Kiedy organizacja pada ofiarą cyberataku, bardzo łatwo sprowadzić całe zdarzenie do prostego komunikatu: „zostaliśmy zaatakowani przez hakerów”. Brzmi to wygodnie, bo przenosi uwagę na zewnętrznego sprawcę. Ktoś był zły, ktoś się włamał, ktoś zaszyfrował dane, ktoś wykorzystał lukę.
Tyle że w wielu przypadkach atak hakerski nie jest wyłącznie historią o sprawnym przestępcy. Jest również historią o organizacji, która wcześniej nie widziała własnych słabości albo widziała je, ale nimi nie zarządzała.
Atak często nie zaczyna się w dniu, w którym przestają działać systemy. Zaczyna się dużo wcześniej. Wtedy, gdy nikt nie aktualizuje systemu. Gdy konto byłego pracownika nadal działa. Gdy dostawca ma dostęp zdalny bez dodatkowego uwierzytelnienia. Gdy kopia zapasowa istnieje tylko w deklaracji. Gdy uprawnienia nie są przeglądane. Gdy analiza ryzyka została wykonana raz, bo „była potrzebna do dokumentacji”. Gdy incydenty są zgłaszane ustnie, ale nikt ich nie rejestruje. Gdy zarząd dostaje zapewnienie, że „informatycy ogarniają”.
W takim środowisku atakujący nie musi pokonywać dobrze zarządzanego systemu bezpieczeństwa. On po prostu korzysta z miejsc, których nikt nie pilnował.
Bezpieczeństwo nie psuje się nagle
Bezpieczeństwo informacji rzadko zawala się z dnia na dzień. Ono zwykle stopniowo się rozszczelnia.
Najpierw pojawia się kilka wyjątków od zasad. Potem tymczasowe dostępy zostają na stałe. Potem dostawca dostaje szersze uprawnienia, bo „tak szybciej”. Potem kopii zapasowej nie testuje się przez kilka miesięcy, bo „przecież działa”. Potem systemu nie aktualizuje się, bo „to może coś zepsuć”. Potem pracownik klika w link, bo szkolenie z phishingu było dwa lata temu i wyglądało jak prezentacja z innej epoki.
Każda z tych rzeczy osobno może wyglądać niewinnie. Razem tworzą środowisko, w którym atak nie jest zaskoczeniem. Jest konsekwencją.
I właśnie tutaj widać różnicę między posiadaniem dokumentów a skutecznym zarządzaniem bezpieczeństwem informacji. Dokument może mówić, że dostęp jest przeglądany. Zarządzanie sprawia, że ktoś faktycznie ten dostęp przegląda, dokumentuje wynik i usuwa zbędne uprawnienia. Dokument może mówić, że backup jest wykonywany. Zarządzanie sprawia, że ktoś testuje odtworzenie i raportuje wynik. Dokument może mówić, że incydenty są obsługiwane. Zarządzanie sprawia, że ludzie wiedzą, do kogo dzwonić, co zabezpieczyć i kto podejmuje decyzję.
Papier opisuje zamiar. System zarządzania pokazuje, czy zamiar działa.
Atakujący lubią organizacje, które nie wiedzą, co mają
Jednym z podstawowych problemów w słabo zarządzanych organizacjach jest brak wiedzy o własnym środowisku. Niepełna inwentaryzacja aktywów, niejasna odpowiedzialność za systemy, brak właścicieli informacji, rozproszone dostępy, stare konta, zapomniane serwery, aplikacje utrzymywane „bo zawsze były” — to nie są drobiazgi administracyjne. To realne punkty wejścia.
Atakujący nie potrzebuje pełnego obrazu organizacji. Wystarczy mu jeden słaby element. Jedno konto. Jedna luka. Jeden źle wystawiony panel. Jedna usługa zdalna. Jeden dostawca. Jedna nieaktualna aplikacja.
Organizacja, która nie zarządza bezpieczeństwem informacji, często nie wie, że taki element istnieje. A skoro nie wie, to go nie zabezpiecza. Skoro go nie zabezpiecza, to nie monitoruje. Skoro nie monitoruje, to nie zauważa nadużycia. I tak z drobnej słabości robi się pełnowymiarowy incydent.
To jest brutalna prawda: nie da się skutecznie chronić czegoś, czego organizacja nie zna.
Brak skutecznego SZBI skraca drogę ataku
Dojrzałe zarządzanie bezpieczeństwem informacji nie gwarantuje, że ataku nigdy nie będzie. Takiej gwarancji nie daje żaden system, żaden certyfikat i żaden dostawca. Ale skuteczne SZBI utrudnia atakującemu życie. Tworzy warstwy ochrony, które mogą zatrzymać atak albo przynajmniej ograniczyć jego skutki.
Jeżeli organizacja zarządza podatnościami, atakującemu trudniej wykorzystać znane luki. Jeżeli przegląda uprawnienia, trudniej użyć konta, które dawno powinno być zamknięte. Jeżeli stosuje MFA, trudniej przejąć dostęp tylko na podstawie hasła. Jeżeli monitoruje logi, łatwiej zauważyć nietypową aktywność. Jeżeli testuje kopie zapasowe, szybciej wraca do działania po ransomware. Jeżeli nadzoruje dostawców, zmniejsza ryzyko wejścia bocznymi drzwiami.
Brak skutecznego SZBI działa odwrotnie. Skraca drogę atakującego. Zamiast kilku barier pojawia się seria otwartych przejść. Brak aktualizacji. Brak MFA. Brak segmentacji. Brak monitoringu. Brak procedury. Brak decyzji. Brak testów. Brak wiedzy, kto za co odpowiada.
Wtedy atak nie musi być szczególnie wyrafinowany. Wystarczy, że będzie konsekwentny.
Najgorszy moment na odkrywanie słabości to dzień incydentu
Atak hakerski bardzo szybko pokazuje, czy organizacja wcześniej zarządzała bezpieczeństwem, czy tylko o nim mówiła.
W pierwszych godzinach po wykryciu incydentu nie ma czasu na spokojne ustalanie podstaw. Kto decyduje? Kto kontaktuje się z dostawcą? Kto zabezpiecza dowody? Kto ocenia, czy doszło do naruszenia danych osobowych? Kto informuje kierownictwo? Kto uruchamia procedurę awaryjną? Które systemy odtwarzamy najpierw? Czy backup działa? Czy mamy dane kontaktowe do osób odpowiedzialnych? Czy mamy listę systemów krytycznych?
Jeżeli odpowiedzi na te pytania nie były ustalone wcześniej, organizacja zaczyna improwizować. A improwizacja w incydencie jest droga. Kosztuje czas, pieniądze, nerwy i często dowody, których później nie da się już odtworzyć.
To właśnie odróżnia organizację przygotowaną od organizacji przypadkowej. Przygotowana organizacja również może mieć incydent. Ale wie, jak go ograniczyć. Wie, kogo zaangażować. Wie, jakie decyzje podjąć. Wie, które dane i systemy są najważniejsze. Wie, jak dokumentować działania. Organizacja przypadkowa najpierw próbuje zrozumieć własną strukturę, potem incydent, a dopiero później szuka rozwiązania.
Atakujący w tym czasie nie czeka.
Nieskuteczny system bywa groźniejszy niż brak systemu
Brzmi paradoksalnie, ale organizacja z nieskutecznym SZBI może być w trudniejszej sytuacji niż organizacja, która przynajmniej wie, że nie ma systemu.
Dlaczego? Bo nieskuteczny system daje fałszywe poczucie bezpieczeństwa.
Jest polityka. Są procedury. Jest rejestr ryzyk. Było szkolenie. Jest dostawca. Jest backup. Jest SOC. Jest pełnomocnik. Na prezentacji wszystko wygląda dobrze. Tylko że nikt nie sprawdził, czy system działa w praktyce.
To klasyczny problem papierowego bezpieczeństwa. Organizacja ma odpowiedzi na pytania formalne, ale nie ma odpowiedzi na pytania operacyjne. Wie, gdzie jest dokument, ale nie wie, czy ktoś go stosuje. Wie, że jest backup, ale nie wie, czy można go odtworzyć. Wie, że jest SOC, ale nie wie, czy SOC widzi systemy krytyczne. Wie, że jest analiza ryzyka, ale nie wie, czy odzwierciedla aktualne zagrożenia.
W takim modelu zarząd może być przekonany, że temat jest pod kontrolą, podczas gdy kontrola istnieje głównie w plikach.
A cyberatak bardzo szybko odróżnia kontrolę faktyczną od kontroli deklarowanej.
Dostawcy też są częścią ryzyka
W wielu organizacjach bezpieczeństwo informacji kończy się na granicy własnej sieci. To duży błąd. W praktyce organizacje są zależne od dostawców IT, systemów dziedzinowych, chmury, hostingu, serwisu, integratorów, SOC, firm backupowych i konsultantów.
Jeżeli dostawca ma dostęp do systemów, to jest częścią ryzyka. Jeżeli utrzymuje krytyczną usługę, jest częścią ciągłości działania. Jeżeli przetwarza dane, jest częścią odpowiedzialności organizacji. Jeżeli może wejść zdalnie do środowiska, jego zabezpieczenia zaczynają mieć znaczenie dla bezpieczeństwa klienta.
Brak zarządzania dostawcami oznacza, że organizacja przejmuje cudze słabości, często bez świadomości ich istnienia. Dostawca może mieć słabe uwierzytelnianie, nieaktualne procedury, brak monitorowania, nadmierne dostępy albo podwykonawców, o których organizacja nie wie. Atakujący nie musi wtedy łamać zabezpieczeń organizacji bezpośrednio. Może przyjść przez łańcuch dostaw.
Dlatego skuteczne zarządzanie bezpieczeństwem informacji obejmuje nie tylko własnych pracowników i własne systemy, ale też podmioty zewnętrzne. Umowa, wymagania bezpieczeństwa, zasady dostępu, obowiązki zgłaszania incydentów, SLA, testy, audyty i prawo do weryfikacji nie są formalnością. Są elementem ochrony.
Ciągłość działania decyduje, jak bardzo boli incydent
Cyberatak nie kończy się na pytaniu, kto się włamał. Bardzo szybko pojawia się dużo ważniejsze pytanie: jak organizacja ma dalej działać?
Tu zaczyna się rola ciągłości działania. Bo bezpieczeństwo informacji i ciągłość działania są jak dwa hamulce w tym samym pojeździe. Jeden ma ograniczać ryzyko naruszenia informacji i systemów. Drugi ma pomóc organizacji utrzymać lub odtworzyć kluczowe procesy, gdy mimo zabezpieczeń dojdzie do zakłócenia.
Bez skutecznego SZCD organizacja może wiedzieć, że ma incydent, ale nie wiedzieć, jak wrócić do pracy. Może mieć backup, ale nie mieć ustalonej kolejności odtwarzania. Może mieć plan awaryjny, ale nigdy go nie testować. Może mieć dostawcę, ale nie mieć gwarancji czasu reakcji. Może mieć procesy krytyczne, ale nie mieć określonego RTO i RPO.
Wtedy nawet dobrze rozpoznany incydent może przerodzić się w kryzys operacyjny.
Dlatego zarządzanie bezpieczeństwem informacji bez powiązania z ciągłością działania jest niepełne. Nie wystarczy wykryć atak. Trzeba jeszcze utrzymać albo odtworzyć działanie organizacji.
Kierownictwo nie musi znać każdego logu, ale musi znać ryzyko
Zarząd i naczelne kierownictwo nie muszą znać każdego szczegółu technicznego. Nie muszą konfigurować firewalli, analizować każdego alertu ani samodzielnie testować kopii zapasowych. Ale muszą mieć rzetelny obraz ryzyka.
Powinni wiedzieć, które systemy są krytyczne, jakie podatności są najpoważniejsze, czy dostawcy są nadzorowani, czy kopie są testowane, czy incydenty są rejestrowane, czy pracownicy są szkoleni, czy SOC widzi to, co powinien widzieć, i czy istnieją decyzje wymagające budżetu.
Jeżeli kierownictwo nie otrzymuje takich informacji, to nie zarządza bezpieczeństwem. Może zarządza kosztami, może zarządza projektami albo umowami, ale nie ryzykiem bezpieczeństwa informacji.
A kiedy przychodzi incydent, właśnie ryzyko wraca na stół zarządu. Tyle że wtedy jest już droższe.
Brak zarządzania zmienia incydent w kryzys
Sam atak hakerski nie zawsze musi oznaczać katastrofę. W dobrze zarządzanej organizacji może zostać szybko wykryty, ograniczony, opisany, zgłoszony i wykorzystany jako lekcja do poprawy systemu. To nadal problem, ale problem kontrolowany.
W organizacji bez skutecznego zarządzania bezpieczeństwem ten sam atak może wywołać lawinę. Brak informacji o aktywach utrudnia ustalenie skali. Brak klasyfikacji danych utrudnia ocenę skutków. Brak rejestru dostępów utrudnia analizę drogi ataku. Brak procedury incydentowej opóźnia decyzje. Brak testów backupu wydłuża przestój. Brak nadzoru nad dostawcami komplikuje komunikację. Brak raportowania do kierownictwa powoduje, że decyzje zapadają zbyt późno.
Wtedy incydent techniczny staje się kryzysem organizacyjnym.
I to jest najważniejszy wpływ braku zarządzania bezpieczeństwem informacji: nie tylko zwiększa prawdopodobieństwo ataku, ale przede wszystkim zwiększa jego skutki.
Bezpieczeństwo informacji trzeba mierzyć po działaniu, nie po deklaracjach
Organizacja, która chce wiedzieć, czy jej system zarządzania bezpieczeństwem informacji działa, nie powinna pytać wyłącznie: „czy mamy dokumentację?”. Powinna pytać: „co działa w praktyce?”.
Czy ryzyka są aktualizowane? Czy działania są realizowane? Czy uprawnienia są przeglądane? Czy podatności są usuwane? Czy kopie są testowane? Czy dostawcy są oceniani? Czy incydenty są analizowane? Czy kierownictwo dostaje raporty? Czy pracownicy wiedzą, co robić? Czy po audytach są działania korygujące?
To są pytania o funkcjonowanie systemu. Bez nich SZBI może wyglądać dobrze, ale nie działać.
A system, który nie działa, nie chroni organizacji. Co najwyżej uspokaja ją do czasu pierwszego poważnego zdarzenia.
Dlaczego to ma znaczenie?
Brak zarządzania bezpieczeństwem informacji nie jest problemem formalnym. To nie jest tylko brak polityki, procedury albo rejestru. To realne zwiększenie podatności organizacji na atak, opóźnienie wykrycia incydentu, chaos w reakcji i większe straty po stronie operacyjnej, finansowej, prawnej i reputacyjnej.
Atak hakerski nie zawsze jest możliwy do uniknięcia. Ale jego prawdopodobieństwo, przebieg i skutki w dużej mierze zależą od tego, czy organizacja wcześniej zarządzała bezpieczeństwem informacji, czy tylko zakładała, że „jakoś to będzie”.
Skuteczne SZBI nie jest gwarancją braku incydentu. Jest jednak dowodem, że organizacja zna swoje ryzyka, podejmuje decyzje, wdraża zabezpieczenia, nadzoruje dostawców, szkoli ludzi, reaguje na zdarzenia i potrafi odtwarzać działanie.
Brak skutecznego SZBI oznacza coś odwrotnego: organizacja dowiaduje się o swoich słabościach dopiero wtedy, gdy ktoś inny już je wykorzystał.
A to najdroższy możliwy moment na naukę.
Autor: Mariusz Piskorczyk
