Rekomendowane standardy bezpieczeństwa danych w systemach informatycznych

Share 0
Share 0
Post 0


Rekomendowane standardy bezpieczeństwa danych przetwarzanych w systemach informatycznych 

Co znajdziesz w artykule

  • Podstawy cyberbezpieczeństwa
  • Rodzaje i zakres danych przetwarzanych w firmach
  • Zagrożenia i konsekwencje incydentów
  • Wektory ataków
  • Zabezpieczenie urządzeń końcowych
  • Zabezpieczenie poczty elektronicznej
  • Zabezpieczenie serwerów i danych
  • Zabezpieczenie danych w systemach
  • Zarządzanie bezpieczeństwem


Rosnące zagrożenie cyberatakami, potwierdzone informacjami o udanych atakach na wiele polskich firm z różnych branż, skłania do refleksji nad tym, co należy zrobić, aby przeciwdziałać potencjalnym szkodom. Straty mogą być nie tylko finansowe, lecz także wizerunkowe – firma, która padnie ofiarą ataku, traci możliwość normalnego funkcjonowania, ale również naraża na szwank swoją reputację. Przestój nawet kilkudniowy często można pokryć z wypracowanych zysków, jednak utraty klientów, którzy obawiają się wycieku danych, nie da się łatwo odrobić.

Poniżej przedstawiamy podstawowe pojęcia z zakresu cyberbezpieczeństwa oraz wskazujemy, jak należy myśleć o zabezpieczeniach w praktyce. Celowanemu atakowi bardzo trudno zapobiec, zwłaszcza jeśli najsłabszym ogniwem jest człowiek. Mimo to, wdrażając dobrze zaprojektowane zabezpieczenia i odpowiednio je utrzymując, można znacząco ograniczyć ryzyko powodzenia ataku i drastycznie zmniejszyć jego skutki.

Czym jest system informatyczny?

Firmy przechowują dane w wielu różnych systemach i na różnych urządzeniach.
Do najczęstszych należą:

  • Systemy ERP (księgowość, kadry, programy fakturujące i handlowe)
  • Systemy branżowe (MES, WMS, obieg dokumentów, e-commerce)
  • Serwery plików
  • Poczta elektroniczna
  • Chmury danych (OneDrive, Dropbox, Google Drive, OwnCloud, SharePoint)
  • Komputery i urządzenia mobilne pracowników

Jakie dane podlegają przetwarzaniu

Zakres danych przetwarzanych w postaci elektronicznej jest bardzo szeroki i trudny do pełnego skatalogowania. Najczęściej spotykane przykłady to:

  • Dane osobowe pracowników i klientów: imiona, nazwiska, adresy zamieszkania, adresy e-mail, numery telefonów, numery PESELnumery rachunków bankowych.
  • Dane finansowe: zestawienia, budżety, koszty, kwoty zakupów i sprzedaży.
  • Dane stanowiące tajemnicę przedsiębiorstwa: umowy, strategie, oferty, projekty w fazie opracowania.
  • Dane kooperantów: nazwiska, adresy e-mail, formaty faktur, wzory pism, szablony dokumentów.

Zagrożenia i konsekwencje incydentów bezpieczeństwa

Istnieje wiele zdarzeń uznawanych za incydenty bezpieczeństwa, czyli sytuacje, w których integralność lub dostępność przetwarzanych danych została zagrożona. Incydenty mogą mieć różny charakter i konsekwencje:

Rodzaje incydentów:

  • Całkowita lub częściowa utrata danych w wyniku awarii lub błędu sprzętu/oprogramowania, np. awarii serwera, kradzieży urządzenia (w tym telefonu), pożaru, zalania, problemów z zasilaniem czy klimatyzacją.
  • Niedostępność danych i zaburzenie funkcjonowania firmy – najczęściej spowodowane awariami lub atakami hakerskimi (szyfrowanie danych, niszczenie zasobów).
  • Wyciek lub utrata danych w wyniku ataku hakerskiego (malware, ransomware itp.).

Konsekwencje:

  • Czasowa lub długotrwała niemożność prowadzenia działalności. W zależności od skali i stopnia informatyzacji firmy może dojść do istotnych strat finansowych wynikających z utraty klientów czy niezrealizowanych umów.
  • Bezpośrednie straty finansowe (np. poprzez podmianę rachunków bankowych w celu wyłudzenia przelewów).
  • Utrata reputacji – np. w wyniku podmiany firmowej strony internetowej na treści nieodpowiednie (pornografia, phishing itp.).
  • Kary finansowe z tytułu naruszeń przepisów (np. RODO, NIS2).
  • Roszczenia cywilne od klientów, których dane wyciekły lub zostały ujawnione osobom niepowołanym.

Wektory ataków

Potencjalnych dróg, którymi hakerzy uzyskują dostęp do danych firmowych lub powodują niedostępność systemów, jest wiele. Poniżej najczęstsze:

  • Atak socjotechniczny – wykorzystanie niewiedzy lub nieuwagi użytkownika w celu wyłudzenia danych logowania albo uzyskania dostępu do stacji roboczej.
  • Wprowadzenie złośliwego oprogramowania (malware) – np. poprzez otworzenie załącznika w wiadomości e-mail lub pobranie pliku z podejrzanej strony. Po zainfekowaniu komputera atakujący może rozprzestrzenić się na inne urządzenia w sieci, szyfrować dane, podmieniać dokumenty itp.
  • Wykorzystanie podatności w systemach dostępnych z sieci Internet. Luki w oprogramowaniu pozwalają na wykonanie złośliwego kodu i przejęcie kontroli nad serwerem.
  • Atak typu DoS/DDoS – generowanie ogromnej liczby zapytań, które przeciążają serwer i czynią go niedostępnym.
  • Przejęcie poświadczeń – np. poprzez wyciek haseł ze sklepu internetowego, w którym użytkownik używa tych samych danych logowania co w systemach firmowych. Brak wieloskładnikowego uwierzytelniania ułatwia ten rodzaj ataku.

Zabezpieczenie komputerów i urządzeń mobilnych pracowników

Wszystkie komputery i urządzenia pracowników, które przetwarzają dane firmowe lub mają z nimi styczność, powinny:

  • Posiadać aktualną i centralnie zarządzaną ochronę antywirusową (EDR/XDR), uwzględniającą aktywne moduły wykrywające i blokujące ataki oraz szyfrowanie danych przez złośliwe oprogramowanie.
  • Być szyfrowane w całości, jeśli są wynoszone poza siedzibę firmy.
  • Ograniczać dostęp do Internetu wyłącznie do stron niezbędnych w pracy, przy jednoczesnym blokowaniu treści zagrażających bezpieczeństwu (m.in. złośliwe oprogramowanie, strony pornograficzne).
  • Wymagać uwierzytelnienia (hasło, a w miarę możliwości także drugi składnik – 2FA).
  • Być regularnie aktualizowane i wyposażone w wspierane systemy operacyjne (bez przestarzałych wersji pozbawionych łatek).
  • Podlegać kopiowaniu zapasowemu zgodnie z firmową polityką backupu.

Zabezpieczenie poczty elektronicznej

  • Do korespondencji firmowej (wewnętrznej i zewnętrznej) nie należy używać prywatnych skrzynek poczty elektronicznej.
  • Firma powinna posiadać własny system poczty albo korzystać z profesjonalnych usług renomowanych dostawców (przeznaczonych do użytku firmowego).
  • Niezbędna jest ochrona przed spamem, phishingiem i wirusami oraz mechanizmy analizujące załączniki i linki w tzw. sandboxie, zanim dotrą one do użytkownika.
  • Poczta elektroniczna powinna być objęta regularnym tworzeniem kopii zapasowych.

Zabezpieczenie serwerów wykorzystywanych do systemów informatycznych i gromadzenia danych

Wszystkie serwery (fizyczne i wirtualne), na których przetwarzane są dane (np. bazy danych, aplikacje, serwery plików czy strony www), powinny:

  • Znajdować się w pomieszczeniu:
    • Dedykowanym wyłącznie do umiejscowienia serwerów.
    • Zabezpieczonym przed dostępem osób niepowołanych (kontrola dostępu, monitoring, alarm).
    • Zapewniającym odpowiednią temperaturę, wilgotność i niezawodne zasilanie.
    • Wolnym od przedmiotów łatwopalnych i chemikaliów.
  • Korzystać z dedykowanych i wspieranych systemów operacyjnych (z regularnymi aktualizacjami).
  • Podlegać procedurze wykonywania kopii zapasowych, przechowywanych poza urządzeniem i najlepiej w innej lokalizacji fizycznej.
  • Być dostępne wyłącznie dla autoryzowanych osób – przekazywanie haseł, danych dostępowych i niekontrolowanego dostępu osobom niepowołanym jest zabronione.

Alternatywą może być sprawdzony dostawca chmury obliczeniowej, który zapewni wymagany poziom bezpieczeństwa infrastruktury.

Zabezpieczenie danych w systemach

  • Zasada minimalnych uprawnień – użytkownik otrzymuje dostęp wyłącznie do tych danych, które są niezbędne w jego pracy.
  • Korzystanie z imiennych kont użytkowników, aby można było precyzyjnie określić, kto i kiedy uzyskiwał dostęp do danych.
  • Hasła powinny być złożone i regularnie zmieniane (co najmniej 8 znaków, małe i duże litery, cyfry, znaki specjalne); nie powinny zawierać słów słownikowych, dat urodzenia czy nazw własnych.
  • Dążyć do uwierzytelniania dwuskładnikowego (2FA) w kluczowych systemach.
  • Ograniczać dostęp wyłącznie do zaufanych urządzeń (warto rozważyć rozwiązania typu ZTNA – Zero Trust Network Access).
  • Segmentować ruch sieciowy (mikrosegmentacja), by komunikacja między systemami i użytkownikami ograniczała się do niezbędnych przepływów.
  • Centralizować zarządzanie tożsamością (np. poprzez Active Directory czy inny systemktóry pozwala na jednolite konta).
  • Niedopuszczalne jest przekazywanie osobom trzecim własnego loginu i hasła.
  • Konta administracyjne powinny być ściśle kontrolowane i objęte dodatkowymi zabezpieczeniami; hasła administratorów przechowywać w formie szyfrowanej.
  • Jeśli systemy są dostępne w Internecie, powinny być chronione przez NG-Firewall, IPS, WAF oraz bezpieczne protokoły (VPN, HTTPS).
    Zarządzanie bezpieczeństwem
  • Należy monitorować wydajność i pojemność wszystkich wykorzystywanych systemów.
  • Logi z systemów powinny być przechowywane w zewnętrznym repozytorium, co pozwala uniknąć ich utraty lub manipulacji.
  • Warto dążyć do korelacji logów z kluczowych systemów (np. za pomocą SIEM) w celu wykrywania anomalii i szybkiej reakcji.
  • Stosować mechanizmy skanowania podatności oraz przeprowadzać regularny hardening systemów według uznanych standardów (CIS, STIG itp.).

Wymienione wyżej rekomendacje nie stanowią pełnego katalogu wszystkich możliwych zabezpieczeń. Jeśli jednak zostaną one prawidłowo wdrożone i będą na bieżąco skutecznie zarządzane przez wykwalifikowany personel, przeprowadzenie skutecznego ataku stanie się bardzo utrudnione, a w wielu przypadkach wręcz niemożliwe.

Michał Kaźmierczyk

CTO w Grupie Enteo/ Certyfikowany instruktor w Arrow ESC/ Dziennikarz w IT Professional/ Autor projektu cloudpoint.pl 

Praktyk, trener i pasjonat wysokiej klasy rozwiązań informatycznych związanych z szeroko rozumianym obszarem bezpieczeństwa sieci i infrastruktury IT, technologii wirtualizacji i przetwarzania w chmurze.Jako lider techniczny nadzoruje, projektuje i bierze udział w procesie integracji projektów z różnych dziedzin, takich jak cyberbezpieczeństwo, chmura, wirtualizacja i sieci.  

Jako certyfikowany instruktor Vmware prowadzi profesjonalne kursy Vmware z NSX i Data Center Virtualization Tracks.  

To również może Cię zainteresować:

ERP | CRM | DMS | Enova365 | Aplikacje Dedykowane | Analiza Systemowa | Projektowanie Procesów | Zarządzanie Projektami.

Systemy ERP, CRM, DMS, System Enova365, Aplikacje Dedykowane, Analiza Systemowa, Projektowanie Procesów, Zarządzanie Projektami.

NG Firewall | WAF | Antyspam | NG Endpoint | SIEM | Wirtualizacja | Przechowywanie Danych Sieci LAN Data Center, WLAN | Kopie zapasowe i DR | Audyt Bezpieczeństwa

NG Firewall, Waf, Antyspam, NG Endpoint Siem, Wirtualizacja, Przechowywanie Danych, Sieci LAN, Data Center, WLAN, Audyt Bezpieczeństwa

Chmura prywata | Chmura publiczna
IaaS | PaaS | SaaS | BaaS | DRaaS | Systemy bezpieczeństwa dedykowane dla chmury obliczeniowej

Infrastruktura w modelu Cloud.
IAAS, PAAS, SAAS, BAAS i DRAAS, Systemy bezpieczeństwa dedykowane dla chmury obliczeniowej