Materiał partnera

Sytuacja jest poważna – jak wskazuje raport Veeam Data Protection Trends 2022 aż 69 proc. przedsiębiorstw w Europie Wschodniej doświadczyło co najmniej jednego ataku ransomware w ciągu ostatniego roku.

Europejski krajobraz regulacyjny

Częstotliwość i skuteczność cyberataków w połączeniu z pogłębiającymi się różnicami w podejściu do regulacji bezpieczeństwa ICT w krajach UE spowodowały koncentrację unijnych regulatorów nad kwestiami ochrony klientów, organizacji, danych czy dostępów. Pierwszą z nowych regulacji jest rozporządzenie Digital Operational Resilience Act (w skrócie DORA), które będzie bezpośrednio obowiązywać branżę finansową w całej Unii.

DORA dołączy do obowiązującej już w Polsce ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która jest bezpośrednią pochodną unijnej dyrektywy NIS (Network and Information Systems Directive). UKSC stanowi najważniejszy w Polsce dokument regulujący kwestie cyberbezpieczeństwa i określa tzw. operatorów usług kluczowych (OUK) – firmy oraz instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej.

Od momentu wprowadzenia UKSC w 2018 r. zakres podmiotów zaliczanych do OUK rozszerza się i dziś obejmuje sektory: energetyczny, transportowy, finansowy, ochrony zdrowia, zaopatrzenia w wodę pitną oraz infrastruktury cyfrowej.

Do najważniejszych obowiązków OUK, a także samorządów ustawa zalicza zarządzanie ryzykiem i wdrażanie odpowiednich do niego środków bezpieczeństwa (technicznego i operacyjnego), zarządzanie podatnościami na incydenty, zbieranie informacji o zagrożeniach cyberbezpieczeństwa, a także zgłaszanie oraz obsługa incydentów wraz z właściwym zespołem CSIRT.

Chmura wspiera finanse i medycynę

Aktualnie w Polsce i pozostałych krajach członkowskich Unii Europejskiej największy nacisk kładzie się na bezpieczeństwo najbardziej wrażliwych sektorów: medycyny i finansów. Wskazuje na to jedno z najnowszych zarządzeń prezesa NFZ z 20 maja 2022 w sprawie finansowania poziomu bezpieczeństwa systemów teleinformatycznych w ośrodkach ochrony zdrowia. Natomiast wspomniana już wcześniej DORA reguluje kwestie bezpieczeństwa i odporności operacyjnej organizacji finansowych. Wprowadza istotne zmiany w relacji zamawiający–dostawca usług ICT, dotyczące m.in. postępowania zakupowego i weryfikacji dostawców przez pryzmat bezpieczeństwa. Szczególnie istotne stają się certyfikacja, lokalizacja danych oraz analizy ryzyka uzależnienia od dostawcy (tzw. vendor lock-in). Rozporządzenie kładzie też nacisk na regularne testowanie, monitoring i audyty środowisk oraz obowiązek raportowania – w szczególności nt. incydentów.

Wiele z powyższych kwestii rozwiązuje przeniesienie zasobów do chmury prywatnej oferowanej przez centra danych. Znajdujące się w Polsce i posiadające certyfikacje ISO 27001 Data Center oferują różnorodne technologie, monitoring oraz regularne audyty całości środowiska. Tym samym pozwalają spełnić nawet najmniejszym podmiotom ścisłe wymogi prawne dotyczące wdrożonych procedur i posiadanych zabezpieczeń.

– W profesjonalnych centrach danych bezpieczeństwo oparte jest m.in. na stałej ochronie oraz monitoringu wszystkich parametrów budynku, systemach alarmowych, klimatyzacji i redundancji – zasilania, chłodzenia oraz połączenia do sieci internet – wspomina Paweł Król, Cloud Systems Delivery Coordinator w MAIN Data Center.

Autopromocja
Subskrybuj nielimitowany dostęp do wiedzy

Unikalna oferta

Tylko 5,90 zł/miesiąc


WYBIERAM

Szczegółowe zarządzenia, choć obowiązują aktualnie w wybranych sektorach, wraz z dalszym rozwojem zagrożeń będą z pewnością rozszerzane na pozostałe branże.

Zarządzanie podatnościami z testami penetracyjnymi

Obowiązujące w Polsce akty prawne, w tym ustawa o krajowym systemie bezpieczeństwa, wprowadzają wymóg zarządzania podatnościami. Aby go spełnić, wiele podmiotów wykorzystuje skany podatności. Jest to krok w dobrą stronę, ale znacznie skuteczniejszym rozwiązaniem są testy penetracyjne infrastruktury IT (tzw. pentesty), które identyfikują realne słabości środowisk, nie tylko potencjalne.

– Nie wszystkie odnalezione w oprogramowaniu czy systemach podatności można skutecznie wykorzystać. Testy penetracyjne pozwalają rozpoznać poziom ryzyka związanego z daną słabością oraz jej negatywny wpływ na działalność organizacji – mówi Kamil Wiśniewski, Cyber Security Architect w MAIN Interconnection.

Przeprowadzanie pentestów nie tylko pozwala zachować zgodność z wymogami prawnymi, ale też minimalizować ryzyko ataków ransomware i wycieków danych oraz zweryfikować możliwości zespołów (SOC – Security Operations Center) w zakresie monitorowania nadużyć.

Istotną korzyścią z przeprowadzenia testów penetracyjnych, szczególnie dla działów IT, jest możliwość dokładnego przedstawienia słabości oraz ryzyka wynikającego z braku odpowiednich narzędzi ochrony. Tym samym stanowią one doskonały argument dla rozwoju rozwiązań zwiększających bezpieczeństwo w organizacjach i ułatwiają negocjacje budżetowe z zarządem.

Kiedy należy wykonywać testy penetracyjne infrastruktury IT?

– Przede wszystkim gdy mamy podejrzenie, że staliśmy się celem cyberataku, gdy doszło do istotnego zagrożenia bezpieczeństwa. Pentesty należy przeprowadzać również profilaktycznie, kiedy następują zmiany w infrastrukturze czy wprowadzane jest nowe oprogramowanie – dodaje Kamil Wiśniewski.

Jest to szczególnie istotne po wdrożeniu nowych polityk dla użytkowników końcowych, np. gdy organizacja wymienia urządzenia pracownikom czy zmienia ich sposób łączenia się do zasobów firmowych (np. z własnych komputerów podczas pandemii) – stanowi to zmianę punktu styku organizacji i jej zasobów z działaniem użytkownika.

System zarządzania bezpieczeństwem informacji

Chociaż aktualnie obowiązujące w Polsce przepisy nie nakazują bezpośrednio wdrożenia międzynarodowej normy ISO 27001, to większość wymogów i rekomendacji (np. RODO, UKSC, DORA) opiera się na niej. Dlatego już teraz warto zaplanować wprowadzenie systemu zarządzania bezpieczeństwem informacji (SZBI), który zapewnia pełną zgodność z ISO 27001.

– SZBI obejmuje wszystkie zagadnienia dotyczące ochrony danych przetwarzanych przez organizację i systematyzuje polityki, instrukcje, zasady oraz działania w tym obszarze – opisuje Maciej Bartkowski, Head of Security Department w MAIN Interconnection.

W ramach tego systemu organizacje zarządzają podatnościami i przygotowują się na incydenty bezpieczeństwa – opracowują procedury pozwalające zminimalizowanie ich wpływu oraz ułatwiają raportowanie do regulatorów, takich jak UODO.

Wdrożenie SZBI niesie ze sobą też szereg innych korzyści. Przede wszystkim znacząco zwiększa wiarygodność – stawiając na bezpieczeństwo, firmy pokazują, że są odpowiedzialnym dostawcą, producentem czy partnerem biznesowym. Ponadto SZBI umożliwia identyfikację oraz oznaczenie wszelkiego rodzaju aktywów informacyjnych istniejących w organizacji.

Firmy w Polsce nie muszą podchodzić do wdrożenia SZBI same – wsparcie w tym zakresie oferują certyfikowani dostawcy, którzy zapewniają konsultacje przy opracowaniu, wdrożeniu i doskonaleniu SZBI, a także prowadzą audyty wewnętrzne. Mogą również całkowicie przejąć odpowiedzialność za utrzymanie oraz doskonalenie SZBI (m.in. koordynowanie funkcjonowania SZBI, audyty dostawców i zarządzanie dokumentacją).

Zgodność z wymogami i minimalizacja ryzyka

Szeroko zakrojone ataki cybernetyczne oraz wymogi prawne obejmujące kolejne sektory są poważnymi argumentami za wprowadzeniem zarządzania podatnościami, analizy ryzyka oraz procedur minimalizujących zagrożenia dotykające środowiska IT.

Rozwiązaniami wspierającymi polskie firmy w zachowaniu zgodności, a także należytej ochronie danych i systemów są oferowane przez profesjonalnych dostawców testy penetracyjne, jak również oparty na międzynarodowym certyfikacie ISO 27001 system zarządzania bezpieczeństwem informacji.

MAIN to polska firma specjalizująca się w budowie środowisk chmurowych. Swoje usługi opiera na sieci własnych ośrodków Data Center w Warszawie. Firma oferuje rozwiązania Private i Hybrid Cloud, uzupełnione konteneryzacją i Disaster Recovery.

MAIN Interconnection dostarcza profesjonalne rozwiązania w zakresie bezpieczeństwa sieci, usług, użytkowników oraz informacji. Wraz z MAIN są częścią Grupy EIP.

Materiał partnera