4 marca 2022 r. Prezes Rady Ministrów przedłużył obowiązywanie trzeciego stopnia alarmowego CRP (CHARLIE–CRP) na terytorium całego kraju do 15 marca 2022 r. do godz. 23:59. Oznacza to, że prawdopodobieństwo cyberataku na firmę i jej zasoby jest bardzo duże. Co zrobić, aby ochronić się przed cyberprzestępcami?

Mateusz Kopacz, Information Security Officer, Grupa MCX

Uwaga! Możliwość wystąpienia cyberataku!

Jak podaje Rządowe Centrum Bezpieczeństwa, od 21 lutego 2022 r. w Polsce obowiązuje nieprzerwanie trzeci stopień alarmowy CRP (CHARLIE–CRP). CHARLIE–CRP jest trzecim z czterech stopni alarmowych określonych w ustawie o działaniach antyterrorystycznych. Wprowadza się go w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym w cyberprzestrzeni albo uzyskania wiarygodnych informacji o planowanym zdarzeniu.

Działania chroniące firmę przed cyberatakiem

Dla przedsiębiorstw działających w Polsce trzeci stopień alarmowy CHARLIE–CRP oznacza konieczność pilnego wprowadzenia lub aktualizacji strategii cyberbezpieczeństwa. Przyjrzyjmy się więc aktywnościom, które warto podjąć już dzisiaj, aby przygotować firmę na potencjalne cyberataki. Działania te można wykonać w ramach własnych zasobów kadrowych IT lub skorzystać z pomocy przedsiębiorstw specjalizujących się w cyberbezpieczeństwie, np. takich jak Grupa MCX.

1. Przejrzyjmy wszystkie serwery / stacje końcowe OT, które mają połączenie z siecią zewnętrzną. W tym sieć korporacyjną i sieci partnerskie. Upewnijmy się, że serwery mają zainstalowane najnowsze poprawki bezpieczeństwa. Usuńmy wszystkie dobrze znane luki w zabezpieczeniach!

2. Sprawdźmy firewall i upewnijmy się, że działa w najnowszej wersji oprogramowania.

3. Uważajmy, z której strony zarządzamy firewallem. Zarządzanie z zewnątrz jest jak zostawianie włamywaczowi klucza do drzwi wejściowych pod wycieraczką.

4. Przejrzyjmy wszystkie połączenia zdalne z dostawcami usług. Takie połączenia muszą blokować:

• otwarte połączenia przychodzące – często można źle wykorzystać kanał przychodzący, bezpieczniejsze rozwiązania dostępu zdalnego odpytują świat zewnętrzny w poszukiwaniu żądań dostępu zdalnego, zapobiegając wszelkim otwartym połączeniom przychodzącym;

• automatyczne zatwierdzanie wniosków o dostęp – upewnijmy się, że każdy wniosek jest weryfikowany przed zatwierdzeniem. Pamiętajmy o MFA, czyli uwierzytelnianiu wielopoziomowym!

5. Zmodyfikujmy poświadczenia do systemów dostępu zdalnego, istnieje szansa, że mogły zostać naruszone w przeszłości. Używajmy silnych haseł o wystarczającej długości (12+) i różnych grup znaków. Lepiej jest oczywiście połączyć to z uwierzytelnianiem dwuskładnikowym, ale jeśli nie mamy tego dzisiaj, dodanie potraktujmy jako cel średnioterminowy.

6. Przejrzyjmy wszystkie konta w systemach, usuńmy stare lub nieużywane od dłuższego czasu.

7. Zastosujmy zasadę najmniejszych uprawnień. Sytuacje kryzysowe zwiększają prawdopodobieństwo wystąpienia zagrożenia wewnętrznego, a egzekwowanie zasady najmniejszych przywilejów podniesie istotnie bezpieczeństwo.

8. Upewnijmy się, że zaimplementowaliśmy limity czasu sesji. Zapobiegnie to pozostawaniu otwartych sesji, gdy nie są aktywnie używane.

9. Przejrzyjmy połączenia z serwerem zdalnym. Jeśli wymagane są otwarte porty przychodzące, upewnijmy się, że zapora ogranicza dostęp w maksymalnym możliwym stopniu, używając co najmniej filtrów adresów IP i filtrów portów TCP. Ale lepiej byłoby (jeśli posiadamy zaporę sieciową nowej generacji), aby dodać dalsze ograniczenia.

10. Sprawdźmy swój program antywirusowy / IPS (ang. Intrusion Prevention System), aby mieć najnowsze sygnatury.

11. Upewnijmy się, że mamy aktualne kopie zapasowe. Czy kiedykolwiek testowaliśmy przywracanie kopii zapasowej? Jeżeli nie, to czas zrobić to jak najszybciej.

12. Powinniśmy posiadać wiele kopii zapasowych, co najmniej TRZY. Zaleca się przechowywanie kopii zapasowych na co najmniej DWÓCH różnych nośnikach, z czego jedna powinna znajdować się poza naszą lokalizacją (koniecznie offline).

13. Upewnijmy się, że można przywrócić kopię zapasową, w podstawowej konfiguracji, na innym sprzęcie.

14. Upewnijmy się, że dysponujemy arkuszem konfiguracji dla każdego zasobu.

15. Wzmocnienie serwerów i komputerów stacjonarnych jest również ważne, może zająć trochę czasu, aby dowiedzieć się, które usługi można wyłączyć i które usługi są niezbędne dla aplikacji serwerowych / stacjonarnych. Prawdopodobnie jest to działanie średnioterminowe, ale zmniejszanie powierzchni ataku jest teraz niezbędne.

16. Przygotujmy plan reagowania na incydenty i zakomunikujmy go całej organizacji. Zadbajmy o dostępność egzemplarzy papierowych. Potwierdźmy koniecznie aktualność listy kontaktów i zaplanujmy komunikację z wykorzystaniem sieci i zasobów „pozaorganizacyjnych”.

17. Wobec urządzeń końcowych lub brzegowych w sieciach OT, które zostały wydzielone, ale do transmisji „do” / „z” korzystają między innymi z dostępnych sieci radiowych w tym sieć LTE, należy przygotować i zastosować procedury bezpieczeństwa z uwzględnieniem:

    1. kontroli i dostępu fizycznego – bardzo często routery i urządzania wykonawcze są zainstalowane w szafkach w „polu na słupach” (ma to np. miejsce w wypadku infrastruktury energetycznej), gdzie są narażone na nieuprawniony dostęp. W takim przypadku warto mieć procedury dostępu i sygnalizację otwarcia tego typu obiektów;

    2. zabezpieczenia software’owe urządzeń przed nieautoryzowanym dostępem, polegające na blokowaniu portu lub złącza w przypadku podłączenia do nich nieautoryzowanego urządzania;

    3. zabezpieczania systemowe, które w powiązaniu z analityką ruchu pomogą wyszukiwać i eliminować anomalie m.in. takie jak:

       1. lokalne zakłócenia sieci dostępowych, np. zagłuszenie sygnału sieci LTE w celu uniemożliwienia przesłania sygnału alarmowego w chwili włamania do szafki sterującej;

       2. wykorzystanie skradzionej karty SIM lub skradzionego urządzenia w celu dostępu do sieci użytkownika;

       3. wyszukiwanie i reagowanie na nietypowy ruch generowany przez urządzania z kartą SIM.

Podsumowanie

Przedstawione powyżej propozycje działań, stanowią tak naprawdę tylko bardzo mały wycinek aktywności, jakie należałoby podjąć, by dobrze przygotować się na możliwe zagrożenia. Czas i środki poświęcone na rozpoznanie potencjalnych zagrożeń i uszczelnienie systemów przedsiębiorstwa zaprocentują w przyszłości. Warto też skorzystać ze wsparcia profesjonalnych dostawców, których eksperci w ramach audytu ocenią poziom cyberbezpieczeństwa w organizacji i zaproponują konkretne działania.

Wykwalifikowani specjaliści Grupy MCX, świadczą usługi doradcze, szkoleniowe i wdrożeniowe wspierając rodzime i zagraniczne przedsiębiorstwa w ochronie bezpieczeństwa ich kapitału cyfrowego. Zapraszamy do rozmowy z naszymi ekspertami: https://mcx.pl/produkty-i-uslugi/cyberbezpieczenstwo/.

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska. Więcej w Regulaminie.

© Artykuł sponsorowany