Jak zabezpieczyć system teleinformatyczny w firmie przed wyciekiem danych?

jak zabezpieczyć sieć
Brett Sayles / Pexels

Nawiązywanie kontaktów, komunikacja i praca zespołowa stały się dziś o wiele łatwiejsze – także w sposób zdalny lub hybrydowy. Rozwój technologii internetowych prowadzi jednak także do powstania rosnącego z roku na rok zagrożenia wyciekiem danych. Problem ten dotyczy firm na całych świecie, niezależnie od ich rozmiaru. Według doniesień specjalistów, koszty spowodowane wyciekami danych przekroczą do 2025 roku 10,5 miliarda USD i będą każdego roku rosły o 15%. Nie znaczy to jednak, że przedsiębiorstwa są bezbronne. Dziś pokażemy, jak na 12 sposobów zabezpieczyć system teleinformatyczny w firmie przed wyciekiem danych.

Czym jest wyciek danych?

Wyciek danych to niepożądane uzyskanie dostępu do danych organizacji przez osoby trzecie i wydostanie się tych danych na zewnątrz w niepowołane ręce. Wyciek taki może przyjąć formę zarówno fizyczną (np. wyniesienie dokumentów), jak i cyfrową (np. kradzież bazy danych).

Do wycieku danych może dojść zarówno przez błędy ludzkie, jak i przez świadome działanie osób “z wewnątrz” chcących uzyskać w ten sposób korzyść majątkową, działających w afekcie lub na zlecenie. Wyciek danych może być również wynikiem ataku zewnętrznego, np. ataku hackerskiego na sieć komputerową, wykorzystaniem niesprawności lub nieprawidłowej konfiguracji systemów teleinformatycznych.

Do wycieków danych na różną skalę dochodzi w firmach na całym świecie niemal codziennie, a jednym z najgłośniejszych przypadków był wyciek informacji dotyczących 3 miliardów (!) kont w serwisie Yahoo w latach 2013-2016.

Przykłady wycieków danych

Wyciek danych może potencjalnie dotyczyć całości danych, które przetwarza i przechowuje firma, jednak zazwyczaj skupia się na jednej lub kilku z czterech przedstawionych poniżej kategorii:

Dane klientów

W erze RODO jest to potencjalnie najbardziej niebezpieczny rodzaj wycieku danych. Nie tylko naraża on na wysokie kary finansowe, ale także może podważyć zaufanie klientów, powodując ich odpływ wprost w objęcia najbliższej konkurencji. Do danych klientów należą zazwyczaj m.in.:

  • Imiona i nazwiska
  • Adresy zamieszkania
  • Dane kontaktowe (numery telefonów, adresy email)
  • Nazwy użytkowników
  • Hasła
  • Historia płatności
  • Numery kart płatniczych
Informacje wewnętrzne

Wyciek takich danych może spowodować ujawnienie wewnętrznych informacji firmowych i ich potencjalne wykorzystanie przez nieuczciwą konkurencję. Do tej kategorii mogą należeć m.in.:

  • Komunikacja wewnętrzna (np. wiadomości z firmowego czatu, maile)
  • Dane dotyczące planowanych produktów
  • Dane osobowe pracowników
Tajemnice handlowe

Wypłynięcie lub kradzież, a następnie przedostanie się w niepowołane ręce tajemnic handlowych, w tym własności intelektualnej, może skutecznie zniszczyć perspektywy rozwoju biznesu firmy, ostatecznie doprowadzając do wyprzedzenia jej przez konkurencję. Do tego typu informacji zaliczamy m.in.:

  • Plany dotyczące nadchodzących produktów
  • Kody źródłowe oprogramowania
  • Informacje technologiczne
Dane analityczne

Coraz więcej firm wykorzystuje wspieraną przez big data analitykę w celu poprawy swojej skuteczności, a same dane nazywane są nie bez powodu złotem XXI wieku. Oprogramowanie służące do tworzenia, przetwarzania i przechowywania takich zbiorów danych staje się wektorem ataku z uwagę na swoją potencjalnie wysoką wartość. Do danych analitycznych, które mogą wyciec, należą m.in.:

  • Informacje o zachowaniu i preferencjach klientów
  • Informacje o sprzedaży
  • Profile psychograficzne klientów

Konsekwencje wycieku danych

Wyciek danych może mieć konsekwencje finansowe oraz niefinansowe. Do tych pierwszych można zaliczyć kary nakładane na podmioty, które dopuściły do wycieku danych, które, zgodnie z obowiązującym w Polsce od 2018 roku RODO (unijne rozporządzenie o ochronie danych osobowych), mogą wynieść nawet do 20 milionów euro lub 4% całkowitego rocznego obrotu. Innymi przykładami finansowych konsekwencji wycieku danych firmowych mogą być żądania zapłacenia okupu połączone z obietnicą usunięcia danych po dokonaniu płatności (sposób działania m.in. oprogramowania typu ransomware, w tym słynnego WannaCry), kradzieże pieniędzy z kont bankowych, a także pozwy sądowe wnoszone przez poszkodowanych.

Do niefinansowych (przynajmniej bezpośrednio) konsekwencji wycieku danych można zaliczyć uzyskanie przez nieuczciwą konkurencję informacji o planach firmy i jej bazie użytkowników, a następnie wykorzystanie tych informacji w celu zwiększenia udziałów rynkowych, wypłynięcie na światło dzienne wrażliwych danych o kondycji firmy, dokumentów, rozmów, tajemnic handlowych.

Sposoby zabezpieczenia danych przed wyciekiem

W tym rozdziale przedstawimy dwanaście sposobów, które mogą pomóc w zabezpieczeniu systemu teleinformatycznego firmy przed wyciekiem danych. Należy jednak pamiętać, że żaden z tych sposobów nie jest w stanie zagwarantować całkowitego bezpieczeństwa. Stosowanie wielu metod obrony może jednak znacząco pomóc w zmniejszeniu ryzyka wycieku danych i idących za nim bolesnych konsekwencji.

1. Stosowanie zasady minimalizacji dostępów i ograniczonego zaufania

Zanim przejdziemy do technicznych sposobów minimalizacji ryzyka, warto wspomnieć również o odpowiedniej organizacji dostępu do danych. Czy księgowa powinna mieć dostęp do systemu wykorzystywanego przez dział IT? Czy pracownik działu IT powinien mieć dostęp do programu do księgowości? Podstawową zasadą jest tu stosowanie polityki minimalizacji dostępów, co oznacza przydzielanie wyłącznie tych dostępów i przekazywanie tych danych, które są danemu pracownikowi rzeczywiście niezbędne do pracy. W tym celu warto wykorzystać oferowaną przez oprogramowanie możliwość ustawiania uprawnień i zarządzania nimi oraz wdrożyć odpowiednią politykę nadawania dostępu do danych wrażliwych, a także – co ważne – ściśle jej przestrzegać. Bez wyjątków, szczególnie tych spowodowanych zwyczajnym lenistwem. Nadane uprawnienia należy okresowo sprawdzać i odbierać, jeśli przestały już być potrzebne.

2. Szyfrowanie danych

Szyfrowanie danych firmowych może sprawić, że dane będą bezużyteczne dla osoby trzeciej nawet w razie ich wycieku, w tym wycieku całkowicie nieumyślnego, np. zgubienia pendrive’a, czy też przypadkowego “wystawienia do Internetu” wewnętrznego zasobu sieciowego. Choć dane można będzie pobrać, nie będzie można zobaczyć ich zawartości z uwagi na fakt jej zaszyfrowania. Aby ta metoda była skuteczna, należy stosować silne algorytmy szyfrowania (np. AES-256) i złożone hasła.

Przykład: pracownik działu IT omyłkowo opublikował wewnętrzne dokumenty firmy na publicznym (dostępnym dla wszystkich w sieci Internet) zasobie sieciowym. Bot przeczesujący zasoby Sieci pobrał pliki, zanim pracownik zdał sobie sprawę z pomyłki. Pliki były jednak zaszyfrowane, stąd odczytanie ich przez twórców bota okazało się niemożliwe.

3. VPN

Pandemia COVID-19 spowodowała prawdziwy rozkwit pracy zdalnej i hybrydowej, którą docenili zarówno pracownicy, jak i – choć mniej często – pracodawcy. Ten typ pracy powoduje jednak ryzyko, że nawet pomimo bardzo dobrze zabezpieczonej i ściśle monitorowanej firmowej sieci teleinformatycznej, do wycieku danych i tak dojdzie. Wektorem ataku będzie w tym przypadku zdalne połączenie nawiązywane przez pracownika z zasobami danych firmowych. Dlatego też warto wdrożyć wykorzystanie VPN, rozwiązania tworzącego bezpieczny i zaszyfrowany “tunel” między komputerem pracownika a firmową infrastrukturą.

4. Firewall i WAF

Firewall (znany także jako zapora sieciowa) jest kluczową linią obrony sieci teleinformatycznej przed zagrożeniami z zewnątrz oraz wydostaniem się danych na zewnątrz. Zapora sieciowa monitoruje i filtruje połączenia wchodzące i wychodzące, blokując te, które zostaną uznane za potencjalnie niebezpieczne, zarówno na poziomie całej sieci, jak i pojedynczych urządzeń.

Pewnym wariantem firewalla jest WAF, czyli Web Application Firewall. Pomaga on chronić aplikacje webowe użytkowane lub rozwijane przez firmę na wzór klasycznej zapory sieciowej. Działa niczym tarcza chroniąca aplikacje i udostępniające je serwery przed nieuprawnionym dostępem z zewnątrz. Ta forma zabezpieczenia firmowej sieci teleinformatycznej jest szczególnie ważna dla organizacji działających na rynku eCommerce oraz wszystkich tych, które przetwarzają wrażliwe dane użytkowników.

Przykład: złośliwe oprogramowanie próbowało wykorzystać lukę w systemie informatycznym w celu wykradzenia danych, ale żądanie zostało zablokowane przez zainstalowany w firmie firewall.

5. Oprogramowanie antywirusowe

Oprogramowanie antywirusowe aktywnie chroni urządzenia pracowników, takie jak komputery i laptopy, a także przeciwdziała przedostaniu się wirusów i innych rodzajów złośliwego oprogramowania do firmowej sieci. Twórcy antywirusów monitorują powstające zagrożenia i aktualizują swoje produkty tak, by możliwie najlepiej im zapobiegać. Dlatego właśnie tak ważne jest, aby oprogramowanie antywirusowe było nie tylko wdrożone, ale także aktualne.

Przykład: pracownik otworzył załącznik dołączony do maila od nieznanego nadawcy. Załącznik był spreparowanym plikiem mającym na celu zaszyfrowanie dysków urządzeń podłączonych do sieci, a następnie żądanie okupu w zamian za udostępnienie kluczy deszyfrujących. Zainstalowane na komputerze pracownika oprogramowanie antywirusowe zablokowało otwarcie pliku i zneutralizowało zagrożenie.

6. SSL

SSL jest protokołem sieciowym wykorzystywanym do zabezpieczania stron internetowych. Jego celem jest zapewnienie poufności transmisji danych między odbiorcą a nadawcą poprzez stosowanie szyfrowania danych, zapobiegając w ten sposób atakom typu man-in-the-middle. Ataki tego typu polegają na “nasłuchiwaniu” transmisji i próbach wychwycenia w niezaszyfrowanych dokumentach hipertekstowych informacji takich jak hasła lub inne wrażliwe dane. Protokół SSL i certyfikaty SSL należy wdrożyć na własnych stronach internetowych, a także nie podawać swoich danych wrażliwych na stronach, którego go nie wykorzystują. Działanie protokołu można zazwyczaj rozpoznać przez ikonkę “kłódki” obok pola adresu w przeglądarce.

7. Logowanie dwuetapowe (2FA)

W umożliwiającym to oprogramowaniu warto wdrożyć logowanie dwuetapowe (znane także jako weryfikacja dwuetapowa lub two-factor authentication). W takim rozwiązaniu pierwszym etapem logowania się do systemu IT jest podanie właściwego hasła, a następnie potwierdzenie zamiaru zalogowania się poprzez np. przepisanie kodu z otrzymanego SMS-a lub wygenerowanego w dedykowanej do tego aplikacji. Dzięki stosowaniu metody 2FA ryzyko wycieku danych zostaje zmniejszone nawet w razie złamania hasła lub jego przypadkowego ujawnienia.

Przykład: pracownik ustawił hasło “qwerty123” do swojego konta w ważnym systemie firmowym. To jedno z najpopularniejszych haseł i szybko zostało złamane przez osobę trzecią chcącą uzyskać dostęp do systemu. Włamanie nie powiodło się jednak, ponieważ konieczne okazało się podanie kodu SMS, który przyszedł na telefon pracownika. Metoda 2FA zapobiegła pozyskaniu wrażliwych danych, a także umożliwiła wykrycie ataku.

8. Aktualizacje

Każde, a już w szczególności złożone oprogramowanie firmowe, może posiadać luki bezpieczeństwa, które potencjalnie stać się mogą wektorem ataku. Twórcy oprogramowania pracują nad usuwaniem takich luk i wydają odpowiednie łatki w formie aktualizacji. Dlatego właśnie należy bezwzględnie dbać o utrzymywanie aktualnych wersji wykorzystywanego w firmie oprogramowania, o ile tylko jest to możliwe. W szczególności dotyczy to urządzeń podłączonych do Internetu, które są w tym przypadku najbardziej narażone.

Przykład: luka w bibliotece języka Java Log4j spowodowała zagrożenie dla olbrzymiej ilości oprogramowania korzystającego z tej biblioteki. Luka została jednak załatana w formie aktualizacji.

9. Zabezpieczanie sieci WiFi

Niezabezpieczone lub słabo zabezpieczone sieci WiFi są popularnym wektorem ataku cybernetycznego. By temu przeciwdziałać, warto zabezpieczyć sieć przy pomocy protokołu WPA2, korzystać z silnych haseł zmieniając je co określony czas, a także aktualizować oprogramowanie routera. Jeśli z WiFi korzystają osoby z zewnątrz organizacji, np. odwiedzający siedzibę firmy klienci, warto wydzielić dla nich sieć odrębną od tej, z której korzystają pracownicy. Ruch sieciowy może być bowiem przechwycony.

Przykład: hacker, podając się za klienta firmy, połączył się z firmową siecią i próbował przechwycić wewnętrzną komunikację pracowników. Próby te spełzły na niczym, ponieważ pracownicy firmy korzystali z innej sieci.

10. Systemy zarządzania dostępem uprzywilejowanym (PAM)

Niektórzy pracownicy, tacy jak m.in. administratorzy IT, korzystają często z podwyższonych uprawnień umożliwiających im im prawidłowe wykonywanie swoich obowiązków. Takie uprawnienia, nazywane także dostępem uprzywilejowanym i pozwalające na podejmowanie działań niedostępnych dla innych użytkowników firmowej infrastruktury informatycznej, tworzą ryzyko ich niewłaściwego wykorzystania lub dostania się danych logowania w niepowołane ręce.

Sposobem na zmniejszenie ryzyka związanego z niewłaściwym wykorzystaniem uprzywilejowanego dostępu są systemy PAM, czyli Privileged Access Management. Jednym z kilku dostępnych na rynku rozwiązań tego typu jest Senhasegura PAM Core, oferujący zarządzanie pełnym cyklem poświadczeń z uprzywilejowanym dostępem. Do podstawowych funkcjonalności produktu należą m.in. bezpieczne przechowywanie poświadczeń, wdrażanie polityk dotyczących haseł, szyfrowanie danych, segregowanie dostępu z użyciem grup, elastyczny proces przyznawania dostępów, a nawet dzielenie poświadczeń między dwóch użytkowników, tak aby zapewniona była obecność więcej niż jednej osoby na etapie uzyskiwania dostępów. Senhasegura PAM Core automatyzuje i ułatwia zarządzanie dostępem uprzywilejowanym, zwiększając w ten sposób bezpieczeństwo firmowej sieci teleinformatycznej.

Dowiedz się więcej o systemie PAM na stronie Partnera tego artykułu: https://senhasegura.eu/pl

Przykład: pracownik zatrudniony w firmie outsourcingowej przypadkowo udostępnił hasło do konta z podwyższonymi uprawnieniami na jednym z ważnych elementów infrastruktury IT. Nieuprawniony użytkownik próbował uzyskać dostęp – bez powodzenia, bowiem próbę tę wykryto w systemie PAM, dostęp został zablokowany, a hasła odpowiednio zmienione.

11. Ubezpieczenia cyberrisk

Zdarza się, że pomimo najszczerszych chęci, do wycieku danych mimo wszystko dojdzie. Warto zastosować zasadę “Polak mądry przed szkodą” i wykupić ubezpieczenie typu cyberrisk, znane także jako ubezpieczenie od zagrożeń cybernetycznych. Pozwoli ono pokryć przynajmniej część finansowych skutków wycieku danych.

Przykład: wykupienie zawczasu ubezpieczenia cyberrisk pozwoliło firmie zminimalizować skutki kary wymierzonej wobec przypadkowego wycieku danych tysięcy klientów.

12. Edukacja

Nawet najlepsze metody zabezpieczeń mogą być bezradne wobec błędu ludzkiego. Otwarcie załącznika z mailem od nieznanego nadawcy, naklejenie karteczki z hasłem na biurku, zgubienie pendrive’a zawierającego skany wrażliwych firmowych dokumentów… Dlatego też ostatnim, ale nie mniej ważnym od wszystkich pozostałych punktem naszego zestawienia jest edukacja. Edukacja swoich podwładnych, edukacja swoich przełożonych, samoedukacja. Wiedzę o czyhających na firmowe dane zagrożeniach należy zdobywać i przekazywać dalej.

Przykłady:

  • Jesteś kierownikiem zespołu? Zorganizuj dla swoich podwładnych szkolenie dotyczące bezpieczeństwa IT.
  • Pracujesz w dziale IT, a prezes firmy niekoniecznie zna się na tych całych komputerach? Powiedz mu o zagrożeniach i sposobach zapobiegania im. Bo przecież chodzi także o Twoje dane, prawda?
Total
0
Shares

Brak połączenia z internetem