Z artykułu dowiesz się:
- co wpływa na bezpieczeństwo systemu informatycznego;
- jakie elementy należy wdrożyć zgodnie z obowiązującymi normami;
- które sektory przemysłowe powinny zwrócić szczególną uwagę na kwestie cyberbezpieczeństwa.
Jak prowadzić proces zarządzania ryzykiem w firmie? W dobie coraz częstszych ataków warto mieć świadomość, jak ocenić odporność naszej sieci na incydenty cybernetyczne.
Bezpieczeństwo sieci a także systemów informatycznych jest zdefiniowane w dyrektywie NIS 2 2022/2555/UE jako: „odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie zdarzenia, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem” [1].
Definicja systemu informatycznego (a także teleinformatycznego, który jest połączony z innymi dzięki sieci telekomunikacyjnych) mówi natomiast, iż system informatyczny to ta część systemu informacyjnego, w której do przetwarzania informacji wykorzystywane są środki techniki komputerowej [3].
Definicja ta obejmuje również przemysłowe systemy sterowania (ang. Industrial Control Systems, ICS) występujące wszędzie tam, gdzie mamy do czynienia z fizyczną realizacją procesów produkcyjnych, przesyłowych, magazynowych czy też transportu bliskiego. Podstawowe definicje przedstawia rys. 1.
Czym zatem jest odporność systemów i sieci informatycznych? Czy możemy z całą pewnością stwierdzić, iż nasze aktywa są wystarczająco bezpieczne a także odporne? Niestety nie, nigdy bowiem nie będziemy pewni, iż nasze sieci i systemy mają w danym momencie odpowiedni (wystarczający) poziom bezpieczeństwa i odporności na zagrożenia. Wynika to z faktu, iż bezpieczeństwo a także odporność (sieci i systemów) na incydenty są wartościami niemierzalnymi, występującymi najczęściej jako pojęcia jakościowe.
Jak zwiększać bezpieczeństwo i budować odporność?
Z pomocą przychodzi nam proces zarządzania ryzykiem w organizacji, podczas którego możemy zidentyfikować najważniejsze procesy przedsiębiorstwa, potencjalne zagrożenia dla tych procesów (w tym potencjalne incydenty dotyczące sieci i systemów informatycznych) jak również opracować zasady postępowania ze zbyt wysokim ryzykiem materializacji zagrożenia czy konsekwencji. Proces ten przedstawia rys. 2.
Budowanie odporności sieci i systemów informatycznych zarówno biurowych IT (ang. information technology, IT), jak również sterowania przemysłowego OT (ang. operational technology, OT) na incydenty cyberbezpieczeństwa jest procesem ciągłym i wynikającym z poziomu ryzyka wystąpienia incydentu (wartości prawdopodobieństwa materializacji zagrożenia a także wielkości jego potencjalnych konsekwencji).
Zarządzanie ryzykiem a odporność systemu informatycznego
Skuteczne prowadzenie procesu zarządzania ryzykiem w przedsiębiorstwie pozwala na zapewnienie odporności sieci i systemów informatycznych na poziomie wyznaczonym ryzykiem zaakceptowanym przez przedsiębiorstwo, np. najwyższe kierownictwo, zarząd. Oznacza to, iż odporność naszych sieci a także systemów wyznacza poziom ryzyka zaakceptowany przez organizację.
Umiejętne zarządzanie ryzykiem jest podstawą bezpiecznego funkcjonowania przedsiębiorstwa.
Zarówno atak zdalny (zwany potocznie atakiem hakerskim), jak i fizyczny na systemy informatyczne i sieci definiowane jest jako jeden ze sposobów realizacji zagrożenia poprzez nieuprawnione, celowe działanie człowieka powodujące niepożądaną zmianę wymaganych wartości istotnych kryteriów jakości informacji. Zagrożenie natomiast jest pojęciem szerszym i tak powinno być rozpatrywane podczas oceny ryzyka w przedsiębiorstwie.
Podstawowe elementy procesu zarządzania ryzykiem:
- prawidłowa identyfikacja kluczowych procesów w przedsiębiorstwie,
- identyfikacja potencjalnych zagrożeń dla tych procesów,
- identyfikacja podatności sieci a także systemów informatycznych,
- szacowanie i ocena ryzyka (z wykorzystaniem odpowiednich metod ilościowych a także jakościowych analizy ryzyka),
- opracowanie zasad postępowania ze zbyt wysokim ryzykiem (unikanie ryzyka, transfer ryzyka, kontrola ryzyka, retencja/zatrzymanie ryzyka),
- określenie kryteriów jego akceptacji.
Czytaj też >> Badania smarów łożysk tocznych w przemyśle
Wskazania – wymaganie i dobra praktyka
Należy mieć na uwadze, iż zarządzanie ryzykiem cyberbezpieczeństwa, zdarzeń zagrażających przedsiębiorstwu jako potencjalne incydenty cyberbezpieczeństwa, występuje jako wymaganie a także dobra praktyka.
A. WYMAGANIE:
- Ustawa o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r. [7] na podstawie dyrektywy NIS 2016/1148/UE (dotyczy operatorów usług kluczowych) [2],
- Dyrektywa NIS 2 2022/2555/UE [1] (dla podmiotów kluczowych, w tym administracji publicznej oraz podmiotów ważnych – znacznie szerszy zakres niż w dyrektywie NIS 2016/1148/UE); lista sektorów kluczowych i ważnych przedstawia tab. 1.
B. DOBRA PRAKTYKA w normach wskazanych w uzasadnieniu do obowiązującej ustawy o KSC:
- PN-EN ISO/IEC 27001:2017-06 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (obecnie: PN-EN ISO/IEC 27001:2023-08 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania) [5],
- PN-EN ISO 22301:2020-04 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania [4].
Ocena ryzyka powinna być przeprowadzana cyklicznie, co najmniej raz w roku, a także po każdej istotnej planowanej lub występującej niespodziewanie zmianie w działalności przedsiębiorstwa. Prawidłowo przeprowadzona ocena definiuje konieczność wdrożenia brakujących bądź też rozbudowy istniejących zabezpieczeń/środków ochronnych organizacyjnych, fizycznych i technicznych.