Fundamentalne wytyczne w zakresie ochrony przed cyberatakami | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

dłoń, nad nią unosi się cyfrowa kłódka, a dookoła kłódki są różne ikony

Fundamentalne wytyczne w zakresie ochrony przed cyberatakami

Cyberbezpieczeństwo stanowi bezustanny proces, a nie jednorazowe działanie. Regularne wdrażanie najlepszych praktyk w zakresie cyberbezpieczeństwa to kluczowy element skutecznej obrony przed cyberzagrożeniami. Dlatego prezentujemy zestaw wytycznych, które pomogą usprawnić ten proces. Stosowanie się do nich pozwoli zminimalizować ryzyko utraty danych, zakłóceń w działaniu systemów oraz poniesienia strat finansowych.

  1. Tworzenie, przechowywanie i testowanie kopii zapasowych

    1. Sporządź wykaz wszystkich baz danych, repozytoriów plików oraz plików konfiguracyjnych aplikacji, aby mieć pełną świadomość zasobów, które należy regularnie archiwizować.
    2. Upewnij się, że kopie zapasowe powstają wystarczająco często, aby minimalizować utratę danych, dobierając częstotliwość ich tworzenia do poziomu krytyczności każdego systemu (np. codziennie, co godzinę).
    3. Przechowuj kopie w różnych miejscach, np. w chmurze oraz offline na dyskach fizycznie odłączonych od sieci, aby zapewnić wielopoziomową ochronę i uniknąć ryzyka utraty danych w przypadku ataku lub awarii.
    4. Regularnie sprawdzaj, czy odzyskiwanie danych działa prawidłowo, wykonując testowe przywracanie plików, aby zweryfikować integralność oraz użyteczność kopii zapasowych.
    5. Zabezpieczaj backupy hasłem lub kluczem, dzięki czemu nieuprawnione osoby nie będą mogły odczytać zawartości archiwizowanych danych.
    6. Nie korzystaj z tych samych poświadczeń dla kopii oraz innych systemów (np. Active Directory), aby zminimalizować ryzyko przejęcia dostępu do backupów w wyniku naruszeń bezpieczeństwa.
    7.  Ogranicz liczbę osób z prawami do tworzenia, kasowania i odtwarzania kopii zapasowych, przydzielając uprawnienia wyłącznie pracownikom, którzy rzeczywiście powinni zarządzać kopiami.
    8. Zdefiniuj, jak długo i w jakiej formie przechowywane są kopie, jest to szczególnie istotne przy audytach oraz w trakcie analizowania potencjalnych incydentów bezpieczeństwa.
    9. Twórz szczegółowy rejestr wszystkich operacji  wykonywanych na kopiach zapasowych (kto, kiedy i dlaczego wykonał daną czynność), aby móc wyjaśnić ewentualne nieprawidłowości.

  2. Zarządzanie poprawkami systemowymi i aplikacjami

    1. Korzystaj z systemów automatycznej aktualizacji, aby na bieżąco wykrywać oraz instalować poprawki w systemach i aplikacjach, skracając czas ekspozycji na potencjalne luki.
    2. Ustalaj priorytet podejmowanych działań ze względu na luki bezpieczeństwa, skupiając się w pierwszej kolejności na tych krytycznych (o wysokim CVSS), które mogą umożliwić zdalne wykonanie kodu lub eskalację uprawnień.
    3. Weryfikuj wersje oprogramowania na wszystkich urządzeniach, łącznie z IT/OT/IoT czy systemami SCADA, tak aby każde z nich posiadało najnowsze poprawki bezpieczeństwa.
    4. Określ stałe „okna czasowe” na instalowanie aktualizacji, np. raz w tygodniu lub raz w miesiącu, i sprawdzaj, czy wdrożenia łatek przebiegają zgodnie z założeniami.
    5. Przygotuj procedurę wycofania wadliwych łatek, aby móc szybko powrócić do poprzednich wersji w razie problemów ze stabilnością systemu.
    6. Utwórz środowisko testowe, gdzie najpierw wdrażane są poprawki i zmiany konfiguracji, aby ocenić ich wpływ na kluczowe systemy przed wprowadzeniem do środowiska produkcyjnego.
    7. Integruj informacje o lukach i poprawkach z dedykowanych baz (np. CVE, NVD) bezpośrednio w systemie do zarządzania poprawkami, by automatycznie identyfikować istotne aktualizacje.
    8. Korzystaj z narzędzi do inwentaryzacji oprogramowania (Software Asset Management), aby mieć pewność, że wszystkie urządzenia w organizacji zostały objęte procesem wdrażania poprawek.

  3. Kontrola dostępu i zarządzanie tożsamością

    1. Stosuj zasadę „najmniejszych uprawnień” (least privilege), udzielając pracownikom wyłącznie tych uprawnień, które są absolutnie niezbędne do wykonywania ich obowiązków.
    2. Wdrażaj uwierzytelnianie wieloskładnikowe (MFA), np. przez tokeny sprzętowe lub aplikacje mobilne, zwłaszcza w systemach krytycznych.
    3. Wymuszaj silną politykę haseł, w tym odpowiednią długość, złożoność, limity prób logowania i cykliczną rotację haseł w ustalonych odstępach czasu.
    4. Przeprowadzaj cykliczne rewizje kont i uprawnień, zwłaszcza po odejściu pracownika 
      z organizacji, aby wyeliminować zbędne lub zapomniane konta.
    5. Monitoruj i rejestruj logowania, zwracając szczególną uwagę na nietypowe pory oraz lokalizacje, aby szybko wykrywać i reagować na podejrzaną aktywność.
    6. Prowadź cykliczne weryfikacje uprawnień, podczas których przełożeni weryfikują, czy danemu użytkownikowi w dalszym ciągu potrzebne są dotychczasowe poziomy dostępu.
    7. Stosuj „segregację obowiązków” w przypadku najbardziej krytycznych operacji, tak aby wymagały zgody lub współdziałania co najmniej dwóch uprawnionych osób.
       

  4. Bezpieczeństwo stacji roboczych serwerów i urządzeń końcowych

    1. Wdrażaj rozwiązania umożliwiające przygotowywanie, konfigurację i wycofywanie stacji roboczych, co zapewni spójne wdrażanie polityk bezpieczeństwa (np. GPO) od pierwszego uruchomienia systemu.
    2. Korzystaj z oprogramowania antywirusowego oraz antimalware, za pomocą rozwiązań, takich jak NGAV (Next-Gen AV) czy EDR (Endpoint Detection and Response).
    3. Wdrażaj politykę „Application Whitelisting”, umożliwiając uruchamianie jedynie zaufanych i podpisanych plików wykonywalnych.
    4. Zapewniaj regularne oraz cykliczne skanowanie stacji roboczych i serwerów, aby wykrywać ewentualne zagrożenia w możliwie najszybszym czasie.
    5. Konfiguruj firewalle osobiste (lokalne zapory systemowe), m.in. takie, jak w systemie Windows, i dbaj o ich właściwe ustawienia zgodne z polityką bezpieczeństwa.
    6. Rozważ zablokowanie portów USB i nośników wymiennych dla stacji roboczych, stosując kontrolę nośników w celu zapobiegania nieautoryzowanemu kopiowaniu danych lub wprowadzaniu złośliwego oprogramowania.
    7. Dokonuj tzw. twardej konfiguracji (hardeningu), wyłączając zbędne usługi oraz protokoły (np. Telnet, SMBv1).
    8. Korzystaj z pełnego szyfrowania dysków, np. BitLocker (Windows) lub LUKS (Linux), zwłaszcza na urządzeniach mobilnych i laptopach, aby chronić dane w razie utraty sprzętu.
    9. Instaluj wyłącznie niezbędne oprogramowanie, minimalizując w ten sposób wektory ataku.
    10. Wdrażaj regularne restarty systemów, ponieważ niektóre poprawki i zmiany w konfiguracji wymagają ponownego uruchomienia, co należy egzekwować zgodnie z harmonogramem.
    11. Ogranicz dostęp do portów zewnętrznych, np. RDP, SSH czy SMB, jedynie do zaufanych adresów IP, kiedy nie są one potrzebne w szerszym zakresie.

  5. Segmentacja sieci

    1. Wydziel strefy sieciowe, aby krytyczne zasoby (np. serwery bazodanowe, systemy szpitalne) były oddzielone od stref ogólnodostępnych w ramach sieci.
    2. Umieszczaj usługi publiczne w strefie DMZ, zapewniając izolację ruchu między DMZ 
      a siecią wewnętrzną oraz ograniczając ekspozycję wewnętrznych zasobów.
    3. Stosuj listy kontroli dostępu (ACL) na routerach i przełącznikach w celu blokowania ruchu między segmentami, który nie jest niezbędny dla działania organizacji.
    4. Wdrażaj IDS/IPS do monitorowania ruchu sieciowego, aby w czasie rzeczywistym wykrywać i blokować potencjalne ataki.
    5. Korzystaj z wirtualnych sieci VLAN, gdy tylko jest to możliwe, w celu dodatkowego logicznego podziału ruchu sieciowego na poziomie infrastruktury fizycznej.

  6. Ochrona poczty elektronicznej

    1. Korzystaj z systemów antyspamowych i antyphishingowych, aby skutecznie blokować podejrzane wiadomości oraz szkodliwe załączniki (np. .exe, .js).
    2. Konfiguruj mechanizmy SPF, DKIM i DMARC, zmniejszając ryzyko podszywania się pod adresy firmowe w korespondencji e-mail.
    3. Regularnie edukuj użytkowników, przypominając im, by nie otwierali linków i załączników otrzymanych z nieznanych źródeł.
    4. Wdrażaj „sandboxing” przy analizie załączników, aby przed dostarczeniem 
      do użytkownika sprawdzić, czy plik nie zawiera złośliwego kodu.
    5. Rozważ wprowadzenie szyfrowania poczty (np. S/MIME, PGP) w przypadkach przesyłania danych o podwyższonym poziomie wrażliwości, aby uniemożliwić przechwycenie treści przez osoby nieuprawnione.
    6. Monitoruj i analizuj raporty logów serwera poczty (np. informacje o odrzuconych 
      i podejrzanych wiadomościach), co pozwoli wykryć nietypowe wzorce ruchu i prób ataku.
    7. Włącz opcję skanowania załączników w czasie rzeczywistym na bramkach e-mail, aby zapewnić dodatkową warstwę ochrony przed nowym i nieznanym złośliwym oprogramowaniem.

  7. Monitoring i gromadzenie logów

    1. Centralizuj logi za pomocą systemu SIEM, zbierając dane z serwerów, urządzeń sieciowych, aplikacji i systemów operacyjnych w jednym miejscu do korelacji zdarzeń.
    2. Definiuj alerty na niepokojące zachowania, np. powtarzające się nieudane próby logowania czy gwałtowny wzrost wykorzystania zasobów.
    3. Wykorzystuj User and Entity Behavior Analytics (UEBA), aby wykrywać odstępstwa od typowych zachowań użytkowników lub urządzeń i w porę reagować na anomalie.
    4. Konfiguruj poziom logowania w taki sposób, by obejmował również zdarzenia związane 
      z dostępem do plików czy zmianami w rejestrze systemowym.
    5. Regularnie przeglądaj starsze zapisy zdarzeń w logach, ponieważ cyberprzestępcy często działają w ukryciu przez dłuższy czas. Wczesne ślady nieautoryzowanej aktywności mogą ujawnić się dopiero po analizie zdarzeń sprzed kilku tygodni czy nawet miesięcy. 

  8. Procedury reagowania na incydenty

    1. Stwórz i aktualizuj plan postępowania na wypadek incydentu, który krok po kroku opisze działania konieczne do ograniczenia szkód.
    2. Określ role i odpowiedzialności w jednostce ds. incydentów, rozdzielając zadania związane z zarządzaniem sytuacją kryzysową, komunikacją z zarządem i organami ścigania.
    3. Przygotuj gotowe szablony powiadomień, które pozwolą szybko poinformować pracowników, partnerów oraz klientów (zwłaszcza jeśli naruszenie dotyczy danych osobowych).
    4. Organizuj ćwiczenia scenariuszowe, aby personel dokładnie wiedział, jak zareagować 
      w razie ataku, oraz aby zweryfikować skuteczność przyjętych procedur.
    5. Opracuj plan odtworzenia kluczowych systemów, określając priorytety przywracania, 
      co skróci przestój i zminimalizuje straty.
    6. Upewnij się, że procedury zgłaszania nietypowej aktywności są czytelne dla wszystkich pracowników, aby nikt nie miał wątpliwości, do kogo należy się zwrócić w razie podejrzenia incydentu.
    7. Wprowadź zasadę gwarantującą, że osoba zgłaszająca potencjalne naruszenie nie zostanie ukarana za niedopełnienie obowiązków, co sprzyja otwartej i szybkiej wymianie informacji.
    8. Zapewnij łatwe kanały zgłaszania incydentów, takie jak dedykowany nr. telefonu czy adres e-mail do SOC lub działu IT.

  9. Polityka bezpieczeństwa i zgodność (compliance)

    1. Wdrażaj i utrzymuj System Zarządzania Bezpieczeństwem Informacji (SZBI), który będzie stanowił formalną podstawę do kompleksowego zarządzania ryzykiem, procedurami oraz wymaganiami prawnymi w obszarze bezpieczeństwa informacji.
    2. Zapewnij jasne, spisane polityki i regulaminy, które regulują między innymi zasady dostępu do systemów oraz korzystania z urządzeń służbowych.
    3. Regularnie przeprowadzaj audyty zgodności, by weryfikować, czy organizacja przestrzega RODO, ISO 27001, i innych norm oraz wytycznych.
    4. Przygotuj plan zgłaszania naruszeń do organów regulacyjnych (np. UODO) w sytuacjach, w których przepisy prawa nakładają taki obowiązek.
    5. Dokumentuj wszystkie procesy związane z bezpieczeństwem, co ułatwi analizę incydentów, doskonalenie procedur oraz przeprowadzanie audytów.

  10. Ograniczanie ryzyka związanego z użyciem makr i skryptów

    1. Ustal politykę domyślnej blokady makr w Office, np. za pomocą reguł GPO lub Intune, dla plików pobranych z internetu.
    2. Dopuszczaj wyłącznie skrypty podpisane cyfrowo, aby mieć pewność, że ich źródło jest zweryfikowane i zaufane.
    3. Regularnie uświadamiaj użytkowników, że makra mogą zawierać złośliwy kod, a otwieranie plików z niezaufanego źródła jest poważnym zagrożeniem.
    4. Zbieraj logi i analizuj uruchomienia makr, by wiedzieć, który użytkownik, kiedy i w jakim celu uruchomił makro, co może pomóc w wykryciu anomalii.
    5. Wdrażaj narzędzia sandbox w czasie rzeczywistym, które automatycznie uruchamiają i analizują makra w izolowanym środowisku przed ich udostępnieniem użytkownikowi.
    6. Korzystaj z systemów reputacji plików, które na bieżąco porównują hashe makr i skryptów z bazami znanego złośliwego oprogramowania.

  11. Bezpieczeństwo dostępu zdalnego i połączeń VPN

    1. Wdrażaj wyłącznie szyfrowane połączenia SSL/TLS lub IPsec, aby zapewnić ochronę przesyłanych danych przed podsłuchem w internecie.
    2. Wymagaj uwierzytelniania wieloskładnikowego (MFA) dla sesji VPN i zdalnego pulpitu (RDP), co znacząco podniesie poziom bezpieczeństwa.
    3. Ogranicz lub całkowicie wyłącz bezpośredni dostęp RDP z internetu, jeśli nie jest on niezbędny, bądź ogranicz go do zaufanych adresów IP i stosuj dedykowaną bramę RDP.
    4. Monitoruj aktywność w kanałach zdalnego dostępu, kontrolując łączny czas sesji i zwracając uwagę na nietypowe próby łączenia w godzinach poza pracą.
    5. Stosuj segmentację dla zdalnych połączeń, aby także użytkownicy korzystający z VPN mieli dostęp wyłącznie do niezbędnych części sieci.
    6. Stosuj autoryzację opartą na certyfikatach dla użytkowników i urządzeń, co umożliwia lepszą weryfikację tożsamości.
    7. Zlecaj testy penetracyjne zarówno wewnętrzne, jak i zewnętrzne, by sprawdzić możliwość ataku z perspektywy internetu oraz osoby znajdującej się w sieci lokalnej.

  12. Testy penetracyjne i audyty bezpieczeństwa

    1. Zlecaj testy penetracyjne zarówno wewnętrzne, jak i zewnętrzne, by sprawdzić możliwość ataku z perspektywy internetu oraz osoby znajdującej się w sieci lokalnej.
    2. Precyzyjnie określ zakres testów, uwzględniając w nim kluczowe systemy i usługi narażone na ataki.
    3. Realizuj testy co najmniej raz w roku lub po znaczących zmianach w infrastrukturze, aby zapewnić aktualną ocenę stanu bezpieczeństwa.
    4. Opracowuj raporty z wynikami oraz wdrażaj zalecane poprawki, wyznaczając konkretne terminy dla poszczególnych działań.
    5. Regularnie przeprowadzaj audyty konfiguracji urządzeń sieciowych, serwerów i narzędzi bezpieczeństwa, aby potwierdzić, że działają one zgodnie z założeniami i najnowszymi praktykami.

  13. Zarządzanie urządzeniami mobilnymi (MDM)

    1. Konfiguruj profile bezpieczeństwa, wprowadzając wymóg silnych haseł, blokady ekranu czy szyfrowania, aby chronić dane przechowywane na urządzeniach mobilnych.
    2. Zapewnij możliwość zdalnego wymazania danych, aby w razie kradzieży lub zgubienia urządzenia mieć możliwość natychmiastowego usunięcia danych służbowych.
    3. Kontroluj instalację aplikacji, dopuszczając wyłącznie wcześniej zatwierdzone rozwiązania. 
    4. Rozdziel dane prywatne i firmowe, by ograniczyć ryzyko wycieku informacji służbowych.
    5. Monitoruj, czy urządzenia mobilne mają zainstalowane aktualne poprawki bezpieczeństwa, by ograniczyć podatność na złośliwe oprogramowanie i ataki    sieciowe.
    6. Blokuj możliwość rootowania/jailbreaku na urządzeniach służbowych i wykrywaj próby takiej modyfikacji, co pozwala uniknąć obejścia krytycznych zabezpieczeń.

  14. Kontrola wymiany danych z podmiotami trzecimi

    1. Wydziel strefę do wymiany danych (np. w osobnej sieci), by zminimalizować ryzyko rozprzestrzenienia się ataku w głównej infrastrukturze.
    2. Stosuj wyłącznie szyfrowane kanały komunikacji, takie jak SFTP czy HTTPS, przy przesyłaniu wrażliwych informacji na zewnątrz organizacji.
    3. Regularnie audytuj dostawców i partnerów, sprawdzając, jakie zabezpieczenia stosują, zwłaszcza jeśli mają dostęp do zasobów o krytycznym znaczeniu.
    4. Ustal standardy i procedury bezpieczeństwa w umowach (SLA), wyraźnie określając zasady zgłaszania incydentów oraz zakres odpowiedzialności stron.
    5. Udostępniaj tylko niezbędny zakres informacji, ograniczając się do niezbędnych danych dla danej współpracy.
    6. Precyzyjnie określ w umowach zakres uprawnień dostępu (np. rodzaj i czas obowiązywania) do zasobów, ograniczając sytuacje, w których partnerzy czy dostawcy posiadają więcej uprawnień, niż to konieczne.

  15. System zarządzania ryzykiem

    1. Włącz do strategii zarządzania ryzykiem regularne prenumerowanie alertów i raportów (np. z CERT Polska), aby na bieżąco uzyskiwać informacje o pojawiających się zagrożeniach i metodach ataku.
    2. Współpracuj z zewnętrznymi organizacjami specjalizującymi się w analizie zagrożeń cybernetycznych, aby stale uzupełniać ocenę ryzyka o wiedzę na temat najnowszych wektorów ataków.
    3. Aktualizuj zasady i procedury bezpieczeństwa, takie jak reguły filtrów pocztowych, konfiguracja IDS/IPS czy definicje antywirusa, w oparciu o zidentyfikowane zagrożenia i podatności.
    4. Gromadź i analizuj wskaźniki kompromitacji (IOC), w tym adresy IP, domeny czy sumy kontrolne złośliwych plików, aby móc uwzględniać w analizie ryzyka konkretne kampanie i ataki.

  16. Ograniczanie nieautoryzowanych rozwiązań IT (Shadow IT)

    1. Monitoruj ruch sieciowy, aby wykryć korzystanie z aplikacji SaaS lub narzędzi, które nie zostały oficjalnie zatwierdzone przez dział IT.
    2. Wdrażaj politykę instalowania oprogramowania wyłącznie z zaufanych źródeł, takich jak: centralne repozytoria lub oficjalne sklepy.
    3. Blokuj instalacje oprogramowania z zewnętrznych źródeł, spoza firmowego repozytorium czy oficjalnych sklepów, co znacznie ograniczy ryzyko pobierania niezweryfikowanych aplikacji.
    4. Utwórz transparentny proces zatwierdzania nowych narzędzi, by pracownicy mogli łatwo zgłosić potrzebę korzystania z dodatkowych rozwiązań i uzyskać ocenę ryzyka.
    5. Edukuj zespół, uświadamiając, że niezautoryzowane aplikacje stanowią istotne zagrożenie dla bezpieczeństwa infrastruktury oraz informacji.

  17. Bezpieczna konfiguracja usług chmurowych

    1. Stosuj zasadę najmniejszych uprawnień w ramach ról i polityk IAM (np. w AWS, Azure), tak by przyznawany dostęp był jak najwęższy.    
    2. Wymuś szyfrowanie danych w spoczynku i w trakcie przesyłania, aby zabezpieczyć je przed nieautoryzowanym odczytem.    
    3. Monitoruj usługi chmurowe, korzystając z takich narzędzi jak AWS CloudTrail, Azure Monitor czy Google Cloud Logging, i analizuj logi pod kątem potencjalnych anomalii.
    4. Przeprowadzaj regularne audyty konfiguracji (np. AWS Config, Azure Security Center), aby wykryć nieprawidłową konfigurację oraz otwarte porty.        
    5. Rozważ wdrożenie rozwiązań CSPM (Cloud Security Posture Management), które automatycznie identyfikują i korygują niebezpieczne konfiguracje w środowisku chmurowym.

  18. Zabezpieczenia fizyczne

    1. Stosuj kontrolę dostępu do serwerowni, opartą na systemach kart, monitoringu CCTV oraz rejestrze wejść i wyjść, aby ograniczyć ryzyko nieuprawnionego dostępu.
    2. Zapewnij odpowiednie warunki środowiskowe, takie jak klimatyzacja, czujniki dymu czy instalacje gaśnicze, aby chronić sprzęt przed czynnikami zewnętrznymi.
    3. Wdrażaj zasilanie awaryjne (UPS, generatory), co pozwala uniknąć nagłego wyłączenia systemów w przypadku braku prądu.
    4. Stosuj blokady antykradzieżowe, szczególnie w strefach ogólnodostępnych, by uniemożliwić łatwą kradzież urządzeń takich jak laptopy czy stacje robocze.

  19. Szkolenia pracowników i budowanie świadomości

    1. Organizuj regularne szkolenia, podczas których pracownicy będą poznawać aktualne zagrożenia (w tym phishing, ransomware i inne ataki socjotechniczne) oraz dobre praktyki bezpieczeństwa.
    2. Przeprowadzaj testowe kampanie phishingowe, aby sprawdzić w praktyce czujność i reakcje użytkowników, a następnie omawiaj wyniki, wskazując, co można poprawić.
    3. Udostępniaj materiały edukacyjne, takie jak krótkie poradniki, checklisty czy plakaty, w miejscach łatwo dostępnych dla personelu (intranet, tablice informacyjne).
    4. Zachęcaj pracowników do natychmiastowego zgłaszania podejrzanych maili i incydentów, zapewniając, że żadne z pytań czy obaw nie zostaną zlekceważone ani ukarane.
    5. Twórz kulturę „Zero Trust” - każdy link, załącznik czy urządzenie zewnętrzne powinien zostać potraktowany jako potencjalnie niebezpieczne, dopóki nie zostanie zweryfikowane.


       

Pobierz zalecenia w formacie pdf