Cyberbezpieczeństwo i cyberodporność: jak skutecznie chronić organizację w erze cyfrowej?

W dzisiejszym cyfrowym świecie, gdzie technologia napędza biznes, a cyberzagrożenia stają się coraz bardziej wyrafinowane, organizacje muszą inwestować nie tylko w cyberbezpieczeństwo, ale także w cyberodporność. Oba te pojęcia są kluczowe, ale różnią się podejściem:

• cyberbezpieczeństwo koncentruje się na ochronie przed zagrożeniami,
• cyberodporność dotyczy zdolności organizacji do przetrwania i szybkiego powrotu do normalnego funkcjonowania po incydencie.

Z artykułu dowiecie się, jak skutecznie połączyć te dwa filary, by zbudować niezawodną strategię ochrony przed cyberatakami.

Cyberbezpieczeństwo – pierwsza linia obrony

Cyberbezpieczeństwo to zestaw technik i procesów, które chronią organizacje przed atakami, naruszeniami i nieautoryzowanym dostępem do danych. Kluczowe elementy skutecznej strategii obejmują:

• Bezpieczeństwo sieci – firewalle, systemy wykrywania cyberprzestępców, segmentacja sieci.
• Bezpieczeństwo aplikacji – regularne aktualizacje, testy penetracyjne, ochrona przed naruszeniami.
• Zarządzanie tożsamością i dostępem – uwierzytelnianie wieloskładnikowe (MFA), systemy IAM.
• Ochrona danych osobowych – szyfrowanie, zgodność z regulacjami (np. RODO).
• Bezpieczeństwo w chmurze – zaawansowane narzędzia monitorowania, zero-trust security.

Każdy z tych obszarów ma kluczowe znaczenie, ale nawet najlepsze zabezpieczenia nie gwarantują 100% ochrony. Dlatego organizacje muszą być przygotowane na najgorszy scenariusz, tzw. „severe but plausible scenarios”[1] poprzez przejście z przewidywalności do adaptacji.

Cyberodporność – klucz do przetrwania i adaptacji

Cyberodporność to zdolność organizacji do przewidywania, wytrzymywania, odzyskiwania oraz adaptacji w obliczu nieoczekiwanych sytuacji, takich jak cyberataki i naruszenia bezpieczeństwa. W tym podejściu nie chodzi tylko o zapobieganie incydentom, ale o zdolność do szybkiego powrotu do normalności po ataku.

Cyberodporność nie tylko minimalizuje wpływ incydentów, ale także wzmacnia zdolność organizacji do powrotu do normalnego funkcjonowania. Wspiera ona również odporność operacyjną, zakładając, że atak może nastąpić i umożliwiając organizacji utrzymanie kluczowych usług mimo zakłóceń.

Wdrożenie skutecznej strategii cyberodporności wymaga identyfikacji ryzyk oraz analizy przeprowadzonej przez ekspertów z różnych dziedzin, takich jak CISO, CTO i COO. Dzięki temu organizacja może nie tylko lepiej przygotować się na cyberzagrożenia, ale także sprawnie reagować na incydenty i skutecznie adaptować się do zmieniającego się środowiska cyfrowego.

Cele odporności cybernetycznej

Cele odporności cybernetycznej są szczegółowymi wytycznymi dotyczącymi tego, co system powinien osiągnąć w środowisku operacyjnym. Pozwalają na dopasowanie celów do potrzeb interesariuszy, ułatwiając zrozumienie i określenie miar efektywności.

Zdefiniowane metody osiągania celów:

• Zapobieganie – uwzględnia działania mające na celu ograniczenie ryzyka ataków i zmniejszenie narażenia na zagrożenia poprzez regularne praktyki higieny cybernetycznej i dostosowanie kontroli.
• Przygotowanie – utrzymanie realistycznego zestawu procedur, odpowiednich zasobów i szkolenia personelu umożliwiającego wsparcie działań w obszarze cyberbezpieczeństwa oraz ich walidację.
• Kontynuacja – maksymalizacja efektywności kluczowych funkcji biznesowych podczas trudności, poprzez minimalizację zakłóceń i zapewnienie ciągłości usług.
• Określenie potencjalnych szkód, izolacja zasobów w celu ograniczenia szkód oraz zmiana lub usunięcie zasobów, które mogą przyczynić się do dalszych problemów.
• Przywrócenie operacyjności po zmapowaniu niezaufanych zasobów, odtworzenie funkcjonalności i zwiększenie ochrony podczas procesu odtwarzania.
• Utrzymywanie wiedzy na temat zależności misji biznesowych oraz zasobów w kontekście możliwych problemów, a także ocena przeciwników w kontekście istniejącego zagrożenia.
• Transformacja i/lub adaptacja misji lub funkcji biznesowych oraz procesów wsparcia do nowych wyzwań i skuteczniejszej reakcji na zmiany środowiskowe.
• Rearchitektura rozumiana poprzez zmianę istniejących struktur w celu lepszego radzenia sobie z wyzwaniami oraz minimalizacji ryzyka.

Jak zwiększyć cyberodporność organizacji?

W wyniku ostatnich prac projektowych wykonywanych dla naszych klientów, zidentyfikowano kilka obszarów wymagających wzmocnienia, by poprawić odporność cyfrową analizowanych organizacji.

Przegląd zasobów IT

Identyfikacja kluczowych systemów, analiza ryzyk, mapowanie zależności. Przegląd zasobów IT obejmuje:

• Inwentaryzację sprzętu i oprogramowania – dokładne zidentyfikowanie wszystkich urządzeń, aplikacji i systemów używanych w organizacji.
• Ocena krytyczności zasobów – określenie, które zasoby są kluczowe dla operacyjnej ciągłości i bezpieczeństwa.
• Mapowanie zależności – zrozumienie, jak różne zasoby są ze sobą powiązane i jakie są ich wzajemne zależności.

Case study: Skutki nieuwzględnienia mniej krytycznych zasobów IT

Firma X, działająca w branży finansowej, przeprowadziła analizę bezpieczeństwa (SBIA), koncentrując się na ochronie najważniejszych systemów IT, jednak zignorowała mniej krytyczne elementy infrastruktury współdzielonej, co doprowadziło do poważnego kryzysu. Atakujący wykorzystali podatność w serwerze współdzielonym, który nie został odpowiednio zabezpieczony.

Brak monitorowania anomalii i segmentacji sieci umożliwił im przeprowadzenie ataku typu lateral movement, co doprowadziło do uzyskania dostępu do krytycznych systemów finansowych i zaszyfrowania danych. W efekcie firma musiała zapłacić okup w wysokości 5 milionów dolarów, ponosząc dodatkowe straty finansowe i reputacyjne oraz utratę dostępu do systemów na 72 godziny.

Głównymi przyczynami incydentu były:

• brak uwzględnienia shared infrastructure w SBIA, co skutkowało ignorowaniem ryzyka lateral movement,
• nieodpowiednia segmentacja sieci pozwalająca na swobodny dostęp do kluczowych systemów,
• brak monitoringu anomalii, co opóźniło wykrycie ataku.

Aby uniknąć podobnych sytuacji w przyszłości, firma powinna ponownie ocenić SBIA, uwzględniając współdzieloną infrastrukturę, wdrożyć segmentację sieci zgodnie z zasadą Zero Trust, zastosować zaawansowane systemy monitorowania zagrożeń, takie jak SIEM (Security Information and Event Management) i Endpoint Detection and Response (EDR), oraz regularnie przeprowadzać testy penetracyjne w celu identyfikacji potencjalnych podatności.

Cyber Threat Intelligence (CTI)

Kluczowy element w identyfikacji i przeciwdziałaniu zagrożeniom. Zintegrowane podejście do CTI obejmuje:

• Gromadzenie danych – zbieranie informacji o zagrożeniach z różnych źródeł, takich jak raporty bezpieczeństwa, analizy incydentów i dane zewnętrzne.
• Przetwarzanie i analiza – wykorzystanie zaawansowanych narzędzi analitycznych do przetwarzania zebranych danych i identyfikacji potencjalnych zagrożeń.
• Wysokiej jakości informacje – zapewnienie, że dane o zagrożeniach są dokładne, aktualne i relewantne dla specyfiki organizacji.

Case study: Skutki braku inwestycji we wdrożenie procesów oraz narzędzi niezbędnych do analizy zagrożeń cybernetycznych

Firma Y, globalny dostawca usług IT, przez lata nie inwestowała w Cyber Threat Intelligence (CTI – analiza zagrożeń cybernetycznych), co skutkowało niską świadomością zagrożeń i brakiem mechanizmów wykrywania ataków. W 2024 roku organizacja padła ofiarą ransomware, które rozpoczęło się od phishingu, i rozprzestrzeniło się w sieci z powodu braku analizy IOC (Indicators of Compromise – wskaźników naruszenia bezpieczeństwa) i monitorowania zagrożeń. Ostatecznie zaszyfrowano dane użytkowników, a firma zapłaciła 5 mln dolarów okupu.

Kluczowe przyczyny to:

• brak programu CTI,
• niewystarczająca analiza TTPs (Tactics, Techniques, and Procedures – taktyk, technik i procedur stosowanych przez atakujących),
• opóźniona reakcja na incydent.

Aby uniknąć podobnych sytuacji, organizacja powinna zainwestować w Threat Intelligence, wdrożyć analizę IOC oraz współpracować z zewnętrznymi dostawcami danych, informując się wzajemnie o zagrożeniach, co znacząco poprawiłoby zdolność wykrywania i reagowania na ataki.

Backup i odzyskiwanie danych

Regularne kopie zapasowe, testowanie procedur odzyskiwania po awarii.

Case Study: Konsekwencje braku inwestycji w zaawansowane rozwiązania backupowe

Firma Z, średniej wielkości przedsiębiorstwo z sektora produkcyjnego, nie inwestowała w zaawansowane rozwiązania do tworzenia kopii zapasowych, ani w testowanie procedur odzyskiwania danych po awarii. Organizacja polegała na podstawowych backupach przechowywanych w tej samej infrastrukturze, co środowiska produkcyjne, nie wdrażając strategii Data Vault, czyli magazynu danych izolowanego od głównych systemów IT. Brak kopii zapasowych odłączonych od środowiska operacyjnego naraził firmę na poważne konsekwencje.

W 2023 roku przedsiębiorstwo padło ofiarą awarii systemu spowodowanej błędem oprogramowania, które usunęło kluczowe pliki konfiguracyjne i operacyjne. Ponieważ backupy były przechowywane w tej samej infrastrukturze, również one zostały nadpisane przez uszkodzone dane. Bez dostępu do odseparowanego backupu organizacja nie była w stanie szybko przywrócić działania systemów. Ponieważ firma nie weryfikowała procedur odzyskiwania danych, proces odtwarzania informacji okazał się chaotyczny i nieefektywny. W rezultacie zakłócono operacje biznesowe na ponad 10 dni, co doprowadziło do utraty klientów oraz kar finansowych nałożonych przez lokalnych regulatorów za niespełnienie wymagań dotyczących ochrony danych.

Główne przyczyny incydentu to:

• brak wdrożenia technologii Data Vault,
• brak regularnych testów odzyskiwania danych,
• przechowywanie backupów w tym samym środowisku co systemy produkcyjne.

Aby uniknąć podobnych sytuacji w przyszłości, organizacja powinna wdrożyć strategię backupu opartą na zasadzie 3-2-1 (trzy kopie danych na dwóch różnych nośnikach, jedna poza główną lokalizacją), inwestować w testy odzyskiwania oraz stosować Data Vault do przechowywania odseparowanych kopii zapasowych. Przypadek ten pokazuje, jak brak odpowiednich zabezpieczeń w zakresie backupu może prowadzić do poważnych strat operacyjnych i finansowych.

Testowanie cyfrowej odporności

Symulacje ataków, ćwiczenia zespołowe, analiza reakcji na incydenty.

Case Study: Brak regularnego testowania strategii cyberodporności

Firma XYZ, międzynarodowy dostawca usług ITC (Information and Communications Technology), padła ofiarą ataku ransomware, który zaszyfrował krytyczne dane klientów i wewnętrzne dokumenty operacyjne, skutecznie paraliżując działalność firmy. Brak regularnych testów strategii cyberodporności sprawił, że kopie zapasowe były nieaktualne i częściowo niedostępne, plan reagowania na incydent okazał się niefunkcjonalny, a pracownicy nie wiedzieli, jakie kroki podjąć w celu minimalizacji strat.

Konsekwencją były nie tylko straty finansowe wynoszące 8 mln EUR, ale także zerwanie kluczowych kontraktów, utrata reputacji oraz konieczność wynajęcia kosztownych zewnętrznych ekspertów do odzyskania danych i przywrócenia działania systemów. Ponadto firma została obciążona grzywną regulacyjną za niewystarczającą ochronę danych klientów.

W odpowiedzi na incydent, XYZ wdrożyła kompleksowy program naprawczy obejmujący regularne symulacje cyberataków, modernizację i testowanie systemów zabezpieczeń oraz cykliczne szkolenia dla pracowników, co znacząco zwiększyło jej odporność na przyszłe zagrożenia i umożliwiło szybsze reagowanie na potencjalne incydenty.

Architektura bezpieczeństwa IT

Uwzględnienie kwestii związanych z architekturą IT, przygotowanie scenariuszy zdarzeń o wysokim prawdopodobieństwie wystąpienia oraz ich testowanie, co pozwala przygotować się na skuteczne reagowanie w sytuacjach kryzysowych, obejmuje:

• Wdrożenie modelu zero-trust, segmentacja sieci, kontrola dostępu. Model zero-trust zakłada, że każda tożsamość i urządzenie muszą być zweryfikowane przed uzyskaniem dostępu, co minimalizuje ryzyko nieautoryzowanego wejścia do systemu. Segmentacja sieci ogranicza rozprzestrzenianie się zagrożeń, a kontrola dostępu zgodna z zasadą najmniejszych uprawnień zapewnia, że użytkownicy otrzymują tylko niezbędne pozwolenia. Wdrożenie tych zasad znacząco wzmacnia cyberodporność organizacji.

Case Study: Naruszenie bezpieczeństwa z powodu braku zero-trust

Firma XYZ, dostawca usług chmurowych, doświadczyła poważnego incydentu cybernetycznego po tym, jak atakujący uzyskał dostęp do jednego z wewnętrznych kont administratora. Brak wdrożonego modelu zero-trust i niewystarczająca segmentacja sieci pozwoliły na szybkie rozprzestrzenienie się ataku, skutkując wyciekiem wrażliwych danych klientów.

Analiza wykazała, że brak kontroli dostępu i nadzoru nad uprawnieniami umożliwił atakującym eskalację uprawnień.

Po incydencie firma wdrożyła zasady zero-trust, podzieliła sieć na odseparowane segmenty oraz wprowadziła ścisłą kontrolę dostępu, co znacząco zwiększyło poziom jej cyberbezpieczeństwa.

Ocena istniejących planów odzyskiwania po awarii (DR) oraz planów reagowania na incydenty

Case Study: niedostateczna ocena planów odzyskiwania po awarii

Firma XYZ, duży operator logistyczny, doświadczyła poważnej awarii systemów IT w wyniku cyberataku, który unieruchomił kluczowe systemy zarządzania łańcuchem dostaw.

Pomimo posiadania formalnego planu odzyskiwania po awarii (DR), jego skuteczność nigdy nie została przetestowana w realistycznych warunkach. W rezultacie proces przywracania danych był chaotyczny – brakowało jasnych procedur, a zespoły IT nie były odpowiednio przygotowane na koordynację działań.

Skutkiem incydentu były wielodniowe opóźnienia dostaw, kary umowne od kontrahentów oraz znaczne straty finansowe sięgające kilku mln USD. Po incydencie firma przeprowadziła kompleksowy audyt planów DR, wdrożyła cykliczne testy odzyskiwania danych oraz wzmocniła współpracę między działami IT i operacyjnymi, co znacząco zwiększyło jej zdolność do skutecznego reagowania na przyszłe kryzysy.

Cyberodporność na próbę – kluczowe wyzwania i strategie działania

Wciąż istotnym wyzwaniem pozostaje dywersyfikacja zdolności reagowania na incydenty, umożliwienie dogłębnych analiz oraz identyfikacja technicznych przyczyn źródłowych ataku. Wiele instytucji zmaga się z problemami dotyczącymi procesów odzyskiwania i przywracania danych, które nie zawsze gwarantują ich poufność oraz integralność. Kolejnym kluczowym aspektem jest skuteczne raportowanie awarii organom kontrolnym oraz ocena ich wpływu na powiązane instytucje.

Aby zminimalizować skutki braku przepływu informacji, powstał dokument „Reconnection Framework”, opublikowany przez SIFMA (Securities Industry and Financial Markets Association). Przedstawia on pięcioetapowe ramy łagodzenia skutków incydentów cybernetycznych wpływających na ekosystem finansowy. Jego celem jest wsparcie instytucji w zakresie technicznych aspektów ponownego połączenia oraz szerokiego planowania odporności organizacji na ataki.

Nieustanna walidacja istniejących mechanizmów kontrolnych, ocena ich skuteczności oraz dostosowanie do dynamicznie zmieniającego się krajobrazu zagrożeń stanowią fundament strategii cyberbezpieczeństwa. Organizacje powinny regularnie przeglądać standardy bezpieczeństwa informacji, cyberbezpieczeństwa i ochrony prywatności, aby zapewnić zgodność z wymaganiami regulatorów oraz najlepszymi praktykami, takimi jak NIST Cybersecurity Framework.

Kluczowym krokiem w budowaniu odporności jest wdrażanie zaawansowanych wymagań kontrolnych dla krytycznych aktywów organizacji. Zespół ds. Polityki i Standardów odgrywa w tym procesie kluczową rolę, szczególnie przy ocenie lokalnych regulacji dotyczących odporności cybernetycznej. Zaawansowane testy obejmujące kluczowe zasoby oraz infrastrukturę pozwalają na rzetelną ocenę obecnego poziomu bezpieczeństwa cyfrowego oraz identyfikację obszarów wymagających wzmocnienia.

Budowanie holistycznej strategii cyberodporności

W świecie cyfrowym skuteczna ochrona organizacji wymaga połączenia zarówno cyberbezpieczeństwa jak i cyberodporności. Sama implementacja zabezpieczeń nie wystarczy – kluczowe jest holistyczne podejście, obejmujące:

• identyfikację ryzyk,
• regularne testowanie strategii,
• inwestycje w analizy zagrożeń,
• gotowość do reagowania na incydenty.

Cyberodporność nie jest jednorazowym projektem, lecz procesem ciągłego doskonalenia. Organizacje, które proaktywnie wzmacniają swoje systemy, testują scenariusze kryzysowe i inwestują w nowe technologie, mogą nie tylko skutecznie minimalizować skutki cyberataków, ale także szybciej przywracać normalne funkcjonowanie po incydencie. Tylko takie podejście pozwala na utrzymanie stabilności biznesowej w obliczu rosnących zagrożeń cyfrowych.

Źródła

• CIS Critical Security Controls Version 8.1
• NIST Releases Volumes 1 and 2 of SP 800-55 | CSRC
• 2022-06-asifma-data-vaulting-paper-formatted-final-pdf.pdf
• Industrial Control Systems (ICS) Security | SANS Institute
• In Pursuit of Digital Trust | ISACA

[1]Termin „severe but plausible scenarios” został wprowadzony przez Financial Conduct Authority (FCA) w Wielkiej Brytanii w kontekście testowania odporności operacyjnej dla firm finansowych. FCA użyło tego terminu, aby zachęcić firmy do przygotowywania się na scenariusze, które są poważne, ale możliwe do zaistnienia, w celu lepszego zarządzania ryzykiem operacyjnym. Inicjując tym samym proaktywne podejście do cyberbezpieczeństwa, które jest stale podnoszone na forum uznanych liderów branży cyberbezpieczeństwa oraz włączane w strategie firm i instytucji.

***

Jeśli interesuje Cię tematyka cyberbezpieczeństwa, zajrzyj koniecznie również do innych artykułów naszych specjalistów.