Przejdź do treści
Strona główna » Aktualności » Cyberbezpieczeństwo: największe zagrożenia dla MŚP i NGO – cz.3/5

Cyberbezpieczeństwo: największe zagrożenia dla MŚP i NGO – cz.3/5

Szanowni Państwo, przedstawiamy trzeci z serii artykułów, których tematem jest cyberbezpieczeństwo w małych i średnich firmach oraz w NGO. W poprzednich częściach naszego poradnika omówiliśmy: zagrożenia związane z phishingiem, coraz bardziej powszechne ataki wykorzystujące sztuczną inteligencję oraz zagrożenia typu ransomware i znaczenie słabych metod uwierzytelniania dla cyberbezpieczeństwa firmy . Wyjaśnilismy także, dlaczego MŚP są łatwym celem dla cyberprzestępców

Spis treści:

  1. Zagrożenie #5: Przestarzałe systemy i brak zarządzania poprawkami – otwarte drzwi dla atakujących
  2. Zagrożenie #6: Ataki na łańcuch dostaw – ryzyko ze strony osób trzecich

Zagrożenie #5: Przestarzałe systemy i brak zarządzania poprawkami – otwarte drzwi dla atakujących

Kontynuując naszą analizę kluczowych zagrożeń cyberbezpieczeństwa, pragniemy zwrócić Państwa uwagę na problem, który w naszej praktyce zawodowej napotykamy niezwykle często, a który stanowi jedno z najpoważniejszych, choć często niedocenianych zagrożeń dla bezpieczeństwa małych i średnich firm. Mowa o przestarzałych systemach i zaniedbywaniu aktualizacji oprogramowania.

Sytuację tę można porównać do pozostawienia drzwi do Państwa biura otwartymi na oścież, z serdecznym zaproszeniem dla potencjalnych włamywaczy. Dlaczego? Ponieważ dla cyberprzestępców niezaktualizowane systemy to nic innego jak mapa prowadząca wprost do skarbca z Państwa cennymi danymi.

Anatomia luki bezpieczeństwa – jak powstają i jak są wykorzystywane?

Aby zrozumieć wagę problemu, warto najpierw wyjaśnić, czym właściwie są luki w zabezpieczeniach i jak działa proces ich odkrywania oraz łatania.

Każde oprogramowanie, od systemów operacyjnych po najprostsze aplikacje, zawiera błędy. Jest to nieuniknione, biorąc pod uwagę miliony linii kodu składających się na współczesne programy. Niektóre z tych błędów stanowią luki bezpieczeństwa – miejsca, przez które atakujący mogą uzyskać nieautoryzowany dostęp do systemu lub danych i naruszyć cyberbezpieczeństwo firmy.

Proces „życia” luki bezpieczeństwa wygląda następująco:

  1. Odkrycie luki – przez badaczy bezpieczeństwa lub cyberprzestępców
  2. Zgłoszenie luki – odpowiedzialni badacze informują producenta oprogramowania
  3. Opracowanie poprawki – producent tworzy aktualizację usuwającą lukę
  4. Wydanie poprawki – aktualizacja jest udostępniana użytkownikom
  5. Wdrożenie poprawki – użytkownicy instalują aktualizację
  6. Eksploatacja luki – przestępcy atakują systemy, które nie zostały zaktualizowane
Cyberbezpieczeństwo, a proces życia luki bezpieczeństwa

Kluczowe jest zrozumienie, że od momentu wydania poprawki, informacja o luce staje się publiczna. Cyberprzestępcy natychmiast zaczynają skanować internet w poszukiwaniu systemów, które wciąż są podatne. To wyścig, w którym stawką jest cyberbezpieczeństwo Państwa firmy.

Alarmujące statystyki, które powinny dać do myślenia

W ramach naszej działalności w ITKOM przeprowadzamy regularne audyty i sprawdzamy cyberbezpieczeństwo w firmach z regionu Warszawy i okolic. Dane, które gromadzimy, kreślą niepokojący obraz:

  • W większości audytowanych przez nas małych firm znajdowaliśmy systemy z niezainstalowanymi krytycznymi aktualizacjami bezpieczeństwa starszymi niż 6 miesięcy
  • więcej niż 50% firm wciąż używa gdzieś w swojej infrastrukturze systemów, dla których dawno zakończono wsparcie (jak Windows 7 czy Windows Server 2008)
  • Średni czas od wydania krytycznej poprawki bezpieczeństwa do jej wdrożenia w małych firmach wynosi więcej niż kwartał
  • prawie połowa incydentów bezpieczeństwa, które obsługiwaliśmy w ostatnim roku, było bezpośrednim wynikiem wykorzystania znanych i już załatanych luk

Dla porównania, cyberprzestępcy potrafią rozpocząć masowe ataki wykorzystujące nowo ujawnione luki w ciągu zaledwie kilku godzin od ich publikacji.

Nawet 15-letnia drukarka może być obiektem ataku, który kosztuje firmę krocie

To może wyglądać tak: przestarzała drukarka sieciowa zainstalowana 15 lat wcześniej, dla której producent dawno zakończył wsparcie. Urządzenie to, podłączone do sieci firmowej, posiada niezałatane luki bezpieczeństwa, które umożliwiają atakującym uzyskanie przyczółka w firmowej sieci. Z tego punktu mogą już penetrować dalsze systemy.

Najbardziej zaskakujący aspekt tej sytuacji? Zaatakowana firma być może zainwestowała znaczne środki w nowoczesne rozwiązania wpływające na cyberbezpieczeństwo czyli posiada zaawansowany firewall, systemy wykrywania włamań i regularnie szkoli pracowników. Jednak zapomniana drukarka, uznana za „nieistotne” urządzenie, staje się słabym ogniwem, które przekreśla wszystkie te wysiłki. Cyberprzestępcy wykradają poufne dane klientów, co skutkuje utratą zaufania, odpływem klientów i ostatecznie gigantycznymi stratami finansowymi.

Ta historia doskonale ilustruje zasadę, że poziom bezpieczeństwa całego systemu jest determinowany przez jego najsłabszy element. Jedno przestarzałe urządzenie czy aplikacja może zniweczyć nawet najbardziej zaawansowane zabezpieczenia.

Problem przestarzałych systemów operacyjnych czyli „działa, więc po co zmieniać?”

Jednym z najczęstszych wyzwań, z jakimi spotykamy się w naszej pracy, jest przekonanie klientów do aktualizacji lub wymiany przestarzałych systemów operacyjnych. Szczególnie niepokojący jest fakt, że według naszych obserwacji, wciąż około 1 na 5 komputerów w małych firmach w regionie Warszawy działa na systemie Windows 7, dla którego wsparcie zakończono w styczniu 2020 roku.

Najczęściej słyszymy argument: „Ale przecież wszystko działa dobrze, po co wydawać pieniądze na nowy system?”

To rozumowanie jest podobne do stwierdzenia: „Mój zamek w drzwiach wejściowych jest z lat 70., ale wciąż działa, więc po co go wymieniać?” – ignorując fakt, że współczesne zamki oferują nieporównywalnie wyższy poziom zabezpieczeń.

Systemy, dla których zakończono wsparcie, nie otrzymują już aktualizacji bezpieczeństwa, co oznacza, że każda nowo odkryta luka pozostaje otwarta. To jak posiadanie samochodu, do którego nie można już kupić części zamiennych – prędzej czy później konieczna będzie wymiana, a odkładanie jej w czasie jedynie zwiększa ryzyko i potencjalne koszty.

Najczęstsze wymówki – wyjaśniamy dlaczego są nieuzasadnione

W trakcie naszej pracy słyszeliśmy wiele argumentów przeciwko regularnym aktualizacjom. Pozwolą Państwo, że odniosę się do najczęstszych z nich:

„Aktualizacje mogą spowodować problemy z kompatybilnością”
To prawda, że czasami aktualizacje mogą wpływać na działanie niektórych aplikacji. Jednak ryzyko to można zminimalizować poprzez testowanie aktualizacji w kontrolowanym środowisku przed wdrożeniem ich w całej organizacji. Ponadto, potencjalne problemy z kompatybilnością są zazwyczaj znacznie mniej kosztowne niż skutki naruszenia bezpieczeństwa.

„Nie mamy czasu na ciągłe aktualizacje”
Rozumiemy, że w małych firmach zasoby są ograniczone. Jednak większość aktualizacji można zautomatyzować, a poświęcenie kilku godzin miesięcznie na zarządzanie tym procesem jest niewielką ceną za cyberbezpieczeństwo. W ITKOM oferujemy usługę zarządzania aktualizacjami, która całkowicie zdejmuje ten ciężar z Państwa barków.

„Aktualizacje spowalniają system”
Nowoczesne systemy są projektowane z myślą o wydajności. Choć niektóre aktualizacje mogą chwilowo wpłynąć na szybkość działania, długoterminowo zapewniają lepszą stabilność i bezpieczeństwo. Ponadto, systemy zainfekowane złośliwym oprogramowaniem działają znacznie wolniej niż zaktualizowane.

„Nasz system jest chroniony firewallem, więc jest bezpieczny”
Firewall to tylko jedna warstwa ochrony. Współczesne ataki często wykorzystują kombinacje różnych technik i luk. Kompleksowe podejście do bezpieczeństwa wymaga zarówno zabezpieczeń sieciowych, jak i aktualnego oprogramowania.

„Mamy oprogramowanie antywirusowe, więc jesteśmy chronieni”
Programy antywirusowe są kluczowym elementem ochrony, ale nie są w stanie zablokować wszystkich zagrożeń, szczególnie tych wykorzystujących nowe, nieznane jeszcze luki w systemach.

Jak zautomatyzować proces aktualizacji?

Dobra wiadomość jest taka, że nowoczesne narzędzia pozwalają na znaczne uproszczenie i automatyzację procesu aktualizacji. W ITKOM implementujemy dla naszych klientów rozwiązania, które minimalizują nakład pracy związany z utrzymaniem aktualności systemów:

1. Centralne zarządzanie aktualizacjami
Narzędzia takie jak Windows Server Update Services (WSUS) lub rozwiązania chmurowe pozwalają na scentralizowane zarządzanie aktualizacjami dla wszystkich urządzeń w firmie.

2. Harmonogramy aktualizacji
Ustalamy harmonogramy instalacji aktualizacji w godzinach najmniejszego obciążenia, aby zminimalizować wpływ na pracę firmy.

3. Automatyczne aktualizacje dla systemów niekrytycznych
Dla systemów, których czasowa niedostępność nie wpłynie na funkcjonowanie firmy, można skonfigurować w pełni automatyczne aktualizacje.

4. Testowanie aktualizacji
Dla krytycznych systemów wdrażamy procedury testowania aktualizacji przed ich instalacją w środowisku produkcyjnym.

5. Monitorowanie statusu aktualizacji
Implementujemy systemy monitorowania, które alertują o urządzeniach z brakującymi aktualizacjami.

6. Inwentaryzacja oprogramowania
W trosce o cyberbezpieczeństwo regularnie przeprowadzamy audyty oprogramowania, aby zidentyfikować przestarzałe aplikacje wymagające aktualizacji lub wymiany.

Nie tylko systemy operacyjne – kompleksowe podejście do aktualizacji

Warto pamiętać, że aktualizacje bezpieczeństwa dotyczą nie tylko systemów operacyjnych, ale wszystkich elementów infrastruktury IT:

1. Aplikacje biurowe i specjalistyczne
Programy takie jak Microsoft Office, Adobe Reader czy specjalistyczne oprogramowanie branżowe regularnie otrzymują poprawki bezpieczeństwa.

2. Przeglądarki internetowe
Przeglądarki są jednym z głównych punktów ataku, dlatego ich aktualizacja jest szczególnie istotna.

3. Firmware urządzeń sieciowych
Routery, switche i inne urządzenia sieciowe również wymagają regularnych aktualizacji.

4. Systemy zarządzania treścią (CMS)
Strony internetowe oparte na systemach takich jak WordPress czy Joomla są częstym celem ataków, jeśli nie są aktualizowane.

5. Bazy danych
Serwery baz danych zawierające krytyczne dane firmy muszą być regularnie aktualizowane.

6. Urządzenia IoT i peryferia
Drukarki, kamery IP, systemy kontroli dostępu i inne urządzenia podłączone do sieci również mogą stanowić punkt wejścia dla atakujących.

Cyberbezpieczeństwo- co musi być aktualizowane

Jak stworzyć bezpieczny harmonogram aktualizacji?

Dla firm, które chcą samodzielnie zarządzać procesem aktualizacji, przedstawiamy rekomendowany harmonogram:

Codziennie:

  • Monitorowanie alertów bezpieczeństwa i informacji o krytycznych lukach
  • Instalacja natychmiastowych poprawek dla zagrożeń oznaczonych jako krytyczne

Tygodniowo:

  • Przegląd dostępnych aktualizacji bezpieczeństwa
  • Instalacja aktualizacji bezpieczeństwa dla systemów niekrytycznych
  • Testowanie aktualizacji dla systemów krytycznych

Miesięcznie:

  • Instalacja aktualizacji dla systemów krytycznych po zakończeniu testów
  • Weryfikacja statusu aktualizacji wszystkich systemów
  • Aktualizacja firmware’u urządzeń sieciowych

Kwartalnie:

  • Pełny audyt bezpieczeństwa systemów
  • Rewizja polityki aktualizacji
  • Planowanie wymiany przestarzałych systemów

Rocznie:

  • Kompleksowy przegląd całej infrastruktury IT
  • Weryfikacja planów wymiany sprzętu i oprogramowania
  • Aktualizacja budżetu na modernizację systemów

Zarządzanie ryzykiem przy aktualizacjach krytycznych systemów

Rozumiemy, że aktualizacja krytycznych systemów biznesowych wiąże się z pewnym ryzykiem. Oto sprawdzone przez nas metody minimalizacji tego ryzyka:

1. Tworzenie pełnych kopii zapasowych przed aktualizacją
Pozwala na szybki powrót do działającego stanu w przypadku problemów.

2. Testowanie aktualizacji w środowisku deweloperskim
Przed wdrożeniem produkcyjnym warto przetestować aktualizacje na kopii systemu.

3. Aktualizacje poza godzinami pracy
Planowanie aktualizacji w czasie najmniejszego wykorzystania systemu minimalizuje wpływ na działalność firmy.

4. Plan awaryjny (rollback)
Zawsze należy mieć przygotowany plan wycofania zmian w przypadku nieprzewidzianych problemów.

5. Stopniowe wdrażanie
W większych organizacjach warto rozważyć aktualizację systemów partiami, zaczynając od mniej krytycznych.

6. Monitorowanie po aktualizacji
Po instalacji aktualizacji należy dokładnie monitorować działanie systemu, aby szybko wykryć ewentualne problemy.

Przestarzałe systemy i brak zarządzania poprawkami to jedno z najpoważniejszych, a jednocześnie najłatwiejszych do wyeliminowania zagrożeń bezpieczeństwa. Regularne aktualizacje są jak szczepienia dla Państwa systemów informatycznych – zapobiegają infekcjom, zanim te zdążą wyrządzić szkody.

W ITKOM oferujemy kompleksowe usługi zarządzania aktualizacjami, które zdejmują z Państwa ciężar tego procesu, jednocześnie patrząc kompleksowo na cyberbezpieczeństwo. Nasz zespół specjalistów monitoruje najnowsze zagrożenia, planuje i wdraża aktualizacje w sposób minimalizujący ryzyko i wpływ na Państwa działalność biznesową.

Pamiętajmy, że w dziedzinie cyberbezpieczeństwa profilaktyka jest zawsze tańsza niż leczenie skutków incydentów. Inwestycja w regularną aktualizację systemów i aplikacji to jedna z najbardziej opłacalnych inwestycji w bezpieczeństwo, jaką może podjąć mała lub średnia firma.

W następnej części artykułu omówimy kolejne istotne zagrożenie dla bezpieczeństwa Państwa firmy – ataki na łańcuch dostaw, które wykorzystują zaufanie do zewnętrznych dostawców jako drogę do infiltracji Państwa systemów.

Zagrożenie #6: Ataki na łańcuch dostaw – ryzyko ze strony osób trzecich

W dzisiejszym wzajemnie połączonym świecie biznesu żadna firma nie jest samotną wyspą. Nawet najmniejsze przedsiębiorstwa współpracują z dziesiątkami dostawców – od usług księgowych, przez dostawców oprogramowania, po firmy sprzątające. Ta sieć połączeń, choć niezbędna do funkcjonowania, tworzy również nowe, często niedostrzegane sytuacje, kiedy zagrożene jest cyberbezpieczeństwo firmy – ataki na łańcuch dostaw.

W ITKOM obserwujemy rosnącą liczbę cyberataków, w których przestępcy nie atakują bezpośrednio swoich docelowych ofiar, lecz wykorzystują słabsze ogniwo – zaufanych dostawców lub partnerów biznesowych. To podejście jest szczególnie niebezpieczne, ponieważ wykorzystuje największy atut, jaki posiadają cyberprzestępcy: element zaskoczenia i zaufanie, którym obdarzamy naszych partnerów biznesowych.

Czym są ataki na łańcuch dostaw?

Atak na łańcuch dostaw to cyberprzestępstwo, w którym atakujący infiltruje systemy firmy poprzez wykorzystanie słabości w zabezpieczeniach jej dostawców lub partnerów biznesowych. Zamiast atakować bezpośrednio dobrze chroniony cel, przestępcy wybierają łatwiejszą drogę – przez mniej zabezpieczonego dostawcę, który posiada uprzywilejowany dostęp do systemów swojego klienta.

Cyberbezpieczeństwo - na czym polega atak na łańcuch dostaw

Wyobraźmy sobie następującą sytuację: Państwa firma inwestuje znaczące środki w zabezpieczenia – zaawansowane firewalle, systemy wykrywania włamań, regularne szkolenia pracowników. Jednak jednocześnie korzystają Państwo z usług zewnętrznej firmy księgowej, która ma dostęp do Państwa systemu finansowego. Jeśli cyberprzestępcy włamią się do systemów tej firmy księgowej, mogą wykorzystać jej uprzywilejowany dostęp, aby zaatakować Państwa firmę, omijając wszystkie starannie wdrożone zabezpieczenia i przekreślając koszty wyłożone na cyberbezpieczeństwo.

Dlaczego ataki na łańcuch dostaw są szczególnie niebezpieczne?

Ataki na łańcuch dostaw charakteryzują się kilkoma cechami, które czynią je wyjątkowo groźnymi:

1. Wykorzystują zaufanie
Gdy otrzymują Państwo e-mail od swojego wieloletniego dostawcy oprogramowania z informacją o aktualizacji, prawdopodobnie nie będą Państwo podejrzliwi. To właśnie na tym polega siła tych ataków – wykorzystują one ustanowione, zaufane relacje.

2. Trudne do wykrycia
Ponieważ atak pochodzi z zaufanego źródła, tradycyjne systemy bezpieczeństwa mogą go nie zidentyfikować jako zagrożenie. Złośliwe oprogramowanie często jest podpisane prawidłowymi certyfikatami bezpieczeństwa, co dodatkowo utrudnia jego wykrycie.

3. Efekt skali
Jeden udany atak na dostawcę oprogramowania może potencjalnie dotknąć tysiące firm korzystających z jego produktów. To sprawia, że takie ataki są niezwykle opłacalne dla cyberprzestępców.

4. Długotrwałe ukryte działanie
W przeciwieństwie do ransomware, który natychmiast ujawnia swoją obecność, ataki na łańcuch dostaw mogą pozostać niewykryte przez miesiące, podczas których atakujący gromadzą dane i przygotowują się do kolejnych ataków.

SolarWinds – studium przypadku, które pokazało cyberbezpieczeństwo w nieznanym dotąd świetle

Najbardziej spektakularnym przykładem ataku na łańcuch dostaw w ostatnich latach była operacja przeprowadzona przeciwko firmie SolarWinds, dostawcy oprogramowania do zarządzania infrastrukturą IT. Choć skala tego ataku znacznie przekraczała kontekst małych i średnich firm, mechanizm działania był uniwersalny i dostarcza cennych lekcji dla organizacji każdej wielkości.

W grudniu 2020 roku odkryto, że cyberprzestępcy (prawdopodobnie wspierani przez obce państwo) zdołali zinfekować aktualizacje oprogramowania Orion firmy SolarWinds. Około 18 000 klientów, w tym liczne agencje rządowe i korporacje, nieświadomie zainstalowało te aktualizacje, wprowadzając złośliwe oprogramowanie do swoich systemów.

Co czyni ten przypadek szczególnie istotnym:

  • Atak pozostawał niewykryty przez ponad 9 miesięcy
  • Dotknął nawet firmy z najwyższym poziomem zabezpieczeń
  • Aktualizacje były prawidłowo podpisane cyfrowymi certyfikatami
  • Złośliwe oprogramowanie było niezwykle zaawansowane i trudne do wykrycia

Jak małe firmy mogą być narażone poprzez swoich dostawców?

Mogą Państwo pomyśleć: „SolarWinds to wielka firma, moja mała organizacja nie będzie celem tak zaawansowanych ataków.” Rzeczywistość jest jednak inna – małe i średnie firmy są często bardziej narażone na ataki na łańcuch dostaw, ponieważ:

1. Współpracują z wieloma mniejszymi dostawcami, dla których koszty ponoszone na cyberbezpieczeństwo nie sa najwyższym priorytetem

2. Mają ograniczone zasoby do weryfikacji zabezpieczeń dostawców i monitorowania potencjalnych zagrożeń

3. Częściej udzielają dostawcom szerokiego dostępu do swoich systemów bez odpowiednich ograniczeń

4. Rzadziej stosują zaawansowane rozwiązania bezpieczeństwa zdolne do wykrywania nietypowych aktywności

Ocena ryzyka związanego z zewnętrznymi dostawcami

Pierwszy krok w ochronie przed atakami na łańcuch dostaw to rzetelna ocena ryzyka związanego z Państwa dostawcami. W ITKOM pomagamy klientom w przeprowadzeniu takiej analizy, skupiając się na następujących aspektach:

1. Identyfikacja krytycznych dostawców
Należy zidentyfikować wszystkich dostawców, którzy mają dostęp do Państwa systemów lub danych. Szczególną uwagę należy zwrócić na:

  • Dostawców oprogramowania
  • Firmy IT świadczące usługi wsparcia
  • Dostawców usług chmurowych
  • Firmy księgowe i kadrowe
  • Dostawców sprzętu IT
  • Firmy marketingowe z dostępem do Państwa danych klientów

2. Kategoryzacja dostawców według poziomu ryzyka
Nie wszyscy dostawcy stanowią takie samo zagrożenie. Warto sklasyfikować ich według:

  • Poziomu dostępu do Państwa systemów
  • Rodzaju danych, do których mają dostęp
  • Krytyczności usług, które świadczą
  • Historii incydentów bezpieczeństwa

3. Due diligence w zakresie bezpieczeństwa
Dla dostawców wysokiego ryzyka warto przeprowadzić dokładną weryfikację ich praktyk bezpieczeństwa:

  • Certyfikaty bezpieczeństwa (ISO 27001, SOC 2)
  • Polityki i procedury bezpieczeństwa
  • Historia incydentów bezpieczeństwa
  • Praktyki zarządzania aktualizacjami
  • Testy penetracyjne i audyty bezpieczeństwa

Jak weryfikować bezpieczeństwo dostawców oprogramowania i usług?

Weryfikacja zabezpieczeń dostawców może wydawać się zadaniem ponad siły małej firmy. Istnieją jednak praktyczne kroki, które każda organizacja może podjąć:

1. Podstawowe pytania o cyberbezpieczeństwo
Lista podstawowych pytań dotyczących bezpieczeństwa, które będą zadawane potencjalnym dostawcom. Przykładowe pytania:

  • Jak chronią dane swoich klientów?
  • Czy posiadają certyfikaty bezpieczeństwa?
  • Jak zarządzają aktualizacjami swojego oprogramowania?
  • Jakie procedury stosują w przypadku incydentów bezpieczeństwa?
  • Czy przeprowadzają regularne testy penetracyjne?

2. Sprawdzenie referencji i opinii
Kontakt z innymi klientami dostawcy, aby dowiedzieć się o ich doświadczeniach, szczególnie w zakresie bezpieczeństwa.

3. Weryfikacja w publicznie dostępnych bazach incydentów
Sprawdzenie, czy dostawca nie figurował w raportach o naruszeniach bezpieczeństwa.

4. Umowy o poziomie usług (SLA)
Umowy zawierające jasne zobowiązania dotyczące bezpieczeństwa i procedur w przypadku naruszenia.

5. Audyty zewnętrzne
Rozważenie zlecenia niezależnego audytu badającego cyberbezpieczeństwo dla krytycznych dostawców firmy. .

Umowy z dostawcami – na co zwrócić uwagę w kontekście bezpieczeństwa

Umowy z dostawcami to kluczowy element zarządzania ryzykiem w łańcuchu dostaw. Odpowiednio skonstruowane kontrakty mogą znacząco zmniejszyć ryzyko i zapewnić jasne procedury w przypadku incydentu. Oto kluczowe elementy, które powinny znaleźć się w umowach:

1. Zobowiązania dotyczące bezpieczeństwa
Jasno określone wymagania bezpieczeństwa, które dostawca zobowiązuje się spełniać.

2. Prawo do audytu
Możliwość przeprowadzenia lub zlecenia audytu bezpieczeństwa sprawdzającego cyberbezpieczeństwo u dostawcy.

3. Obowiązki informacyjne
Zobowiązanie dostawcy do natychmiastowego informowania o incydentach bezpieczeństwa, które mogą wpłynąć na Państwa dane lub systemy.

4. Procedury zarządzania aktualizacjami
Jasno określone procesy testowania i wdrażania aktualizacji.

5. Plan ciągłości działania
Wymagania dotyczące planów awaryjnych i ciągłości działania.

6. Odpowiedzialność za naruszenia
Jasne określenie odpowiedzialności dostawcy w przypadku naruszenia bezpieczeństwa.

7. Zgodność z przepisami
Zobowiązanie do przestrzegania odpowiednich przepisów (np. RODO).

8. Procedury zakończenia współpracy
Jasne procedury bezpiecznego usunięcia danych i odebrania dostępów po zakończeniu współpracy.

Praktyczne kroki do minimalizacji ryzyka związanego z łańcuchem dostaw

Oprócz starannej selekcji dostawców i odpowiednich umów, istnieje szereg praktycznych działań, które mogą Państwo podjąć, aby zmniejszyć ryzyko związane z łańcuchem dostaw:

1. Zasada minimalnych uprawnień
Przyznawanie dostawcom tylko tych uprawnień, które są niezbędne do wykonania ich zadań. Unikanie zwłaszcza dawania pełnego dostępu administracyjnego.

2. Segmentacja sieci
Izolacja systemów, do których mają dostęp zewnętrzni dostawcy, od reszty Państwa infrastruktury.

3. Monitoring dostępu dostawców
Systemy monitorujące i rejestrujące wszystkie działania podejmowane przez dostawców w Państwa systemach.

4. Wieloskładnikowe uwierzytelnianie
Wymagajcie od dostawców stosowania uwierzytelniania dwuskładnikowego przy dostępie do Państwa systemów.

5. Weryfikacja aktualizacji
Przed instalacją aktualizacji od dostawców sprawdzenie integralności i autentyczności.

6. Szyfrowanie danych
Szyfrowanie wrażliwych danych, nawet jeśli są dostępne dla dostawców.

7. Regularne audyty uprawnień
Okresowy przegląd i weryfikacja uprawnień przyznanych dostawcom.

8. Przygotowanie na incydenty
Plan reagowania na incydenty związane z dostawcami.

Praktyczne kroki do minimalizacji ryzyka związanego z łańcuchem dostaw - schemat

Przykład bezpiecznej współpracy z dostawcami w praktyce

Aby lepiej zobrazować, jak można bezpiecznie zarządzać relacjami z dostawcami, przytoczmy przykład z naszej praktyki:

Jedna z obsługiwanych przez nas firm z branży medycznej, która zatrudnia 35 pracowników, a także korzysta z usług zewnętrznej firmy do obsługi systemu medycznego. Ze względu na wrażliwość danych medycznych, wdrożyliśmy następujące rozwiązania:

  1. Dedykowana, odseparowana sieć VPN dla dostępu zdalnego dostawcy
  2. Czasowo ograniczone dostępy – aktywowane tylko na czas niezbędny do wykonania prac
  3. Zaawansowany monitoring aktywności – rejestrowanie wszystkich działań dostawcy
  4. Procedura zatwierdzania zmian – wszystkie istotne zmiany wymagają autoryzacji przez wyznaczoną osobę w firmie
  5. Regularne audyty uprawnień – kwartalny przegląd wszystkich kont dostępowych
  6. Zaszyfrowane kopie zapasowe niedostępne dla dostawcy
  7. Szkolenia personelu z rozpoznawania prób phishingu podszywającego się pod dostawcę

Te środki znacząco zmniejszyły ryzyko związane z dostępem dostawcy do wrażliwych danych, a w rezultacie umożliwiło efektywną współpracę.

Jak reagować na incydenty bezpieczeństwa u dostawców?

Nawet przy najlepszych zabezpieczeniach, incydenty bezpieczeństwa mogą się zdarzyć. Kluczowe jest przygotowanie się na taką sytuację:

1. Natychmiastowe działania ograniczające
W przypadku informacji o incydencie u dostawcy, należy natychmiast ograniczyć jego dostęp do Państwa systemów.

2. Analiza potencjalnego wpływu
Ustalenie, do jakich systemów i danych dostawca miał dostęp, a także jakie mogły zostać naruszone.

3. Zmiana poświadczeń dostępowych
Zmiana wszystkich haseł, kluczy dostępu i certyfikatów wykorzystywanych przez dostawcę.

4. Audyt aktywności
Analiza logów i historii aktywności dostawcy w poszukiwaniu podejrzanych działań.

5. Komunikacja
Plan komunikacji z pracownikami, klientami i innymi interesariuszami, jeśli incydent mógł ich dotknąć.

6. Weryfikacja systemów
Dokładną weryfikacja wszystkich systemów, do których dostawca miał dostęp.

7. Wyciągnięcie wniosków
Po incydencie analiza, aby zidentyfikować słabe punkty i wprowadzić usprawnienia.

Ataki na łańcuch dostaw stanowią rosnące zagrożenie dla firm każdej wielkości. Paradoksalnie, im bardziej zabezpieczamy nasze własne systemy, tym bardziej atrakcyjną drogą ataku dla cyberprzestępców stają się nasi dostawcy i partnerzy biznesowi.

W ITKOM pomagamy naszym klientom budować kompleksowe strategie bezpieczeństwa, które uwzględniają nie tylko wewnętrzne zabezpieczenia, ale również ryzyko związane z zewnętrznymi dostawcami. Nasze podejście opiera się na zasadzie, że bezpieczeństwo łańcucha jest tak silne, jak jego najsłabsze ogniwo. Mamy dla Państwa szczególną ofertę – darmową konsultację dotyczącą cyberbezpieczeństwo w Państwa firmie. Czekamy na telefon ( 506 077 089 ), email lub wiadomość ze strony, żeby umówić spotkanie z Państwem.

Pamiętajmy, że cyberbezpieczeństwo to nie tylko technologia, ale również procesy i ludzie. Właściwe zarządzanie relacjami z dostawcami, jasne procedury i regularne weryfikacje to fundamenty ochrony przed atakami na łańcuch dostaw.

W następnej części naszego poradnika omówimy kolejne istotne zagrożenie dla bezpieczeństwa Państwa firmy – zagrożenia związane z korzystaniem z usług chmurowych, które dla wielu małych i średnich firm stanowią fundament infrastruktury IT.

Tagi: