Co to jest luka w zabezpieczeniach?

Luka to usterka w procedurach bezpieczeństwa systemu, projekcie, implementacji lub systemach kontroli wewnętrznej,
która może zostać wykorzystana (przypadkowo lub celowo) i skutkuje naruszeniem bezpieczeństwa lub polityki bezpieczeństwa systemu.

Podstawowe problemy, które mogą prowadzić do luk w zabezpieczeniach
Użytkownik
• może manipulować danymi przesyłanymi pomiędzy aplikacją kliencką (np. przeglądarka albo aplikacja mobilna) a serwerem
• może wysyłać żądania (mogą to być adresy w przeglądarce, lub polecenia z linii komend) w dowolnej kolejności i może przekazywać parametry na innym etapie niż oczekuje tego aplikacja
• Może korzystać z aplikacji przy pomocy innych kanałów niż przeglądarka internetowa w celu uzyskania dostępu - mogą to być np. aplikacje natywne, które mogą komunikować się z systemem operacyjnym urządzenia
Najczęstsze przyczyny błędów w zabezpieczeniach
• Brak dostatecznej świadomości w kwestii bezpieczeństwa Priorytetyzacja funkcjonalności biznesowych często doprowadza do zepchnięcia kwestii bezpieczeństwa na drugi plan. W takim przypadku CTO (Chief Technical Officer) powinien być motorem napędowym świadomości bezpieczeństwa w dziale rozwoju oprogramowania.   • Zmiany na zamówienie Modyfikacje znanych, bezpiecznych frameworków w celu spełnienia określonych wymagań klienta mogą prowadzić do powstania nowych luk w zabezpieczeniach. Zespół tworzący oprogramowanie powinien zadbać o dostateczneprzetestowanie modyfikacji pod kątem bezpieczeństwa (i dostarczyć klientowi raporty z wykonanych testów), aby zapewnić bezpieczeństwo końcowego produktu.   • Ograniczone zasoby Ograniczenia czasowe oraz budżetowe mogą prowadzić to wypuszczenia produktu posiadającego luki zabezpieczeń.

Nie stań się łatwym łupem dla cyberprzestępców

• Zagrożenia cybernetyczne stanowią istotne ryzyko dla rozwoju Twojej firmy. Z rozwiązaniami i produktami coraz bardziej opierającymi się na Internecie oraz chmurze, Twoja firma jest narażona na atak w stopniu większym, niż kiedykolwiek wcześniej. •  Twoja firma funkcjonuje w ciągle ewoluującym krajobrazie zagrożeń, wobec czego Twoje potrzeby w zakresie bezpieczeństwa również stale się zmieniają. Przedsiębiorczy napastnicy cały czas wprowadzają innowacje w swoim działaniu, aby znaleźć nowe wektory ataku. Ty również musisz myśleć nieszablonowo i poza granicami. • Krajobraz cyberzagrożeń ewoluuje i staje się coraz bardziej złożony, wobec czego musisz pamiętać, aby nie zaniedbywać budżetu na cyberbezpieczeństwo. Niedofinansowanie w zakresie narzędzi  i umiejętności może sprawić, że w zabezpieczeniach pojawi się luka, a firma będzie narażona na ataki. • Wykorzystuj analizę Koszt vs Ryzyko przy wszystkich zmianach w krajobrazie cyberbezpieczeństwa

Niepożądane działania wewnątrz firmy są częstsze niż myślisz!

• Oferowanie szkolenia dla swoich pracowników Edukacja jest ważnym elementem w ochronie firmy przed cyberatakami. Twoi pracownicy muszą wiedzieć, jakie niebezpieczeństwa wiążą się z klikaniem w niepożądane linki, lub z korzystaniem z oprogramowania, które nie zostało sprawdzone.
• Posiadanie polityki opartej na Principle Of Least Privilege (POLP) Kiedy już dobrze zrozumiesz, jak nadać priorytet bezpieczeństwu danych, możesz zastosować politykę, która ograniczy dostęp do danych w zależności od roli i funkcji. Wykracza to poza prostą autoryzację i uwierzytelnianie, a zamiast tego daje dostęp pracownikom tylko na zasadzie „need-to-have". Pomoże to zminimalizować ryzyko, na jakie narażona jest firma, poprzez zapewnienie, że dostęp do krytycznych danych i sieci jest mocno ograniczony. Ułatwia to również wykrycie źródła incydentu.
• Wdrożenie oprogramowania do monitorowania i zapobiegania dostępowi Po ciężkiej pracy, jaką jest ocena wewnętrznych potrzeb w zakresie bezpieczeństwa danych, można wdrożyć oprogramowanie, które monitoruje zachowanie i dostęp do sieci oraz ogranicza dostęp do poszczególnych części infrastruktury.
• Przygotuj plan reagowania na incydenty Żaden plan ani oprogramowanie nie daje 100% gwarancji zapobiegania atakom, dlatego ważne jest, aby zaplanować i przygotować się na najgorsze scenariusze. Wykorzystując wymienione wcześniej rodzaje zagrożeń wewnętrznych oraz przedstawioną przez nas ocenę danych krytycznych, można prześledzić różne scenariusze: Co by się stało, gdyby niedawno zwolniony pracownik wyłączył automatyczne aktualizacje krytycznego oprogramowania? Co by się stało, gdyby zewnętrzny dostawca infrastruktury padł ofiarą naruszenia danych? Co by się stało, gdyby pracownik działu finansowego kliknął na link w wiadomości phishingowej?
Współpracuj z działem cyberbezpieczeństwa, aby prześledzić możliwe scenariusze i stworzyć plany reagowania na incydenty, które pokrywają się z tymi możliwościami. Zalecamy nadanie priorytetu scenariuszom, które mogą mieć wpływ na proces biznesowy, zagrażać danym klientów lub poważnie wpłynąć na reputację firmy. Twój plan reagowania na incydent powinien skupiać się na redukcji szkód, ograniczeniu dodatkowego ryzyka, komunikacji wewnętrznej i zewnętrznej oraz jak najszybszym powrocie do stanu operacyjnego.

• Błędne dostarczenie wiadomości e-mail
Błędne dostarczenie wiadomości e-mail było piątą najczęstszą przyczyną naruszeń bezpieczeństwa cybernetycznego - 58% pracowników przyznało się do wysłania wiadomości e-mail do niewłaściwej osoby w pracy.
 

• Brak dbania o bezpieczeństwo haseł
W wielu organizacjach hasła stanowią pierwszą linię obrony przed cyberbezpieczeństwem. Jednak często są one również pierwszym słabym punktem - 61% przypadków naruszenia bezpieczeństwa jest spowodowanych kradzieżą lub ujawnieniem danych uwierzytelniających użytkownika.
 

• Nieodpowiednie/niekompletne/opóźnione łatanie oprogramowania
Cyberprzestępcy wykorzystują luki w oprogramowaniu, aby uzyskać dostęp do sieci, systemów i danych przedsiębiorstwa. Kiedy takie luki zostają wykryte, twórcy oprogramowania (lub producenci) naprawiają je i udostępniają poprawki wszystkim użytkownikom, jednak do tego czasu Twoja firma jest narażona na atak.
 

• Słaba kontrola dostępu
Nieodpowiednia kontrola dostępu jest kolejnym poważnym błędem ludzkim w naruszeniach bezpieczeństwa cybernetycznego, ponieważ umożliwia osobom trzecim przejęcie kontroli nad siecią przedsiębiorstwa.

Twoja firma może łatwo poznać swój poziom gotowości w kwestii cyberbezpieczeństwa poprzez zbadanie zagadnień wymienionych poniżej.  Pomoże Ci to wskazać luki w bezpieczeństwie Twojej organizacji i zastosować odpowiednie praktyki. Zagadnienia do zbadania to:

• Biurowe zapory sieciowe • Bezpieczna konfiguracja • Łatanie oprogramowania • Najlepsze praktyki dotyczące kont użytkowników i kont administracyjnych • Ochrona przed złośliwym oprogramowaniem • Świadomość słabych punktów haseł • Podstawowa ocena ryzyka

Posiadanie odpowiednich narzędzi cyberbezpieczeństwa w małej firmie stało się niezbędne - 60% małych firm zamyka działalność w ciągu kilku miesięcy od cyberataku.

• Firewall’e i bezpieczeństwo sieci • Bezpieczeństwo poczty elektronicznej • Hasła • Antywirus

 

Niektóre z praktyk, które pomogą Twojej firmie być lepiej chronioną przed zagrożeniami cybernetycznymi:

• Unikaj nieznanych wiadomości e-mail, linków i wyskakujących okienek • Zachowaj ostrożność z niesprawdzonymi pendrive’ami • Używaj uwierzytelniania wieloskładnikowego (MFA) • Zadbaj o bezpieczeństwo swojego urządzenia mobilnego • Używaj silnych haseł • Bądź świadomy mechanizmów inżynierii społecznej • Korzystaj z bezpiecznej sieci WI-FI • Zapewnij odpowiednią ochronę danych • Instaluj niezwłocznie aktualizacje oprogramowania • Używaj firewall’a w pracy lub w domu • Kontaktuj się z działem IT, gdy napotkasz problem, lukę bądź próbę ataku

Oto niektóre z najczęściej spotykanych błędów, na które Twoja firma powinna zwrócić uwagę podczas tworzenia własnej aplikacji webowej:

• Wprowadzenie danych do bazy bez wcześniejszego sprawdzenia • Skupienie się na systemie jako całości • Tworzenie od zera własnych metod bezpieczeństwa • Traktowanie bezpieczeństwa jako ostatniego kroku • Przechowywanie haseł w postaci tekstowej • Brak testów penetracyjnych strony internetowej • Tworzenie słabych haseł • Przechowywanie niezaszyfrowanych danych w bazie • Nie szyfrowanie danych wrażliwych • Posiadanie przestarzałego oprogramowania • Używanie komponentów oprogramowania ze znanymi podatnościami

Podane przypadki mają miejsce najczęściej jako wynik podejmowania decyzji dotyczących cyberbezpieczeństwa w oparciu o intuicję i doświadczenie, a nie o istniejące trendy i skutki cyberataków.

ZAUTOMATYZOWANE WYKORZYSTANIE ZNANEJ LUKI W ZABEZPIECZENIACH Zagrożony zasób: System operacyjny (OS) komputera. Zapobieganie: użycie oprogramowania do zarządzania poprawkami w celu skanowania sieci, identyfikacji brakujących poprawek i aktualizacji oprogramowania oraz scentralizowanej dystrybucji poprawek, aby zapewnić aktualność wszystkich urządzeń. Ponadto, Twoja firma może wyszkolić pracowników, aby sami instalowali niezbędne poprawki.		ZŁOŚLIWY E-MAIL HTML Zagrożony zasób: komputer, telefon komórkowy, tablet, dowolny sprzęt, który może wyświetlić złośliwe e-maile. Zapobieganie: wdrożenie ścisłe filtrowanie spamu, aby tego typu maile nie pojawiały się w skrzynce odbiorczej użytkownika. Konieczne jest również podniesienie świadomości pracowników na temat bezpieczeństwa poczty elektronicznej. Pracownicy muszą być świadomi zagrożeń płynących ze spamu. Możesz wdrożyć okresowe szkolenia dla pracowników w zakresie rozpoznawania spamu.
NIEOSTROŻNE SURFOWANIE PO SIECI Zagrożony zasób: komputery, tablety, telefony komórkowe podłączone do sieci firmowej. Zapobieganie: Twoi pracownicy powinni być świadomi niebezpieczeństw związanych z nieostrożnym przeglądaniem Internetu.Twoja firma może również monitorować ruch sieciowy, aby kontrolować strony odwiedzane przez pracowników i zapobiegać niebezpieczeństwom. Wdrożenie w firmie polityki związanej z użytowaniem Internetu może być konieczne dla bezpiecznego funkcjonowania.		DANE UTRACONE NA URZĄDZENIU PRZENOŚNYM Zagrożony zasób: urządzenie przenośne i przechowywane w nim poufne dane. Zapobieganie: Większość urządzeń przenośnych posiada opcję szyfrowania wszystkich danych użytkownika na tych urządzeniach i/lub wymaga podania hasła w celu uzyskania dostępu do danych. Stwórz politykę zobowiązującą wszystkich pracowników do korzystania z tej funkcji w urządzeniach przenośnych używanych w pracy. Korzystaj z oprogramowania Mobile Device Management (MDM), które pomaga firmie zarządzać urządzeniami mobilnymi i w razie potrzeby wymazać zdalnie wszystkie dane z urządzenia.
KORZYSTANIE Z OTWARTYCH SIECI WIFI Zagrożony zasób: cała sieć firmowa i urządzenie pracownika. Zapobieganie: Wszystkie urządenia w firmie powinny mieć zaktualizowane oprogramowanie antywirusowe, anty spyware/malware i firewall. Jeśli pracownicy często bywają w podróży warto również pomyśleć o VPN. Pracownicy nie powinni posiadać uprawnień do wyłączenia zabezpieczeń.		BRAK PLANOWANIA AWARYJNEGO Zagrożony zasób: Może mieć wpływ na całą infrastrukturę IT MŚP. Zapobieganie: Podstawowym rozwiązaniem jest opracowanie polityki ciągłości działania. Chociaż opracowanie polityki może być trudnym zadaniem, zewnętrzny ekspert może pomóc w tym przypadku.

Wpływ gospodarczy
Cyberataki często powodują znaczne straty finansowe wynikające z:

• kradzieży informacji korporacyjnych • kradzieży informacji finansowych (np. danych bankowych lub danych kart płatniczych) • kradzieży pieniędzy • zakłócenia w handlu (np. niemożność przeprowadzania transakcji online) • utraty klientów lub zleceń
Przedsiębiorstwa, które ucierpiały w wyniku ataku cybernetycznego, ponoszą również koszty związane z naprawą dotkniętych systemów, sieci i urządzeń.

Uszkodzenie reputacji

Zaufanie jest istotnym elementem relacji z klientami. Cyberataki mogą zaszkodzić reputacji Twojej firmy i podkopać zaufanie, jakim darzą Cię klienci. To z kolei może potencjalnie prowadzić do:

Skutki utraty reputacji mogą również mieć wpływ na dostawców lub na relacje z partnerami, inwestorami i innymi stronami trzecimi zaangażowanymi w działalność firmy.

Skutki prawne

Przepisy dotyczące ochrony danych i prywatności wymagają zarządzania bezpieczeństwem wszystkich przechowywanych danych osobowych - zarówno pracowników, jak i klientów. Jeśli dane te zostaną przypadkowo lub celowo naruszone, a firma nie wdrożyła odpowiednich środków bezpieczeństwa, może zostać ukarana grzywną lub sankcjami prawnymi.

Pomimo tego, że MŚP przyspieszają swoje wysiłki w zakresie cyfryzacji, aby sprostać dzisiejszemu konkurencyjnemu klimatowi gospodarczemu, mogą mieć trudności z dokonaniem niezbędnych inwestycji w bezpieczeństwo - czy to poprzez stworzenie wewnętrznego zespołu specjalistów, czy też skorzystanie z kosztownego wsparcia zewnętrznego dostawcy. 
Bez gotowej puli talentów, trudno jest zaplanować, skonfigurować i utrzymać właściwą infrastrukturę cyberbezpieczeństwa w celu ochrony przed zagrożeniami spowodowanymi błędem ludzkim, zarówno teraz jak i w przyszłości.
 

Obszary, w których może to mieć wpływ:   • Działanie na szkodę marki  • Utrata klientów • Trudności z pozyskaniem nowych klientów • Brak możliwości rozszerzenia swojej działalności

Ubezpieczenie cybernetyczne ma na celu ochronę firmy przed zagrożeniami informatycznymi i umżliwia pokrycie kosztów utraty, uszkodzenia lub kradzieży systemów lub danych w przypadku ataku cybernetycznego.

Co obejmuje ubezpieczenie cybernetyczne?

Większość polis ubezpieczeniowych dotyczących cyberbezpieczeństwa zazwyczaj pokrywa koszty poniesione przez strony dotknięte atakiem cybernetycznym:

• Ubezpieczenie cybernetyczne od odpowiedzialności cywilnej obejmuje szkody poniesione przez Twoją firmę, takie jak koszty dochodzenia w sprawie cyberprzestępstwa, przywrócenia systemów informatycznych, odzyskania utraconych danych, utraty reputacji, wymuszeń żądanych przez cyberprzestępców oraz koszty związane z zamknięciem działalności.

• Ubezpieczenie cybernetyczne od odpowiedzialności cywilnej dla osób trzecich obejmuje aktywa innych osób, zazwyczaj klientów, oraz wszelkie potencjalne roszczenia wobec Państwa, w tym odszkodowania i ugody, a także koszty prawne związane z obroną Państwa firmy.

Oceniając ryzyko klienta, ubezpieczyciele zazwyczaj skupiają się na następujących głównych kategoriach:

• Zasoby dedykowane   • Polityka i Procedury   • Świadomość pracowników   • Reagowanie na incydenty   • Środki bezpieczeństwa   • Zarządzanie dostawcami   • Nadzór zarządu

Czy moja firma potrzebuje ubezpieczenia cybernetycznego?

Jeśli Twoja firma wykorzystuje, wysyła lub przechowuje dane elektroniczne, możesz być narażony na cyberprzestępstwa. Ubezpieczenie cybernetyczne może pomóc w pokryciu kosztów finansowych i kosztów związanych z utratą reputacji, jeśli firma padnie ofiarą ataku cybernetycznego.

Ubezpieczenie od cyberbezpieczeństwa (oraz ubezpieczenie od odpowiedzialności cywilnej w związku z cyberprzestępczością) może pomóc Twojej firmie w dalszym ograniczaniu ryzyka poprzez zrekompensowanie części kosztów związanych z usuwaniem skutków incydentów cybernetycznych.

Mogą to być wydatki związane z: • zarządzaniem incydentem cybernetycznym • dochodzeniem w sprawie naruszenia przepisów • powiadomieniem osób której dotyczy wyciek danych • odpowiedzialnością - naruszenie prywatności lub danych poufnych • opłatami za usługi profesjonalne związane z działaniami windykacyjnymi • przerwą w działalności gospodarczej, np. z powodu przestoju sieci