Zdążyć przed hakerem - ebook

Cyberatak to dzisiaj jedno z poważniejszych zagrożeń dla biznesu, a przygotowanie firmy do ataku hakerów, który nieuchronnie nastąpi, to jedno z największych wyzwań dla kadry zarządzającej.

Mimo że o cyberbezpieczeństwie mówi się dużo, komunikaty, które docierają do typowego menedżera, trudno przełożyć na konkretne działania zarządcze. Książka Zdążyć przed hakerem jest próbą sprostania temu wyzwaniu i przygotowania menedżerów do udziału w dyskusji z ekspertami. Skupia się na elementach zarządzania cyberbezpieczeństwem wybranych tak, aby nie wymagały one wiedzy specjalistycznej, a jednocześnie pokazywały związek między technologią informatyczną i nowoczesnym biznesem. Cyberbepieczeństwo jest w niej pokazane z perspektywy procesów zarządczych, standardów dobrej praktyki i wybranych regulacji.

Jakub Bojanowski, wykorzystując swoje ponad 20-letnie doświadczenie doradcy, zdobyte podczas współpracy z instytucjami ze wszystkich ważniejszych działów gospodarki, pokazuje, że aktywny udział kadry menedżerskiej w zarządzaniu bezpieczeństwem jest nie tylko możliwy, ale także wcale nie tak skomplikowany, jak się powszechnie uważa. Więc jeśli chcesz zrozumieć, na jakie cyberzagrożenia musimy być przygotowani, to w tej książce znajdziesz nie tylko wyjaśnienia najważniejszych terminów, lecz także przydatne przykłady i case studies z praktyki zawodowej autora, które pokazują, że każdy menedżer, nawet z bardzo podstawową wiedzą z zakresu informatyki, może pełnić ważną funkcję w tworzeniu firmowego programu cyberbezpieczeństwa.

Z książki dowiesz się:

Dowiesz się, w jaki sposób hakerzy wybierają swoje ofiary, jak działają i jaką mają motywację.

Zidentyfikujesz zasoby informatyczne firmy, które są szczególnie narażone na cyberzagrożenia.

Poznasz standardy i kanony dobrej praktyki w zarządzaniu bezpieczeństwem informacji.

Dowiesz się, jak kadra menedżerska powinna współpracować z fachowcami technicznymi i specjalistami od bezpieczeństwa, aby wspierać rozwój biznesu.

Zrozumiesz, w jaki sposób i dlaczego pieniądz elektroniczny i systemy płatności on-line są narażone na ataki hakerów i dlaczego stosowane w tym obszarze zabezpieczenia i technologie muszą być cały czas rozwijane.

Poznasz działania, które należy podejmować, aby ataki hakerów wykrywać odpowiednio wcześnie i ograniczać ich negatywne skutki.

Dowiesz się, jak postępować, aby w sytuacji, kiedy firma jest ofiarą cyberataku, swoimi działaniami nie pogłębiać kryzysu i zachować swój wizerunek sprawnego i kompetentnego menedżera, który jest w stanie sprostać nawet tak trudnemu wyzwaniu.

#zdazycprzedhakerem

Przez ostatnie lata liderzy organizacji kierowani radami profesjonalistów i konsultantów specjalizujących się w cyberbezpieczeństwie sukcesywnie wprowadzali firmy na wyższy poziom świadomości zarządzania bezpieczeństwem. Z czasem pewne rozwiązania zadomowiły się w przedsiębiorstwach, nie nadążając za niezwykle dynamicznym środowiskiem zagrożeń cyberprzestrzeni.

Zdążyć przed hakerem w zupełnie nowy sposób pokazuje, że podążanie za „normami” i regulacjami oraz szablonowe podejście do zarządzania cyberbezpieczeństwem to przeszłość. Książka w praktyczny sposób obrazuje, jak budować wartość biznesu i redukować jego koszty poprzez odpowiednie, na bieżąco weryfikowane praktyki zarządcze w zakresie zarządzania cyberryzykiem. Głęboko wierzę, że książka Kuby Bojanowskiego w dużym stopniu przyczyni się do podnoszenia świadomości, znaczenia profilaktyki oraz budowania odporności firm na zagrożenia, które jak otaczający nas świat zmieniają się i ewaluują każdego dnia.

- Marcin Ludwiszewski, wieloletni lider i ekspert ds. cyberbezpieczeństwa w organizacjach prywatnych i publicznych.

Zachowania ludzkie zmieniają się wolniej od technologii, co tworzy najgroźniejszą lukę w obszarze cyberbezpieczeństwa, którą na razie można zniwelować tylko poprzez budowanie świadomości dotyczącej cyberzagrożeń z naciskiem na działania socjotechniczne oraz popełniane błędy. (…) Ta książka zawiera trafne przykłady, skierowane do szerokiego grona odbiorców: menadżerów, decydentów, pracowników, specjalistów IT i cyberbezpieczeństwa, wykonujących swoją pracę zarówno na rzecz administracji państwowej, jak i w sektorze prywatnym, pozwalające na pogłębienie wiedzy z cyberbezpieczeństwa.

- prof. Katarzyna Śledziewska, dyrektor DELab UW, kierownik Katedry Transformacji Technologicznej, Wydział Nauk Ekonomicznych UW

Wstęp 11

Podziękowania . 17

Rozdział 1

Menedżer w obliczu cyberincydentu . 21

Zaklinanie rzeczywistości . 23

Deprecjonowanie skali incydentu 24

Poszukiwanie łatwych rozwiązań 25

Trudności w analizie zdarzenia . 26

Straty wizerunkowe i chaos komunikacyjny 27

Słabe programy szkoleniowe dla pracowników 28

Prywatne i służbowe zasoby informatyczne 29

Poleganie na fachowcach 32

Rozdział 2

Typowy scenariusz cyberataku 35

Etap rozpoznania 39

Etap uzbrojenia . 41

Etap dostarczenia . 41

Etap wykorzystania . 43

Etap instalacji . 45

Etap dowodzenia i kontroli 46

Etap działania . 47

MITRE ATT&CK®, czyli kill chain dla zaawansowanych . 48

Rozdział 3

Cyberprzestępcy 51

Aktorzy i ich motywy 51

Pozyskiwanie środków z cyberprzestępczości 53

Kierunki i narzędzia ataku 54

Phishing . 56

Ransomware 57

Ataki na aplikacje internetowe . 59

Denial of Service . 59

Błędy ludzkie . 61

Działania na szkodę pracodawcy 63

Podsumowanie . 64

Rozdział 4

Aktywa informacyjne . 67

Sieć, urządzenia sieciowe 69

Usługi sieciowe, serwery aplikacyjne 70

Serwery w sieci wewnętrznej, systemy operacyjne,

kontroler domeny 72

Bazy danych i repozytoria danych . 75

Systemy przemysłowe 77

Komputery osobiste, urządzenia mobilne i przenośne

nośniki danych 79

Zasoby w chmurze obliczeniowej 80

Skrzynki poczty elektronicznej . 82

Rozdział 5

Uwierzytelnienie 85

Silne uwierzytelnienie 89

Silne uwierzytelnienie z perspektywy hakera . 94

Rozdział 6

Bezpieczeństwo informacji . 97

Rozdział 7

Bezpieczeństwo informacji z perspektywy kierownictwa . 107

Poufność . 110

Integralność 112

Dostępność 113

Podsumowanie – profil ryzyka 115

Rozdział 8

Profil ryzyka cybernetycznego – studium przypadku . 117

Pierwsze wnioski 121

Perspektywa audytora finansowego (biegłego rewidenta) 122

Perspektywa rady nadzorczej . 124

Perspektywa dyrektora finansowego . 125

Perspektywa szefa IT 125

Perspektywa zarządu 125

Perspektywa audytora bezpieczeństwa 126

Analiza scenariuszowa 127

Ocena dostępnych informacji . 128

Sceptycyzm zawodowy i zasada ograniczonego zaufania . 130

Podsumowanie . 132

Rozdział 9

Współpraca z CISO . 135

Organizacja w „pułapce cyberbezpieczeństwa” 138

CISO jako gatekeeper . 138

Zawężenie perspektywy . 139

Blindspot 140

Realistyczne oczekiwania wobec CISO . 141

Raporty na temat bezpieczeństwa . 144

Model referencyjny 147

Ekspert od bezpieczeństwa jako konsultant 149

Incydent u dużego klienta 150

Kradzież komputera z salonu 152

Konkurencja cenowa 153

Rozdział 10

Zarządzanie bezpieczeństwem – kanon dobrej praktyki . 157

Zakres ISO 27000 158

Dostosowanie ISO do potrzeb instytucji . 161

Przypisanie odpowiedzialności a szczegółowość procedur . 162

Ścieżka rewizyjna 163

Rutynowa ocena bezpieczeństwa 165

Rozwój oprogramowania . 166

Obsługa urządzeń mobilnych 166

Rozdział 11

Polityka bezpieczeństwa informacji 169

Polityka bezpieczeństwa informacji . 169

Polityka bezpieczeństwa a procedury . 171

Aktualizacja polityki 172

Rozdział 12

Organizacja zarządzania bezpieczeństwem . 175

Komitet bezpieczeństwa teleinformatycznego . 175

Skład komitetu . 175

Statut i tryb pracy komitetu . 176

Zespół (szef) ds. bezpieczeństwa informacji . 178

Zadania innych menedżerów związane z zapewnieniem bezpieczeństwa . 178

Podległość służbowa zespołu ds. bezpieczeństwa 179

Bezpieczeństwo w „pionie prezesa” 180

Bezpieczeństwo w strukturach IT 180

Bariery prawne . 181

Korzystanie z zasobów zewnętrznych . 182

Rozdział 13

Klasyfikacja informacji . 187

Klasyfikacja informacji a uprawnienia systemowe 188

Użytkownicy specjalni 190

Klasyfikacja informacji – podejście teoretyczne 192

Klasyfikacja informacji – podejście pragmatyczne 193

Klasyfikacja informacji – podejście superpragmatyczne 195

Klasyfikacja informacji a informacje niejawne . 196

Rozdział 14

Od bezpieczeństwa informacji

do cyberbezpieczeństwa . 199

Krytyczne spojrzenie na ISO 27000 . 200

Model NIST . 203

Program poprawy cyberbezpieczeństwa według

modelu NIST . 206

Podsumowanie 208

Rozdział 15

Ryzyko innowacji 209

Poszerzenie bazy użytkowników . 210

Elektroniczny pieniądz 211

Przygotowanie do e-biznesu 214

Case study – ujednolicenie handlu elektronicznego . 216

Rozdział 16

Bezpieczeństwo kart kredytowych 219

Wymagania PCI DSS 220

Rozdział 17

Ochrona płatności internetowych 225

Rozdział 18

Potwierdzanie tożsamości w internecie 231

Inne wykorzystanie usług zaufania 236

Rozdział 19

Zagrożenia dla prywatności . 239

Rozdział 20

Ochrona danych osobowych 247

Identyfikacja informacji . 251

Wybór środków ochrony 253

Podejście oparte na analizie ryzyka . 255

Podsumowanie . 257

Rozdział 21

Zapobieganie cyberincydentom 259

Obrona przed phishingiem . 260

Data Leakage Protection 263

Systemy automatycznego wykrywania zdarzeń 265

Dalsza rozbudowa SIEM 268

Rozdział 22

Security Operations Center . 271

CSIRT 274

Rozdział 23

Zarządzanie kryzysowe podczas cyberincydentu 277

Jak dobre praktyki mogą pomóc w cyberkryzysie . 281

Realna ocena cyberzagrożeń . 281

Współpraca z ekspertami 283

Polityka bezpieczeństwa i zasady eksploatacji systemów . 284

Bezpieczna konfiguracja techniczna . 285

Szkolenie dla pracowników . 286

Kompleksowy program budowy świadomości cyberzagrożeń . 287

Monitorowanie zagrożeń 288

Rzetelna ocena skali incydentu . 290

Dodatek A

Protokoły sieciowe 293

Perspektywa użytkownika 293

Architektura warstw, protokoły komunikacyjne . 295

Model referencyjny ISO OSI 296

Poziomy fizyczny i łącza danych . 298

Poziom sieci – internet . 300

Poziom transportu 303

Poziom sesji – usługi sieciowe 305

Poziomy prezentacji i aplikacji . 307

Dodatek B

Adresy sieciowe . 309

Adresy IP 309

Adresy alfanumeryczne 312

Firewall . 313

Rozszerzenia funkcjonalności zapory sieciowej . 315

Jak oszukać zaporę sieciową 316

VPN . 317

Dodatek C

Podstawy kryptografii 321

Szyfrowanie . 322

Szyfrowanie symetryczne 325

Kryptografia asymetryczna 327

Porównanie kryptografii symetrycznej i asymetrycznej 328

Funkcja skrótu 332

Kwestia tożsamości – trzecia strona zaufania 335

Blockchain 340

Dodatek D

Modelowe zarządzanie uprawnieniami 347

Bibliografia . 353

Słownik 357