Audyty i szkolenia z zakresu cyberbezpieczeństwa, które przeprowadziliśmy w kończącym się właśnie roku były dla nas świetną okazją do bliższego poznania polskiej rzeczywistości związanej z cyberbezpieczeństwem. Jak radzimy sobie z ochroną danych w sieci, czy przestrzegamy procedur, wdrażamy stosowną dokumentację? Naszą dzisiejszą analizę opieramy w głównej mierze na doświadczeniu we współpracy z jednostkami samorządu terytorialnego. Mamy nadzieję, że będzie ona pożyteczną, pouczającą lekturą.
Ostatnie 12 miesięcy wypełniły nam liczne spotkania związane z przeprowadzaniem audytów cyberbezpieczeństwa oraz szkoleń pracowników różnego szczebla. Wykonanie audytów poprzedzone było analizą dokumentacji oraz licznymi rozmowami, które uwidoczniły nam również podejście pracowników do kwestii bezpieczeństwa w sieci. Co szczególnie zapadło nam w pamięć i co uznaliśmy za szczególnie istotne, zatrważające, niepokojące? Lista poniżej.
1. Brak zbierania logów pomimo ustawowego obowiązku zbierania i przechowywania logów przez 2 lata w przypadku operatorów usług kluczowych.
2. Brak kontroli nad kontami użytkowników – mowa o braku zmian uprawnień w sytuacji zmiany stanowiska itp.
3. Brak kontroli nad kontami uprzywilejowanymi, a tym samym często nieuprawnionego dostępu do ważnych danych w przypadku zwolnienia, zmiany stanowiska, obowiązków.
4. Brak ciągłej weryfikacji poziomów dostępu.
5. Brak analizy ryzyka lub stosowanie szablonowych, często przypadkowych analiz ryzyka, które nie wynikają z realnej analizy potrzeb i problemów konkretnej jednostki.
6. Nieregularność – brak aktualizacji analizy ryzyka oraz wykonywania audytu cyberbezpieczeństwa przynajmniej raz w roku.
7. Brak organizacji szkoleń z zakresu cyberbezpieczeństwa, w tym oddzielnych szkoleń dla kadry zarządzającej. Niejednokrotnie kadra zarządzająca, pomimo ustaleń oraz umowy, nie bierze udziału w szkoleniach.
8. Brak testowania kopii zapasowych, czyli dbałości o zapewnienie ciągłości działania w przypadku ataku czy awarii. Warto weryfikować czy kopie zapasowe nadają się do odzyskania, jak długo trwa odzyskanie infrastruktury po awarii krytycznej. To niezwykle cenne informacje w procesie tworzenia polityki backupu.
9. Brak planu ciągłości działania.
10. Brak analizy podatności, sprawdzania ewentualnych luk w systemach oraz aktualizacji sprzętu.
Jak widać, kuleją u nas zarówno kwestie proceduralne związane z przygotowaniem dokumentacji oraz dbaniem o jej późniejszą regularną aktualizację, jak i te związane z codzienną pracą. Brak kontroli nad uprawnieniami, dostępami, brak szkoleń oraz traktowanie ich po macoszemu to niestety powszechny obraz naszej polskiej rzeczywistości. Miejmy nadzieję, że nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa, nad którą nowe władze muszą się jak najszybciej pochylić, zmieni nieco te tendencje, podniesie świadomość w kwestii zagrożeń, a kwestie cyberbezpieczeństwa nie będą traktowane po macoszemu.
Najnowsze komentarze