Jak URZĄDzić bezpieczeństwo

Kontrola cyberbezpieczeństwa urzędów przez NIK

Dotarła do nas informacja, że są już wyniki kontroli NIK dotyczące tego, na ile urzędy po pandemii dostosowały bezpieczeństwo swoich procesów do wytycznych Systemu Zarządzania Bezpieczeństwem Informacji. Sprawdzono, w jaki sposób między 8 marca 2020 a 31 marca 2021 w 142 urzędach przetwarzane były dane podczas pracy na odległość. Kontrolerzy zbadali, czy zapewniono w tym czasie należytą organizację bezpieczeństwa informacji oraz czy i w jakim zakresie wdrożono rekomendowane przez ZBI rozwiązania techniczne.

Wyniki? 

W połowie urzędów pracujących zdalnie w czasie pandemii nie wprowadzono systemu zarządzania bezpieczeństwem informacji. Co więcej, niektóre z nich nie stosowały nawet własnych polityk bezpieczeństwa – głównie dbały o dane osobowe, ignorując inne poufne informacje przetwarzane przez pracujących na co dzień zdalnie urzędników.

Czy przebywający na home office urzędnicy w badanym przez NIK czasie padali ofiarą cyberataków? Z danych departamentu cyberbezpieczeństwa KPRM wynika, że w 2020 r. doszło do 388 incydentów bezpieczeństwa w administracji publicznej, a do sierpnia 2021 r. do kolejnych 287. Patrząc na najnowsze statystyki, mogło być ich jednak więcej. Według Check Point z początku czerwca tego roku przeciętna polska firma atakowana była średnio 938 razy w tygodniu. Urzędy i administracja z publiczna z pewnością była również gorącym celem cyberprzestępców. 

Przyznać trzeba więc, że jesteśmy dla intruzów po prostu łakomym kąskiem. Rekomendacje – wśród których znalazło się między innymi stosowanie uwierzytelniania wieloskładnikowego – nie zostały wprowadzone. Jak podaje NIK, podstawowymi kanałami przesyłania informacji niezbędnych do wykonywania zadań w polskiej administracji na odległość były: poczta elektroniczna oraz szyfrowane połączenie VPN. W trzech urzędach dopuszczono możliwość wykorzystywania w celach służbowych także prywatnych kont mailowych, a w dwóch z nich określono warunki, jakie należało spełnić, aby z tej możliwości można było korzystać. Jednym z nich było uzyskanie pisemnej zgody administratora danych lub administratora systemów informatycznych. Takich warunków nie określono w Urzędzie Ochrony Zabytków w Olsztynie.

Podsumowując, w czasach, kiedy wciąż mówi się o bezpieczeństwie, kiedy intruzi wymyślają najbardziej wysublimowane ataki, wykorzystujące brak wiedzy i uwagi użytkowników, kiedy rządy innych państw właśnie z tego powodu wdrażają zaawansowane polityki bezpieczeństwa oparte na najbardziej niezawodnym standardzie FIDO2 i sięgają po modele zero trust i passwordless, u nas nadal brakuje dobrych decyzji i ruchów.

Są też jednak dobre informacje. Wśród instytucji i organizacji działających w Polsce widać zaangażowanie i potrzebę wdrażania najbardziej nowoczesnych i wygodnych rozwiązań bezpieczeństwa. Na co dzień dużo rozmawiamy o dobrej, skutecznej kontroli podczas logowania użytkowników. Namawiamy firmy do stosowania niezawodnego i bezpłatnego standardu MFA, czyli FIDO2. Uczymy je, że dziś da się przeprowadzić wdrożenie, które jest mało inwazyjne i nie musi wiązać się z zaangażowaniem specjalistów od cybersecurity, których – jak wiedzą wszyscy – wszędzie brakuje. Odczarowujemy mit związany z tym, że nie da się wprowadzić bezhasłowego, wieloskładnikowego uwierzytelniania w dużej firmie na wszystkich aplikacjach. I chociaż na początku brzmi to bardzo nierealnie, to wielu przekonało się, że się da. Wśród organizacji, które uwierzyły są instytucje najbardziej wymagające. Naszej technologii User Access Security Broker używa dziś m.in. Bank BNP Paribas Polska

Mam nadzieję, że urzędy zaobserwują dziejące się obok zmiany i zaczną nie tylko wdrażać rekomendacje, ale też stosować technologie nie tylko poprawiające bezpieczeństwo, ale też ułatwiające codzienne życie. 

Czytaj więcej

Referencje

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.