Jeszcze kilka lat temu znacząca większość przedsiębiorstw pracowała nad cyberbezpieczeństwem wtedy, gdy musiała to zrobić. Największe postępy odnotowywano zatem w sektorach, które są dość mocno regulowane, między innymi w sektorze finansowym. Regulacje te podejmowano na podstawie znanych wyzwań,a także analizy ryzyk, które były wspólne dla organizacji z danego sektora. Z kolei w pozostałych firmach cyberbezpieczeństwo traktowano jako koszt – mniej lub bardziej uzasadniony. W każdym przypadku były to działania będące reakcją na jakieś zdarzenie. Reakcja ta była pośrednia, w postaci wdrożenia działań zapobiegawczych wskazanych przez regulatora albo bezpośrednia, w wyniku działań korygujących po audycie lub naprawczych, wdrożonych po poważnym incydencie bezpieczeństwa, którego nie można było zignorować.

Pierwsze jaskółki

Pierwsze symptomy zmian w tym zakresie można było zaobserwować, gdy organizacje zaczęły działać proaktywnie, inicjując programy naprawcze wyzwalane przez zdarzenia, które ich nie dotknęły bezpośrednio. Bardzo często były to programy uruchamiane wtedy, gdy bezpośrednia konkurencja lub inna ważna firma z tego samego sektora doznała ataku lub wystąpił w niej poważny incydent bezpieczeństwa. Część z programów naprawczych była nastawiona na punktowe usunięcie oczywistych słabości, co przyniosło natychmiastową poprawę odporności w tym zakresie, ale nie spowodowało jakościowej zmiany w organizacji. Gdyby chcieć wskazać przykłady podobnych działań, na liście na pewno znalazłyby się przeprowadzane doraźnie testy penetracyjne aplikacji, wdrożenie systemów zbierania logów i uruchomienie podstawowych procesów, takich jak choćby ograniczone zarządzanie podatnościami oraz pierwsze szkolenia dla pracowników firmy.

komputer, cyberbezpieczeństwo

Dlaczego punktowe rozwiązanie nie przynosi efektów

Firmy mają tendencję do uruchamiania punktowych działań wtedy, gdy właśnie odbywa się reakcja na zdarzenie, które daną organizację dotknęło. Wbrew często propagowanej reklamie dostawców, wprowadzenie do firmy jednego rozwiązania rzadko przynosi długoterminowe efekty poprawy cyberbezpieczeństwa, jeśli nie pójdzie za takim wdrożeniem jakościowa zmiana procesów związanych z bezpieczeństwem IT. Obserwowane często w małych firmach uruchomienie zapory sieciowej nie przyniesie efektów, jeśli nie zostanie uruchomiony proces przeglądu logów z tego urządzenia, a następnie działań korygujących związanych z utrzymaniem aktualnego działania tej zapory. Podobnie urządzenia wykorzystujące sygnatury ataków nie przyniosą skutecznej ochrony, jeśli te sygnatury nie będą aktualizowane. To samo dotyczy procedur odpowiedzi na zagrożenia i wszelkich narzędzi, z których korzysta dział odpowiedzialny za bezpieczeństwo IT.

Spojrzyjmy na to inaczej

Prawdziwą zmianę przyniosło inne spojrzenie na cyberbezpieczeństwo. Zamiast podejścia reaktywnego wprowadzono proaktywne, w którym zagadnienia związane z bezpieczeństwem są traktowane jako jedno z ryzyk biznesowych, którymi trzeba zarządzać. Obecnie takie podejście cechuje dojrzałe organizacje, praktycznie niezależnie od ich wielkości. Przestały one zakładać, że być może kiedyś nastąpi atak, ale zakładają, że na pewno atak nastąpi i przygotowują się zarówno do uprzedniego wdrożenia odporności na podobne zdarzenia, ale także na opracowanie skutecznej odpowiedzi w przypadku udanego ataku. Zmiany idą znacznie dalej, gdyż dojrzałe organizacje wprowadzają działania związane z bezpieczeństwem bardzo wcześnie, jeszcze na etapie projektowania nowych usług. Uwzględniają przy tym zmiany, które powstały na skutek rynku – na przykład obecnie przy szacowaniu ryzyka inaczej patrzy się na konwoje pieniędzy między oddziałami banku, niż miało to miejsce dwadzieścia lat temu. Zmianie uległ nie tyle sam proces dostarczania gotówki do banku, ale ryzyko związane z tym procesem, gdyż włamywacze obecnie rzadziej są skłonni do podjęcia takiego ataku – cyberprzestępstwa są dla nich mniej ryzykowne od fizycznych napadów. Nadal trzeba jednak zachować pewne minimum ochrony – właśnie do tego służy rzetelnie prowadzona analiza ryzyka, wbudowana w proces budowania i utrzymywania usługi.

Jak część firmy

Żeby zmiana podejścia przyniosła oczekiwane efekty, musi objąć nie tylko obszar IT oraz IT Security, niezbędne staje się osadzenie bezpieczeństwa w proces budowania usług biznesowych. Przy tym modelu wszystkie niedoskonałości i problemy także występują, obserwujemy wszystkie typowe zjawiska, takie jak podatności systemów, aplikacji i procesów, włącznie z najpoważniejszymi, które później mogłyby być wykorzystanie do udanego ataku. Różnica polega na tym, że omawiane problemy występują na bardzo wczesnych etapach rozwoju usługi, produktu lub oprogramowania. Na pewno znacząca większość zostanie wychwycona podczas rutynowych testów, jeszcze przed oddaniem usługi, a zatem ich usunięcie jest prostsze i znacznie tańsze od procesów naprawczych, które nastąpiłyby później, po udanym ataku. Sposób ten zakłada prowadzenie analizy ryzyka na wczesnych etapach, włączenie specjalistów do spraw bezpieczeństwa oraz zgodności z regulacjami jeszcze na etapie projektowania usługi, a także uwzględnianie zagadnień cyberbezpieczeństwa w całym cyklu życia oprogramowania. Przykładowe działanie może obejmować: sprawdzenie zgodności z regulacjami odnośnie do przetwarzania danych przed budową oprogramowania, wdrożenie regularnie prowadzonych testów penetracyjnych i wprowadzanie poprawek, uruchomienie procesu zarządzania podatnościami w organizacji, wdrożenie i utrzymanie raportowania zdarzeń z systemów do działu SOC, opracowanie procedur odpowiedzi na zagrożenia i regularne ich testowanie, przygotowanie i uruchomienie procesów awaryjnych, wdrożenie, utrzymanie i przegląd procesów nadawania i odwoływania uprawnień, uruchomienie procesu eliminacji pozakatalogowych usług uruchamianych bez zgody i wiedzy IT. Jak widać, włączenie cyberbezpieczeństwa w procesy rozwoju i utrzymania organizacji nie jest punktowym działaniem, ale obejmuje wiele obszarów równocześnie.

Procesy transformacyjne szansą na poprawę bezpieczeństwa organizacji

Zmiana podejścia i wdrożenie usprawnień nie odbywa się natychmiast. Proces ten najczęściej pojawia się w wyniku działań transformacyjnych związanych z modernizacją sposobu prowadzenia działalności (cyfryzacja lub zmiany w głównej linii biznesowej), w wyniku zmian technologicznych (na przykład technologie mobilne) lub w wyniku szeroko rozumianego postępu technicznego (nowe możliwości w zakresie automatyzacji odpowiedzi na zagrożenia). Proces ten bywa także uruchamiany w tych organizacjach, które stwierdziły, że bez programu transformacji bezpieczeństwa nie sprostają zagrożeniom w nieodległej przyszłości.