Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała raport dotyczący zagrożeń w 2017 r. Podkreślono w nim, że mimo rekordowych inwestycji w zakresie ochrony rozwiązań IT nie zmniejszyło się ryzyko utraty danych w wyniku cyberataków ani szybkość rozprzestrzeniania się zagrożeń. Najczęściej odnotowywane, zaraz za szkodliwym oprogramowaniem, były ataki wymierzone w aplikacje internetowe (webowe) i portale WWW. Nie jest to dobra informacja, szczególnie w kontekście motywów z preambuły 59 i 63 Rozporządzenia o ochronie danych osobowych (RODO). Wprowadzają one obowiązek zapewnienia dostępu do danych, ich sprostowania, żądania usunięcia oraz sprzeciwu drogą elektroniczną, szczególnie gdy informacje są przetwarzane w systemach zintegrowanych, dostępnych przez Internet.

Według zapisów RODO (motyw 74 i 83 z preambuły oraz art. 5 i 24) całkowita odpowiedzialność za przetwarzanie danych spoczywa na administratorze. Dotyczy ona wielu elementów, poczynając od określenia i oceny czynników ryzyka, przez reagowanie na nie, po monitorowanie całego środowiska, w którym przetwarzane są dane i raportowanie umożliwiające ocenę skuteczności środków bezpieczeństwa. Nie jest to łatwe, zwłaszcza gdy czynnikami wskazanymi przez ENISA, wpływającymi na niepokojące trendy na rynku bezpieczeństwa, są brak wiedzy właścicieli firm oraz umiejętności i możliwości ich pracowników w walce z zagrożeniami.

 

Firewall dla aplikacji

Małe i średnie firmy nadal nie są przyzwyczajone do ciągłego monitorowania i ochrony portali, stron, internetowych sklepów oraz e-usług. Zakładają, że zakupione przez nie rozwiązania zostały opracowane starannie, a ich regularna aktualizacja jest wystarczająca dla zapewnienia bezpieczeństwa i dostępności.

Problem ten dotyczy także szpitali, które w ostatnich latach przeszły dużą ewolucję pod względem technicznym i wciąż się rozwijają. Rejestry dla pacjentów coraz częściej udostępnia się elektronicznie, dzięki czemu mogą oni umówić się na wizytę, sprawdzić wyniki badań, a nawet załączyć do historii choroby wyniki z innych placówek. Coraz częściej używane są rozwiązania telemedyczne monitorujące stan zdrowia oraz przesyłające wyniki wykonywanych samodzielnie przez pacjenta badań do centrów medycznych, gdzie dokonywana jest ich analiza. Przetwarzanie szczególnych kategorii danych osobowych (danych wrażliwych) wymaga od administratora zastosowania przemyślanych narzędzi, minimalizujących ryzyko wycieku lub kradzieży informacji oraz zapewniających monitorowanie dostępu do nich, w tym bezpieczne (np. wieloskładnikowe) uwierzytelnianie i należyte raportowanie.

Artur Madejski

Product Manager Fortinet, Veracomp

Po ponad 20 latach obowiązywania w Polsce ustawy o ochronie danych osobowych nadchodzą zmiany ujednolicające przepisy w tym zakresie w całej Unii. Nie bez przyczyny nowe rozporządzenie wyraźnie skupia się na IT. Liczba systemów i aplikacji internetowych, nieporównywalna z ich liczbą w momencie wejścia w życie wspomnianej ustawy, tworzy zupełnie inną rzeczywistość, w której kwestie bezpieczeństwa są kluczowe. Najbardziej wrażliwe dane przetwarza się w placówkach ochrony zdrowia, ale z niemałymi problemami spotykają się też uczelnie. Korzystają one z wielu portali (studenta, e-biblioteki, wymiany plików) i aplikacji internetowych, które często zawierają dane osobowe. O tym, że stosowane przez polskie uczelnie zabezpieczenia są niewystarczające, świadczą liczne udokumentowane przypadki wycieku niezabezpieczonych dokumentów z danymi osobowymi zarówno uczniów, jak i kadry dydaktycznej.

 

Dostarczane przez Fortinet urządzenia z rodziny FortiWeb to systemy klasy WAF (Web Application Firewall), które zapewniają bezpieczeństwo usług i treści publikowanych w Internecie oraz wewnątrz sieci w danej placówce (intranet, systemy księgowe, ERP, HIS, RIS, LIS itp.). Chronią przed cyberzagrożeniami, które mogą przedostać się przez zainfekowany komputer lub smartfon łączący się z siecią zarówno z zewnątrz jak i z wewnętrznej sieci LAN. Zawierają rozbudowane silniki antywirusowe skanujące przesyłane pliki oraz szereg reguł, które stosowane są do ochrony, m.in. przed wstrzyknięciem złośliwego kodu SQL. Dzięki integracji ze środowiskiem sandbox zapewniają też ochronę przed nieznanymi zagrożeniami, np. nowymi mutacjami ransomware’u.

 

Architektura bezpiecznego dostępu

Według raportu ENISA jedną z przyczyn niewystarczającego poziomu bezpieczeństwa systemów IT jest segmentacja rynku rozwiązań ochronnych. Rzeczywiście, produktów zapewniających kompleksową ochronę przed atakami różnego pochodzenia jest niewiele. Stąd wzmożone zainteresowanie systemami typu SIEM. Korelują one informacje z wielu rozwiązań, a nawet zbierają i łączą dane z infrastruktury sieciowej. Tego typu narzędzia oferowane są przez Fortinet w ramach rodziny FortiSIEM.

Z kolei Fortinet Security Fabric jest przykładem grupy rozwiązań gwarantujących całościowe podejście do bezpieczeństwa w reakcji na wspomnianą przez ENISA segmentację rynku oraz znajdujący się w RODO art. 4 pkt 12 („niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie”). Środowisko to zapewnia wykrywanie nieznanych zagrożeń (zero-day) i nowych mutacji przez wielowektorową integrację izolowanego systemu FortiSandbox z rozwiązaniami chroniącymi stanowiska robocze (FortiClient), punkty styku (FortiGate), pocztę elektroniczną (FortiMail), aplikacje internetowe (FortiWeb), a także z narzędziem do kontroli dostarczania aplikacji (FortiADC).

Dzięki integracji przełączników oraz bezprzewodowych punktów dostępowych z FortiGate powstaje Architektura Bezpiecznego Dostępu, która umożliwia także scentralizowane zarządzanie infrastrukturą sieciową.

 

Ochrona przed wyciekiem poufnych informacji

Coraz większym zainteresowaniem cieszą się rozwiązania dostarczające mechanizmy Data Leak Prevention. Związane jest to z jednej strony z rosnącym ryzykiem ataku pochodzenia wewnętrznego, jak również nasilającym się zainteresowaniem cyberprzestępców wykradaniem poufnych danych. Rozporządzenie RODO w art. 4 pkt 2 określa zbiór czynności, które stanowią przetwarzanie danych i w tym przypadku istotny jest zapis: „ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie”.

Znajdujące się w ofercie Fortinet popularne urządzenia ochrony punktu styku FortiGate mają wbudowane mechanizmy DLP, które blokują transfer dokumentów lub innych plików, stanowiących firmowe poufne informacje, oraz treści wskazujące na przesyłanie tego typu danych poza bezpieczną sieć firmową.

 

Wyciek danych może być również spowodowany nieumyślnym działaniem użytkownika. W związku z tym art. 25 pkt 2 unijnego rozporządzenia nakłada na administratora wymóg wdrożenia odpowiednich środków, „by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”. FortiMail, jako rozwiązanie zabezpieczające środowisko poczty elektronicznej, wyposażony jest w mechanizmy DLP, a dzięki odpowiednio zdefiniowanym regułom czuwa, aby np. przesyłane poza domenę wiadomości nie zawierały w załącznikach lub treści informacji poufnych. Często również dba, by w korespondencji kierowanej do wielu odbiorców nie zostały upublicznione wszystkim ich adresy poprzez użycie pola „do wiadomości” (CC), zamiast „ukryte do wiadomości” (BCC).

Mechanizm ochrony z jednej strony musi być skuteczny, a z drugiej nie powinien zawierać złożonego algorytmu, którego działanie jest nieprzejrzyste i nieprzystosowane do wprowadzania zmian. Ze względu na odpowiedzialność administratora, ważne jest, aby mógł samodzielnie integrować narzędzie z systemami przetwarzającymi dane (w tym osobowe i wrażliwe) oraz tworzyć reguły polityki DLP, które nie będą wymagały każdorazowo prac integracyjnych ze strony dostawcy.

Wybranie najlepszego rozwiązania jest pierwszym krokiem do zapewnienia bezpieczeństwa IT w środowisku klienta. Równie ważne jest odpowiednie wdrożenie oraz skonfigurowanie systemu zabezpieczeń, w zależności od potrzeb firmy. Istotna jest w tym zakresie pomoc ekspertów. Specjaliści Veracomp, dystrybutora firmy Fortinet, mają kilkunastoletnie doświadczenie w pracy ze wszystkimi rozwiązaniami tego producenta. Mogą dzięki temu zapewnić kompleksowe i profesjonalne wsparcie, zarówno na etapie przedsprzedaży, jak i późniejszej implementacji oraz dostosowywania do potrzeb klientów.

Dodatkowe informacje: Artur Madejski,

Product Manager Fortinet, Veracomp, artur.madejski@veracomp.pl

Artykuł powstał we współpracy z firmami Fortinet i Veracomp.