Transformacja cyfrowa, którą obecnie obserwujemy praktycznie we wszystkich dziedzinach życia, nie spowalnia, a wręcz nabiera tempa. Ze świecą szukać obszarów naszego codziennego funkcjonowania, w których jeszcze nie pojawiły się technologie informatyczne i komunikacyjne. Nie inaczej jest w przedsiębiorstwach, które wspierają się technologiami cyfrowymi we wszystkich obszarach działalności.
Piotr Kosior, zastępca dyrektora Działu Serwisu Aplikacyjnego SAP, SI-Consulting
Obecnie prowadzenie działalności bez korzystania z usług chmurowych, oprogramowania czy usług przetwarzania danych nie jest możliwe, a dostawcy rozwiązań ICT zyskują znaczącą rolę w efektywnym zarządzaniu firmą. Poza niewątpliwie pozytywnymi aspektami wykorzystywania coraz bardziej zaawansowanych rozwiązań cyfrowych istnieją też zagrożenia z tego wynikające, mające wpływ na ciągłość, efektywność, a nawet możliwość prowadzenia biznesu. Jak w tej sytuacji zadbać o cyfrową odporność firmy?
Wśród najważniejszych zagrożeń, mogących mieć największy wpływ na przedsiębiorstwo, można wymienić między innymi awarie i inne zakłócenia działania systemów czy wycieki danych, a ich źródłem bywają zarówno niezamierzone błędy ludzkie, jak i zamierzone działania czy wręcz cyberataki.
Konsekwencje zmaterializowania się tych ryzyk mogą znacznie wpłynąć na możliwość sprawnego funkcjonowania organizacji. Począwszy od przestojów i przerw w działalności, poprzez wyciek lub utratę danych wrażliwych (dane osobowe, patenty, receptury, procedury, know-how) po dotkliwe konsekwencje finansowe wynikające choćby z nieprawidłowości w danych dostarczanych służbom skarbowym.
Firma bezpieczna w cyfrowym świecie
Z powyższego jasno wynika, że zabezpieczenie odporności cyfrowej firmy na zagrożenia wynikające z postępującej cyfryzacji, powinno znaleźć się w centrum uwagi każdej, bez wyjątku, organizacji. W tym zakresie pierwszym krokiem jest uświadomienie sobie źródeł zagrożeń specyficznych dla danej działalności w obszarze zarówno wewnętrznych procedur ochrony informacji, jak i źródeł zewnętrznych w postaci braku odporności cyfrowej systemów ICT oraz ich dostawców.
W ramach zarządzania ryzykiem związanym z ICT niezbędna jest realizacja podstawowych funkcji, które pozwalają na identyfikację zagrożeń, ochronę przed nimi, wykrywanie i odpowiednie reagowanie na incydenty a w końcu komunikację i ciągły rozwój odporności cyfrowej.
Poznaj zagrożenia
Aby móc adekwatnie reagować na ryzyka wynikające z wykorzystywania ICT niezbędna jest wcześniejsza ich identyfikacja w efekcie przeprowadzenia audytu bezpieczeństwa obejmującego zarówno wykorzystywane technologie i ich dostawców, jak i stosowane procedury w zakresie zabezpieczenia przetwarzanych informacji.
Audyty takie mogą być przeprowadzane przez wewnętrzne służby, którym powierzono to zadanie, jednak powszechny jest problem związany z zachowaniem obiektywności w ocenie własnej organizacji. Stąd coraz częstszą praktyką jest powierzenie takiej weryfikacji podmiotom zewnętrznym, które bez bagażu historii, tradycji czy przyzwyczajeń są w stanie o wiele bardziej obiektywnie ocenić nasze bezpieczeństwo. Rzeczą oczywistą jest, że sama świadomość występowania zagrożeń nie uczyni nikogo odpornym na nie, jest ona jednak niezbędna do podjęcia odpowiednich działań w celu ochrony.
Sposoby ochrony
Jak powszechnie wiadomo, zdecydowanie lepiej jest zapobiegać niż naprawiać, dlatego też duże wysiłki powinny być poświęcone właśnie na ochronę przed wystąpieniem niepożądanych zdarzeń.
Oczywiście nie sposób jest wymienić wszystkie możliwe do wykonania czynności, które w dużej mierze będą zależne od specyfiki danej organizacji, jednak kluczowe wydaje się w tym zakresie dbanie o aktualizacje systemów ICT w celu otrzymywania najnowszych zabezpieczeń dostarczanych przez producentów.
Innym elementem, szczególnie dla organizacji z wysokim ryzykiem cyberataków, jest okresowe przeprowadzanie testów penetracyjnych (TLPT) symulujących techniki stosowane przez cyberprzestępców i pozwalających na weryfikację odporności systemów na nie. Zabezpieczenie przedsiębiorstwa przed zagrożeniami w obszarze ICT nie może obejmować jedynie systemów, które obsługiwane są przecież przez ludzi. Stąd konieczne jest zapewnienie ochrony informacji także w wymiarze organizacyjnym poprzez opracowanie stosownych procedur bezpieczeństwa i, co nie mniej ważne, skuteczne zakomunikowanie ich w organizacji.
Incydenty do wykrycia
Niestety nawet najlepsze zabezpieczenia i procedury bezpieczeństwa nie gwarantują 100% odporności cyfrowej organizacji. Każde zabezpieczenie może zostać złamane, każda procedura może zawierać luki w postaci nieprzewidzianych wcześniej ryzyk. Stąd kolejnym niezwykle istotnym aspektem jest zdolność przedsiębiorstwa do jak najszybszego wykrycia incydentów związanych z bezpieczeństwem danych i całej infrastruktury ICT.
W tym celu niezbędne jest opracowanie i stosowanie odpowiednich strategii monitorowania systemów i realizacji procedur. Warto jest w tym zakresie wesprzeć się rozwiązaniami umiejącymi zautomatyzować proces testowania systemów, jednocześnie uodporniając go na błędy czy też zaniechania ludzkie. W tym obszarze najlepsze do wykorzystania wydają się gotowe systemy monitorujące, a także rozwiązania RPA, które coraz chętniej wykorzystywane są nie tylko do automatyzacji czynności operacyjnych, ale też jako narzędzia usprawniające testy systemów teleinformatycznych.
Czas działać
Po wykryciu niezidentyfikowanego wcześniej ryzyka a tym bardziej po wystąpieniu incydentu związanego z bezpieczeństwem cyfrowym priorytetową rolę zaczyna odgrywać zarówno czas, jak i sposób reakcji organizacji. W pierwszym momencie kluczowa staje się komunikacja o takim zdarzeniu, która winna być uprzednio dopracowana i zakomunikowana w postaci procedury tak, żeby każda osoba wiedziała, jak postąpić w zaistniałej sytuacji.
W kolejnym etapie istotna jest szybka reakcja na incydent oraz sprawne przywrócenie funkcjonalności lub podjęcie stosownych działań mających na celu wyeliminowanie zidentyfikowanego ryzyka.
Nieocenione w tym zakresie jest posiadanie trzech poziomów wsparcia dla systemów funkcjonujących w organizacji. Pierwszy poziom powinny stanowić wewnętrzne służby umiejące najszybciej zareagować i jednocześnie najlepiej poruszające się po specyfice biznesowej przedsiębiorstwa. Druga linia wsparcia najczęściej zabezpieczana jest przez zewnętrznych specjalistów w oparciu o umowy serwisu aplikacyjnego określające między innymi odpowiedni poziom SLA dla realizowanych napraw. Całość domyka trzecia linia wsparcia w zakresie maintenance, czyli najczęściej bezpośredni serwis świadczony przez producenta systemu.
Przygotowanie na przyszłość
Wystąpienie w organizacji incydentu związanego z bezpieczeństwem często może mieć daleko idące konsekwencje, szczególnie jeśli poza zabezpieczeniem nie zafunkcjonuje odpowiednio funkcja wykrywania lub funkcja naprawy. Niezależnie od tego każdy incydent może mieć też pozytywny wpływ na cyfrową odporność przedsiębiorstwa pod warunkiem, że na jego podstawie podjęte zostaną odpowiednie kroki poprawiające bezpieczeństwo cyfrowe. Stąd istotne jest zorganizowanie efektywnego procesu wymiany informacji wraz z centralizacją bazy wiedzy o zagrożeniach i incydentach, a także zastosowanych środkach naprawczych. Pozwala to organizacji na bieżące uczenie się, wcześniejsze wykrywanie i sprawniejszą naprawę mogących wystąpić w przyszłości zdarzeń.
Rzeczą oczywistą jest, że wystąpienie niepożądanej sytuacji powinno prowadzić także do wprowadzenia zabezpieczeń eliminujących możliwość powtórzenia incydentu w przyszłości. Może być to realizowanie między innymi przez odpowiednią współpracę z producentem rozwiązania lub rozwój systemu we własnym zakresie.
W przypadku, kiedy źródłem incydentu jest czynnik ludzki, jednym z kierunków zabezpieczenia może być rozwój oprogramowania w celu automatyzacji podatnego na zakłócenia procesu. Warto przy tym raz jeszcze podkreślić, że na bezpieczeństwo cyfrowe wpływ mają nie tylko same technologie, ale w dużej mierze ludzie, którzy często stanowią najsłabsze ogniwo nawet najlepiej zabezpieczonych systemów. To powoduje, że niezwykłą rolę w zapewnieniu odporności cyfrowej stanowią szkolenia oraz komunikacja wewnątrz organizacji podnoszące świadomość pracowników. Powyższe funkcje i realizowane w ich ramach czynności nie są gotową instrukcją obsługi dla każdego podmiotu, gdyż podejmowania działania zależne są od poziomu zaawansowania cyfrowego organizacji, a przede wszystkim od poziomu i rodzaju ryzyk zidentyfikowanych w ramach audytów i przeglądów bezpieczeństwa.
Patrząc na rosnącą dynamikę rozwoju technologii informacyjnych, a co za tym idzie postępujące uzależnienie organizacji od rozwiązań ICT należy się spodziewać, że rosła będzie też rola procesów podnoszących odporność cyfrową organizacji, a jej doskonalenie będzie stanowiło coraz większe wyzwanie dla przedsiębiorstw.