W ostatnim czasie przeglądając media społecznościowe można było zobaczyć po raz kolejny dyskusję na temat adekwatności. Dużym problemem jest nadal w RODO wykazanie stosowania zabezpieczeń i wykazanie, że są odpowiednie do…

Reklama

Poziomowanie zabezpieczeń

W jednym z naszych artykułów startowych, opublikowanych na blogu opisałem w jaki sposób rozwiązano ten problem w kontekście bezpieczeństwa na morzu (konwencja SOLAS). Dziś kolejny artykuł, w którym postaram się przybliżyć koncepcję “poziomów” zabezpieczeń w zależności od poziomu stwierdzonego ryzyka. 

5 filarów bezpieczeństwa

W swojej pracy dzielę zabezpieczenia na 5 grup, które nazwałem filarami bezpieczeństwa. Są to:

  • Dokumentacja bezpieczeństwa
  • Personel bezpieczeństwa
  • Technika w bezpieczeństwie
  • Wiedza i szkolenie
  • Współpraca i działanie. 

Każdy z tych poziomów “standaryzuję”, czyli wyznaczam poziomy, tak jak w ryzyku. I załóżmy, że przyjmiemy następujące poziomy ryzyka (naprawdę poglądowo) możliwości (prawdopodobieństwo) i istotności (siła oddziaływania na osobę):

  • Poziom 3 – Poważne ryzyko
  • Poziom 2 – Istotne ryzyko
  • Poziom 1 – Mało istotne ryzyko 
  • Poziom 0 – Brak ryzyka naruszenia praw i wolności

Pamiętamy, że ryzyko jest niepewnością (według jednych standardów), czy też kombinacją prawdopodobieństwa wystąpienia i skutku (to inne standardy, nieco łatwiejsze w rozumieniu). Dziś nie rozpiszę matrycy, bo to na odrębny, duży wpis. Możemy posłużyć się tymi, z poradnika UODO. Wróćmy do filarów bezpieczeństwa. Je też należy opisać w podobnych poziomach, aby móc:

  • Wykazać stosowanie środków w sposób sensowny. Czyli wyznaczony przez poziom ryzyka; 
  • Uprościć sobie zarządzanie systemem. 

Analogicznie do poziomu ryzyka, zabezpieczenia należy wyskalować jak w przykładzie. 

  • Poziom 3 – zabezpieczenia bardzo skuteczne i o dużej sile wpływu na zagrożenia lub skutek. UWAGA: z punktu widzenia kosztu, są one ZAWSZE bardziej kosztowne. Z punktu widzenia wygody użytkownika mogą być w pewnym momencie źródłem innego ryzyka (np. braku dostępności przy zbyt silnym zabezpieczeniu dostępu do konta – to należy rozważyć!).
  • Poziom 2 – zabezpieczenia skuteczne, mniej wymagające w zakresie nakładów finansowych, organizacyjnych i innych. Powodują mniej “utrudnień” w życiu codziennym.
  • Poziom 1 – zabezpieczenia minimalne, o niedużym nakładzie. Skuteczne w ograniczonym zakresie, ale prawie niezauważalne. 
  • Poziom 0 – zabezpieczenia “na sztukę”. Jest bo jest, ale pierwsza próba może skończyć się przełamaniem (pamiętajmy, że każde przełamanie jest przestępstwem! A więc już tutaj funkcjonuje co najmniej podstawowy poziom ochrony). 

Praca z mini-standardem

Już mamy założenia do naszego mini standardu bezpieczeństwa. Dla ryzyka o poziomie 3, dobieramy zabezpieczenia o poziomie 3. Dla poziomu ryzyka – 2, zabezpieczenia na poziomie 2. I tak dalej. 

W praktyce

Wyjaśnienie jest już wystarczające mam nadzieję. Oczywiście ogromnym problemem jest wskazanie, co to znaczy poziom “2” zabezpieczenia i czy na pewno nie jest “3” albo “1”? Nie zmieszczę wszystkiego w jednym artykule, ale Prezes Urzędu Ochrony Danych w uzasadnieniu do decyzji w sprawie Morele.net ujął kilka wytycznych np. dotyczących logowania. Pozostając przy Morele.net, spróbuję nieco omówić zastosowanie proponowanego podejścia. 

Bezpieczne logowanie

Dla przykładu, więc nie będziemy wchodzić w technikalia (czytają nas również osoby, które w zakresie technicznym korzystają ze wsparcia, więc opis będzie maksymalnie uproszczony). Poziom zabezpieczenia przed nieuprawnionym logowaniem:

  • Poziom 3 – dwuskładnikowe logowanie, czyli podanie danych identyfikacyjnych, hasła oraz dodatkowego elementu (token z SMS) połączone z dodatkową weryfikacją nieznanego urządzenia (konieczność potwierdzenia logowania z nowego urządzenia) oraz każdorazową informacją o logowaniu na mail/SMS; 
  • Poziom 2 – dwuskładnikowe logowanie, bez dodatkowych fajerwerków, z informacją na mail/SMS;
  • Poziom 1 – logowanie oparte o mail/login i hasło, z każdorazowym wysłaniem informacji o logowaniu na mail; 
  • Poziom 0 – logowanie oparte o mail/login bez dodatkowych fajerwerków. 

UWAGA: Każdy filar bezpieczeństwa ma więcej niż jeden czynnik oceny. Tutaj omawiamy tylko kwestię samego logowania w filarze “zabezpieczenie techniczne”, grupa zabezpieczeń logicznych. 

Morele.net

Naprawdę nie to, że się czepiam. Ale po prostu to jest świetny przykład, a spółka sama się ujawniła i dyskutowała. 

Dla przypomnienia. Ryzyko to kombinacja prawdopodobieństwa i skutku. Skutek pozyskania danych z systemu, służących do przyznania kredytu ustalmy, że był krytyczny, ale prawdopodobieństwo włamania (zagrożenie) i wykorzystania danych (skutek) już niższe. Dlatego (znów załóżmy) że ryzyko oznaczyliśmy na poziom 2 – istotne ryzyko. 

W międzyczasie (między np corocznymi przeglądami ryzyka) z danych instytucji, firm, speców od bezpieczeństwa uzyskujemy informację o tym, że nasiliły się akcje phisingowe i nagle doszło do wielu przejęć kont. To oznacza, że wzrasta prawdopodobieństwo ataku na nasz system. Skutek… nadal jest ten sam – krytyczny (kradzież tożsamości i wszystko co z motywu 75 sobie wypiszemy, co może nastąpić po utracie tak wielkiej ilości danych). 

Ale z racji zmiany parametru prawdopodobieństwa z “możliwe” do “prawie pewne” ryzyko dostaje klasyfikację “3” – krytyczne. Czyli…? Panika? 

Nie. Zaglądamy do naszej matrycy zabezpieczeń. I:

  • Zmieniamy parametry logowania na te najbardziej ostre (czyli poziom 3 z wymagań dla zabezpieczeń);
  • Wysyłamy maila informującego do naszych klientów, że sorry. Ale zmieniły się parametry pola walki;
  • ZOSTAWIAMY (TAK!!!) możliwość obniżenia poziomu bezpieczeństwa i sposobu logowania do wyłącznej decyzji klienta. Z informacją, jak bardzo chce zejść do logowania jednoskładnikowego, czy bez lokalizacji to zmniejsza swoje bezpieczeństwo. Bo to JEGO Prawo. 

Metodycznie

Zamiast podsumowania dziś nieco metodyki. Kilka zasad jak naprawdę projektować zabezpieczenia z poziomu IOD czy managera bezpieczeństwa informacji (danych) i nie popaść w paranoję. Albo uczyć się tego wszystkiego przez kolejne 15 lat: 

  • Pamiętaj, aby mieć siłę zagrożenia oraz skutek oddziaływania sparametryzowane, czyli wyskalowane jak ryzyko i wpływ zabezpieczenia. Czyli znów – 0-3; 
  • Określ skutek stosowania zabezpieczenia (do konkretnego zagrożenia), a potem poproś o potwierdzenie skuteczności. Może to być wynik testu albo deklaracja producenta (nie mamy możliwości laboratoryjnych np. sprawdzenia odporności na włamanie zamków w konkretnej klasie);
  • Monitoruj nie tylko ryzyko, też (a może przede wszystkim) zagrożenie w tym siłę  i możliwość (prawdopodobieństwo) wystąpienia. One potrafią zmienić parametr ryzyka.

Historycznie

Model ten stosowałam już od 2004 roku od pierwszych strategii. W ujęciu bezpieczeństwa jest podstawą tzw. Standardu Bezpieczeństwa, opartego o wspomniane 5 filarów od prac w 2009 roku, a jako opisany model od 2012. Opis filarów i ich składowych podlegających projektowaniu, a potem ocenie można znaleźć na stronie Instytutu Bezpieczeństwa, w którym trwają prace nad rozwojem. Standardy są bezpłatne i będą dostępne po obecnych rewizjach (przeglądach).