Defense in Depth (czyli pogłębiona ochrona) jest wielowarstwowym podejściem do zabezpieczania danych przedsiębiorstwa. DiD inaczej nazywa się jeszcze podejściem zamkowym, ponieważ odzwierciedla średniowieczne fortyfikacje – wyjaśniał w trakcie webinarium ekspert Platformy Przemysłu Przyszłości i specjalista w zakresie bezpieczeństwa IT, Krzysztof Mizerski:
– Defense in Depth to taktyka, która jest najczęściej wprowadzana w średnich bądź dużych organizacjach. Chodzi w niej o to, żeby ewentualne dostanie się do danych wymagało pokonania szeregu przeszkód, począwszy od ustalonych polityk i procedur. Następnie konieczne byłoby sforsowanie zabezpieczeń fizycznych, sieci brzegowej, najczęściej chronionej przez firewalle, oraz sieci wewnętrznej. Później trzeba dostać się do serwerów, ominąć zabezpieczenia aplikacji. Dopiero wtedy przestępca może uzyskać dostęp do danych. Taki atak z zewnątrz jest właściwie niemożliwy, bo udaremni go nawet jedna z barier.
Kopie zapasowe i szyfrowanie
Jak przypominał Krzysztof Mizerski, w dbaniu o cyberbezpieczeństwo nie wolno pominąć wykonywania kopii zapasowych, które pozwalają odtworzyć utracone lub uszkodzone dane (w wyniku awarii lub ataku hakerskiego). Profesjonalne backupy zapisuje się w macierzach dyskowych lub bibliotekach taśmowych:
– Takie podejście jest drogie i mogą sobie na nie pozwolić, znowu, najczęściej tylko duże, ewentualnie niektóre średnie przedsiębiorstwa. Mniejsze firmy lub osoby prywatne najczęściej wykonują backupy w chmurze i nie ma w tym nic złego, o ile pamiętamy o odpowiednim zabezpieczeniu kopii – tłumaczył prelegent. – Musimy pamiętać, że kiedy wysyłamy dane do chmury, one w niej pozostają. Możemy poprosić administratora o usunięcie plików, ale nie mamy pewności, że zrobi to we wszystkich ośrodkach przetwarzania. Trudno to zweryfikować, dlatego informacje powinny być zaszyfrowane.
Przed atakami skutecznie chroni się 8% polskich przedsiębiorstw
Ekspert przybliżył dane, zgodnie z którymi w Polsce tylko 8% firm: ma narzędzia i systemy umożliwiające ochronę przed atakami, zatrudnia specjalistów, a na inwestycje w obszarze cyberbezpieczeństwa przeznacza co najmniej 1/10 budżetu IT. Mizerski zwrócił też uwagę, że przedsiębiorstwa często traktują zabezpieczanie danych jako dodatkowy koszt, raczej zbędny, bo dotąd nic złego się nie stało:
– Dzielę firmy na dwie grupy. W pierwszej są te, które już doświadczyły cyberataku lub poniosły jakieś koszty, w drugiej mamy organizacje nieświadome, że ktoś już je zaatakował. I przez brak wiedzy są bardziej narażone na kolejne napaści – akcentował Krzysztof Mizerski.
Cykl o zarządzaniu 4.0
Wirtualne wydarzenie poświęcone podstawom cyberbezpieczeństwa w firmie było ostatnim webinarium w serii „Zarządzanie 4.0: Jak transformować biznes?”. Wcześniejsze obejmowały takie zagadnienia, jak lean management, konserwacja zapobiegawcza, druk 3D czy nowe modele biznesowe. Prowadzili je eksperci Platformy Przemysłu Przyszłości: dr Julia Siderska, dr Piotr Kaczmarek-Kurczak, Norbert Kaleta, prof. Mariusz Hetmańczyk, Tomasz Król oraz Piotr Świderski. Relacje ze wszystkich warsztatów, m.in. w tym cyklu, można znaleźć w dziale Webinaria.