Elementy higieny cyberbezpiecze艅stwa i bezpiecznych sieci – cz臋艣膰 1

Elementy higieny cyberbezpiecze艅stwa i bezpiecznych sieci - cz臋艣膰 1

Dwa podstawowe elementy sk艂adowe zapewniaj膮ce bezpiecze艅stwo danych to infrastruktura fizyczna i bezpiecze艅stwo sieci. Zrozumienie i ochrona informacji przed zagro偶eniami i b艂臋dami ludzkimi wymaga skrupulatnie u艂o偶onych warstw protoko艂贸w bezpiecze艅stwa.

W zesz艂ym roku British Airways odwo艂a艂y ponad 400 lot贸w i zatrzyma艂y 75 000 pasa偶er贸w z powodu awarii IT spowodowanej przez in偶yniera, kt贸ry od艂膮czy艂 zasilanie w centrum danych w pobli偶u londy艅skiego lotniska Heathrow. Je艣li chodzi o centra danych i sieci, nawet drobne b艂臋dy ludzkie mog膮 mie膰 du偶y wp艂yw na firmy i ich klient贸w. Maj膮c na uwadze wyg贸rowane koszty i zasoby ludzkie wymagane do utrzymania lokalnego systemu, organizacje powinny zwraca膰 si臋 do firm dzia艂aj膮cych w chmurze publicznej. Firmy te wnosz膮 kapita艂 i wiedz臋, aby w艂a艣ciwie zarz膮dza膰 swoimi centrami danych, kt贸re s膮 lepiej chronione ni偶 te, kt贸re wi臋kszo艣膰 firm mog艂aby za艂o偶y膰 samodzielnie.

Skupienie si臋 Google na bezpiecze艅stwie i ochronie danych pozostaje g艂贸wnym kryterium projektowym przy konstruowaniu centr贸w danych. Wykorzystuje warstwowy model zabezpiecze艅, kt贸ry obejmuje zabezpieczenia, takie jak specjalnie zaprojektowane elektroniczne karty dost臋pu, bariery dost臋pu do pojazd贸w i wykrywanie wtargni臋cia wi膮zki laserowej na pi臋trze centrum danych. Centra danych s膮 monitorowane 24 godziny na dob臋, 7 dni w tygodniu przez kamery o wysokiej rozdzielczo艣ci, kt贸re mog膮 wykrywa膰 i 艣ledzi膰 intruz贸w. Dzienniki dost臋pu, zapisy aktywno艣ci i nagrania z kamery s膮 dost臋pne, je艣li wyst膮pi incydent. Ponadto tylko zatwierdzeni pracownicy otrzymuj膮 po艣wiadczenia niezb臋dne do wej艣cia na pi臋tro danych, do kt贸rego mo偶na dosta膰 si臋 tylko przez korytarz bezpiecze艅stwa z wieloczynnikow膮 kontrol膮 dost臋pu, kt贸ra wymaga identyfikatora bezpiecze艅stwa i potwierdzenia biometrycznego.

Bezpiecze艅stwo sieci

Je艣li uwa偶asz, 偶e zapory s膮 bezpieczne, pomy艣l jeszcze raz. Ochrona sieci cybernetycznej jest tak samo wa偶na jak bezpiecze艅stwo fizyczne. Prawie po艂owa (48 procent) organizacji, kt贸re pad艂y ofiar膮 cyberataku, zidentyfikowa艂a g艂贸wn膮 przyczyn臋 naruszenia bezpiecze艅stwa danych jako z艂o艣liwy lub przest臋pczy atak. Zapory ogniowe zbudowane wewn臋trznie s膮 nie tylko cz臋sto 藕le zarz膮dzane i bardziej nara偶one na w艂amania, ale tak偶e nie s膮 w stanie zapewni膰 organizacjom niezb臋dnych alert贸w o ryzyku. Jedynymi firmami, kt贸re naprawd臋 maj膮 wystarczaj膮c膮 liczb臋 odpowiednio wyszkolonych pracownik贸w i dedykowanych zasob贸w, aby zachowa膰 najwy偶szy poziom bezpiecze艅stwa sieci, s膮 publiczne firmy chmurowe.

Luki w zabezpieczeniach, takie jak notoryczny robak USB Conficker i odkryte przez firm臋 Cisco backdoory, potwierdzaj膮, 偶e firmy potrzebuj膮 silnej ochrony. Bez regularnej konserwacji hakerzy mog膮 przebi膰 si臋 przez zapory ogniowe i gotowe oprogramowanie zabezpieczaj膮ce. Posiadanie zapory nie wystarczy, aby zapewni膰 bezpiecze艅stwo danych w sieci firmowej. Jednak regularne testowanie, konserwacja i aktualizacje s膮 zbyt rygorystyczne dla wielu firm pr贸buj膮cych dzia艂a膰 samodzielnie.

Niekt贸re czo艂owe firmy chmurowe zatrudniaj膮 setki specjalist贸w ds. Bezpiecze艅stwa i prywatno艣ci w swoich dzia艂ach in偶ynierii oprogramowania i operacjach. W艣r贸d pracownik贸w firm zajmuj膮cych si臋 chmur膮 publiczn膮 s膮 jedni z czo艂owych 艣wiatowych ekspert贸w w dziedzinie bezpiecze艅stwa danych, aplikacji i sieci. Ich wysoce wyspecjalizowane zespo艂y s膮 podzielone na sprawne i konkretne dzia艂y, dzi臋ki czemu potrzeby klient贸w w zakresie bezpiecze艅stwa otrzymuj膮 bardziej szczeg贸艂ow膮 uwag臋.

Aktualizacje oprogramowania

Wiele luk w zabezpieczeniach sieci mo偶na naprawi膰, ale firma musi regularnie aktualizowa膰 swoje systemy operacyjne, bazy danych i serwery WWW w celu zastosowania poprawek. Firmy cz臋sto zaniedbuj膮 t臋 odpowiedzialno艣膰, nara偶aj膮c ca艂膮 organizacj臋 na cyberzagro偶enia. Utrzymywanie aktualnego oprogramowania firmy to nie tylko koszty aktualizacji i instalacji. Wymaga r贸wnie偶 wsp贸艂pracy korporacyjnego zespo艂u IT oraz indywidualnych pracownik贸w, kt贸rzy w pracy wykorzystuj膮 urz膮dzenia firmowe lub osobiste.

Wiele dzia艂贸w IT op贸藕nia wdra偶anie krytycznych aktualizacji, aby zminimalizowa膰 wp艂yw przerw w 艣wiadczeniu us艂ug. Jest to cz臋sta pu艂apka dla organizacji, kt贸re u偶ywaj膮 tradycyjnych starszych system贸w, gdzie regularne aktualizacje wymagaj膮 koordynacji z wieloma dzia艂ami. Dotyczy to r贸wnie偶 organizacji, kt贸re nie wymieniaj膮 system贸w, zanim stan膮 si臋 przestarza艂e – nawet je艣li otrzyma艂y ostrze偶enie od samych producent贸w oprogramowania.

Jak pokazano na przyk艂adzie ataku WannaCry, 艂aty do starego oprogramowania mog膮 nawet nie by膰 dost臋pne. 鈥濿iele komputer贸w, na kt贸re mia艂 wp艂yw WannaCry, mia艂o system operacyjny Windows XP, kt贸rego pocz膮tkowo nie mo偶na by艂o za艂ata膰, poniewa偶 Microsoft zaprzesta艂 obs艂ugi programu w 2014 roku, z wyj膮tkiem wysokiej op艂aty鈥 – wyja艣ni艂 USA Today. Skutki luki w oprogramowaniu mog膮 by膰 r贸wnie powa偶ne, jak ka偶de inne naruszenie bezpiecze艅stwa IT. Opublikowane przez IHG dane pokazuj膮, 偶e kasy fiskalne w ponad 1000 jego nieruchomo艣ci zosta艂y naruszone przez z艂o艣liwe oprogramowanie zaprojektowane do pobierania danych debetowych i kredytowych klient贸w.

Uwierzytelnianie u偶ytkownika

Uprawnienia do dokument贸w i uwierzytelnianie u偶ytkownik贸w znacznie przyczyniaj膮 si臋 do zapewnienia odpowiedniego bezpiecze艅stwa organizacji. Aby zagwarantowa膰, 偶e w艂a艣ciwe osoby b臋d膮 mia艂y dost臋p do Twoich danych, Twoja organizacja powinna u偶ywa膰 silnych hase艂, uwierzytelniania wielosk艂adnikowego i fizycznych kluczy bezpiecze艅stwa; wszystkie rzeczy, w kt贸re firmy chmury publicznej du偶o inwestuj膮. Na przyk艂ad klucz bezpiecze艅stwa Titan firmy Google korzysta z uwierzytelniania wielosk艂adnikowego w celu ochrony u偶ytkownik贸w przed atakami. Hakerom znacznie trudniej jest ukra艣膰 fizyczny klucz bezpiecze艅stwa. Dzi臋ki wielowarstwowym praktykom uwierzytelniania organizacje zmniejszaj膮 ryzyko nieautoryzowanych os贸b udaj膮cych zatwierdzonych u偶ytkownik贸w.

Przyk艂adem mo偶e by膰 Deloitte, nazywany niegdy艣 鈥瀗ajlepszym konsultantem ds. Cyberbezpiecze艅stwa na 艣wiecie鈥 przez firm臋 Gartner, kt贸ry pad艂 ofiar膮 ataku cybernetycznego w 2017 roku. Hakerzy uzyskali dost臋p do sieci Deloitte po z艂amaniu has艂a konta administratora, kt贸re nie wymaga艂o wielosk艂adnikowego uwierzytelniania. Da艂o to cyberprzest臋pcom nieograniczony dost臋p do firmowych e-maili i za艂膮cznik贸w. Gdyby Deloitte u偶ywa艂 uwierzytelniania wielosk艂adnikowego, hakerzy nie mieliby dodatkowego identyfikatora potrzebnego do logowania, a w艂a艣ciciel konta zosta艂by ostrze偶ony o nieautoryzowanym u偶yciu ich konta. Te czynniki prawdopodobnie mog艂y zapobiec naruszeniu.

Jednak nie chodzi tylko o has艂a. Chodzi r贸wnie偶 o wprowadzenie odpowiednich zasad i procedur. Rozwi膮zanie w chmurze publicznej zapewnia dostosowywane uprawnienia i zintegrowane przep艂ywy pracy, kt贸re pomagaj膮 poprawi膰 bezpiecze艅stwo i zwi臋kszy膰 produktywno艣膰. Organizacje mog膮 monitorowa膰, kto pr贸buje uzyska膰 dost臋p do ich sieci, i aktywnie blokowa膰 po艂膮czenie nieznanych urz膮dze艅.

Kredyt obrazu: Rawpixel.com / Shutterstock

St茅phane Donz茅 jest za艂o偶ycielem i dyrektorem generalnym AODocs, firmy programistycznej, kt贸r膮 stworzy艂 z idei, 偶e potrzeba przedsi臋biorstwa w zakresie zgodno艣ci i wydajnych proces贸w nie stoi w sprzeczno艣ci z dobrym do艣wiadczeniem u偶ytkownika. Przed za艂o偶eniem AODocs by艂 wiceprezesem ds. In偶ynierii w Exalead, wiod膮cej firmie zajmuj膮cej si臋 wyszukiwaniem korporacyjnym. Po przej臋ciu Exalead przez Dassault Syst猫mes w 2010 roku przeni贸s艂 si臋 do Kalifornii z Pary偶a jako wiceprezes ds. Strategii produktu. St茅phane posiada tytu艂 magistra in偶ynierii oprogramowania na Ecole Polytechnique we Francji (X96). Dzi臋ki 18-letniemu do艣wiadczeniu w oprogramowaniu dla przedsi臋biorstw pasjonuje si臋 do艣wiadczeniem u偶ytkownik贸w w ca艂ej organizacji.