Zanim zaczniesz

Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials”, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.

Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.

Skąd brać dane i jak ustalać priorytety

Ocena ryzyka w cyberbezpieczeństwie to fundament skutecznej ochrony – ale tylko wtedy, gdy opiera się na faktach, a nie na mitach. W świecie IT narosło wiele nieporozumień: niektórzy bagatelizują zagrożenia, myśląc że “nas to nie dotyczy”, inni wpadają w panikę przed każdym nowym wirusem. Jak zatem realistycznie oceniać ryzyko? Kluczem jest korzystanie z rzetelnych źródeł danych o zagrożeniach oraz ustalanie priorytetów na podstawie prawdopodobieństwa wystąpienia danego incydentu i wpływu, jaki może on wywrzeć na organizację. Ten artykuł przedstawia sprawdzone praktyki oceny ryzyka: od źródeł informacji o podatnościach i incydentach, przez klasyfikację zdarzeń i ustalanie ważności, po strategie zarządzania ryzykiem. Wszystko to w odniesieniu do głośnych przykładów (Equifax, SolarWinds, WannaCry) i standardów branżowych, ale napisane przystępnym językiem – bez mitów i straszenia, za to z konkretnymi poradami.

Źródła informacji o zagrożeniach – CVE, CERT i bazy incydentów

Pierwszym krokiem do rzetelnej oceny ryzyka jest zbieranie aktualnych danych o zagrożeniach. Na szczęście istnieją uznane źródła, które dostarczają takich informacji:

• Baza CVE (Common Vulnerabilities and Exposures): To globalny rejestr znanych podatności w oprogramowaniu i sprzęcie. Każda podatność ma unikalny identyfikator CVE oraz opis, obejmujący m.in. podatne systemy i potencjalny wpływ. CVE zapewnia wspólny język dla specjalistów – gdy słyszymy o “CVE-2017-5638”, wiadomo, że chodzi np. o konkretną lukę w Apache Struts (to właśnie ta podatność, niezałatana na czas, umożliwiła atakującym kradzież danych milionów klientów Equifax w 2017 roku). Dzięki CVE wszyscy mówią o tym samym zagrożeniu i mogą szybko znaleźć informacje o dostępnych łatkach bezpieczeństwa czy obejściach. Regularne śledzenie nowych wpisów CVE i ocenianie, czy dotyczą naszych systemów, pozwala wyprzedzić ataki – zanim ktoś wykorzysta lukę, którą my już znamy i załataliśmy.
• CERT (Computer Emergency Response Team): To zespoły reagowania na incydenty bezpieczeństwa, często działające przy rządach, uczelniach lub dużych firmach. CERT-y publikują ostrzeżenia o nowych zagrożeniach, poradniki i raporty z incydentów. Przykładowo, CERT Polska co roku raportuje setki tysięcy zgłoszonych incydentów w kraju, wskazując trendy (w 2024 odnotowano rekordowy wzrost ataków phishingowych). Śledzenie biuletynów CERT (takich jak US-CERT, CERT Polska czy CERT EU) pomaga dowiedzieć się o kampaniach malware, falach phishingu czy krytycznych podatnościach zanim trafią na pierwsze strony gazet. CERT-y pełnią też rolę platformy wymiany informacji – jeśli inne firmy doświadczają nowego typu ataku, CERT zbiera te dane i ostrzega pozostałych, często podając wskazówki jak się zabezpieczyć.
• Bazy danych incydentów i raporty branżowe: Oprócz CVE (skupiającego się na lukach technicznych) i ostrzeżeń CERT, warto korzystać z baz incydentów bezpieczeństwa oraz analiz przygotowywanych przez firmy z branży. Przykładowo, coroczny raport Verizon Data Breach Investigations Report (DBIR) analizuje tysiące rzeczywistych naruszeń bezpieczeństwa, pokazując statystyki: jakie ataki są najczęstsze, które branże cierpią najbardziej, jakie wektory ataku dominują. Inne źródła to np. dzienniki i blogi bezpieczeństwa (w Polsce popularne są portale takie jak Niebezpiecznik czy Zaufana Trzecia Strona, a globalnie blogi Microsoft Security, Kaspersky SecureList, czy Cisco Talos). Istnieją też platformy wymiany informacji o zagrożeniach (Threat Intelligence), gdzie firmy dzielą się danymi o zaobserwowanych kampaniach malware czy adresach IP powiązanych z atakami. Takie informacje ilościowe i jakościowe o incydentach pozwalają osadzić ocenę ryzyka w kontekście: wiemy, które zagrożenia są realne i częste, a które bardziej teoretyczne.

Podsumowując tę sekcję: solidna ocena ryzyka zaczyna się od faktów. Korzystajmy z baz podatności (CVE/NVD), czytajmy raporty CERT i analizujmy przypadki incydentów. To chroni nas przed dwoma skrajnościami – przeoczeniem realnego zagrożenia (bo „nic o nim nie wiedzieliśmy”) i nadmiernym strachem przed mało prawdopodobnym atakiem (bo akurat było o nim głośno, ale dane pokazują, że to rzadkość).

Klasyfikacja incydentów i ustalanie priorytetów

Mając już garść informacji o zagrożeniach, stajemy przed wyzwaniem: którym zagrożeniom poświęcić najwięcej uwagi? Nie każda luka czy incydent jest jednakowo groźny. Dlatego organizacje tworzą schematy klasyfikacji incydentów – zestawy kryteriów, według których ocenia się i kategoryzuje zdarzenia bezpieczeństwa.

Typowe podejście to klasyfikacja incydentu według typu i dotkliwości (severity). Rodzaj incydentu może wskazywać, z czym mamy do czynienia (np. atak malware, wyciek danych, atak DDoS, włamanie na konto). Z kolei poziom dotkliwości określa, jak poważne skutki incydent wywołał lub może wywołać. Często stosuje się kilku-stopniową skalę, np.:

• Niski (informacyjny): incydent nie wpływa znacząco na działanie firmy (np. pojedynczy nieszkodliwy wirus wykryty i usunięty przez antywirus).
• Średni: incydent ma umiarkowany wpływ, część usług mogła zostać zakłócona lub naruszono mniej wrażliwe dane.
• Wysoki: poważny incydent, skutkujący np. unieruchomieniem istotnej usługi, wyciekiem danych klientów czy znaczącymi stratami finansowymi.
• Krytyczny: sytuacja zagrażająca funkcjonowaniu organizacji – np. masowy wyciek poufnych danych, całkowite zablokowanie systemów (ransomware szyfrujący serwery) czy atak, który nadal trwa i się rozprzestrzenia.

Takie klasyfikacje pomagają szybko ocenić naturę i skalę problemu oraz dobrać adekwatną reakcję. Przykładowo, incydent zaklasyfikowany jako krytyczny uruchamia procedury alertu najwyższego stopnia – natychmiastowe zwołanie zespołu reagowania, powiadomienie kierownictwa, potencjalnie zaangażowanie organów ścigania. Z kolei dla incydentu niskiego priorytetu wystarczy rutynowa obsługa przez helpdesk IT.

Klasyfikacja przekłada się bezpośrednio na ustalanie priorytetów w działaniu. W zarządzaniu bezpieczeństwem zasada jest prosta: najpierw gasimy pożary tam, gdzie płoną najmocniej. Gdy wykryjemy wiele zagrożeń, porządkujemy je według istotności:

• Priorytet najwyższy dla zdarzeń o wysokim wpływie lub prawdopodobieństwie eskalacji (np. aktywnie wykorzystywana krytyczna podatność w naszym serwerze – coś, co już umożliwia atak, jak w przypadku Equifax, gdzie zaniedbana luka szybko doprowadziła do realnego ataku).
• Niższe priorytety dla incydentów o ograniczonym zasięgu czy teoretycznych na razie zagrożeń.

W praktyce pomaga tu matryca ryzyka (o której za chwilę): incydenty/vulnerabilities plasujące się w strefie “wysokiego ryzyka” wymagają pilnej uwagi, a te w strefie “niskiego ryzyka” mogą poczekać. Na przykład, masowa kampania ransomware szyfrująca dane (jak WannaCry w 2017) to incydent o najwyższym priorytecie – mimo że nie jest wymierzony w konkretną firmę, jego skutki mogą sparaliżować infrastrukturę (WannaCry w ciągu dni zaszyfrował setki tysięcy komputerów na świecie, m.in. w szpitalach NHS w Wielkiej Brytanii). Z kolei pojedyncza próba phishingu na pracownika, choć istotna do analizy, może mieć niższy priorytet reakcji niż np. aktywne wycieki danych.

Dobrze zdefiniowane kategorie incydentów (np. zgodne z normą ISO/IEC 27035 dotyczącą zarządzania incydentami bezpieczeństwa) i przypisane do nich poziomy ważności zapewniają, że organizacja reaguje adekwatnie i terminowo. Dzięki temu zasoby (czas specjalistów, narzędzia) są kierowane tam, gdzie ryzyko jest największe, zamiast rozpraszać się na mniej istotnych problemach.

Ryzyko = prawdopodobieństwo × wpływ (jak zrozumieć istotność zagrożeń)

Ryzyko w bezpieczeństwie informacji definiuje się klasycznie jako kombinację prawdopodobieństwa wystąpienia danego zdarzenia oraz wpływu (skutku), jaki to zdarzenie może spowodować. Ta prosta formuła – Ryzyko = Prawdopodobieństwo × Wpływ – stoi za większością systemów oceny ryzyka, od prostych macierzy po złożone modele ilościowe.

Jak to wygląda w praktyce? Wyobraźmy sobie podatność w naszym serwerze www. Jeśli to błąd umożliwiający zdalne wykonanie kodu (czyli potencjalnie przejęcie serwera) – wpływ takiej luki jest bardzo wysoki (możliwy pełen kompromis systemu). Ale jeśli jest to mało znana aplikacja wewnętrzna, odizolowana od Internetu, to prawdopodobieństwo ataku z zewnątrz jest niskie. Ryzyko wynikające z tej konkretnej podatności może być więc umiarkowane. Z drugiej strony, nawet pozornie “mniej groźna” podatność (np. błąd ujawniający wersje oprogramowania) może stwarzać wysokie ryzyko, gdy występuje masowo i jest aktywnie wykorzystywana przez skanery automatyczne w Internecie (wysokie prawdopodobieństwo, że ktoś ją znajdzie i wykorzysta).

Do oceny ryzyka często używa się macierzy ryzyka – tabeli, gdzie jedna oś to prawdopodobieństwo (np. niskie/średnie/wysokie), a druga to wpływ (niski/średni/wysoki). Każdemu zagrożeniu czy scenariuszowi incydentu można przypisać te dwie cechy i umieścić go w odpowiedniej ćwiartce matrycy:

• Wysokie prawdopodobieństwo + wysoki wpływ = ryzyko krytyczne (czerwone pole – priorytet natychmiastowy).
• Wysokie prawdopodobieństwo + niski wpływ lub niskie prawdopodobieństwo + wysoki wpływ = ryzyko średnie (żółte/orange – monitorować i zarządzać).
• Niskie prawdopodobieństwo + niski wpływ = ryzyko niskie (zielone – warto wiedzieć, ale nie wymaga dużych nakładów).

Taka wizualizacja pomaga komunikować kierownictwu, którymi ryzykami należy zająć się od razu, a które można akceptować na bieżąco. Co ważne, oszacowanie prawdopodobieństwa powinno opierać się na danych historycznych i trendach (tu przydają się wspomniane bazy incydentów i raporty). Przykładowo, jeśli wiemy z raportów, że określony typ ataku (np. phishing z malware) stanowi 40% wszystkich incydentów w naszej branży, to prawdopodobieństwo takiego ataku u nas jest wysokie. Z kolei wpływ możemy ocenić, analizując scenariusze najgorszego przypadku: co się stanie, jeśli ten atak się powiedzie? Utrata danych? Przestój systemu na dni? Utrata reputacji i karne kary (np. z tytułu RODO)?

Mówiąc wprost: Ocena ryzyka to nie wróżenie z fusów, ale uporządkowane myślenie o przyszłości na podstawie posiadanych informacji. Formuła prawdopodobieństwo × wpływ zmusza nas do zadania dwóch kluczowych pytań dla każdego zagrożenia: “Jak bardzo jest to realne?” oraz “Jak bardzo będzie to bolało, jeśli nastąpi?”. Dzięki temu unikamy mitów typu “ta luka ma CVSS 10, więc na pewno ktoś nas zaatakuje od razu” – bo może nasz system jest za firewallem i realnie ryzyko jest mniejsze. Albo odwrotnie: “jesteśmy małą firmą, nikt nas nie zaatakuje” – podczas gdy masowe kampanie ransomware nie patrzą na wielkość ofiary, więc brak backupu danych klientów to ogromne ryzyko, choć szansa ukierunkowanego ataku APT na nas może być niska.

Strategie zarządzania ryzykiem: akceptacja, transfer, redukcja (i unikanie)

Kiedy już zidentyfikujemy ryzyka i ocenimy ich znaczenie, czas zdecydować, co z nimi zrobić. Zarządzanie ryzykiem sprowadza się do czterech podstawowych strategii:

1. Unikanie ryzyka: Najprostsza koncepcja – jeśli coś jest zbyt ryzykowne, nie rób tego. W praktyce oznacza to wyeliminowanie działalności lub funkcji, która generuje ryzyko. Przykład: jeśli uznamy, że utrzymywanie własnego serwera e-mail jest zbyt niebezpieczne (ryzyko włamań, spam, ciągłe łatki), możemy zrezygnować z niego i przejść na bezpieczniejszy outsourcing lub inne narzędzie komunikacji. Unikanie jest skuteczne, ale nie zawsze możliwe – często dana usługa czy proces jest kluczowa dla biznesu, więc nie możemy po prostu z niej zrezygnować.
2. Redukcja (ograniczenie) ryzyka: To najczęstsza strategia – podejmujemy działania, by zmniejszyć prawdopodobieństwo lub wpływ danego ryzyka. W cyberbezpieczeństwie redukcja ryzyka to cała gama środków ochronnych: od wdrażania firewalli, przez regularne aktualizacje oprogramowania (łatanie luk zmniejsza prawdopodobieństwo udanego ataku), po segmentację sieci i kopie zapasowe (co ograniczy wpływ ewentualnego incydentu). Jeśli np. ryzykiem jest atak ransomware, możemy je zredukować poprzez szkolenia pracowników z rozpoznawania phishingu, posiadanie antywirusa z aktualnymi sygnaturami oraz backup offline ważnych danych (wtedy nawet gdy ransomware trafi, wpływ – utrata danych – będzie mniejszy, bo dane odtworzymy z kopii). Redukcja nigdy nie daje gwarancji 0% ryzyka, ale obniża je do akceptowalnego poziomu.
3. Transfer (przeniesienie) ryzyka: Polega na przekazaniu ciężaru finansowego skutków ryzyka komuś innemu. Najbardziej klasycznym przykładem jest ubezpieczenie – firma wykupuje polisę od skutków ataku cybernetycznego lub awarii, przenosząc na ubezpieczyciela koszt ewentualnych strat. Innym przykładem transferu jest zawarcie umów z podwykonawcami, gdzie to oni ponoszą odpowiedzialność za pewne aspekty (np. hosting w chmurze – ryzyko awarii infrastruktury jest w pewnym sensie przeniesione na dostawcę chmury). Ważne, by rozumieć, że transfer nie eliminuje samego zagrożenia – raczej pomaga złagodzić konsekwencje finansowe. Zresztą, nawet najlepsze ubezpieczenie nie odda nam reputacji utraconej po wycieku danych klientów. Dlatego transfer to uzupełnienie strategii, a nie złota recepta.
4. Akceptacja ryzyka: Wreszcie, świadomie możemy zaakceptować ryzyko, jeśli uznamy, że jest na tyle niskie, iż działania zapobiegawcze byłyby niewspółmiernie kosztowne lub uciążliwe. Akceptacja nie oznacza ignorowania – raczej formalne uznanie: “Tak, to ryzyko istnieje, ale godzimy się z nim”. Na przykład, drobna podatność na mało istotnym systemie, która wymagałaby dużych nakładów pracy, może zostać zaakceptowana, dopóki nie pojawi się prostsza łatka. Ważne jednak, by decyzja o akceptacji była poparta analizą i – najlepiej – zatwierdzona na odpowiednim szczeblu zarządzania. Trzeba też monitorować, czy ryzyko nie rośnie (bo może pojawić się exploit w “dzikim obiegu” i ryzyko skacze z niskiego na wysokie – wtedy trzeba zareagować).

W praktyce zarządzanie konkretnym zagrożeniem często łączy elementy powyższych strategii. Przykładowo: ryzyko ataku DDoS na nasze usługi online. Możemy częściowo je uniknąć, nie wystawiając zbędnych usług na świat. Resztę ryzyka redukujemy, korzystając z usług ochrony przed DDoS (filtrowanie ruchu, CDN). Nadal jednak istnieje ryzyko większego ataku – akceptujemy je, ale na wszelki wypadek mamy ubezpieczenie (transfer) pokrywające ewentualne straty z przestojów. Takie wielowarstwowe podejście jest często najlepsze – żadna pojedyncza metoda nie da pełnego bezpieczeństwa.

Najważniejsze, by strategię dopasować do powagi ryzyka: wysokie ryzyko nigdy nie powinno pozostać tylko “zaakceptowane” bez prób redukcji, a z kolei ryzyko minimalne nie ma sensu być “ubezpieczane” na duże kwoty. Zarządzanie ryzykiem to sztuka proporcji.

ISMS, polityki bezpieczeństwa i procedury IRP/ISIRT – zintegrowane podejście

Skuteczna ocena i kontrola ryzyka nie dzieje się ad-hoc – potrzebny jest system i proces. Tutaj wkracza ISMS (Information Security Management System), czyli System Zarządzania Bezpieczeństwem Informacji. ISMS to formalne ramy (jak np. norma ISO/IEC 27001), według których organizacja identyfikuje ryzyka, wprowadza zabezpieczenia, monitoruje ich skuteczność i ciągle doskonali swoje podejście do bezpieczeństwa. Innymi słowy, ISMS zapewnia, że bezpieczeństwo nie jest tylko projektem jednorazowym, ale ciągłym cyklem: oceny ryzyka, wdrażania środków i przeglądu sytuacji.

W ramach ISMS tworzy się polityki bezpieczeństwa – dokumenty określające zasady i procedury w różnych obszarach (np. polityka dostępu do danych, polityka korzystania z Internetu, polityka haseł, polityka aktualizacji systemów itd.). Polityki te odzwierciedlają decyzje podjęte na podstawie analizy ryzyka. Jeśli np. analiza wykaże wysokie ryzyko związane z niekontrolowanym podłączaniem nośników USB (bo malware, bo wyciek danych), to polityka bezpieczeństwa może wprowadzić zakaz używania nieautoryzowanych pendrive’ów w sieci firmowej. ISMS dba o to, by takie zasady były wdrożone i przestrzegane – wyznacza odpowiedzialnych, szkolenia dla personelu, audyty sprawdzające zgodność. Mówi się, że technologia to nie wszystko – ISMS właśnie integruje ludzi, procesy i technologię. Na nic nam najlepsze firewalle, jeśli np. pracownik działu HR nie był świadomy polityki i przypadkiem udostępni dane komuś nieuprawnionemu.

Nawet najlepsza profilaktyka nie wyeliminuje jednak ryzyka incydentów w 100%. Dlatego kluczowym elementem jest przygotowanie na incydenty, czyli posiadanie Planu Reagowania na Incydenty (IRP – Incident Response Plan) i gotowego Zespołu Reagowania (ISIRT – Information Security Incident Response Team). Taki plan to rozpisany krok po kroku scenariusz postępowania, gdy zdarzy się incydent. Obejmuje on fazy reakcji na incydent, często według modelu: identyfikacja – analiza – ograniczenie (containment) – eliminacja zagrożenia (eradication) – odtworzenie systemów (recovery) – wnioski na przyszłość (lessons learned). Dobrze opracowany IRP zawiera np. listę osób do powiadomienia (wewnątrz firmy i np. klientów czy organy nadzoru, jeśli prawo tego wymaga), schemat komunikacji kryzysowej, wytyczne jakie narzędzia użyć do analizy ataku, kiedy angażować policję itp. Dzięki temu w stresie związanym z atakiem zespół nie improwizuje, tylko działa według procedury, co oszczędza cenny czas i zmniejsza chaos.

ISIRT, czyli zespół reagowania, to ludzie wyznaczeni do obsługi incydentów. Zwykle w skład takiego zespołu wchodzą nie tylko administratorzy czy eksperci IT, ale też przedstawiciele innych kluczowych działów: prawnika (incydenty często niosą ze sobą konsekwencje prawne, np. obowiązek notyfikacji wycieku do UODO w ciągu 72h według RODO), PR/komunikacji (trzeba nieraz przygotować komunikat publiczny, by kontrolować przekaz medialny), a także kadra kierownicza (do podejmowania decyzji biznesowych w kryzysie). Raz do roku (albo i częściej) zespół IRP/ISIRT powinien przeprowadzać ćwiczenia – symulacje incydentów, żeby sprawdzić, czy procedury działają, i by każdy znał swoją rolę.

Przykład działania dobrego systemu reagowania mieliśmy przy incydencie SolarWinds (2020) – gdy wykryto, że aktualizacja oprogramowania Orion zawiera backdoora (atak łańcucha dostaw, za którym stała zaawansowana grupa APT), wiele organizacji natychmiast zebrało swoje zespoły reagowania. Odłączenie serwerów SolarWinds od sieci, sprawdzenie logów, aktualizacja sensorów wykrywających znane sygnatury backdoora, komunikaty do klientów i udziałowców – te kroki wynikały z przygotowanych wcześniej planów. Firmy, które nie miały takich procedur, traciły cenny czas, zastanawiając się “co robić?” i “kogo informować?”. W świecie zaawansowanych zagrożeń czas reakcji jest krytyczny – stąd nacisk na posiadanie IRP/ISIRT w ramach ISMS.

Podsumowując, ISMS i plan reakcji na incydenty to dwa filary odporności organizacji: pierwszy działa przed incydentem (zapobieganie przez zarządzanie ryzykiem i polityki), drugi po incydencie (skuteczne ograniczanie skutków i szybkie odzyskiwanie kontroli). Razem pozwalają podejść do ryzyka na chłodno i systemowo – przed, w trakcie i po ewentualnym ataku.

APT vs kampanie masowe – różne zagrożenia, różne ryzyko

W ostatnich latach wiele mówi się o APT (Advanced Persistent Threat) – Zaawansowanych Trwałych Zagrożeniach, oraz o kampaniach masowych (untargeted attacks). To dwa zupełnie odmienne rodzaje ataków, które wymagają innego podejścia w ocenie ryzyka.

Kampanie masowe to ataki na ilość, nie na jakość. Celują “we wszystkich i w nikogo konkretnie”. Wyobraźmy sobie automatyczne skanery, które przeczesują Internet w poszukiwaniu znanych luk (np. podatnych serwerów z CVE XYZ) – to typowe działanie cyberprzestępców, którzy potem masowo infekują znalezione ofiary ransomware lub cryptominerem. Albo fale phishingowych e-maili rozsyłane na miliony adresów – liczy się, że choć ułamek promila kliknie i da się oszukać. Takie ataki są opportunistyczne: wykorzystują łatwe okazje, gdziekolwiek się trafią. WannaCry był tego podręcznikowym przykładem – jako robak (worm) samodzielnie rozprzestrzeniający się po Internetach infekował każdy podatny komputer z Windows, jaki napotkał, nie wybierając ofiar z premedytacją. W efekcie ofiarami padły i globalne korporacje, i małe przychodnie lekarskie – wystarczył niezałatany system. Kampanie masowe często bazują na znanych podatnościach (dlatego patchowanie jest tak ważne) i socjotechnice (phishing), a ich celem bywa zysk finansowy (okupy ransomware, kradzież danych kart) lub po prostu chaos.

Zaawansowane trwałe zagrożenia (APT) to z kolei ataki celowane jak laser. Stoją za nimi zwykle świetnie zorganizowane grupy (nierzadko finansowane przez państwa lub duże grupy przestępcze), które wybierają konkretną ofiarę i metodycznie planują kampanię infiltracji. APT charakteryzuje cierpliwość i stealth – najpierw rekonesans (zdobycie informacji o sieci i pracownikach firmy), potem próby włamań (często niestandardowe, np. atak 0-day nieznaną wcześniej podatnością, lub atak przez łańcuch dostaw – jak w przypadku SolarWinds), a po uzyskaniu dostępu – długotrwałe utrzymanie się w sieci ofiary bez wykrycia. APT często unikają wywoływania hałasu (nie szyfrują wszystkich dysków jak ransomware, bo nie o okup im chodzi), zamiast tego kradną stopniowo dane, szpiegują komunikację, manipulują systemami. Celem APT może być kradzież wrażliwych informacji (np. tajemnic handlowych, danych klientów VIP, know-how firmy) lub sabotaż (np. zakłócenie infrastruktury krytycznej). Przykłady? Ataki APT na firmy z sektora zbrojeniowego czy farmaceutycznego (by wykraść technologie), słynny Stuxnet (atak na irańskie instalacje nuklearne, przypisywany państwowym sponsorom) czy wspomniany wcześniej hack SolarWinds, który otworzył tylne drzwi do sieci kilkuset wybranych organizacji na świecie (w tym agencji rządowych USA). Tutaj każdy ruch atakujących był zaplanowany tak, by ominąć zabezpieczenia i pozostać niewykrytym przez miesiące.

Z perspektywy oceny ryzyka, oba rodzaje ataków należy brać poważnie, ale inaczej oceniać ich prawdopodobieństwo i wpływ:

• Untargeted/massowe ataki – prawdopodobieństwo zetknięcia się z nimi jest bardzo wysokie dla niemal każdej organizacji (prędzej czy później ktoś dostanie maila phishingowego, ktoś spróbuje przeskanować nasz serwer WWW). Natomiast wpływ bywa różny: jeśli mamy dobre podstawowe zabezpieczenia (antywirus, filtry antyspam, aktualizacje), większość takich ataków odbije się od naszych systemów lub wyrządzi ograniczone szkody. Niemniej, kampanie masowe potrafią być niszczące, jeśli trafią na podatny grunt – brak łatki na popularną lukę może skończyć się globalnym incydentem w stylu WannaCry czy NotPetya. Dlatego podstawowa higiena bezpieczeństwa (patch management, backupy, segmentacja sieci, szkolenia userów) redukuje ryzyko masowych ataków do akceptowalnego poziomu.
• APT (atak ukierunkowany) – prawdopodobieństwo takiego ataku dla przeciętnej firmy jest znacznie mniejsze niż masowego ataku (bo APT “nie marnują czasu” na cele, które nie są dla nich istotne). Jednak nie można go wykluczyć – np. firmy będące poddostawcami dla większych podmiotów mogą paść ofiarą APT nie ze względu na siebie, ale jako furtka do ataku na kogoś innego (tzw. supply chain attack). Co ważne, wpływ dobrze przeprowadzonego ataku APT bywa katastrofalny – bo atakujący może uzyskać najwyższe poziomy dostępu i pozostawać wewnątrz niezauważony, powoli realizując swoje cele. Przykład Equifax pokazuje co prawda atak masowy (wykorzystanie znanej luki), ale inne głośne przypadki, jak atak na RSA Security w 2011 czy Operacja Aurora (wymierzona w Google i inne firmy w 2009), to APT nastawione na wykradanie cennych danych. W ocenie ryzyka APT, choć mało prawdopodobne, jest zwykle traktowane jako wysokie ryzyko ze względu na ogromny potencjalny wpływ. Firmy z sektorów strategicznych (finanse, energetyka, administracja) muszą szczególnie brać je pod uwagę.

Różnice w podejściu obronnym: Przed atakami masowymi chronią nas dobre praktyki i automatyka – systemy antywirusowe, skanery IDS/IPS wykrywające znane sygnatury, regularne łatki oprogramowania, kopie bezpieczeństwa, silne hasła i 2FA na kontach (żeby przejąć jedną maszynę nie oznaczało od razu dostępu wszędzie). To jak zabezpieczenie domu na osiedlu – większość złodziei-amatorów odpuści, jak zobaczy kamery i solidny zamek. Z kolei APT wymagają zaawansowanych strategii: proaktywnego huntingu zagrożeń (szukania śladów włamań nawet, gdy systemy nic nie alarmują), segmentacji sieci z monitorowaniem ruchu wewnątrz (bo jak APT już wejdzie do środka, musimy móc go wykryć np. po nietypowych ruchach lateralnych), szyfrowania kluczowych danych (aby nawet przy wycieku były bezużyteczne) oraz przygotowania się na najgorsze (tu znowu pojawia się rola IRP – scenariusze, że może jednak ktoś nas celowo zaatakuje). Często stosuje się też zasadę Zero Trust – nie ufać żadnemu komponentowi systemu w 100%, zakładać, że intruz może być w sieci, i dlatego wzmacniać autentykację i autoryzację na każdym kroku.

Podsumowując tę część, mitem byłoby sądzić, że “skoro nie jesteśmy bankiem, APT nas nie dotyczą” – w erze łańcuchów dostaw i współzależności nawet mniejsza firma może stać się celem pośrednim. Z drugiej strony, większość incydentów to wciąż prozaiczne ataki masowe – nie tak widowiskowe jak w filmach, ale potrafiące wyrządzić realne szkody (np. sparaliżować szpital czy fabrykę za pomocą ransomware). Dlatego dojrzałe podejście do ryzyka uwzględnia oba zagrożenia: codziennie “zamyka okna i drzwi” przed zwykłymi włamywaczami, ale trzyma też alarm przeciwwłamaniowy i plan na wypadek ataku profesjonalistów.

Podsumowanie

Ocena ryzyka “bez mitów” oznacza świadome, oparte na danych i procesach podejście do bezpieczeństwa. Aby to osiągnąć, warto pamiętać o kilku zasadach:

• Informacja to podstawa: Korzystaj z renomowanych źródeł jak CVE, CERT, raporty branżowe – dzięki nim wiesz, z czym realnie masz do czynienia. Ignorancja rodzi albo fałszywe poczucie bezpieczeństwa, albo nieuzasadnioną panikę. Zamiast tego, bądź na bieżąco z zagrożeniami typowymi dla twojej branży i technologii.
• Klasyfikuj i oceniaj: Nie każde zdarzenie to katastrofa – ucz się rozróżniać incydenty i ich wagę. Dobra klasyfikacja i matryca ryzyka pomogą Ci zachować proporcje i nie stracić z oczu naprawdę krytycznych spraw. Pamiętaj o wzorze prawdopodobieństwo × wpływ – wysokie ryzyko to właśnie te sprawy, gdzie oba czynniki są znaczące.
• Działaj metodycznie: Wdrażaj strategie zarządzania ryzykiem zamiast chaotycznie reagować. Czy to przez redukcję ryzyka (techniczne i organizacyjne zabezpieczenia), transfer (ubezpieczenia), akceptację czy unikanie – wybieraj świadomie i monitoruj efekty. Bez planu nawet duże inwestycje w bezpieczeństwo mogą nie adresować właściwych problemów.
• Przygotuj się na incydent: Miej wdrożony ISMS z odpowiednimi politykami, by ryzyka były pod kontrolą na co dzień, oraz gotowy plan reagowania i przeszkolony zespół na czarną godzinę. To rozdziela świat “przed incydentem” (prewencja) i “po incydencie” (reakcja), dając Ci spokój, że w obu sytuacjach wiesz co robić.

Na koniec, bez mitów znaczy też: bez myślenia życzeniowego. Cyberzagrożenia są realne i ciągle ewoluują – nie ma firmy “za małej” na atak ani systemu “za nowego” by nie miał luk. Ale też nie należy popadać w fatalizm: dysponujemy dziś ogromem wiedzy i narzędzi, żeby ryzyko okiełznać. Ocena ryzyka to sztuka balansowania między tym, co możliwe a co prawdopodobne. Dzięki rzetelnym danym i sprawdzonym metodom możemy chronić nasze systemy skutecznie i rozsądnie, zamiast działać po omacku. W świecie cyberbezpieczeństwa wygrywa nie ten, kto krzyczy “na pewno nas zhakują!”, ale ten, kto spokojnie powie: “znamy nasze ryzyka i mamy je pod kontrolą (na tyle, na ile to obiektywnie możliwe)”. Tego podejścia – opartego na faktach, analizie i ciągłym doskonaleniu – wszystkim życzymy. Bo bezpieczeństwo bez mitów to bezpieczeństwo, które naprawdę działa.

Ten artykuł zawiera wszystko, co potrzebne, aby zrozumieć moduł 021.2 – Ocena ryzyka bez mitów.

Sprawdź koniecznie moduł następny (021.3 Responsible disclosure i etyka) a jeśli jeszcze tego nie zrobiłeś to również i poprzedni 021.1 – Triada CIA w praktyce, aby przejść przez cały materiał w logicznej kolejności.

Zapisz się też na bezpłatne szkolenie VOD – LPI Security Essentials, gdzie znajdziesz egzaminy próbne, prace domowe i checklisty przygotowujące do egzaminu.