Każdy artykuł warto zacząć od podniosłego wyrażenia, że żyjemy w dobie cyfryzacji. To prawda. Tak samo jak to, że informacje są dziś jednym z najcenniejszych zasobów. Zgodne z faktami jest także stwierdzenie, że ochrona danych i cyberbezpieczeństwo dla każdego świadomego podmiotu publicznego czy prywatnego musi stać się priorytetem.
W odpowiedzi na rosnące zagrożenia oraz zmieniające się przepisy prawne np. regulacje Krajowych Ram Interoperacyjności (KRI) z 21 maja 2024 r., konieczne jest wdrożenie skutecznych mechanizmów ochrony danych i bezpieczeństwa informacji.
Jednym z kluczowych elementów zapewnienia bezpieczeństwa w sieci jest regularne przeprowadzanie audytów bezpieczeństwa. To kompleksowe rozwiązania, które pomaga organizacjom niezależnie ocenić stan ich sieci, wykryć potencjalne zagrożenia i wdrożyć efektywne środki zaradcze.
Podążając po sieci firmy XYZ, czyli case study
Firma XYZ to średniej wielkości przedsiębiorstwo technologiczne, które działa na rynku od ponad dekady. Firma zatrudnia 200 pracowników, posiada rozbudowaną sieć komputerową i korzysta z różnorodnych systemów informatycznych, aby obsługiwać swoich klientów. W ostatnim czasie zauważono w firmie zwiększoną aktywność w sieci oraz kilka incydentów, które zrodziły podejrzenia o potencjalnych lukach w bezpieczeństwie.
Wstępne Rozpoznanie
Firma XYZ postanowiła zgłosić się do nas i skorzystać z usługi audytu bezpieczeństwa sieci standard (ABS std), aby zyskać pewność, że ich systemy są odpowiednio zabezpieczone.
Pierwszym krokiem było spotkanie z zespołem audytorskim, aby omówić zakres audytu oraz przygotować się do procesu. Zespół audytorski otrzymał od firmy XYZ zakres adresów sieciowych do skanowania, a także dostęp do kluczy systemowych i infrastruktury sieciowej.
Jak przebiega audyt?
1. Analiza topologii sieci
Audytorzy rozpoczęli pracę od dokładnej analizy topologii sieci firmy XYZ. Sprawdzili, jak sieć jest skonfigurowana, jakie są jej strefy i jak dane przemieszczają się między różnymi segmentami sieci. Dzięki temu mogli zidentyfikować potencjalne punkty wejścia dla atakujących oraz ocenić, jak dobrze sieć jest zabezpieczona przed atakami zarówno z zewnątrz, jak i z wewnątrz.
2. Weryfikacja podziału sieci na strefy
Kolejnym krokiem była weryfikacja podziału sieci LAN na strefy. Zespół audytorski ocenił, czy firma XYZ ma odpowiednią separację sieci, która zapewnia kontrolę nad grupami użytkowników o różnym poziomie zaufania. Okazało się, że niektóre strefy sieci były nieodpowiednio zabezpieczone, co mogło prowadzić do nieautoryzowanego dostępu do wrażliwych danych.
3. Poszukiwanie podatności
Przy użyciu skanera, audytorzy przeprowadzili szczegółowe skanowanie sieci, aby wykryć podatności w systemach i oprogramowaniu. W wyniku skanowania zidentyfikowano kilka krytycznych luk, takich jak:
- Nieaktualne wersje serwera baz danych: Te serwery zawierały znane luki bezpieczeństwa, które mogły być wykorzystane przez atakujących do uzyskania nieautoryzowanego dostępu.
- Otwarte porty: Otwarte porty, które nie były odpowiednio monitorowane, mogły umożliwić atakującym łatwy dostęp do sieci.
- Domyślne hasła na urządzeniach IoT: Urządzenia IoT z domyślnymi hasłami stanowiły poważne ryzyko, ponieważ mogły zostać łatwo przejęte przez osoby nieuprawnione.
4. Skanowanie zewnętrzne
Audytorzy przeprowadzili również skanowanie zewnętrzne, aby sprawdzić, jak sieć firmy XYZ wygląda z perspektywy potencjalnego atakującego. Wykryli kilka podatności na styku sieci wewnętrznej z siecią publiczną, które mogłyby zostać wykorzystane do przeprowadzenia ataku.
Szerszy kontekst, czyli dlaczego to ważne w ochronie danych i bezpieczeństwie Informacji
1. Wykryte podatności
Podczas audytu w firmie XYZ wykryto nieaktualną wersję serwera baz danych. Ten serwer zawierał znane luki bezpieczeństwa, które mogły być wykorzystane przez atakujących do uzyskania nieautoryzowanego dostępu. Taka podatność mogła prowadzić do kradzieży danych osobowych klientów, co stanowiłoby poważne naruszenie RODO.
2. Odpowiedzialność wynikająca z RODO
Art. 32 RODO nakłada na administratora danych i podmioty przetwarzające obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku.
W przypadku wycieku danych osobowych klientów, Prezes Urzędu Ochrony Danych będzie mógł nałożyć na firmę XYZ jako administratora danych administracyjna karę pieniężną.
Wyciek danych dotyczących klientów mógłby narazić ich na kradzież tożsamości, co mogłoby się wiązać z dalszymi konsekwencjami odszkodowawczymi dla firmy.
3. Zgodność z ISO 27001
Podczas audytu wykryto również otwarte porty, które nie były odpowiednio monitorowane. Zgodnie z normą ISO 27001, która określa standardy zarządzania bezpieczeństwem informacji, taka sytuacja wskazuje na brak odpowiednich mechanizmów kontrolnych i monitorujących w firmie XYZ.
Brak tych mechanizmów mógłby prowadzić do nieautoryzowanego dostępu do krytycznych systemów firmy, co z kolei mogłoby spowodować przerwanie działalności biznesowej i utratę reputacji. W kontekście ISO 27001, odpowiednie punkty to A.12.6.1 (Zarządzanie podatnościami technicznymi), który wymaga identyfikacji, oceniania i zarządzania podatnościami technicznymi systemów.
Korzyści z przeprowadzenia audytu
To, że audyt bezpieczeństwa sieci w firmie XYZ przyniósł wiele korzyści widać gołym okiem, ale w tym miejscu podsumujmy 7 kluczowych aspektów, które i wam mogłyby się przydać:
1. Wykrycie aktualnych podatności i luk w systemach.
- Audyt pozwolił na identyfikację krytycznych luk, zanim mogły zostać wykorzystane przez hakerów.
2. Identyfikacja błędów konfiguracji i błędów programowych.
- Firma mogła szybko naprawić te błędy, minimalizując ryzyko.
3. Praktyczne rekomendacje.
- Audytorzy przedstawili efektywne kosztowo rekomendacje, które można szybko wdrożyć (quick wins).
4. Podniesienie świadomości.
- Audyt zwiększył świadomość w zakresie bezpieczeństwa wśród pracowników i klientów firmy.
5. Obiektywna ocena zagrożeń.
- Firma otrzymała niezależną ocenę zagrożeń i ryzyka z perspektywy biznesowej.
6. Ochrona danych zgodna z RODO.
- Firma mogła dostosować swoje procedury do wymagań RODO, minimalizując ryzyko kar i sankcji.
7. Zgodność z ISO 27001.
- Firma mogła wdrożyć wymagane standardy zarządzania bezpieczeństwem informacji, zwiększając ogólne bezpieczeństwo swojej infrastruktury IT.
Podsumowanie
Audyt Bezpieczeństwa Sieci Standard (ABS Std) przekracza ramy zwykłego technicznego sprawdzenia – jest to kompleksowe narzędzie, które umożliwia organizacjom, jak XYZ, skuteczną ochronę swoich danych i systemów przed rosnącymi zagrożeniami cybernetycznymi. To nie tylko kwestia spełnienia wymogów prawnych czy utrzymania reputacji.
ABS Std dostarcza praktycznych rekomendacji, które wspierają ciągłość działania i wzmacniają odporność organizacji na ataki.
Co istotne, audyt ten może być uwzględniony w ramach wydatkowania środków z programu Cyberbezpieczny Samorząd, co może zachęcić Twoją organizację do działania.
Wyniki raportu i rekomendacje to narzędzie dla specjalistów IT, którzy będą je wdrażać, ale także dla kadry zarządzającej, której priorytetem powinno być zapewnienie bezpieczeństwa danych i stabilności działania.