Do cyberataków na firmy zdążyliśmy się już niestety przyzwyczaić. Celem hakerów jest zazwyczaj zablokowanie działania organizacji lub kradzież danych – najczęściej w celu wymuszenia okupu. Firmy starają się więc bronić i inwestują w zaawansowane systemy bezpieczeństwa oraz budują kadry specjalistów, którzy mają wykrywać i zapobiegać takim atakom. Nikt jednak nie powiedział, że celem atakujących nie mogą stać się również instytucje publiczne. Szczególnie te poniżej szczebla centralnego, wydają się łatwym kąskiem – w przeciwieństwie do wielu firm czy administracji centralnej, nie dysponują dużymi środkami do przeznaczania na zaawansowane systemy zabezpieczeń i zespoły ds. bezpieczeństwa.
Dlaczego podnosić poziom zabezpieczeń?
Tego typu przypadek opisywany był przez Rzeczpospolitą nieco ponad miesiąc temu, w którym atak na sieć komputerową powiatu jednego z niemieckich landów, całkowicie sparaliżował działanie administracji powiatowej. Hakerzy posłużyli się tu oprogramowaniem typu ransomware i najpewniej zażądali okupu za odszyfrowanie zaatakowanych zasobów. Istotniejsze są jednak konsekwencje spowodowane atakiem, np. całkowite zablokowanie komunikacji elektronicznej administracji z ponad 150 tysiącami mieszkańców powiatu, która musiała odbywać się w formie całkowicie papierowej. To jednak nie wszystko. Innym wspomnianym skutkiem ataku było wstrzymanie sprzedaży samochodów, ponieważ klienci nie chcieli płacić za pojazdy, skoro nie mogli ich zarejestrować, a wydział komunikacji powiatu nie mógł przecież pracować. Kolejnym wspomnianym przez autorów skutkiem działania hakerów było zatrzymanie wypłaty świadczeń i zasiłków, ponieważ po ataku nie działała też pomoc społeczna kierująca pieniądze do potrzebujących. Jak widać efektem cyberataku stały się bardzo konkretne i realne problemy.
Jednak nawet nie dysponując dużymi budżetami na cyberbezpieczeństwo można uniknąć wielu ataków, lub przynajmniej utrudnić próby ich wykonania, być może do stopnia, który zniechęci przestępców. Podstawą będzie pełna wiedza na temat zasobów organizacji, czyli dobra ich inwentaryzacja, tak abyśmy mieli pełną informację o co musimy dbać i czym zarządzać.
Krok 1 – Uprawnienia i autentykacja
Z pewnością warto przyjrzeć się uprawnieniom użytkowników w naszej sieci i postarać się, aby były jak najniższe. Muszą pozwalać na realizację obowiązków w pracy, ale rzadko do tego są potrzebne np. uprawnienia administratora lokalnego. W razie np. przejęcia takiego konta przez atakujących, odpowiednio niskie uprawnienia nie pozwolą im na poczynienie dużych szkód. Dobrym krokiem może być także wprowadzenie dodatkowego składnika autentykacji, oprócz silnego hasła, zwłaszcza dla kont użytkowników ważnych np. z perspektywy funkcjonowania organizacji, czy posiadających dostęp do wrażliwych informacji i zasobów.
Krok 2 – Detekcja i reagowanie
Oczywiście powinniśmy mieć zainstalowaną i aktualną dobrą ochronę przed spamem oraz złośliwym oprogramowaniem, aby blokowała zagrożenia ze strony znanego malware’u. Jeśli to możliwe, warto także rozważyć wdrożenie narzędzi umożliwiających wykrywanie i korelowanie (najlepiej zautomatyzowane) zdarzeń w naszej infrastrukturze, które mogą świadczyć o skutecznie przeprowadzonym lub trwającym właśnie ataku. Ich dodatkową zaletą, oprócz odciążenia naszych specjalistów i podniesienia poziomu zabezpieczeń, jest możliwość szybkiego reagowania, w niektórych systemach również w sposób zautomatyzowany.
Krok 3 – Aktualizacje oprogramowania
Jeśli chcemy mieć bezpieczne środowisko musimy dbać o eliminowanie z niego podatności. Podstawą tu jest dbanie o posiadanie aktualnych wersji oprogramowania i możliwie szybkie wprowadzanie nowych łatek wypuszczanych przez producentów aplikacji i systemów operacyjnych. Uniemożliwi to zaatakowanie naszej organizacji poprzez wykorzystanie znanych dziur w oprogramowaniu podnosząc tym samym poprzeczkę ewentualnym chętnym do zaatakowania nas.
Krok 4 – Kontrola aplikacji i urządzeń
Mówiąc o aplikacjach, może warto zastanowić się, czy powinniśmy dopuszczać działanie dowolnych aplikacji w naszej sieci oraz podłączanie dowolnych urządzeń zewnętrznych? Kontrolując te elementy i blokując te niepożądane, możemy zmniejszyć ilość podatnego na ataki oprogramowania w infrastrukturze, czy np. uniknąć podłączenia zainfekowanej pamięci USB do portu komputera.
Krok 5 – Bezpieczeństwo sieci
Posiadanie zabezpieczeń sieciowych to podstawowa i oczywista sprawa, pójdźmy więc o krok dalej i pomyślmy o segmentacji naszej sieci. Chodzi o to, aby ewentualne przełamanie naszych zabezpieczeń nie dało atakującym otwartej drogi do całości środowiska. Dodatkowe firewal’e oddzielające istotne zasoby mogą ochronić je w przypadku udanego ataku ransomware, blokując rozprzestrzenianie się złośliwego oprogramowania. Trzeba też monitorować co się w naszej sieci dzieje i zadbać o usuwanie ewentualnych błędów jej konfiguracji.
Podsumowanie
Jest wiele narzędzi informatycznych, które, bez ponoszenia nadmiernych wydatków, w mniejszym lub większym stopniu mogą pomóc w zarządzaniu i dbaniu o powyższe aspekty. Wiele pewnie można też osiągnąć już posiadanymi w organizacji narzędziami, choć powyższe elementy nie wyczerpują całości zagadnień. Można też zastanawiać się nad kolejnością działań oraz dyskutować co jeszcze należałoby zrobić – dla przykładu, warto pomyśleć o budowaniu świadomości naszych użytkowników, których działania, np. gdy staną się oni celem ataku phishing’owego, mogą także narazić organizację na ryzyko ataku.
Jako profesjonaliści działający wiele lat w branży bezpieczeństwa informatycznego, chętnie podpowiemy, jak można zaadresować ryzyka, z którymi mierzy się dana organizacja, oraz pomóc w doborze narzędzi przydatnych w danej sytuacji lub do realizacji założonych celów.
Zapraszamy do rozmowy