Start   •   Podejście strategiczne

Podejście strategiczne

Celem podejścia jest eliminacja podstawowych / największych ryzyk bezpieczeństwa informacji.
Phishing jest atakiem wymierzonym w ludzi, dlatego działania strategiczne powinny być ukierunkowane na oddziaływaniu właśnie na ten czynnik.
Oznacza to iż w całym cyklu życia zasobu organizacji, jakim jest człowiek, należy przewidzieć uwzględnić wystąpienie takiego zagrożenia i przeciwdziałać mu w sposób systemowy.

Edukacja  - czyli jak do tego podejść

Pragmatyczne podejście do programu budowy świadomości prezentuje NIST SP 800-50 (Building an Information Technology Security Awareness and Training Program) prezentując główne poziomy, w efekcie swojego działania  budujące w organizacji możliwość:

  1. Budowania i wzrostu podstawowej wiedzy w zakresie bezpieczeństwa informacji
  2. Budowania wiedzy w zakresie bezpieczeństwa informacji charakterystycznej i właściwej do wykonywanej pracy w organizacji na konkretnym stanowisku pracy
  3. Budowania wiedzy i kompetencji w zakresie eksperckim, pozwalającym na oddziaływanie na organizację w sposób umożliwiający wspieranie jej istnienia biznesowego poprzez zapewnienie dobrze dobranych mechanizmów i zabezpieczeń.

Kwestie edukacji pracowników reguluje norma ISO 27001, punkt A.7.2.2 nakazuje szkolić i uświadamiać pracowników z zakresu Bezpieczeństwa Informacji. Patrząc na wymogi RODO, jednym z wymogów ciążących na Inspektorze Ochrony Danych jest szkolenie personelu uczestniczącego w przetwarzaniu danych art. 39 pkt 1b. Z kolei zgodnie z wymogami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, operator usług kluczowych ma obowiązek stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (art 8 pkt 5). Elementem edukacji wspierającym wymienione wyżej wymagania powinno być skuteczne szkolenie i mierzenie podatności pracowników na ataki socjotechniczne, oraz ograniczanie wpływu tego zagrożenia.

Tylko co do tego ma phishing ?

Otóż ma i to dużo. Jest to forma ataku na pracowników organizacji która może doprowadzić do skutecznej utraty danych z pominięciem innych warstw zabezpieczeń technicznych.  

Elementem właściwie dobranej strategii bezpieczeństwa informacji jest to, aby bezpieczeństwo było elementem jej kultury organizacyjnej. Po prostu: “nie zastanawiam się dlaczego postępuję właściwie - po prostu tak robię i robią tak wszyscy, a wszyscy robią to zgodnie z wytycznymi (standardy, polityki) i robią to dobrze”.

Niby nic wielkiego a jednak:

  • Właściwie wyedukowany pracownik, jest ostatnią linią obrony, kiedy zawiodą narzędzia techniczne lub organizacji po prostu na nie nie stać, rozpozna próbę ataku i powiadomi właściwy zespół, wie kogo powiadomić i w jaki sposób.
  • Zgłaszanie incydentów umożliwia właściwą i szybką reakcję odpowiednich zespołów. Zabezpieczają one materiał dowodowy (jeśli to potrzebne) i przystępują do ograniczenia skutków i eliminacji zagrożenia
  • Właściwa reakcja na incydent szybko ogranicza i eliminuje zagrożenie zanim cel zostanie osiągnięty przez twórcę ataku, a nasza organizacja popadnie w kłopoty (na przykład: kradzież haseł, ściągnięcie ransomware, czy innej infekcji, wyciek danych, nieautoryzowana zmiana danych)
  • Dobrze przygotowane zespoły potrafią wyciągnąć z takiej “lekcji” wnioski i nauczyć organizację jak reagować w przyszłości.

Panta rhei

Należy pamiętać, że organizacja zawsze jest tworem dynamicznym. Ludzie, technologia, całe otoczenie się nieustannie zmienia i naprawdę trudno za tym nadążyć. Nie mniej - trzeba. Gdy przyjmujemy pracownika do pracy lub dopuszczamy kontraktorów do naszych zasobów, należy się upewnić iż posiadają odpowiedni poziom wiedzy o zagrożeniach dla naszych danych i  o tym jak w naszej organizacji należy reagować na zagrożenia ( zgłaszanie incydentów itp.).

W programie podnoszenia świadomości o zagrożeniach nie można zapomnieć o obronie przed atakiem takim jak phishing, który jak pokazują statystyki jest obecnie głównym wytrychem do naszych danych.

Ludzie przychodzą i odchodzą, ludzie zapominają

Program podnoszenia świadomości o zagrożeniach bezpieczeństwa informacji powinien brać pod uwagę takie kwestie jak:

  • Rotacja pracowników
  • Ulotność wiedzy
  • Zmiany technologiczne
  • Doznania empiryczne

Dlatego szkolenia należy powtarzać z częstotliwością uwzględniającą poziom rotacji pracowników w naszej organizacji i z uwzględnieniem odpowiednio częstego przypominania o najważniejszych zagrożeniach oraz podstawowych regułach przeciwdziałania.

Najlepsze praktyki pokazują, że dla wzrostu i wzmocnienia świadomości  powinniśmy pozwolić użytkownikom empirycznie doświadczyć udziału w incydencie, jednak dla organizacji byłoby lepiej by ten “incydent” był pod kontrolą. W końcu chodzi o aspekt szkoleniowy a nie kłopoty.

Nie wystarczy powiedzieć

Przecież mnie to nie dotyczy :-) może gdzieś się zdarzyło ale ja? - mnie się to nie zdarza! Po drugie od tego jest IT i to ich problem.

Trudno jest zmienić taki punkt widzenia bez bezpośredniego wpływania na świadomość każdego z osobna. Szacuje się (Raport Verizona za 2018r) iż 4% ludzi jednak kliknie, otworzy podejrzany link. To wystarczy by ten sposób ataku był długo jeszcze skuteczny i by ciągle niósł tak duże zagrożenie. Przy ukierunkowanym phishingu skuteczność ataku jest dużo wyższa.

Dlatego dobrze zbudowany program podnoszenia świadomości należy wspierać testami, oraz badaniami w jakiej kondycji jest świadomość naszej organizacji (pracowników) i czy nie należy poprawić poziomu świadomości pracowników, czegoś zmienić. Najlepiej zanim nastąpi udany atak na nasze cenne dane.

Testowanie Phishingiem

Oczywiście, że TAK !

Skoro jest to obecnie najczęstszy wektor ataku, to należy skutecznie mu przeciwdziałać.

Testy antyphishingowe przeprowadzane w organizacjach pokazują iż organizacja jako organizm się uczy. Właściwe zaplanowanie kampanii phishingowych sterowanych wynikami poprzednich testów dają naprawdę dobre efekty. Pracownicy przeglądając pocztę e-mail przestają klikać w “cokolwiek”  i otwierać “jakikolwiek” plik z załącznika. W konsekwencji świadomy pracownik nie spowoduje naruszenia bezpiecześńtwa.To działa, ale wymaga przemyślanego i zaplanowanego podejścia.

Kolejny krok należy do Ciebie.

Published on