– Rozproszona architektura zwiększa złożoność środowisk informatycznych oraz ilość danych, co cyberprzestępcy umiejętnie wykorzystują. Poza tym, ze względu na fakt, że coraz więcej danych jest tworzonych i przechowywanych poza lokalnym centrum danych, organizacje muszą przestrzegać regulacji rządowych, których wcześniej nie miały obowiązku uwzględniać – mówi Marcin Tymieniecki, Business Development Manager HPE w Also.

Pokonanie tych przeszkód wymaga nie tylko przedefiniowania strategii w zakresie ochrony i zarządzania danymi, ale również inwestycji w narzędzia nowej generacji, które zastąpią konwencjonalne rozwiązania. Część firm już zapoczątkowała ten proces, a widoczne są też pewne ruchy ze strony producentów rozszerzających swoją ofertę, a także wchodzących w alianse, co ma im pomóc w realizacji rosnących potrzeb klientów. Ciekawym przykładem jest współpraca HPE z Cohesity – jednym z najbardziej obiecujących nowych graczy w segmencie ochrony danych.

Nowe środowiska, nowe wyzwania

Badania IDC pokazują, że korporacyjne systemy pamięci masowych rozrastają się wykładniczo – 30,9 proc. przy pięcioletnim CAGR. Nie ma co liczyć na to, że w najbliższych latach to tempo osłabnie. Co gorsza, pojawił się kolejny problem w postaci nadmiernego rozwarstwiania infrastruktury IT. Otwiera to nowe możliwości przed hakerami, którzy mogą atakować coraz więcej – na ogół słabo zabezpieczonych – punktów końcowych. W ostatnich latach prawdziwą zmorą stały się gangi ransomware, które każą sobie płacić coraz wyższe stawki za odszyfrowanie danych. Według Coverware w IV kwartale 2021 r. średnia opłata za odszyfrowanie danych wynosiła 322 168 dol., co oznacza 130 proc. wzrostu kwartał do kwartału.

Napastnicy sięgają przy tym po nowe, zaawansowane metody ataków. W przeszłości przed ransomwarem można się było zabezpieczyć przy pomocy dobrej kopii bezpieczeństwa, ponieważ jedyną intencją napastników było zablokowanie użytkownikom dostępu do danych. Obecnie hakerzy nie tylko usuwają kopię zapasową, ale również wykradają i upubliczniają dane. Przedsiębiorstwa stają przed wyborem – płacić haracze czy przeznaczyć środki na wzmocnienie fortyfikacji. Przy czym sam zakup narzędzi to jeden z kroków, konieczna jest też współpraca działów bezpieczeństwa ze specjalistami ds. przetwarzania danych.

– Rozwiązania do zarządzania i ochrony danych tradycyjnie są systemami zamkniętymi, utrudnia to współpracę działów bezpieczeństwa oraz IT. Tym samym sąsiednie aplikacje, które mogłyby korzystać z analityki i sztucznej inteligencji, mają z tym problem. Zamknięty charakter tradycyjnego zarządzania danymi prowadzi do nieefektywności i złożoności, a rozproszona infrastruktura dodatkowo komplikuje sytuację – mówi Marcin Tymieniecki.

Góra lodowa Cohesity

Choć środowisko IT ewoluuje, nadal istnieje liczna grupa firm korzystających z tradycyjnych systemów ochrony danych. Utrzymywanie wiekowego sprzętu oraz oprogramowania jedynie utrwala funkcjonowanie silosów w centrum przetwarzania danych i prowadzi do dalszej segmentacji infrastruktury oraz zespołów odpowiedzialnych za ich obsługę. Nowoczesne narzędzia do zarządzania danymi, takie jak Cohesity DataPlatform, są wyposażone w scentralizowaną konsolę do obsługi wielu urządzeń i aplikacji w wielu środowiskach pamięci masowych, co znacząco ułatwia pracę ich administratorom. Ponadto umożliwiają realizację wielu funkcji IT, takich jak tworzenie kopii zapasowych, odzyskiwanie danych po awarii, migracja, zapewnienie zgodności z wewnętrznymi wytycznymi czy archiwizacja. Chyba najlepiej ideę funkcjonowania tego typu rozwiązań oddaje wypowiedź Mohita Arona, założyciela i CEO Cohesity.

– Nie interesują nas aplikacje krytyczne, które stanowią jedynie wierzchołek góry lodowej. To zaledwie 20 procent danych, cała reszta spoczywa „pod powierzchnią wody”. Innymi słowy, pozostałe 80 procent stanowią dane porozrzucane po różnych urządzeniach służących do tworzenia kopii zapasowych, przechowywania plików, obiektów, danych analitycznych czy pochodzących z testów – tłumaczy Mohit Aron.

Analitycy zwracają uwagę na fakt, że tradycyjna ochrona koncentruje się na przesyłaniu ważnych danych z zasobów lokalnych do chmury, ale niebawem się to zmieni. IDC przewiduje, że do 2025 r. aż 49 proc. światowych danych będzie przechowywanych w chmurze publicznej. W związku z tym nowa generacja urządzeń musi uwzględniać, iż w nieodległej przyszłości najważniejsze aplikacje i dane będą powstawać przede wszystkim w środowisku chmurowym.

Do zbudowania firmy, która potrafi skutecznie odpierać natarcia hakerów, niezbędne jest kompleksowe podejście. Chociażby takie, jakie proponuje NIST Cyber Security Framework (NIST CSF). Pięć filarów stanowią tutaj: identyfikacja, ochrona, reagowanie, odzyskiwanie i wykrywanie. Tradycyjna ochrona danych całkowicie pomija ostatni z wymienionych obszarów. A najnowsza generacja rozwiązań do zarządzania danymi integruje funkcje bezpieczeństwa i stosuje odpowiednie środki zaradcze na wcześniejszych etapach cyberataku – nie tylko po incydencie.

– Obecne narzędzia do zarządzania danymi już wykorzystują sztuczną inteligencję do identyfikowania, z których kopii zapasowych można bezpiecznie odtworzyć dane. Zarządzanie danymi nowej generacji rozszerzy wykorzystanie sztucznej inteligencji do wykonywania analiz obszaru danych jako całości oraz oceny podatności na zagrożenia. Będzie również wydawać zalecenia dotyczące poprawy stanu bezpieczeństwa firmy – dodaje Marcin Tymieniecki.

Aby zrealizować ten cel, konieczna jest integracja systemów do zarządzania danymi z rozwiązaniami partnerskich firm technologicznych i stworzenie ekosystemu do komunikacji między programami i do udostępniania ich funkcji.

Artykuł HPE i Cohesity: koniec chaosu w centrach danych pochodzi z serwisu CRN.

Nowe jądro systemu QTS 5.0 usprawniło wydajność połączeń z magistralą PCIe, co przełożyło się na zwiększenie wydajności transferu danych z i na dyski SSD NVMe wykorzystywane jako pamięć podręczna, a przez to odciążenie pamięci RAM. Wysoka wydajność utrzymuje się nawet wtedy, gdy wielu użytkowników jednocześnie korzysta z tych samych udostępnionych folderów. Dodatkową zaletą jest przyspieszenie przesyłania dużych plików za pośrednictwem protokołu SMB/NFS.

Dzięki współpracy firm QNAP i ULINK Technology powstała aplikacja DA Drive Analyzer. Zawiera ona bazujący na sztucznej inteligencji mechanizm, który przewiduje spodziewaną żywotność dysków i tym samym umożliwia podjęcie z wyprzedzeniem działań zapobiegających utracie danych w wyniku awarii.

Użytkownicy mogą także zainstalować aplikację TeamViewer QNAP NAS i za jej pomocą zdalnie łączyć się ze swoimi serwerami z komputera PC z systemem Windows. Zapewnia to bezpieczne rozwiązanie zdalnego dostępu bez konfigurowania skomplikowanych tuneli VPN.

Nowością jest także intuicyjna w obsłudze aplikacja QuFTP, która skupia wszystkie funkcje związane z przesyłaniem danych z zastosowaniem protokołu FTP. Wbudowany w nią mechanizm szyfrowania SSL/TLS zapewnia większe bezpieczeństwo i ochronę transmisji. Możliwe jest też ograniczenie prędkości transferu danych przez FTP – dla całego urządzenia bądź poszczególnych użytkowników czy też ich grup.

Wyższy poziom bezpieczeństwa

Ochrona danych użytkowników od zawsze stanowi priorytet dla inżynierów QNAP-a. Dlatego w nowej wersji systemu QTS wprowadzono kilka usprawnień gwarantujących zabezpieczenie przed wyciekiem danych bądź ich zaszyfrowaniem w wyniku ataku ransomware. Jedną z nich jest opcja automatycznego aktualizowania oprogramowania. Teraz można ją włączyć osobno dla firmware’u oraz dla aplikacji pobranych ze sklepu App Center. Dostępny jest też wybór, czy ma być instalowana każda nowa wersja oprogramowania czy tylko te z poprawkami bezpieczeństwa. Pojawiło się także szyfrowanie protokołem TLS 1.3 oraz zabezpieczenie dostępu do serwera NAS kluczami SSH, co zapobiega procederowi łamania haseł czy innym podobnym atakom.

Już wkrótce w nowej wersji systemu dostępna będzie nowa usługa QVPN 2.0, w której zastosowano popularny, nieobciążający systemu i niezawodny protokół WireGuard VPN. Obsługująca tę funkcję aplikacja wyposażona będzie w intuicyjny interfejs umożliwiający ustanowienie bezpiecznego połączenia, a więc narzędzie szczególnie wartościowe w przypadku pracy z miejsca poza biurem.

Autoryzowanymi dystrybutorami rozwiązań QNAP w Polsce są: AB, EPA Systemy i Konsorcjum FEN.

Dodatkowe informacje: Grzegorz Bielawski, Country Manager, QNAP, gbielawski@qnap.com

Artykuł QNAP QTS 5.0: większe bezpieczeństwo i wydajność pochodzi z serwisu CRN.

Za największe zagrożenie dla polskich przedsiębiorstw uznaje się wycieki danych spowodowane przez złośliwe oprogramowanie (malware), ale także wyłudzanie danych uwierzytelniających (phishing), wycieki danych w wyniku kradzieży lub zgubienia nośników czy też urządzeń mobilnych oraz kradzież danych przez pracowników. Dla połowy firm biorących udział we wspomnianym badaniu największą barierą utrudniającą budowanie odpowiedniego poziomu zabezpieczeń były trudności w znalezieniu oraz utrzymaniu odpowiednio wykwalifikowanych pracowników.

W tej sytuacji szczególnego znaczenia nabiera wprowadzanie efektywnych mechanizmów ochrony danych w przedsiębiorstwach. Chodzi zarówno o rozwiązania techniczne, jak i zasady dostępu oraz korzystania z danych przez zatrudnianych w firmach użytkowników systemów informatycznych. Jak podkreślają specjaliści od cyberbezpieczeństwa, odpowiedzialność za ochronę danych powinna spoczywać na każdym pracowniku, nie tylko ekspertach IT lub fachowcach od bezpieczeństwa.

Jest to szczególnie ważne obecnie, gdy zauważalne są wysokie wzrosty kosztów związanych z naruszeniem bezpieczeństwa danych. Jak wynika z przeprowadzonego przez IBM Security globalnego badania, średni koszt jednego incydentu wyniósł wśród uczestniczących w badaniu firm 4,24 mln dol. To najwyższy rezultat odnotowany w 17-letniej historii raportu. Z jego tegorocznej edycji wynika, że poszczególne przypadki stały się bardziej kosztowne, a ich skutki trudniejsze do naprawienia w związku ze zmianami w sposobie prowadzenia działalności w trakcie pandemii.

Jak zauważają autorzy raportu, w 2020 r. firmy zostały zmuszone do szybkiego dostosowywania swoich metod pracy do nowych warunków, w tym pracy zdalnej, oraz korzystania w większym niż dotychczas zakresie z rozwiązań chmurowych. Szybkim zmianom informatycznego środowiska pracy nie towarzyszyły jednak równie szybkie modyfikacje stosowanych zabezpieczeń, co obniżyło zdolność tych rozwiązań do właściwego reagowania na przypadki naruszenia danych.

Ochrona danych w prawie

Wśród danych, które w każdych warunkach – a zwłaszcza w sytuacji zwiększonego ryzyka naruszeń, jak ma to miejsce obecnie – powinny zostać poddane szczególnej ochronie, są dane wrażliwe, najbardziej istotne dla prowadzonej działalności, newralgiczne dla sprawnego funkcjonowania przedsiębiorstwa. Są to zazwyczaj informacje poufne, do których nie może mieć dostępu nikt poza ściśle określonymi i jednoznacznie wskazanymi użytkownikami. Do tego powinny być przetwarzane zgodnie z precyzyjnie zdefiniowanymi procesami.

Skutki wycieku danych wrażliwych mogą się wiązać z co najmniej dwojakiego rodzaju kosztami: biznesowymi i prawnymi. W pierwszym przypadku zagrożona może zostać przewaga konkurencyjna firmy i jej pozycja rynkowa. W drugim, przedsiębiorstwo może zostać pociągnięte do odpowiedzialności wynikającej z regulacji prawnych, w tym również do zapłacenia kar, często wysokich. Natomiast w obu na szwank narażona zostaje reputacja danego podmiotu.

Przepisy polskiego prawa obejmują kilka rodzajów informacji, które zostały poddane ochronie. Ustawa o ochronie informacji niejawnych określa zasady ochrony danych zastrzeżonych, poufnych, tajnych i ściśle tajnych. Istnieją też regulacje dotyczące ochrony informacji będących różnego rodzaju tajemnicą: państwową, służbową, tajemnicą przedsiębiorstwa czy zawodową (lekarską, adwokacką itp). Osobne przepisy dotyczą zachowania tajemnicy branżowej, na przykład bankowej czy telekomunikacyjnej. Do innych, prawnie chronionych, należy też tajemnica statystyczna, korespondencji i negocjacji.

Zasady ochrony tajemnicy przedsiębiorstwa określa ustawa o zwalczaniu nieuczciwej konkurencji. Zgodnie z jej zapisami, do tajemnicy firmowej zalicza się informacje: techniczne, technologiczne, organizacyjne lub inne stanowiące wartość gospodarczą, ale które nie są powszechnie znane albo nie są łatwo dostępne dla osób nimi zainteresowanych. Chodzi głównie o dane związane z działalnością gospodarczą, które mają wartość biznesową, jak bazy klientów, receptury, informacje o kontrahentach, rynkach zbytu, plany produkcji itp. To jednak przedsiębiorca musi określić, które konkretnie informacje stanowią tajemnicę przedsiębiorstwa i powinny zostać objęte ochroną.

W osobny sposób uregulowana została ochrona danych osobowych. Jej zasady określa obowiązujące od maja 2018 r. unijne rozporządzenie o ochronie danych osobowych (RODO). Należy pamiętać, że mogą one być przetwarzane tylko w ściśle określonych warunkach i do ściśle określonych celów. Mówią o tym art. 5 i 6 unijnego rozporządzenia. Przepisy nie precyzują natomiast, w jaki sposób i za pomocą jakich narzędzi ma to być realizowane. Zastosowane rozwiązania mają być adekwatne do oszacowanego ryzyka, zdefiniowanych zagrożeń i istniejących uwarunkowań.

Zgodnie z katalogiem

Podstawą ochrony danych poufnych jest ich właściwa identyfikacja i klasyfikacja. Zanim zostanie podjęta decyzja o wyborze rozwiązania technicznego czy organizacyjnego do zabezpieczenia zasobów informacyjnych, trzeba dokładnie określić jakimi danymi wrażliwymi firma dysponuje, gdzie są one zlokalizowane oraz w jakich procesach są lub mogą być przetwarzane. Trzeba ustalić, w jaki sposób dane są przechowywane oraz udostępniane zarówno wewnątrz, jak i na zewnątrz przedsiębiorstwa. Na podstawie wyników takiej analizy można wskazać kto i w jakim zakresie może lub powinien mieć do nich dostęp.

Ochrona będzie naprawdę skuteczna tylko wówczas, gdy rozpocznie się od inwentaryzacji i uporządkowania danych, czyli weryfikacji ich umiejscowienia, a następnie sklasyfikowania. To zadanie może być dla integratorów okazją do świadczenia dodatkowych usług w postaci stworzenia struktury zbiorów danych klientów pod kątem możliwości ich jak najlepszego zabezpieczenia.

Dobrze przeprowadzona, szczegółowa identyfikacja danych poufnych i wrażliwych może przełożyć się również na wymierne korzyści biznesowe. Pozwoli na zastosowanie precyzyjnie dobranych narzędzi oraz zabezpieczeń do konkretnych zasobów informacyjnych i związanego z nimi ryzyka. Nie trzeba będzie ponosić niepotrzebnych kosztów jednakowej, szerokiej ochrony wszystkich danych w przedsiębiorstwie.

Do wprowadzenia i utrzymania porządku w zbiorach informacji pomocne mogą być narzędzia informatyczne do klasyfikacji danych. Wchodzą one zazwyczaj w skład systemów do ochrony przed wyciekiem danych (DLP – Data Lost Prevention), ale są też dostępne jako osobne oprogramowanie. Pozwalają na indeksowanie przetwarzanych danych pod kątem ich znaczenia dla bezpieczeństwa firmy – dzięki temu możliwa jest potem ich automatyczna ochrona. Na przykład system może zablokować dostęp do pliku z danymi osobowymi lub uniemożliwić jego wysłanie jako załącznika w e-mailu pracownikowi, który nie jest upoważniony do przetwarzania tych właśnie danych.

Skuteczność działania systemów DLP jest tym większa, im bardziej przemyślane, jednoznaczne i precyzyjne zasady klasyfikacji danych zostały wypracowane w firmie. Może w tym z pewnością pomóc wprowadzenie polityki data governance. Współpraca ze specjalistami z tej dziedziny może być również polem dodatkowej aktywności biznesowej dla usługodawców zajmujących się cyberbezpieczeństwem.

Tylko dla wybranych

Gdy zostały już odpowiednio rozpoznane i skatalogowane zasoby danych, w tym zidentyfikowane te podlegające szczególnej ochronie, pora na wprowadzenie mechanizmów kontroli dostępu do nich. W aspekcie technicznym można skorzystać z wielu różnych dostępnych na rynku rozwiązań, np. zastosować szyfrowanie, pseudonimizację, bądź (w uzasadnionych przypadkach) anonimizację danych. Pseudonimizacja to proces odwracalny, anonimizacja zaś polega na trwałym usunięciu informacji umożliwiających wszelką identyfikację ich podmiotu.

Integratorzy mogą wdrażać u klientów systemy uwierzytelniania, kontroli tożsamości, blokowania nieuprawnionego dostępu, czy też zarządzania kontami uprzywilejowanymi. Przydatne może być stworzenie centralnej bazy użytkowników, która ułatwia sprawdzanie kto do jakich danych ma dostęp i w jaki sposób z nich korzysta. Z kolei centralna baza haseł dostępu pozwoli na monitorowanie zagrożeń związanych z nieuprawnionym użyciem kont uprzywilejowanych.

I tak, narzędzia typu Single Sign-On umożliwiają pracownikom firmy jednorazowe, centralne logowanie do wszystkich autoryzowanych zasobów, systemów i usług sieciowych. Grupują w jednym miejscu wszystkie przydzielone użytkownikom reguły dostępu, dając tym samym większe możliwości monitorowania sposobów korzystania z przyznanych uprawnień. Pojedynczy punkt dostępu ułatwia pracownikowi korzystanie z przydzielonych zasobów i narzędzi, a działowi IT czy cyberbezpieczeństwa pozwala na skuteczniejszą kontrolę i ochronę firmowego środowiska.

Z kolei systemy klasy Identity Management i Access Management (zarządzanie tożsamością i dostępem) umożliwiają przydzielanie użytkowników do określonych grup oraz nadawanie im odpowiednich, ściśle zdefiniowanych ról, do których przypisane są uprawnienia do korzystania ze ściśle określonych rodzajów danych w ściśle określonych sytuacjach. Rozwiązania klasy PAM (Privileged Access Management) pozwalają natomiast na monitorowanie dostępu do zasobów przez użytkowników uprzywilejowanych.

Systemy kontroli dostępu  zapewniają coraz więcej funkcji i możliwości ochrony firmowych zasobów. Wiele z nich bazuje na algorytmach sztucznej inteligencji, przede wszystkim z zakresu uczenia maszynowego. Systemy biometrii behawioralnej uczą się zachowania użytkowników, dzięki czemu są w stanie z dużym prawdopodobieństwem rozpoznać, jakie czynności można uznać za normalne, a co odbiega od ustalonego wzorca i powinno być powodem do alarmu. Ochrona dostępu bazuje na analizie tego, jak użytkownik posługuje się komputerem i w jaki sposób z niego korzysta, a nie tego, co robi.

Podejście to jest bardzo użyteczne w przeciwdziałaniu nieznanym wcześniej incydentom i zagrożeniom, typu zero day. Rozwiązania korzystające z mechanizmów sztucznej inteligencji mogą być również bardzo skuteczne przy zyskującym w pandemii na popularności podejściu do bezpieczeństwa w modelu braku zaufania (Zero Trust). Bazuje ono na przekonaniu, że nie należy ufać czemukolwiek ani komukolwiek zarówno wewnątrz, jak i na zewnątrz środowiska IT. Dlatego trzeba nieustannie sprawdzać i weryfikować wszelkie próby korzystania z zasobów przed udzieleniem do nich dostępu. Żeby mogło to odbywać się sprawnie i szybko, musi być robione w sposób automatyczny. Takie możliwości zapewniają narzędzia analityczne, korzystające z algorytmów sztucznej inteligencji. To ważny kierunek rozwoju systemów zabezpieczeń, który powinny brać pod uwagę firmy poważnie myślące o rozwoju działalności w obszarze cyberbezpieczeństwa.

Zdaniem integratora