Blog

Bezpieczeństwo infrastruktury a ubezpieczenie – część 1

Spis treści

Ubezpieczyciele coraz częściej korzystają z zaawansowanych technologii do oceny ryzyka cyberbezpieczeństwa swoich klientów. Wprowadzone zabezpieczenia i narzędzia mające na celu ograniczenie ryzyk cybernetycznych powodują, że ubezpieczyciele już nie tylko są w stanie przygotować atrakcyjniejszą ofertę ubezpieczenia. Coraz częściej wygląda to tak, że dopiero na podstawie przeprowadzonego procesu oceny ryzyka i jego pozytywnej ocenie przechodzą do przygotowania oferty.

Czytaj dalej

Bezpieczeństwo infrastruktury a ubezpieczenie – część 2

MFA

Wymogi dotyczące wdrożenia wieloskładnikowego uwierzytelniania (MFA) w przypadku mogą się różnić w zależności od ubezpieczyciela i rodzaju polisy. Niemniej jednak, istnieją pewne wspólne standardy i najlepsze praktyki, które zazwyczaj są wymagane przez ubezpieczycieli. Oto kilka z nich:

  • Obowiązkowe MFA dla wszystkich użytkowników. MFA jest wymagane dla wszystkich użytkowników mających dostęp do krytycznych systemów, danych wrażliwych oraz aplikacji. Dotyczy to zarówno pracowników wewnętrznych, jak i zewnętrznych kontraktorów. 

 

  • MFA dla dostępu do systemów zdalnych. MFA musi być włączone dla wszelkiego rodzaju zdalnego dostępu, w tym do sieci VPN, usług chmurowych oraz aplikacji webowych. Chroni to przed ryzykiem związanym z pracą zdalną oraz zdalnym dostępem do zasobów firmy. 

 

  • Bezpieczne metody uwierzytelniania. Preferowane metody MFA to aplikacje uwierzytelniające, tokeny sprzętowe, klucze U2F/FIDO, a także biometryczne metody uwierzytelniania. SMS i e-mail mogą być akceptowane, ale są uznawane za mniej bezpieczne i mogą być stosowane jako dodatkowy krok, a nie podstawowy sposób uwierzytelniania. 

 

  • MFA dla administracyjnych kont. Wymóg MFA jest szczególnie rygorystyczny dla kont administracyjnych i uprzywilejowanych, które mają szeroki dostęp do systemów i danych. Każdy dostęp do paneli administracyjnych, serwerów, baz danych i narzędzi zarządzania IT musi być chroniony przez MFA. 

 

  • MFA dla dostępu do aplikacji krytycznych. Aplikacje, które przetwarzają lub przechowują dane wrażliwe (np. dane osobowe, finansowe), muszą być chronione przez MFA. Dotyczy to zarówno aplikacji firm trzecich, jak i rozwijanych wewnętrznie.

Wymagane jest również prowadzenie logów dostępu i zdarzeń związanych z uwierzytelnianiem, aby umożliwić śledzenie i analizę potencjalnych incydentów. 

Skanowanie podatności CVE 

Wymagania ubezpieczycieli dotyczące skanowania podatności CVE (Common Vulnerabilities and Exposures) obejmują szereg krytycznych aspektów, które mają na celu zwiększenie bezpieczeństwa systemów informatycznych i minimalizację ryzyka wystąpienia luk w zabezpieczeniach. Oto główne wymagania w tym zakresie:

  • Regularne skanowanie podatności. Organizacje muszą regularnie przeprowadzać skanowanie swoich systemów pod kątem znanych podatności opisanych w bazach CVE. Skanowanie powinno być przeprowadzane zarówno na poziomie aplikacji, jak i infrastruktury, włączając serwery, urządzenia sieciowe, systemy operacyjne itp. 

 

  • Używanie aktualnych baz danych CVE. Narzędzia skanujące powinny korzystać z aktualnych baz danych CVE, takich jak National Vulnerability Database (NVD) utrzymywane przez NIST, aby identyfikować najnowsze znane podatności. Istotne jest regularne aktualizowanie baz danych CVE, aby uwzględniały nowe zagrożenia i luki bezpieczeństwa. 

 

  • Integracja z systemami zarządzania bezpieczeństwem. Narzędzia do skanowania podatności powinny być zintegrowane z istniejącymi systemami zarządzania bezpieczeństwem, takimi jak SIEM (Security Information and Event Management) oraz systemy zarządzania incydentami. Integracja umożliwia lepsze zarządzanie incydentami bezpieczeństwa i koordynację działań naprawczych.  

 

  • Polityki i procedury dotyczące skanowania podatności. Organizacje powinny opracować klarowne polityki i procedury dotyczące skanowania podatności, określające, kiedy, jak często i jakie systemy są objęte skanowaniem. Polityki te powinny być zgodne z wymaganiami regulacyjnymi i branżowymi oraz odpowiednio dostosowane do specyfiki działalności organizacji.  

 

  • Szkolenia i świadomość pracowników. Pracownicy odpowiedzialni za zarządzanie i przeprowadzanie skanowań podatności powinni być regularnie szkoleni w zakresie korzyści i funkcji narzędzi skanujących oraz w rozpoznawaniu zagrożeń związanych z podatnościami. 

Sprawdź też

Pracownicy, podwykonawcy, zarząd, czyli kto może działać na szkodę spółki IT?
  • Polityki i procedury dotyczące skanowania podatności. Organizacje powinny opracować klarowne polityki i procedury dotyczące skanowania podatności, określające, kiedy, jak często i jakie systemy są objęte skanowaniem. Polityki te powinny być zgodne z wymaganiami regulacyjnymi i branżowymi oraz odpowiednio dostosowane do specyfiki działalności organizacji.  

 

  • Szkolenia i świadomość pracowników. Pracownicy odpowiedzialni za zarządzanie i przeprowadzanie skanowań podatności powinni być regularnie szkoleni w zakresie korzyści i funkcji narzędzi skanujących oraz w rozpoznawaniu zagrożeń związanych z podatnościami. 

Skanowanie otwartych portów 

Weryfikacja otwartych portów jest jednym z elementów tego procesu. Aby zidentyfikować otwarte porty, ubezpieczyciele mogą korzystać z narzędzi do skanowania sieci, które pozwalają na analizę dostępnych usług i potencjalnych luk w zabezpieczeniach. Proces ten może obejmować następujące kroki:

  • Skanowanie zewnętrzne. Ubezpieczyciele przeprowadzają skanowanie z zewnątrz, symulując atak z Internetu, aby wykryć otwarte porty i dostępne usługi na publicznych adresach IP klienta. 

 

  • Ocena ryzyka. Na podstawie wyników skanowania oceniają, które z otwartych portów mogą stanowić potencjalne zagrożenie.  

 

  • Raportowanie. Wyniki skanowania są zazwyczaj dokumentowane w raportach oceny ryzyka, które są przekazywane klientowi wraz z zaleceniami dotyczącymi zabezpieczeń. 

Kopie zapasowe 

Wymagania ubezpieczycieli w zakresie wykonywania kopii zapasowych (backupów) są kolejnym kluczowym elementem oceny ryzyka cyberbezpieczeństwa i uzyskania ochrony ubezpieczeniowej. Oto najważniejsze wymagania, które często stawiają ubezpieczyciele:

  • Regularne wykonywanie kopii zapasowych. Backupy powinny być wykonywane regularnie, zgodnie z polityką określoną przez organizację. Częstotliwość backupów zależy od krytyczności danych, ale zazwyczaj wymaga się codziennych lub przynajmniej cotygodniowych kopii zapasowych. 

 

  • Kopie zapasowe danych krytycznych. Wszystkie dane krytyczne i wrażliwe muszą być objęte procesem tworzenia kopii zapasowych. Dotyczy to danych finansowych, osobowych, operacyjnych oraz innych istotnych informacji biznesowych. 

 

  • Przechowywanie kopii zapasowych w bezpiecznej lokalizacji. Backupy powinny być przechowywane w bezpiecznych lokalizacjach, z dala od oryginalnych danych. Zaleca się stosowanie zewnętrznych centrów danych lub chmur, aby zabezpieczyć dane przed fizycznymi zagrożeniami, takimi jak pożar, powódź czy kradzież. 

 

  • Izolacja kopii zapasowych. Ubezpieczyciele często wymagają, aby przynajmniej jedna kopia zapasowa była izolowana od sieci produkcyjnej. Zapobiega to zniszczeniu kopii zapasowych w wyniku ataków ransomware. 

 

  • Szyfrowanie kopii zapasowych. Kopie zapasowe muszą być zaszyfrowane, aby chronić dane przed nieautoryzowanym dostępem. Szyfrowanie powinno być zgodne z aktualnymi standardami bezpieczeństwa. 

 

  • Testowanie odtwarzania danych. Regularne testy odtwarzania danych z kopii zapasowych są wymagane, aby upewnić się, że proces przywracania jest skuteczny i że kopie zapasowe są nieuszkodzone i kompletne. 

 

  • Dokumentacja i procedury. Organizacje muszą posiadać udokumentowane procedury tworzenia i zarządzania kopiami zapasowymi. Polityki te powinny obejmować harmonogramy tworzenia backupów, odpowiedzialności personelu oraz kroki postępowania w razie awarii. 

 

  • Zgodność z przepisami i standardami. Backupy muszą być zgodne z obowiązującymi przepisami prawa oraz branżowymi standardami, takimi jak GDPR, HIPAA, czy ISO 27001. Organizacje muszą uwzględnić wymagania regulacyjne dotyczące przechowywania i ochrony danych. 

 

  • Bezpieczny dostęp do kopii zapasowych. Dostęp do kopii zapasowych musi być ograniczony do uprawnionych osób. Ubezpieczyciele wymagają wdrożenia kontroli dostępu, aby zapobiec nieautoryzowanemu dostępowi do backupów.

Podsumowanie 

Ilość narzędzi ograniczających skutki incydentów cybernetycznych jest obecnie ogromna. Niezależnie czy będą to zabezpieczenia software’owe, hardware’owe, procedury wewnętrzne spółki, procedury ogólnodostępne czy też standardy branżowe, wszystkie z nich wymagają ciągłego doskonalenia. Proces ten obejmuje ich wdrażanie, integrowanie, testowanie i modyfikowanie, aby dostosować je do konkretnych potrzeb organizacji.

Zaawansowane technologie, takie jak systemy wykrywania i reagowania na zagrożenia (XDR), szyfrowanie danych oraz szczegółowo opracowane plany reagowania na incydenty, są kluczowymi elementami współczesnej strategii cyberbezpieczeństwa. Zostaną one omówione w kolejnej części artykułu. Te technologie nie tylko pomagają w zapobieganiu incydentom, ale również minimalizują ich skutki, gdy do nich dojdzie. 

Piotr Cholewczyński

Piotr Cholewczyński

Dyrektor ds. Ubezpieczeń Majątkowych.

Od niemal dekady działa aktywnie w ubezpieczeniach dla branży IT. Odpowiada za ubezpieczenia majątkowe oraz likwidację szkód.

W ubezpieczeniach od 14 lat.

Może zainteresuje

Cię także: