SWB 024: Cyberbezpieczeństwo [#CSI 015]

Krótko, jasno i przejrzyście o podstawowych koncepcjach Wywiadu Bezpieczeństwa Biznesu CSI (Corporate Security Intelligence).  W tym odcinku cyklu SWB (Szpiegostwo W Biznesie) blok “Kwestie systemowe CSI“: cyberbezpieczeństwo.

Zapraszam serdecznie 🙂

#CSI cyberbezpieczeństwo

O CZYM PRZECZYTASZ

    • Noosfera czyli sfera ludzkiego umysłu
    • Czym jest cyberbezpieczeństwo
    • Jaki jest cel strategicznego zarządzania percepcją
    • Rola CSI w zakresie zapewniania cyberbezpieczeństwa
    • Bezpieczeństwo danych
    • Koncepcja CTI (Cyber Threat Intelligence)
    • Certyfikacja w zakresie cyberbezpieczeństwa

A przy okazji...
Jeśli interesuje Cię tematyka Bloga:

I nie zapomnij zaglądać na Vloga 🙂

TUTAJ możesz zostać Patronem Bloga!

Miłego czytania 😉

A TERAZ PO KOLEI…

Na YouTube’owym kanale Szpiegul.pl publikuję cykl audycji wideo, w którym staram się krótko, jasno i przejrzyście wyjaśnić najbardziej podstawowe koncepcje Wywiadu Bezpieczeństwa Biznesu CSI (Corporate Security Intelligence). Wiąże się to, oczywiście, ze stosowaniem przeze mnie uogólnień (ale nie skrótów czy uproszczeń!).

Niniejszy artykuł nie jest prostą transkrypcją poszczególnych odcinków. Jego treść została poprawiona i uzupełniona (czasami znacznie) w stosunku do tego, co opublikowałem na YT. Podobnie zresztą jest z wszystkimi odcinkami cyklu.

A ów cykl obejmuje pięć bloków zagadnieniowych (w każdym zaś trzy odcinki):

    • Wywiad w biznesie:
      • Wywiad gospodarczy
      • Wywiad konkurencyjny
      • Wywiad biznesowy
    • Inteligencja analityczna:
      • Cele analityki
      • Rozwój analityki
      • Typy analiz
    • Bezpieczeństwo biznesu:
      • Bezpieczny biznes
      • Osłona kontrwywiadowcza
      • Szpiegostwo gospodarcze
    • Zarządzanie strategiczne:
      • Struktury i kryzysy
      • Piramida i planowanie
      • Strategiczny HR
    • Kwestie systemowe CSI:
      • Cykl wywiadowczy
      • System Wczesnego Ostrzegania
      • Cyberbezpieczeństwo

Koncepcja CSI

Całościowa koncepcja Wywiadu Bezpieczeństwa Biznesu CSI wygląda następująco:

    • Fundament tworzy zarządzanie strategiczne:
      • w kierowaniu ogólnym,
      • zasobami ludzkimi
    • Na nim oparte są trzy filary:
      • wywiad w biznesie,
      • inteligencja analityczna,
      • bezpieczeństwo biznesu,
    • Klamrą spinającą całość (niejako dachem naszej konstrukcji) jest System Wczesnego Ostrzegania.

CZYM JEST CYBERBEZPIECZEŃSTWO

Napiszę coś nieprzyjemnego, lecz (niestety) prawdziwego: Poczucie bezpieczeństwa jest złudne! W dzisiejszym świecie nikt nie powinien czuć się w pełni bezpieczny; żadna organizacja, człowiek czy też państwo.

W cyklu [#CSI] pisałem już o tym, jak jest usytuowana firma na mapie konkurencyjności: środowisko wewnętrzneotoczenie: bliższe (czyli mikro) oraz dalsze (makro).

W ciągu ostatnich kilkudziesięciu lat pojawił się nowy czynnik w makrootoczeniu (sam czynnik nie jest nowy, ale w szczególny sposób jest dziś eksploatowany) , który firmy (i różne inne organizacje) muszą uwzględniać: noosfera czyli sfera umysłu ludzkiego. To właśnie w tej sferze odbywa się zarządzanie percepcją. W firmach, w których koncepcja CSI jest wdrożona i rozwinięta: strategiczne zarządzanie percepcją.

CEL STRATEGICZNEGO ZARZĄDZANIA PERCEPCJĄ

W przypadku politycznych wojen informacyjnych celem jest władza.

Jeśli zaś chodzi o wojny handlowe, to nie tylko władza, ale (przede wszystkim): zysk. Zero romantyzmu i czysty pragmatyzm, przy czym:

    • na poziomie ideologicznym: władza i pieniądze; pieniądze i władza,
    • na poziomie strategicznym: zwyciężenie konkurencji (w polityce: przeciwnika) i utrzymanie przewagi w wojnie informacyjnej,
    • na poziomie taktycznym: koordynacja walki informacyjnej i zdobycie przewagi konkurencyjnej (politycznej),
    • na poziomie operacyjnym: realizacja celu starcia informacyjnego

Eksperci fundacji RAND uznali, że noosfera obejmuje infosferę  oraz cyberprzestrzeń, przy czym:

    • infosfera jest pojęciem szerszym, obejmującym wszystkie istniejące systemy informacyjne,
    • cyberprzestrzeń zaś tylko te systemy, które wchodzą w skład Sieci (system powiązanych ze sobą komputerów oraz cała infrastruktura, bazy danych, hardware i software).

OCHRONA I CYBERBEZPIECZEŃSTWO

Istnieją dwie dziedziny związane bezpośrednio z bezpieczeństwem firmy, które niejako „dzieją się” na obrzeżach koncepcji CSI: jest to ochrona mienia oraz (tytułowe) cyberbezpieczeństwo.

Może się wydawać, iż są one traktowane nieco „po macoszemu”. Ale to złudne.

Ochrona mienia jest zawodem licencjonowanym w jakiś sposób w większości krajów. Można również zdobyć certyfikat odpowiedniej organizacji międzynarodowej w tym zakresie. I nie ma potrzeby dodatkowego certyfikowania w ramach koncepcji CSI.

Poza tym sama ochrona mienia, będąc częścią działu bezpieczeństwo biznesu, ma niewiele wspólnego z zarządzaniem strategicznym. Jak już wspomniałem w którymś z poprzednich artykułów, działania pionu CSI ograniczają się (w tym zakresie) do stworzenia wytycznych dla (zwykle zewnętrznej) służby ochrony.

Podobnie ma się sytuacja z cyberbezpieczeństwem.

Specjalista w tym zakresie (a właściwie zakresach – ale o tym nieco później) musi posiadać specyficzną wiedzę i doświadczenie, a nierzadko okazywać się określonym certyfikatem potwierdzających je.

Rola profesjonalisty CSI polega na:

    • ustaleniu jakiego typu zakres cyberbezpieczeństwa firmy jest w danym momencie wymagany i wskazanie wytycznych do odnalezienia i zatrudnienia odpowiedniego specjalisty (lub wynajęcia firmy zewnętrznej),
    • udział w budowaniu Systemu Zarządzania Bezpieczeństwem Informacji (zgodnie z normą ISO 27001 i pokrewnymi), w oparciu o zarządzanie jakością i zgodnością (Compliance) oraz wytycznymi ochrony danych osobowych (RODO),
    • włączeniu SZBI do Systemu Wczesnego Ostrzegania w ramach realizacji koncepcji Cyber Threat Intelligence (CTI) czyli wywiadu dotyczącego cyberzagrożeń (o czym poniżej).

Koncepcja cyberbezpieczeństwa to sprzeciw wobec bezkarności, lekkomyślności i ekspansywności cyberprzestępców.

To forma przeciwdziałania i prewencji zagrożeń cyfrowych.

Działania atakujących wciąż ewoluują i doskonalą się. Dlatego nie ma rozwiązania pozwalającego na osiągnięcie stanu pełnego cyberbezpieczeństwa.

Zgodnie z definicją zawartą w ustawie o krajowym systemie cyberbezpieczeństwa „Cyberbezpieczeństwoto odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy [Art. 2 p. 4 ustawy o krajowym systemie cyberbezpieczeństwa, Dz.U. 2018 poz. 1560].

Z punktu widzenia CSI cyberbezpieczeństwo polega na zapewnianiu bezpieczeństwa:

    • biznesu,
    • sieci zasobów cyfrowych,
    • procesów i działań w systemach informatycznych.

Do najważniejszych zasobów zalicza się:

    • kapitał,
    • infrastrukturę IT,
    • informacje.

Aby chronić firmę przed niebezpieczeństwem, trzeba zdecydować co przede wszystkim chcemy ochronić ze względów strategicznych.

A mam na myśli wszystkie informacje i dane, których utrata lub ujawnienie może oznaczać stratę finansową czy wizerunkową dla firmy, kary administracyjne (kary w związku z RODO) i roszczenia cywile. Obejmuje koszty związane z utratą dochodów, klientów, jak i koszty operacyjne. Niekiedy może się to zakończyć upadłością firmy. Ponadto naraża osoby decyzyjne (np. członkowie zarządu) na zarzut braku należytej staranności pełnienia funkcji –  za co grozi kara 10 lat więzienia (art. 296 KK).

Skuteczna ochrona informacji jest bardzo trudnym zagadnieniem. Tempo rozwoju i stopień skomplikowania technologii IT sprawiają, że luki w bezpieczeństwie systemów informatycznych są zjawiskiem powszechnym. Do tego należy dodać podatność pracowników na manipulację. Najsłabszym ogniwem jest zazwyczaj właśnie człowiek.

Obecnie duży nacisk kładzie się na cyberbezpieczeństwo w branżach, gdzie wykorzystuje się rozbudowane systemy oraz gdzie przetwarza się dane o użytkownikach (osobowe), partnerach czy o firmie.

Cyberprzestępcy:

    • paraliżują funkcjonowanie firmy,
    • niszczą architekturę IT,
    • przechwytują kapitał,
    • utrudniają dostęp do zasobów,
    • modyfikują, kopiują lub kradną dane.

#CSI Cyberbezpieczeństwo Insta.jpg

DLACZEGO TAK DOBRA NAZWA NIE JEST WŁAŚCIWA

Przynajmniej dla specjalistów IT security. Większość z nich (o ile nie wszyscy) używa słowa „cyber” używa co najwyżej ironicznie. Dla nich “cyberbezpieczeństwo” to popularny, marketingowy wręcz, termin przydatny dla użytkowników portali społecznościowych.

Jest to branża na tyle szeroka, że często każda z osób wykonujących ten zawód zajmuje się zupełnie czymś innym. A główne obszary zainteresowań to:

    • bezpieczeństwo IT,
    • bezpieczeństwo oprogramowania,
    • bezpieczeństwo teleinformatyczne,
    • bezpieczeństwo sieciowe,
    • kryptografia,
    • informatyka śledcza.

I pewnie jeszcze parę można by wyróżnić. A w każdym z tych obszarów wskazać obszerne zakresy zainteresowań.

BEZPIECZEŃSTWO DANYCH

Bezpieczeństwo danych to proces wielopoziomowy, związany z odpowiednim zarządzaniem ryzykiem, uświadamianiem wszystkich pracowników firmy, a także stworzeniem rozbudowanych lecz zrozumiałych procedur reagowania na incydenty, z zachowaniem hierarchii potencjalnych zagrożeń.

W sytuacji kryzysowej liczy się szybka reakcja, zatem wskazane jest zaprojektowanie i wprowadzenie systemów wczesnego ostrzegania, uwzględniających aktywność wszystkich pracowników oraz działów.

Z punktu widzenia koncepcji CSI istotne są trzy obszary związane z cyberbezpieczeństwem:

    1. analiza (celem identyfikacji luk w bezpieczeństwie),
    2. ochrona (podnoszenie poziomu zabezpieczeń),
    3. reakcja (obsługa cyberataków)

Ponadto powinno przeprowadzać się testy penetracyjneaudyty bezpieczeństwa, za pomocą których można wykryć luki i ewentualne podatności posiadanych systemów, baz danych, infrastruktury. Dodatkowo trzeba stale monitorować anomalie i podejrzany ruch sieciowy, aby nie dopuścić do ingerencji z zewnątrz. 

W przypadku systemów informatycznych o szczególnym znaczeniu zaleca się ich „utwardzanie” (z ang. tzw. hardening) w celu zapewnienia im dodatkowej odporności na potencjalne ataki.

Jeżeli zaś firma doświadczy ataku trzeba:

    • jak najszybciej ustalić straty,
    • określić zasięg agresji,
    • zebrać materiał dowodowy,
    • przeanalizować przyczynę powodzenia ataku,
    • wypracować mechanizmy naprawy

– czyli to wszystko, co obejmuje tzw. informatyka śledcza.

W zakresie cyberbezpieczeństwa istotne są również audyty śledcze wykorzystujące analizy Big Data w szukaniu nieprawidłowości i oszustw. Nakłada się duże ilości różnych danych na konkretne procesy i poszukuje anomalii odbiegających od standardów. Dzięki takiej głębokiej analizie ujawnia się zdarzenia, o których nikt nie wiedział i nie zauważył.

#CSI - CTI

KONCEPCJA CTI

Jak widać dla profesjonalisty CSI pojęcie cyberbezpieczeństwo obejmuje rekrutację specjalistów ds. bezpieczeństwa IT oraz wdrażanie środków technicznych służących ochronie infrastruktury i własności intelektualnej firmy.

Dlatego w ramach koncepcji CSI powinniśmy raczej mówić o Cyber Threat Intelligence (CTI) czyli wywiadzie dotyczącym cyberzagrożeń.

Jest to rozwiązanie stosowane na styku informatyki, zarządzania i bezpieczeństwa wobec zagrożeń mogących powodować szkody w funkcjonowaniu systemów IT.

CTI opiera się na gromadzeniu danych wywiadowczych z takich źródeł, jak: OSINT, SOCMINT, HUMINT oraz tzw. Deep i Dark Net, a następnie badaniu i analizie trendów rozwoju technologicznego w obszarach: cyberprzestępczości i cyberszpiegostwa oraz haktywizmu (użycia komputerów i sieci do promowania celów społecznych i politycznych).

Konkretnie zaś możemy wyróżnić cztery rodzaje zagrożeń zwalczanych w ramach CTI:

    • strategiczne: informacje na najwyższym szczeblu firmy dotyczące zmieniających się ryzyk (chodzi o zmiany strategiczne),
    • taktyczne: znajomość metod, narzędzi i taktyk atakujących by przeciwdziałać potencjalnie niebezpiecznym atakom (nie dopuścić do infiltracji),
    • operacyjne: ustalenie szczegółów dotyczących konkretnie nadchodzącego ataku i ocena zdolności firmy w zakresie określania przyszłych zagrożeń cybernetycznych (w ramach Systemu Wczesnego Ostrzegania),
    • techniczne: znajomość parametrów określonego złośliwego oprogramowania.

Gdy weźmiemy pod uwagę poważny wpływ tych zagrożeń na cyberprzestrzeń, to CTI zaczyna jawić się jako skuteczne rozwiązanie do utrzymywania bezpieczeństwa. I jest czymś więcej niż tylko informatyka śledcza czy IT Security.

JAK WYGLĄDA RZECZYWISTOŚĆ

Liczba cyberataków skierowanych przeciwko biznesowi ma tendencję wzrostową – i to zarówno pod względem rozpowszechnienia, jak i potencjału niszczenia..

Cyberbezpieczeństwo staje się jednym z kluczowych obszarów inwestycji przedsiębiorstw, bo ataki hakerów są coraz bardziej precyzyjne i kosztowne – szczególnie, gdy dotyczą klientów.

Firmy rozumieją wagę cyberataków, ale nie chcą ponosić kosztów

Cyberbezpieczeństwo wymaga zasobów, czyli osób kompetentnych, jednak ich zatrudnienie nie przekłada się wprost na sprzedaż, nie stwarza dodatkowych przychodów.

Rekomendacje dotyczące compliance są takie, że zabezpieczenia, procedury i regulacje wewnętrzne powinny odzwierciedlać faktyczny podział obowiązków i odpowiedzialności w firmie.

Projekty w firmach robione są na dwa sposoby:

    • albo cały wysiłek wkładany jest w spisanie opasłych tomów procedur, a takich „tomisk” nikt nie traktuje na serio,
    • albo powstają dokumenty maksymalnie krótkie, maksymalnie treściwe, także w komponencie prawnym, które mają łatwość zastosowania i wdrożenia.

Obowiązuje już ustawa o krajowym systemie cyberbezpieczeństwa implementująca unijną dyrektywę NIS (Network and Information Systems directive). Ustawa dotyczy instytucji administracji rządowej i samorządowej oraz m.in. tych przedsiębiorców, którzy są sklasyfikowani jako operatorzy usług kluczowych (m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia, banki).

CERTYFIKACJA

Na zakończenie wspomnę jedynie o całym wachlarzu organizacji certyfikujących w ramach cyberbezpieczeństwa. A dostępna oferta obejmuje różnego rodzaju zakresy i poziomy trudności. Wobec tego profesjonalista CSI powinien się w nich na tyle orientować, by wiedzieć czym legitymuje się kandydat do pracy w naszej firmie na stanowisko związane z zapewnieniem cyberbezpieczeństwa.

W tym roku (2019) Parlament Europejski przyjął unijny „akt cyberbezpieczeństwa” w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberprzestępczości), wprowadzający obowiązujący w całej Unii system certyfikacji cyberbezpieczeństwa.

Jego celem jest zapewnienie, by certyfikowane produkty, procesy i usługi sprzedawane w krajach UE spełniały standardy bezpieczeństwa.

PODSUMUJMY

    • Monitorując otoczenie firmy należy brać pod uwagę nowy czynnik: noosferę (sferę ludzkiego umysłu), obejmującą: infosferę (wszystkie istniejące systemy informacyjne) i cyberprzestrzeń (systemy wchodzące w skład Sieci).
    • Noosfera jest miejscem zmagań informacyjnych o percepcję człowieka.
    • Poczucie bezpieczeństwa jest złudne, zaś najsłabszym ogniwem jest zazwyczaj człowiek.
    • Ogólnym celem strategicznego zarządzania percepcją w biznesie jest osiągnięcie zysku, zaś na poszczególnych poziomach: zwyciężenie konkurencji i utrzymanie przewagi (poziom strategiczny), koordynacja działań i zdobycie przewagi (poziom taktyczny) oraz realizacja konkretnych: planów, akcji i budżetów (czyli realizacja starcia informacyjnego na poziomie operacyjnym).
    • Cyberbezpieczeństwo polega na zapewnianiu bezpieczeństwa: biznesu, sieci zasobów cyfrowych (kapitału, infrastruktury IT i informacji) oraz procesów i działań w tych systemach.
    • Należy zdecydować co podlega ochronie ze względów strategicznych (utrata lub ujawnienie czego może oznaczać różne straty finansowe i wizerunkowe dla firmy, oraz narażające pracowników i osoby decyzyjne).
    • Bezpieczeństwo danych to proces wielopoziomowy, związany z odpowiednim zarządzaniem ryzykiem, uświadamianiem pracowników oraz stworzeniem rozbudowanych (zrozumiałych) procedur reagowania na incydenty, z zachowaniem hierarchii potencjalnych zagrożeń.
    • Cyber Threat Intelligence (CTI) to koncepcja wywiadu dotyczącego cyberzagrożeń stosowanego na styku informatyki, zarządzania i bezpieczeństwa wobec zagrożeń mogących powodować szkody w funkcjonowaniu systemów IT.
    • W ramach CTI zwalczane są cztery rodzaje zagrożeń: strategiczne, taktyczne, operacyjne i techniczne.
    • Specjalista do spraw cyberbezpieczeństwa musi posiadać specyficzną wiedzę i doświadczenie oraz (często) okazywać się określonym certyfikatem potwierdzających je.
    • Oferta certyfikatów w zakresie cyberbezpieczeństwa jest ogromna i obejmuje różnego rodzaju zakresy i poziomy trudności.
    • Rola profesjonalisty CSI w zakresie cyberbezpieczeństwa polega przede wszystkim na: ustaleniu zakresów cyberbezpieczeństwa i wytycznych do zatrudnienia odpowiedniego specjalisty (potwierdzenia posiadanych umiejętności i certyfikatów) oraz udziale w budowaniu SZBI i zintegrowaniu go z Systemem Wczesnego Ostrzegania, a także prowadzeniu audytów śledczych wykorzystujących analizy Big Data w szukaniu nieprawidłowości i oszustw. 

I to byłoby na tyle 😉

NA ZAKOŃCZENIE

Aby niczego nie przegapić przypominam, że…
jeśli interesuje Cię tematyka Bloga:

A tymczasem…

Do zaczytania!

Szpiegul

O CZYM NAPISAŁEM W ARTYKULE

ARTYKUŁY O PODOBNEJ TEMATYCE

Piotr Herman

W przeszłości oficer polskich służb specjalnych (UOP/ ABW). Obecnie CSI & CTHC: Szkolenia | Mentoring.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.