Jak zapewnić ciągłość działania w IT?

Badanie przeprowadzone wśród specjalistów do spraw cyberbezpieczeństwa przez firmę Bitdefender pokazało, że prawie 9 na 10 firm potwierdza wzrost liczby incydentów naruszających bezpieczeństwo informacji oraz IT. Tylko połowa z nich posiada plany ciągłości działania oraz plany awaryjne. Może to oznaczać, że w pierwszych miesiącach pandemii biznes koncentrował się na ustabilizowaniu zmian w procesach. To wynik reorganizacji pracy po przejściu na tryb zdalny lub hybrydowy. Kolejnym etapem będzie intensyfikacja prac przedsiębiorstw oraz działów IT w zakresie utrzymania ciągłości działania.

Dlaczego ważne jest posiadanie skutecznego planu ciągłości działania w IT?

Brak takiego planu może generować straty finansowe na poziomie całej instytucji. Niezależnie od tego czy mamy na myśli przedsiębiorstwo produkcyjne, handlowe czy usługowe, realizacja ich procesów jest w dużym stopniu uzależniona od skuteczności wsparcia działu IT. W momencie, w którym dział IT nie jest w stanie skutecznie wspierać biznesu, organizacja traci lub ogranicza swoje możliwości generowania przychodów.

Ponadto, utrata ciągłości działania może spowodować straty reputacyjne, zarówno wewnątrz organizacji, negatywnie wpływając na postrzeganie działu IT jak i poprzez utratę marki wśród Klientów, którzy nie otrzymują swoich produktów lub usług w terminie. Brak skutecznego planu ciągłości działania może powodować również ryzyko kar regulacyjnych. Szczególnie w przypadku nieumiejętnej ochrony lub obchodzenia się z danymi wrażliwymi oraz ich odpowiedniej utylizacji.

Zapewne wszyscy mamy jeszcze w pamięci przypadek Morele.net, które w wyniku cyberataku w listopadzie 2018 roku utraciły dane 2,2 mln klientów, co doprowadziło później do wyłudzenia przez hakerów od wielu z nich danych dostępowych do kont bankowych i kradzieży środków finansowych. Za niedostosowanie środków bezpieczeństwa do zagrożeń Morele.net otrzymały rekordową karę 2,83 mln zł od UODO.

W lipcu tego roku ofiarą cyberataku padł lider smartwatchy i fitness trackerów, Garmin. Włamanie wstrzymało usługi Garmin Connect i zaszyfrowało dane Użytkowników. Hakerzy wysunęli żądanie 10 mln USD okupu. Po negocjacjach firma zapłaciła 4,5 mln USD za pozyskanie klucza deszyfrującego.

O czym pamiętać, pracując nad planem ciągłości działania w dziale IT?

Zaczynając od najbardziej naturalnego obszaru, czyli infrastruktury, plan ciągłości działania powinien zawierać zidentyfikowane kluczowe komponenty IT oraz ich zabezpieczenie pod kątem wpływu czynników zewnętrznych. Rozumiemy je jako zdarzenia losowe, czy infrastruktury w kontekście kontroli dostępu. Jest to obszar, którego istotę najłatwiej przekazać osobom spoza działu IT, w tym Zarządowi.

Kolejnym obszarem jest zarządzanie bezpieczeństwem danych – jak długo powinny być przechowywane, kto powinien mieć do nich dostęp, ale także określenie zasad obejmujących kopie zapasowe, nośniki oraz ich utylizację. To jeden z często pomijanych elementów, a nieprawidłowa procedura może skutkować ich wyciekiem, co niesie za sobą ryzyko olbrzymich kar regulacyjnych.

Nie mniej istotne są parametry określające RTO (Recovery Time Objective). To zdefiniowanie, ile czasu zajmie przywrócenie poszczególnych systemów oraz procesów. Ważny jest także RPO (Recovery Point Objective) określający dozwolony poziom utraty danych w systemie.

Myśląc o zabezpieczeniach informacji, nie sposób nie wspomnieć o kwestii ochrony danych osobowych. Zawsze pojawia się pytanie, „czy zrobiliśmy wszystko, co mogliśmy zrobić, przygotowując się i też w trakcie tego ataku?”. Po to, żeby zminimalizować po prostu zagrożenia i ich skalę. Faktycznie wysokość kar, które grożą za naruszenie ochrony danych osobowych, powoduje, że powinniśmy w naszych organizacjach poświęcić wymaganą ilość czasu, żeby przeanalizować te ryzyka i przygotować się na różne scenariusze. Gdy taka sytuacja nastąpi, pracownicy będą mogli działać zgodnie z wcześniej przemyślanym planem. Na przykład, poprzez odcięcie miejsc możliwego wejścia atakujących. Jest to często bardziej skuteczne niż decyzje podejmowane na bieżąco, w stresujących sytuacjach.

Zabezpieczenie kluczowych procesów IT

Następnym obszarem, który warto uwzględnić w planie ciągłości działania naszego działu IT, jest zabezpieczenie kluczowych procesów IT. To najczęściej te, które wspierają lub utrzymują działanie całego biznesu. Warto podkreślić, że przygotowanie planów bez odpowiedniej analizy ryzyka i wpływu na biznes będzie obarczone  prawdopodobieństwem, że jednak przygotujemy się na ryzyko, którego prawdopodobieństwo jest bardzo niskie. Poniesiemy spore koszty, zabezpieczając się, przed czym warto byłoby się ochronić w zupełnie inny sposób. Na przykład, możemy wykupić ubezpieczenie albo przygotować outsourcing jakiegoś procesu.

W ramach zabezpieczenia tych krytycznych procesów IT nie można zapomnieć o personelu, czyli o kluczowych osobach, ich rolach i odpowiedzialnościach. Warto też pomyśleć o zabezpieczeniu wiedzy w ramach działania kadry — nie można założyć, że dana osoba zawsze będzie dostępna. Należy przyjąć założenie, że ktoś inny będzie musiał wykonać odpowiednie kroki. Dodatkowo niezwykle istotnym aspektem jest zapewnienie dostępu do planów ciągłości działania dla wszystkich postaci, które potrzebują mieć do niego dostęp. Przy jednoczesnym zachowaniu poufności, czyli upewnieniu się, że plany nie zostaną upublicznione w gronie szerszym, niż jest to niezbędne.

Weryfikacja skuteczności zabezpieczeń

Testy planu ciągłości działania powinny pokrywać wszystkie lub większość zidentyfikowanych w trakcie analizy ryzyk i zagrożeń. Istotnym, a nierzadko pomijanym aspektem, jest informowanie Zarządu o ich wynikach. Równie ważne jest określenie, w jakim trybie i w jaki sposób zostaną zaimplementowane środki naprawcze i ich późniejsza weryfikacja. Regularność przeprowadzania testów jest kluczem do skuteczności. W przeciwnym razie może okazać się, że nie ma już niektórych ról w organizacji. Co więcej, system już nie działa, bo doszło do przejęcia jego funkcjonalności przez inny podmiot. Wtedy właściwie zostajemy z papierem, który nas przed niczym nie chroni.

Ostatnim elementem, równie istotnym, jest zabezpieczenie formalne dla audytu. Skupia się ono na odpowiedniej dokumentacji wszelkich procedur w ramach planu ciągłości działania. Określane są role, odpowiedzialności, testy, implementacje środków naprawczych oraz skutki obecne i potencjalne. Warto wspomnieć, że taka dokumentacja jest istotnym elementem, jeśli chodzi o zabezpieczenie przetwarzania danych osobowych. Możemy mieć w niej sformalizowane decyzje podjęte po analizie ryzyka. Jeśli zdarzy się atak, będzie można wykazać podczas kontroli UODO, że dochowano staranności w zabezpieczeniu danych.

Czy plan ciągłości działania jest kompletny i skuteczny?

W odpowiedzi na to szeroko postawione pytanie możemy wspomnieć o usłudze badania przesiewowego ciągłości działania. Jest to spojrzenie z lotu ptaka, oceniające dojrzałość poszczególnych elementów. Badanie polega na przeprowadzeniu wywiadów z pracownikami działu IT, oraz wypełnieniu dedykowanej ankiety, która pokrywa wcześniej przytoczone obszary.

Stworzony zawiera ocenę stanu bieżącego, stopień dojrzałości zarządzania procesu zarządzania ciągłością działania w poszczególnych obszarach oraz rekomendacje. Dotyczą one jednakowo tych elementów planu, które należy uzupełnić oraz funkcjonujących prawidłowo. Raport zawiera także szacunkowy koszt wdrożenia rekomendacji oraz strat, które organizacja może ponieść, w przypadku materializacji ryzyka oraz niewdrożenia rekomendacji. Aby dowiedzieć się więcej, postaw na konsulting IT — zadbamy o bezpieczeństwo Twojego biznesu.

Maciej Dudkowski i Artur Kret
Altkom Software & Consulting