Blog

Bezpieczeństwo infrastruktury a ubezpieczenie – część 2

Spis treści

W pierwszej części naszego artykułu omówiliśmy, jak ubezpieczyciele coraz częściej korzystają z zaawansowanych technologii do oceny ryzyka cyberbezpieczeństwa swoich klientów. Zwróciliśmy uwagę na takie aspekty, jak MFA, skanowanie podatności CVE, skanowanie otwartych portów oraz tworzenie kopii zapasowych. 

W tej części przyjrzymy się bardziej szczegółowo kolejnym kluczowym rozwiązaniom, które odgrywają istotną rolę w ocenie ryzyka i ochronie przed zagrożeniami cybernetycznymi.

Sprawdź też

Bezpieczeństwo infrastruktury a ubezpieczenie – część 1

Rozwiązania XDR

Extended Detection and Response (XDR) to zaawansowane rozwiązanie do wykrywania i reagowania na zagrożenia cybernetyczne, które integruje dane z wielu źródeł, takich jak punkty końcowe, sieci, serwery, aplikacje i inne. W kontekście wymagań ubezpieczycieli, XDR odgrywa istotną rolę w ocenie i minimalizowaniu ryzyka cyberbezpieczeństwa. Oto główne wymagania ubezpieczycieli w zakresie XDR.

Oto główne wymagania ubezpieczycieli w zakresie XDR: 

 

  • Implementacja XDR. Firmy muszą wdrożyć rozwiązania XDR, które integrują dane z różnych źródeł w celu lepszego wykrywania i reagowania na zaawansowane zagrożenia. Rozwiązanie XDR powinno obejmować monitorowanie punktów końcowych, sieci, serwerów, aplikacji i chmury. 

 

  • Zintegrowane zarządzanie zagrożeniami. XDR musi oferować zintegrowane zarządzanie zagrożeniami, umożliwiając centralizowane wykrywanie, analizę i reagowanie na incydenty. System powinien być w stanie automatycznie koordynować działania obronne pomiędzy różnymi komponentami infrastruktury IT. 

 

  • Zaawansowana analiza zagrożeń. XDR powinno wykorzystywać zaawansowane techniki analizy zagrożeń, takie jak sztuczna inteligencja (AI) i uczenie maszynowe (ML), aby skutecznie identyfikować i klasyfikować zagrożenia. System powinien być zdolny do identyfikacji nieznanych zagrożeń oraz wykrywania anomalii w czasie rzeczywistym. 

 

  • Szybka reakcja na incydenty. Rozwiązania XDR muszą umożliwiać szybkie reagowanie na wykryte incydenty, minimalizując czas potrzebny na neutralizację zagrożeń. Systemy powinny wspierać automatyzację odpowiedzi na incydenty, aby przyspieszyć działania obronne i zredukować obciążenie zespołów bezpieczeństwa. 

 

  • Raportowanie i audyt. XDR musi oferować zaawansowane funkcje raportowania i audytu, umożliwiające dokumentowanie incydentów, działań podjętych w odpowiedzi na zagrożenia oraz skuteczność środków zaradczych. Firmy powinny być w stanie dostarczać  ubezpieczycielom szczegółowe raporty dotyczące incydentów i środków zaradczych. 

 

  • Integracja z istniejącymi systemami bezpieczeństwa. XDR powinno być kompatybilne z istniejącymi rozwiązaniami bezpieczeństwa, takimi jak SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) oraz inne narzędzia ochrony.

System musi być zdolny do współpracy z innymi narzędziami, aby umożliwić skoordynowane i skuteczne działania obronne. 

Dowiedz się więcej

Data retroaktywna w ubezpieczeniach OC zawodowych – kluczowe aspekty

Szyfrowanie danych 

Wymagania ubezpieczycieli w zakresie szyfrowania baz danych koncentrują się na zapewnieniu ochrony danych wrażliwych przed nieautoryzowanym dostępem i naruszeniami.

Oto główne wymagania, które często stawiają ubezpieczyciele: 

 

  • Szyfrowanie w spoczynku (data-at-rest). Wszystkie dane przechowywane w bazach danych muszą być szyfrowane w spoczynku. Szyfrowanie powinno być zgodne z aktualnymi standardami branżowymi, takimi jak AES (Advanced Encryption Standard) z kluczami o odpowiedniej długości (np. 256-bitowymi).  

 

  • Szyfrowanie w trakcie przesyłania (data-in-transit / transfer) Dane przesyłane pomiędzy bazą danych a aplikacjami lub użytkownikami muszą być szyfrowane, aby zapobiec przechwyceniu przez nieautoryzowane strony. Typowe protokoły używane do tego celu to TLS (Transport Layer Security) i SSL (Secure Sockets Layer). 

 

  • Zarządzanie kluczami szyfrowania. Firmy muszą wdrożyć solidne procedury zarządzania kluczami szyfrowania, które obejmują generowanie, dystrybucję, rotację, przechowywanie i niszczenie kluczy. Zaleca się stosowanie dedykowanych systemów zarządzania kluczami (KMS) oraz sprzętowych modułów bezpieczeństwa (HSM) do ochrony kluczy szyfrowania. 

 

  • Kontrola dostępu i autoryzacja. Dostęp do zaszyfrowanych baz danych i kluczy szyfrowania powinien być ograniczony do uprawnionych użytkowników na podstawie zasad „najmniejszego przywileju” (least privilege).  

 

  • Zgodność z regulacjami. Procesy szyfrowania muszą być zgodne z obowiązującymi przepisami prawnymi i regulacjami branżowymi, takimi jak GDPR, HIPAA, PCI-DSS, czy inne lokalne regulacje dotyczące ochrony danych. Firmy muszą być w stanie wykazać zgodność poprzez dostarczanie odpowiedniej dokumentacji oraz raportów z audytów. 

 

  • Ochrona fizyczna (dla rozwiązań on-premise). Serwery i urządzenia przechowujące zaszyfrowane bazy danych oraz klucze szyfrowania powinny być fizycznie zabezpieczone, aby zapobiec dostępowi osób nieuprawnionych. Zaleca się stosowanie dodatkowych zabezpieczeń, takich jak systemy kontroli dostępu do pomieszczeń, monitoring wideo oraz alarmy. 

Sprawdź też

Polisa Cyber jako narzędzie do zarządzania bezpieczeństwem Twojej sieci

Plan reagowania na incydenty 

Wymagania ubezpieczycieli dotyczące planu reagowania na incydenty (Incident Response Plan) koncentrują się na zapewnieniu, że organizacje są dobrze przygotowane do skutecznego zarządzania i minimalizowania skutków incydentów cyberbezpieczeństwa.

Oto kluczowe wymagania: 

  • Dokumentacja i struktura planu. Plan reagowania na incydenty musi być formalnie udokumentowany i zawierać jasną strukturę, określającą cele, zakres i definicje incydentów. Dokument powinien być łatwo dostępny dla wszystkich kluczowych członków zespołu. 

 

  • Zespół reagowania na incydenty (Incident Response Team).  Organizacje muszą posiadać dedykowany zespół reagowania na incydenty, składający się z przedstawicieli różnych działów, takich jak IT, bezpieczeństwo, prawo, komunikacja i zarządzanie. Zespół powinien mieć jasno określone role i odpowiedzialności oraz dostęp do odpowiednich zasobów i narzędzi. 

 

  • Procedury wykrywania i oceny incydentów. Plan musi zawierać szczegółowe procedury wykrywania, zgłaszania i oceny incydentów. Powinny one obejmować mechanizmy monitorowania, alerty i procesy eskalacji. Określenie kryteriów klasyfikacji incydentów według ich krytyczności i potencjalnego wpływu. 

 

  • Procedury reakcji i zarządzania incydentami. Plan powinien określać kroki do podjęcia natychmiast po wykryciu incydentu, takie jak izolacja zagrożonego systemu, zbieranie dowodów, powiadamianie odpowiednich osób oraz inicjowanie działań naprawczych.  

 

  • Komunikacja i powiadamianie. Plan musi obejmować procedury komunikacji wewnętrznej i zewnętrznej, w tym powiadamianie kierownictwa, pracowników, klientów, partnerów biznesowych oraz organów regulacyjnych. Przykładowo: plan powinien zawierać szablony i wytyczne dotyczące komunikatów prasowych oraz odpowiedzi na pytania mediów. 

 

  • Odnowa i przywracanie operacji. Plan musi zawierać strategie i procedury dotyczące przywracania normalnych operacji po incydencie, w tym przywracania systemów z kopii zapasowych, testowania integralności danych oraz weryfikacji skuteczności działań naprawczych. Po każdym incydencie powinno przeprowadzać się szczegółową analizę (post-incident review) w celu zidentyfikowania przyczyn, ocenienia skuteczności reakcji i wdrożenia działań zapobiegawczych.  

 

  • Organizowanie symulacji incydentów i ćwiczeń scenariuszowych (tabletop exercises) w celu przetestowania planu i zapewnienia, że wszyscy wiedzą, jak reagować w sytuacji kryzysowej. 

 

  • Zgodność z regulacjami i standardami. Plan musi być zgodny z obowiązującymi przepisami prawnymi i regulacjami branżowymi dotyczącymi zarządzania incydentami, takimi jak GDPR, HIPAA, PCI-DSS, oraz standardami bezpieczeństwa, takimi jak ISO 27001. 

 

  • Zarządzanie dostawcami i partnerami. Plan powinien uwzględniać procedury zarządzania incydentami, które dotyczą dostawców zewnętrznych i partnerów biznesowych, w tym umowy SLA i warunki dotyczące bezpieczeństwa informacji. Określenie procedur współpracy z dostawcami w przypadku incydentu. 

Podsumowanie 

Część z ubezpieczycieli wyspecjalizowanych w ubezpieczeniu ryzyk cybernetycznych posiada odpowiednie narzędzie do skanowania zewnętrznych warstw infrastruktury klientów. Ubezpieczyciele mają obecnie możliwość skanowania infrastruktury klientów w poszukiwania otwartych porów, możliwych podatności CVE, certyfikatów SSH itp.  

Część z ubezpieczycieli aktywnie wspiera swoich klientów w bieżącym monitowaniu sieci poprzez dostarczanie usług typy SOC, a w przypadku pojawienia się incydentu cybernetycznego lub potencjalnej informacji o takim incydencie ubezpieczone spółki mogą liczyć na wsparcie w zakresie Cyber Response Team dostępnej 24h/d 365 dni w roku.

Reasumując, połączenie własnej polityki wprowadzenia zabezpieczeń, odpowiedniego ubezpieczenia oraz technicznego wsparcia ubezpieczyciela może w istotnym stopniu ograniczyć ryzyko związane z atakami hakerskimi.  

Piotr Cholewczyński

Piotr Cholewczyński

Dyrektor ds. Ubezpieczeń Majątkowych.

Od niemal dekady działa aktywnie w ubezpieczeniach dla branży IT. Odpowiada za ubezpieczenia majątkowe oraz likwidację szkód.

W ubezpieczeniach od 14 lat.

Może zainteresuje

Cię także: