Audyt bezpieczeństwa informatycznego – ekspert Perceptus w audycji Cyberprzezorny w Radio Zachód

Piotr Kuśnierz: Przed mikrofonem Piotr Kuśnierz A moim i Państwa gościem jest dzisiaj Viktoria Zofia Polikowska, młodszy specjalista do spraw bezpieczeństwa informacji w firmie Perceptus. Dzisiaj porozmawiamy o tym, czym jest audyt bezpieczeństwa informatycznego. Ale żeby w ogóle ten temat rozpocząć, to należałoby powiedzieć, czym jest w ogóle audyt.

Viktoria Polikowska: Dokładnie. Ogólnie sam audyt jest bardzo szerokim pojęciem, jest bardzo szeroko interpretowane. Wyróżnia się jego dziedziny, między innymi jedną właśnie jest audyt bezpieczeństwa informatycznego.  Sama ta dziedzina dzieli się znowu na multum innych, bo ja akurat zajmuję się audytami w zgodzie o konkretne standardy międzynarodowe właśnie, między innymi normy ISO 27001.

Według tych norm definicyjnie audytem jest ocena zastanego stanu w danej organizacji i porównanie tego stanu do tego, co być powinno według danego standardu, według dobrych praktyk cyberbezpieczeństwa i obiektywna ocena zebranych dowodów w ramach audytu, czy te stany są ze sobą zbieżne, czy też nie. A jeżeli nie są zbieżne, to co należałoby wtedy poprawić? Z takiej podstawowej segregacji, no to można powiedzieć, że są audyty pierwszej strony, drugiej strony i trzeciej strony.

Audyt pierwszej strony to tak zwane audyty wewnętrzne, które może realizować sama organizacja swoimi zasobami. Po prostu tak jak ja na przykład w Perceptus realizuję takie audyty. Może to być też realizowane przez niezależne organizacje zewnętrzne, na przykład jako Perceptus też takie audyty wewnętrzne przeprowadzamy w innych organizacjach.

Są też audyty drugiej strony, czyli audyty tak zwanego dostawcy. Na przykład jeżeli my mamy jakiegoś dostawcę usług, to możemy wysłać tam swoich audytorów lub innych, z innej firmy, żeby audytowali tego dostawcę w tym zakresie, w jakim on dla nas świadczy jakąś usługę.

No i są jeszcze audyty strony trzeciej. To są już takie stricte audyty przeprowadzane przez firmy audytujące, certyfikujące, akredytowane najczęściej przez Polskie Centrum Akredytacji. Wynikiem takiego audytu jest weryfikacja, czy dana organizacja spełnia standardy danego wymagania danego standardu, na przykład właśnie ISO 27001 i może wtedy otrzymać taki certyfikat, co oczywiście bardzo pomaga w przetargach, w marketingu, ogólnie organizacji. Daje taką dodatkową możliwość konkurencji na rynku, bo są to raczej pożądane certyfikaty.

PK: Chodzi o kształtowanie jakości, o to, żeby wszystko działało jak w szwajcarskim zegarku. Pod tym słowem audyt można wysnuć takie stwierdzenie. No dobrze, już troszkę o audytach wiemy. A w takim razie powiedzmy, czym jest audyt konkretnie bezpieczeństwa informatycznego? Bo w naszym programie, w naszej audycji zajmujemy się właśnie bezpieczeństwem w Internecie.

VP: Jeżeli chodzi o audyty bezpieczeństwa informatycznego, to są bardzo szeroko rozumiane pod tym względem, że są to właśnie te, o których wspomniałam, audyty na zgodność na przykład z daną normą. Mogą być to audyty na zgodność z częścią tej normy, mogą być to audyty na zgodność z daną regulacją prawną, jak na przykład jest RODO, audyt zgodności z RODO, audyt zgodności z KSC. Audyt zgodności na przykład z nowo projektowanym KSC, który będzie. Tak, on też będzie właśnie wymagał, żeby były robione audyty. Są też właśnie audyty techniczne i też niektórzy rozumieją pod pojęciami audytów bezpieczeństwa informacji testy penetracyjne. Ja to raczej rozgraniczam, ale mówię o tym, bo jest to tak dosyć szeroko interpretowane. Natomiast tutaj się pojawia moim zdaniem różnica, że testy penetracyjne są bardzo ingerujące już raczej w procesy w organizacji, czego się na przykład nie robi się w audytach bezpieczeństwa informacji opartych o ISO. Takie testy bezpieczeństwa penetracyjne, tudzież też zwane inaczej audytami bezpieczeństwa technicznymi przez niektórych po prostu polegają na tym, że firma, która realizuje takie usługi. Próbuje się włamać do danej firmy, że tak powiem, kolokwialnie.

PK: Mówimy o specjaliście, który nazywa się pentester, czyli o etycznym hakerzy, tak. Ktoś, kto próbuje włamać się, żeby ewentualnie zobaczyć, jakie są luki i potem powiedzieć pracodawcy słuchajcie, jest taki i taki problem, ja go mogę rozwiązać. To wygląda tak i tak.

VP: Dokładnie. Ja staram się to rozgraniczać, ponieważ same testy penetracyjne są kolejną, bardzo szeroką dziedziną. Ona się bardzo różni od samych audytów bezpieczeństwa informacji, takich regulacyjnych. Tam ilość działów, stanowisk, które mogą byc poddane testom. Red teamy, blue teamy, różne techniki włamywania się. Analizowania tych luk jest po prostu multum, to jest totalnie osobna dziedzina.. Natomiast uważam oczywiście, że to nie jest tak, że jedna jest lepsza bądź druga, Obie są tak samo ważne, ponieważ tak samo na przykład norma ISO 27001 ona ma taki bardzo obszerny załącznik, a w którym są wymienione 93 zabezpieczenia. I te zabezpieczenia się dzielą na cztery kategorie:

• organizacyjne, czyli takie formalno-prawne, powiedzmy dokumentacyjne,
• ludzkie, czyli zabezpieczenia wszelkie związane z zatrudnianiem, zwalnianiem ludzi, umowami między pracownikami a pracodawcą i tak dalej.
• Zabezpieczenia fizyczne. Wiadomo: budynek, alarmy, nawet okna w to wchodzą, czy na przykład odpowiedniej klasy zabezpieczenia odnośnie ścian i drzwi w serwerowni. Poważnie.
• W czwartej kategorii zabezpieczenia technologiczno-informatyczne.

I taki audyt jest tak samo bardzo szeroki i jest bardzo ciężko zrealizować wszystkie te 93 zabezpieczenia na jednym audycie, które nie wiem, trwa powiedzmy trzy dni, żeby w każde wchodzić bardzo głęboko.

To się wchodzi na zasadzie próbek, czyli na przykład audytuje się, powiedzmy, zabezpieczenie ludzkie, jakim jest na przykład w temacie pracowników: jak wyglądał ten proces zatrudniania pracownika, jakie umowy z nim podpisano, jakie są konkretne zapisy dotyczące bezpieczeństwa informacji w tym zapisie. No to załóżmy, mając 200 pracowników w takiej organizacji taki audytor nie jest w stanie, choćby bardzo chciał, w ciągu jednego dnia na przykład przejrzeć wszystkich tych umów. To jest nierealne. Tak przegląda powiedzmy 5 najnowszych umów + 5 jakichś wyrywkowych z jakiegoś okresu czasu.

PK: Tak jak się sondy przeprowadza na jakiejś próbie. Dokładnie. Ja wiem, że moglibyśmy jeszcze na temat tego pytania dużo mówić, ale przejdźmy do kolejnego, bo temat jest rozległy, a też chcemy, żeby Państwo wszystko zrozumieli. I teraz, jak Pani opowiada o tym wszystkim, to dochodzi do mnie, jaką wiedzę musi posiadać audytor. Proszę powiedzieć, jak to wygląda z perspektywy audytora. Ja rozumiem, że na co dzień też się Pani dokształca, ale jest to związane z Pani życiem, z Pani karierą zawodową. Jak to wygląda na co dzień? Jaką wiedzę musi dysponować konkretnie audytor z branży IT?

VP: Tak jak Pan powiedział, ja się dokształcam codziennie, to jest w ogóle bardzo ważnym wymaganiem. To nie jest praca, którą się raz czegoś się nauczy i to już się będzie robiło do końca życia.

PK: Prawo się zmienia.

VP: Regulacje, prawo, ale sama technologia, rozwój technologii jest wykładniczy. Codziennie coś się zmienia. Załóżmy w danym momencie dane zabezpieczenia, które wdrożyliśmy w organizacji będą ok, ale za dwa miesiące już nie. I taki system, ogólnie te audyty opierają się czy też o system zarządzania bezpieczeństwem informacji w danej organizacji, tak żeby osoby, które go tworzą muszą mieć odpowiednie do tego kompetencje i wiedzę.

Zakres tej wiedzy musi być ogromny i holistyczny. Natomiast żeby to jedna osoba posiadała, była specjalistą we wszystkim, to bardzo ciężkie do osiągnięcia. Przeważnie zespoły audytowe składają się z różnych dziedzin. Ja na przykład jestem audytorem wiodącym normy, ale ja się zajmuję stricte częściami formalnoprawnymi, natomiast taki audytor musi mieć na tyle wiedzę techniczną, żeby potrafić rzetelnie ocenić także zabezpieczenia technologiczne.

Taki audytor też może w trakcie audytów, jeżeli tematyka audytu bardziej techniczna,  dotyczy zabezpieczeń fizycznych, a audytor nie posiada takiej wiedzy w zakresie zabezpieczeń np. alarmowych, to może sobie dobrać eksperta technicznego w tym zakresie. Albo na przykład, jeżeli są zabezpieczenia technologiczne i audytorem będzie informatyk, który specjalizuje się w Linuxie, a idzie do firmy, w której wszystko stoi na Windowsach i na Microsofcie, no to on się musi doszkolić albo kogoś sobie dobrać, tak w tym momencie. Jeszcze tylko tak powiem, właśnie o samych kompetencjach, no to mogą być nimi właśnie informatycy, ale są też to również prawnicy czy w ogóle też osoby totalnie z innych dziedzin się wywodzące, które zmieniały swoją karierę, co też jest ogólnie bardzo przydatne bo to spojrzenie jest bardzo wtedy takie holistyczne można to przyrównać do biegłych sądowych poniekąd troszeczkę. Grono specjalistów, które wspólnie dąży do jakiegoś konkretnego celu. 

PK: Kolejne  pytanie dotyczy bardzo ważnej unijnej dyrektywy nis 2 Dlaczego ona jest taka ważna między innymi dla Polski, dla krajów Unii Europejskiej w obecnych czasach?

VP: Ogólnie według czy raportów CTU czy ostatnio kwietniu w gminach w zachodniopomorskim były przeprowadzone kontrole przez NIK odnośnie właśnie  cyberbezpieczeństwa poziom zabezpieczeń. Ogólnie w Europie moim zdaniem i ilość ataków ciągle wzrasta jakby z roku na rok jest ich coraz więcej, a celem tej dyrektywy jest ustandaryzowane cyberbezpieczeństwa w Unii Europejskiej i jego podniesienie jego poziomu szczególnie dla tych podmiotów, które teraz ta ustawa będzie definiował jako kluczowe i ważne. To są chociażby właśnie służba zdrowia wodociągi na przykład i tak dalej. Ogólnie infrastruktura krytyczna, ale ona też dodaje takie inne podmioty akurat ta nowa w porównaniu do poprzedniej ustawy na przykład kurierów. Chociażby tak usługi jakby transportowe, więc ta ustawa bardzo patrzy na łańcuch dostaw. Na przykład potencjalni dostawcy dla dla szpitala mogą stanowić też dla niego w jakiś sposób ryzyko, jeżeli coś nie zostanie dostarczone. To w przypadku służby zdrowia może być bardzo poważne konsekwencje. Chodzi też o zabezpieczenie się przed ewentualnymi awariami, bo my żyjemy w cybernetycznym świecie, wszystko jest Cyber. Trzeba zabezpieczyć się przed sytuacją żeby np. nie zabrakło jakiś leków w szpitalu czy żeby nie zabrakło wody.

Myślę, że ta dyrektywa dużo zmieni, ponieważ przez to, że ona wdraża kary w porównaniu do poprzedniej, to myślę, że to jednak będzie takim sygnałem dla najwyższego kierownictwa w organizacjach, że muszą po prostu to zrobić i wdrożyć przepisy.

Dodajmy tutaj oczywiście bardzo ważny fakt, że Polska jest jednym z ponad 20 krajów unijnych, które spóźniają się z wdrożeniem dyrektywy NIS 2. Miało do tego dojść w październiku, ale według najnowszych informacji do końca roku powinniśmy dyrektywę unijną NIS2 wdrożyć. Właśnie bardzo

się śpieszą z tym, żeby ją teraz wdrożyć. Prawdopodobnie pójdzie pod obrady między 2024 a 2025-  na przełomie. [Rządzący] chcą zdążyć ogólnie z wdrożeniem tej ustawy na wiosnę jak będzie zobaczymy, ponieważ do kwietnia Polska ma obowiązek wysłać do Unii Europejskiej listę podmiotów kluczowych i ważnych, więc ta ustawa już powinna być zrobiona wtedy i wdrożona.

Natomiast no tutaj zobaczymy jak będzie bo jeszcze jest vacatio legis i tak dalej więc może być, że to jest bardzo optymistyczny termin bym powiedziała ale mam nadzieję że się uda oczywiście.

PK: Ostatnie pytanie, bo czas już nam się kończy. Jak firma Perceptus dba o własne bezpieczeństwo informatyczne?

VP: jeżeli chodzi o dbanie o cyberbezpieczeństwo w naszej firmie to my patrzymy na to bardzo holistycznie. Właśnie co jest ważne w dzisiejszym Cyberbezpieczeństwie, to żeby budować bezpieczeństwo warstwowo. To nie jest tak, że wdrożymy jedno jakieś konkretne zabezpieczenie technologiczne, dla przykładu menager haseł. To jest proste zabezpieczenie, które bardzo też ułatwia pracę, ale co z tego, że wdrożymy to zabezpieczenie, skoro w żaden sposób nie zobligowaliśmy pracowników do jego używania, nie przeszkoliliśmy ich w tym zakresie. Taki pracownik nie będzie wiedział jak go używać. Mało tego, nie będzie na tyle świadomy, że nie może sobie przesłać tego hasła z menedżera haseł w sposób jawny, widoczny, komuś być może kto nie jest nawet zweryfikowany. Albo na przykład w jakiś sposób udzielić informacji na przykład w mailu, przesłać w sposób jawny takie hasło. Nie wiadomo komu tak naprawdę finalnie, bo może być to na przykład atak. Więc bezpieczeństwo należy budować warstwowo, zabezpieczenia, oczywiście technologia, jest podstawą. tutaj Dobra technologia jest dobrana odpowiednio do swojej organizacji bo też nie każda organizacja musi wdrożyć konkretne zabezpieczenia danej kategorii tak bo to powinno właśnie też, co jest wymaganiem nowej Ustawy o Krajowym Systemie Cyberbezpieczeństwa, żeby wdrażać nasze zabezpieczenia w oparciu o szacowanie  ryzyka, które przeprowadzi dana organizacja. Przykład: w przypadku kradzieży laptopa w organizacji, który jest zaszyfrowany, to nawet jeżeli były na nim jakieś ważne dane, z perspektywy złodzieja nie da się ich wyciągnąć.

Dla tej organizacji ten przykład jest w kategorii niski incydent ponieważ po prostu kupili nowego laptopa, wszystko przegrali, bo to mieli wszystko w chmurze i tyle. Natomiast akurat teraz często mówi się o tym, były takie przypadki 2 czy 3 razy w ciągu ostatnich kilku miesięcy…  Kary nałożone przez Prezesa Urzędu Ochrony Danych Osobowych właśnie za pendrive akurat, które były niezaszyfrowane. No i dlatego,  że nie Była przeprowadzona poprawnie analiza szacowania ryzyka.

Wracając do pytania to właśnie my dbamy o bezpieczeństwo tym, że staramy się kompleksowo w każdym obszarze się zabezpieczyć na tyle, na ile oczywiście jesteśmy w stanie. Bo to właśnie to szacowanie ryzyka, to czy jest dobrze przeprowadzone, zależy od wiedzy pracowników. Tak powinni być właśnie szkoleni, ciągle się uczyć, ciągle się doskonalić,  to jest na pewno cyberbezpieczeństwo.  Najsłabszym ogniwem jest zawsze człowiek, dlatego człowiek jest najważniejszy.

PK: Dziękuję bardzo za tę rozmowę – przypomnę dziś miałem  przyjemność rozmawiać z Viktorią Zofią Polikowska, Specjalistą ds. bezpieczeństwa informacji w firmie Perceptus. A tematem rozmowy był – audyt bezpieczeństwa informatyznego. Dziękuję bardzo.