Analiza ryzyka musi mieć charakter całościowy, powinna być prowadzona na różnych poziomach i odnosić się do różnych aspektów cyberbezpieczeństwa – przekonywali uczestnicy trzeciego zdalnego spotkania przed „KSC Forum”. Tylko przy takim podejściu można zapewnić jej faktyczną użyteczność i przydatność zarówno na poziomie pojedynczych organizacji, jak i całego kraju. To, w jaki sposób została zrealizowana, może pokazać audyt bezpieczeństwa.  

Marek Janiszewski, NASK PIB

Marek Janiszewski, pracownik naukowy w NASK PIB, przedstawił ogólne podejście do analizy ryzyka oraz główne aspekty metodyki i sposoby oceny ryzyka, które zostały określone w trakcie prac nad projektem Narodowej Platformy Cyberbezpieczeństwa. Wypracowane ujęcie zakłada, że ryzyko będzie oceniane dla poszczególnych usług, sektorów i cyberprzestrzeni RP na podstawie zidentyfikowanych podatności, obserwacji, incydentów oraz oszacowanych krytyczności usług i krytyczności powiązań między nimi. Zaproponowana metodyka analizy ryzyka realizowana jest w trzech etapach; są to: inwentaryzacja  usług, hierarchizacja usług i infrastruktury, obliczenie ryzyka własnego. 

Pod uwagę wzięto zarówno statyczną, jak i dynamiczną analizę ryzyka. Pierwsza ma charakter wolnozmienny, związana jest z nietechnicznymi, organizacyjnymi aspektami funkcjonowania firmy będącej operatorem usługi kluczowej, np. ze stosowanymi procedurami. Druga jest szybkozmienna, dotyczy technicznych aspektów bezpieczeństwa, np. podatności w oprogramowaniu, elementów infrastruktury teleinformatycznej. „Ryzyko w naszym ujęciu oceniane jest na wielu różnych poziomach: usług, grup usług, sektorów czy też całej cyberprzestrzeni. Kluczową rolę odgrywa też uwzględnianie wzajemnych powiązań i zależności między ryzykami” – tłumaczył podczas trzeciego e-spotkania przed „KSC Forum” Marek Janiszewski. 

Tomasz Wodziński, ISSA Polska

Monitorowaniu wdrażania wymagań ustawy o KSC mają służyć audyty, do wykonywania których są zobowiązani operatorzy usług kluczowych. Tomasz Wodziński, President ISSA Polska, przedstawił wypracowany przez grupę specjalistów od cyberbezpieczeństwa szablon sprawozdania z audytu. Ma on ułatwić organizacjom będącym OUK realizację tego zadania. „Zaproponowany przez nas dokument ma uporządkowaną strukturę, by w sposób uschematyzowany można było zawrzeć niezbędne informacje związane z operatorem, którego dotyczy audyt. Są to m.in. informacje o odpowiedzialnościach procesowych, sposobie organizacji i zarządzania bezpieczeństwem, wykrytych podatnościach czy też innych, wcześniej przeprowadzonych audytach” – powiedział Tomasz Wodziński. 

Przy ocenie zarządzania bezpieczeństwem brane jest pod uwagę zarządzanie ryzykiem – czy odbywa się zgodnie z wymaganiami oraz czy prowadzone jest w sposób kompletny, całościowy. Wśród innych uwzględnianych w trakcie audytu obszarów są: monitorowanie incydentów bezpieczeństwa i reagowanie na te incydenty oraz zarządzanie zmianą, np. poprzez dostarczanie aktualizacji oprogramowania. Tomasz Wodziński zwracał uwagę, że zarządzanie cyberbezpieczeństwem jest niezwykle ważne, gdyż ataki w cyberprzestrzeni mają w coraz większym stopniu skutki w wymiarze fizycznym. Każdy z nas chciałby żyć w cyfrowo bezpiecznym kraju. Jednym z elementów służących realizacji tego marzenia może być dobre działanie krajowego systemu cyberbezpieczeństwa. 

Joanna Dąbrowska, Sales Engineer, Trend Micro

„Poprawnie wykonany audyt i odpowiednio zidentyfikowane ryzyko pozwala zdobyć kilka punktów przewagi w grze z cyberprzestępcami. Najważniejsze jest racjonalne podejście do procesu i odpowiedni plan działań” – przekonywała Joanna Dąbrowska, Sales Engineer w Trend Micro. Jej zdaniem, czasem systemy wykorzystywane przez jeden zespół mogą być świetnym źródłem informacji dla drugiego zespołu. Sprytne wykorzystywanie już posiadanych informacji to jeden ze sposobów na usprawnienie procesów bezpieczeństwa.

Najważniejsze jest, aby być nastawionym na ochronę całego systemu, a nie tylko jego pojedynczych elementów, np. stacji roboczych czy serwerów, tak jak to często bywa w praktyce. Zdaniem Joanny Dąbrowskiej, monitorowanie sieci jest kluczem do sukcesu. Nie można jednak skupiać się tylko na informacjach statystycznych. Warto też wiedzieć, jakie dane i w jaki sposób są wymieniane między aplikacji. Dostęp do takiej wiedzy może zapewnić sonda sieciowa. Dobrze jest także śledzić na bieżąco trendy i sposoby ataków oraz metody zabezpieczeń, gdyż środowisko IT bardzo szybko się zmienia i wiedza o aktualnej sytuacji jest bezcenna. 

——————————————————————————————————————————————————————

Tegoroczne „KSC Forum” odbędzie się w środowisku wirtualnym 3 września. Informacje o programie konferencji są dostępne na stronie: https://www.kscforum.pl/agenda/#konferencja.