadziła świadomej polityki bezpieczeństwa, przeprowadzenie skomplikowanych analiz ryzyka może być zwyczajnie trudne. Często organizacja decyduje się na to dopiero w obliczu poważnego kryzysu, a wtedy może być za późno na zapobieganie stratom. Całkowicie zrozumiały jest też brak zaufania do obcych, nieznanych zarządowi ekspertów. Nie wiadomo, kim są ludzie, przed którymi mamy otworzyć drzwi. Jeśli potencjalnym partnerem nie jest jedna z wielkich rozpoznawalnych firm audytowych, to ograniczone zaufanie do mniejszej firmy jest zrozumiałe. Można oczywiście powierzyć takie zadanie agencji ochrony lub dostawcy rozwiązań technologicznych (kamery CCTV, kontrola dostępu). Problem polega na tym, że firmy technologiczne takich usług raczej nie świadczą. Firma ochrony też powinna być obszarem badania prawidłowości zapewniania bezpieczeństwa „naszej” firmy, więc nie mogą się same badać.
Rozwiązaniem może być skorzystanie z Security Self-Assessment pierwszego stopnia. To formuła komfortowa, ponieważ oprócz samego narzędzia przygotowanego przez wyspecjalizowaną firmę doradczą oferuje szereg zalet z obszaru poufności. To proste narzędzie dostosowane jest do typu działalności, skali, ogólnej wiedzy (popartej zamówioną analizą OSINT lub nie) na temat działalności przedsiębiorstwa. Badanie dotyczy zarówno fizycznych aspektów bezpieczeństwa firmy, jak i bezpiecznej organizacji łańcucha dostaw czy sfery bezpieczeństwa informacji. Narzędzie jest wzbogacone o opis metodologii przeprowadzenia badania i metody analizy uzyskania danych. Firma sama nim nawiguje, pozyskane informacje i wnioski również zostają w organizacji, co zapewnia utrzymanie poufności danych.
Ta dość tania metoda (nie może przecież kosztować dużo) pokazuje zarządowi, jakie są najsłabsze obszary w organizacji. Nie należy jednak zapominać, że najsłabszym, najbardziej wadliwym elementem procesu jest człowiek. Informacje zebrane w ten sposób należy dokładnie zweryfikować. Niemniej jednak, jeśli organizacja nie chce zapraszać do współpracy „obcych”, takie narzędzie stanowi bazę do kolejnych kroków.
Uzupełnieniem Self-Assessment pierwszego stopnia jest usługa ewaluacji wyników badania przez niezależnego eksperta. Weryfikacja udzielanych odpowiedzi i zderzenie ich z wiedzą fachowca, który od lat realizuje zadania zapewniania bezpieczeństwa, stanowić będzie dodatkową wartość. Przykładem jest choćby powoływanie się na funkcjonowanie procesu w organizacji oraz sprawdzenie, jak to faktycznie działa, na jakiej podstawie i jak głęboko proces jest w firmie zakorzeniony. Zleceniodawca ma ten komfort, że nie wpuszcza zbyt głęboko osoby spoza organizacji do własnych poufnych biznesowo informacji, ale dzięki przekazanym informacjom zgromadzone dane zyskują wyższą wartość dla zarządu. Nazwijmy taki proces Security Self-Assessment drugiego stopnia.
Budując wiedzę nt. sytuacji firmy, czyli proces faktycznego „przeglądu technicznego bezpieczeństwa organizacji”, należałoby zrobić kolejny krok. Jest nim analiza OSINT przygotowana przez niezależną firmę. Biały wywiad, inaczej określany jako OSINT (Open Source Intelligence), to forma legalnego wywiadu gospodarczego oparta na pozyskiwaniu informacji z ogólnodostępnych źródeł, takich jak środki masowego przekazu, social media. OSINT jest od wielu lat z sukcesem wykorzystywany przez agencje wywiadowcze, policję i prywatne firmy specjalizujące się w prowadzeniu wywiadu gospodarczego. W działaniach biznesowych biały wywiad koncentruje się wokół sytuacji prawnej, finansowej, handlowej i ekonomicznej przedsiębiorstwa bądź kontrahenta w celu oszacowania ryzyka współpracy z danym podmiotem. Stosowanie OSINT pozwala pokazać zarządowi, jakie informacje na temat firmy są widoczne i łatwo dostępne. Należy przyjąć optykę potencjalnego partnera biznesowego. Czy dane uzyskane w analizie OSINT mogą zaszkodzić reputacji firmy? Czy mogą potencjalnie utrudnić lub wręcz zaprzepaścić realizację ważnego dla firmy kontraktu? Czasy kryzysu zawsze są okresami prosperity firm zajmujących się badaniem wiarygodności partnerów biznesowych.
Na tym etapie kończą się bezinwazyjne metody badania odporności organizacji. To ten moment, kiedy firma podejmuje decyzje, czy chce dalej budować wiedzę nt. swojej kondycji w sposób samodzielny, czy zaprosi do głębszej współpracy specjalistów. Tutaj kończy się etap prostej wymiany oleju i wymiany klocków hamulcowych…
Dalsze kroki wymagają nabrania większego zaufania i gotowości do otwartej współpracy. Trzymając się terminologii przeglądu technicznego, to etap podłączenia się do komputera naszej bryki. Przegląd znacznie ułatwia ocenę stanu infrastruktury informatycznej firmy, w tym zarządzanie elektronicznymi systemami zabezpieczeń. Ostatnio prasa branżowa szczegółowo opisuje podatności wybranych systemów CCTV na cyberataki. Na podobne ataki są też narażone systemy kontroli dostępu i wszystkie urządzenia podłączone do sieci. Niwelowanie tych podatności wymaga prawidłowej administracji dostępami, utrzymania swoistej higieny systemów. Polskie firmy nie mają takiego doświadczenia jak korporacje zagraniczne i trudniej im włączać do swoich struktur piony bezpieczeństwa biznesu. Jednak dziś niestety nie ma alternatywy i zarządzanie sferą bezpieczeństwa to konieczność.
Pierwszym krokiem jest wiedza o tym, z jakiego rodzaju niebezpieczeństwami i z jaką skalą ataków mamy do czynienia. Duże organizacje tworzą własne narzędzia monitujące, np. SOC (Security Operations Center) i SIEM (Security Information and Event Management). SOC to miejsce, w którym dzięki synergii wielu rozwiązań oraz wymianie informacji pomiędzy nimi można osiągnąć wyższy poziom bezpieczeństwa.
Infrastruktura IT w dzisiejszych organizacjach jest skomplikowana. Stosujemy wiele urządzeń sieciowych, nierzadko pochodzących od różnych producentów – serwery, macierze, komputery PC i laptopy, tablety czy też urządzenia mobilne, np. smartfony. Każde z nich generuje tysiące informacji, których analiza bez specjalistycznych narzędzi jest praktycznie niemożliwa. SIEM będzie jednym z kluczowych rozwiązań do pozyskiwania informacji i monitorowania urządzeń. SOC jeszcze ciągle są rzadkością – to drogie struktury, których wartość jest kształtowana dość rozbudowaną mozaiką specjalizacji i wysoko wycenianej pracy specjalistów od cyberbezpieczeństwa. Na szczęście usługi te można kupić, co jest bardziej korzystne finansowo niż tworzenie własnych SOC.
Z perspektywy firmy, która nigdy nie prowadziła pogłębionej analizy ataków, uzasadnione jest okresowe włączenie skanowania ataków i podatności na włamania. Nawet jeśli organizacja nie jest jeszcze gotowa na stałe monitorowanie i uruchomienie narzędzi obronnych, okresowe badanie w ramach „przeglądu technicznego” będzie budowało obraz rzeczywistości i lepiej przygotuje Zarząd na inwestycje w obszar bezpieczeństwa.
Wynajęcie zewnętrznego SOC wraz z narzędziami SIEM stanowi już znaczące zaproszenie podmiotu zewnętrznego do własnej infrastruktury i jako takie musi być przemyślane. Jednak dziś nie jest możliwe prowadzenie działalności biznesowej w swoistej samowystarczalności operacyjnej. Nawet usługi firmy sprzątającej czy firmy ochrony narażają na ryzyko w sytuacji, gdyby któryś z pracowników tych firm okazał się nielojalny. Tak więc korzystanie z usług wyspecjalizowanych usług stałych czy „warsztatów przeglądów technicznych” jest koniecznością.
Proponowany przeze mnie przepis na Okresowy Przegląd Techniczny Bezpieczeństwa powinien składać się z następującego menu:
- Procedura przeprowadzenia Self-Assessment przez firmę. Biorąc pod uwagę skłonność do budowania zaufania, proponuję rozpocząć od wersji całkowicie samodzielnej. W kolejnych krokach sugeruję udział konsultanta w interpretacji wyników oraz zaproponowaniu narzędzi korygujących sytuację.
- Przeprowadzenie badania obrazu firmy w otoczeniu informacyjnym poprzez OSINT oraz/lub analizę reputacji firmy. Sugeruję również przeprowadzenie OSINT dla kluczowych partnerów biznesowych „naszej firmy”.
- Zbadanie skali ataków cyberprzestępców, na jakie firma jest narażona. Wdrożenie badania SOC dla określonej liczby maszyn (end pointów) w organizacjach.
Pozostaje pytanie o częstotliwość takich przeglądów. W przypadku systemów zabezpieczeń technicznych, takich jak CCTV czy kontrola dostępu, bardzo często rekomenduje się przeglądy i konserwacje co 6 miesięcy. Kurz i bród osadzający się na kamerach czy innych czujnikach jest oczywiście niebezpieczny dla prawidłowego działania systemu. Bardziej niebezpieczne są widoczne i niewidoczne ataki na firmę. W związku z tym przeglądy kwartalne wydają się racjonalne.
Wdrożenie takiej procedury pozwoli zbudować bazę danych zdarzeń, które pojawiają się wokół firmy, oraz przygotować się na stworzenie odporności przeciwko niekorzystnym incydentom. Doświadczenie obecnych lub przyszłych partnerów z obszaru bezpieczeństwa i odporności również będzie stanowić skuteczniejsze wsparcie w zabezpieczeniu firmy. Nawet gdy organizacja nie zdecydowała się na zatrudnienia Security Managera w pełnym zakresie, to posiadanie narastającej w wyniku „przeglądów technicznych bezpieczeństwa” bazy danych stanowi nieocenioną wartość.
Kwestia zatrudniania security managera na pełen etat w czasie zmiany paradygmatu, o którym w artykule pisze Jan Kapusta, jest decyzją wymagającą przemyślenia. Jakiego security managera organizacja potrzebuje, z jakimi kompetencjami, do jakich zadań – czy bardziej osobę do operacji, czy ds. cybersecurity lub doradcę zarządu do „szeroko rozumianego bezpieczeństwa”? Ale to już temat na osobny tekst. Z pewnością rozwiązaniem może być skorzystanie z usług Interim Security Managera, z opcją usług na abonament uszyty na miarę i potrzeby. Rynek jest bogaty, można i należy korzystać z jego zasobów.
|
Zobacz inne artykuły tego autora:
Dziki Zachód w Smart City, czyli jaki jest telefon do kawalerii?
Cyberekstraklasa – konieczny kierunek rozwoju
Centrum monitoringu to za mało. Logistyka i łańcuchy dostaw potrzebują Centrów Kontroli Bezpieczeństwa