Bezpieczeństwo w cyberprzestrzeni a norma ISO 27001

Cóż z tego, że kupimy solidne drzwi z patentowym zamkiem, skoro zapomnimy o balkonie...? Zabezpieczenia muszą być kompleksowe i adresować różne wektory potencjalnego ataku.

Japończyk Tadao Umesao  wprowadzając w latach 60-tych ubiegłego wieku pojęcie społeczeństwa komunikującego się poprzez komputery („johoka shakai”) trafnie przewidział, że po społeczeństwie przemysłowym nadejdzie era społeczeństwa informacyjnego, w którym zasadniczym czynnikiem konkurencyjności będzie zdolność do zarządzania informacją, jej jakością i szybkością przepływu.

Informacja zaczęła być doceniana i postrzegana jak aktywo, które jest ważne i w konsekwencji powinno podlegać ochronie. Rozwój nowoczesnych technologii sprawił, że gros informacji przetwarzanych jest obecnie w systemach IT, które wykorzystują szeroko rozumianą infrastrukturę teleinformatyczną. W pewnym uproszczeniu to właśnie ta infrastruktura tworzy przestrzeń nazywaną cyberprzestrzenią. Niektóre definicje cyberprzestrzeni  określają ją jako przestrzeń „wirtualną”.  

Przykłady zagrożeń w cyberprzestrzeni


Jest szereg przykładów, które pokazują jak bardzo brak bezpieczeństwa informacji przetwarzanej w tej „wirtualnej” przestrzeni może zaboleć w świecie „rzeczywistym”. Przekonała się o tym chociażby jedna z jednostek organizacyjnych na terenie Podlasia, której księgowa przelała grubo ponad 3 miliony złotych na podstawione konto bankowe jednego z kontrahentów. Nie udało się odnaleźć sprawców tego socjotechnicznego ataku ani odzyskać pieniędzy. Z końcem lutego 2017 roku rozpoczął się proces sądowy głównej księgowej w tej sprawie.  

Innym przykładem może być unieruchomienie ogrzewania dwóch budynków w miejscowości Lappeenranta w Finlandii na przełomie października i listopada 2016 poprzez wykonanie ataku DDoS (ang. distributed denial of service, rozproszona odmowa usługi) na komputery zarządzające fragmentem sieci ciepłowniczej. Wykorzystano w tym przypadku zainfekowane oprogramowaniem Mirai  komponenty urządzeń gospodarstw domowych podłączone do sieci Internet (IoT ). 

Przykłady podane powyżej są celowo diametralnie różne zarówno od strony skutków, jak i wektorów ataku. W przypadku pierwszego z nich można nawet kwestionować, czy dotyczy on cyberprzestrzeni, ponieważ informacja o zmianie konta przyszła pocztą tradycyjną. Należy jednak zauważyć, że środki finansowe znajdowały się w postaci zapisów elektronicznych w banku.  Obydwa światy, ten „rzeczywisty” i „wirtualny”, przenikają się na niespotykaną do tej pory skalę i zjawisko to będzie pogłębiało się. Jeden z tych światów – cyberprzestrzeń – stał się polem regularnej walki i ścierania się wpływów. 

Skala obserwowanych na świecie ataków sięga od pojedynczych, krótkich i spersonalizowanych ataków na konkretne osoby po działania obejmujące cały glob, mające charakter długoterminowy. Informacje opublikowane na początku marca 2017 przez portal Wikileaks pokazują skalę zaangażowania służb specjalnych w tworzenie narzędzi wykorzystywanych do ataków w cyberprzestrzeni i rozpiętość stosowanych technik. Biorąc to wszystko pod uwagę warto zastanowić się, czy pojedyncze działania podejmowane w celu zapewnienia bezpieczeństwa informacji mogą być skuteczne.  

Nawet jeżeli pojedyncze działanie spowoduje zmniejszenie ryzyka w danym momencie (np. szkolenie z socjotechnicznych metod ataku dla pracowników działu księgowości) to i tak prawdopodobnie okaże się niewystarczające po zmianach personalnych w dziale. Poza tym atakujący może zmienić wektor ataku. Zamiast poprawnie wyglądającego pisma informującego o zmianie konta, można wykorzystać podatności techniczne komputera księgowej i dedykowanego oprogramowania zainstalowanego dzięki firmie realizującej wsparcie techniczne. W przypadku ataku w Finlandii, gdyby system IT zarządzający siecią ciepłowniczą był odporny na ataki DDoS (np. funkcjonował w odizolowanym środowisku) można wyobrazić sobie fizyczne uszkodzenie elementów infrastruktury, co zapewniłoby osiągnięcie tego samego celu. Nie da się zaadresować wszystkich możliwych wektorów ataku i ryzyk poprzez działania wybiórcze. 

Zapewnienie bezpieczeństwa informacji musi być wielowymiarowe i mieć charakter systemowy. Wynika to bezpośrednio z wielości form jakie informacja może przybrać, mnogości miejsc jej przetwarzania, zmienności ryzyka w czasie i plejady potencjalnych zagrożeń. Ta sama informacja może przyjąć postać wydruku, pliku w komputerze, odręcznego zapisu na kartce papieru, listu tradycyjnego bądź elektronicznego, zdjęcia bądź wiadomości usłyszanej podczas podróży i być przetwarzana zarówno w cyberprzestrzeni jak i poza nią. W danym momencie zabezpieczenia mogą być skuteczne, ale po wykryciu podatności systemu IT lub zabezpieczeń fizycznych już nie.  

ISO 27001:2013


Kompleksowe podejście do bezpieczeństwa informacji zapewnia norma ISO 27001:2013 składająca się z dwóch części: obowiązkowej, która obejmuje punkty 4-10 oraz załącznika normatywnego A, gdzie znajduje się 114 wymagań. Część obowiązkowa adresuje kwestie takie jak m.in. otoczenie organizacji, wymagania zainteresowanych stron, szacowanie ryzyka, zapewnienie zasobów, przegląd systemu, ciągłe doskonalenie. Wymagania te są fundamentalne z punktu widzenia funkcjonowania systemu i tworzą jego kręgosłup.  

Załącznik normatywny A adresuje różne obszary. Odnaleźć w nim możemy m.in. aspekty typowo informatyczne, organizacyjne, osobowe, proceduralne, prawne, czy te związane z bezpieczeństwem fizycznym i ciągłością działania. Współtwórcy normy wskazują w ten sposób na obszary, skąd może nadejść atak lub miejsca ewentualnych podatności. Co ciekawe, pod pewnymi warunkami poszczególne punkty z załącznika A można wyłączyć i stwierdzić, że nie są stosowane przy jednoczesnym zachowaniu zgodności z normą. Dzięki temu każda organizacja może dostosować rodzaj stosowanych zabezpieczeń do swojego profilu ryzyka a sama norma może być wykorzystana przez organizacje prowadzące całkowicie różne działalności, o różnej wielkości i przetwarzające różne informacje.   

ISO 27001:2013 pomaga ułożyć elementy systemu tak, by stanowiły spójną całość i funkcjonowały jako powtarzalny mechanizm, w którym ilość sił i środków poświęconych na bezpieczeństwo informacji jest wprost uzależniona od wyników szacowania ryzyka. Organizacje mają dużą dowolność w doborze metod zabezpieczeń. Istotą jest to by one wzajemnie się uzupełniały oraz funkcjonowały jako powtarzalny i ciągle doskonalony mechanizm. Certyfikacja systemu pozwala danej organizacji potwierdzić, że to co zostało zbudowane jest kompletne w odniesieniu do wymagań normy, posiada atrybuty systemu (m.in. celowość, relacyjność, spójność), odpowiada profilowi ryzyka danej organizacji, zapewnia doskonalenie i osiąganie celów. 

Proces oceny jest realizowany przy zachowaniu bezstronności i obiektywizmu audytorów. Spojrzenie z zewnątrz jest jedną z największych korzyści, jakie przynosi certyfikacja. Pozwala organizacji spojrzeć na to, co stworzyła z innej perspektywy. Dzięki temu często zauważane są aspekty, które do tej pory były pomijane. Ostatecznym celem jest zapewnienie bezpieczeństwa informacji na akceptowalnym poziomie ryzyka oraz podwyższanie kosztu ataku do takiego poziomu, by przełamywanie zabezpieczeń było dla atakującego nieopłacalne.

Jeśli zainteresował Cię ten artykuł lub masz inne pytania dotyczące bezpieczeństwa informacji skontaktuj się z nami lub zapytaj o bezpłatną ofertę certyfikacji

Zobacz także

Publikacje

Publikacje

Pobierz ciekawe publikacje z branży certyfikacji

Webinaria

Webinaria

Zapisz się na bezpłatne webinaria

Newsletter

Zapisz się do naszego newslettera i otrzymuj najnowsze informacje z branży certyfikacji

Szkolenia

Znajdź interesujące Cię szkolenie