W szczególności bezwzględnie wymaganymi działaniami w organizacji w zakresie cyberbezpieczeństwa winno być:
• Wprowadzenie zasady minimalnych uprawnień, polegającą na przyznawaniu dla danego użytkownika systemu wyłącznie minimalnych, bezwzględnie niezbędnych uprawnień wymaganych do pracy na danym stanowisku. O ile dla danego niestandardowego działania wymagane są wyższe uprawnienia, mogą być one przyznane jednorazowo lub wykonane przez personel bezpośredniego nadzoru lub wyższego nadzoru. W pasażerskich przewozach kolejowych tego typu zasada od lat stosowana jest w systemach kasowych, gdzie najczęściej występuje podział uprawnień na minimum trzy kategorie: kasjera, prowadzącego bezpośrednią sprzedaż, kasjera – rachunkozdawcę, prowadzącego sprawozdawczość finansową dla nadzorowanej kasy oraz administratora (ADMINA), zarządzającego uprawnieniami użytkowników.
• Wprowadzenie zasady wielowarstwowości zabezpieczeń, polegającej na ochronie systemu (systemów) IT równolegle, na wielu poziomach. Przykładowo: w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows. Taka redundancja środków ochrony powoduje znaczące utrudnienia dla hackerów.
Wprowadzenie zasady ograniczania dostępu do poszczególnych warstw funkcjonalnych systemu. Domyślną, niejako zasadniczą zasadą dostępu do systemu IT, powinno być ograniczenie dostępu. Dopiero na wyraźne żądanie uprawnionego przełożonego ADMIN może przyznać stosowne uprawnienia. Oczywiście przy ich przyznawaniu stosuje się odpowiednio dwie powyższe zasady.
• Wprowadzenia kontroli (reglamentacji) dostępu do danych na poszczególnych stanowiskach komputerowych. Zasada ta polega na dostępie do danych poufnych w LAN wyłącznie na przeznaczonych do tego serwerach. Ponadto każdy dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany. Polityka bezpieczeństwa powinna przewidywać odrębną listę systemów objętych zarówno reglamentowaniem dostępu, jak i autozapisem dostępu do danych. Jeśli stacja PC jest komputerem przenośnym (laptopem) to musi ona być dodatkowo zabezpieczona (np. z wykorzystaniem szyfrowania dysku twardego – FDE). W przypadku uprawnienia użytkownika lub użytkowników systemu do dostępu do serwerów z danymi poufnymi z zewnątrz firmy, to taki dostęp powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN, dostęp do e-mail poprzez protokół szyfrowany). Takie same zasady powinny dotyczyć dostępu do serwerów z danymi poufnymi z wykorzystaniem sieci WiFi.
• Zabezpieczenie stacji roboczych. Stacje to powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich. W zależności od oszacowanego ryzyka a także od wagi dokumentów (danych) oraz ekspozycji tych danych na ewentualne próby dostępu do nich osób nieuprawnionych, można wykorzystywać różne środki ochrony. Jako minimalne należy uważać zainstalowanie na stanowiskach systemów antywirusowaych oraz zabezpieczeń typu firewall. Należy wdrożyć bieżącą aktualizację systemu operacyjnego a także składników tego systemu. Stacja robocza winna być chroniona hasłem, a hasło winno posiadać odpowiedni stopień złożoności. Należy bezwzględnie unikać prostych ciągów liczb, imion, nazw własnych czy innych prostych zabezpieczeń (tzw. słabych haseł), które mogą być w relatywnie prosty sposób złamane. Hasło winno być okresowo zmieniane, a okresy zmiany hasła relatywnie krótkie (np. miesięczne). Kolejną zasadą winno być nie pozostawianie nie zablokowanych stanowisk bez nadzoru. Stąd też pożądane jest stosowanie rozwiązań wymuszanych, np. włączanie wygaszacza ekranu przy braku aktywności na stanowisku. W zależności od specyfiki danej organizacji i jakości danych, bieżąca praca powinna odbywać się z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.
• Monitorowanie bezpieczeństwa. Powinien on obejmować analizę oprogramowania wykorzystywanego na stacjach roboczych, w tym w szczególności pod kątem stosowania wyłącznie oprogramowania legalnego oraz zapewniającego właściwy poziom bezpieczeństwa. Kolejnymi obiektami monitorowania winna być analiza odwiedzanych przez pracowników stron internetowych, godzin pracy na stanowiskach a także wszelkich dostępów do systemu. Analizie należy poddawać ruch sieciowy pod względem komunikacji mającej wpływ na bezpieczeństwo organizacji. Monitorowanie winno być skorelowane z audytami w organizacji, a z każdego takiego audytu monitorującego powinien być sporządzony raport wraz z oceną stanu faktycznego. W raporcie należy wskazać zalecane przez audytorów rekomendacje oraz okresy zalecane dla wdrożenia rekomendacji. Oczywiście z uwagi na rangę i materię problemu, audyty oraz analiza sporządzanych z tych audytów raportów powinny stanowić przedmiot zainteresowania najwyższego kierownictwa organizacji.
• Edukacja pracowników w zakresie bezpieczeństwa, w tym w zakresie roli cyberbezpieczeństwa dla organizacji, występujących zagrożeń, środków profilaktycznych oraz postępowania w przypadku ujawnienia lub zaistnienia incydentu. Proces ten należy uznawać jako ciągły, szkolenia prowadzić okresowo, dodatkowo stosując zasady samokształcenia i samodoskonalenia.
• Kształtowanie odpowiedzialności za dane dostępowe do systemów. Każdy z pracowników powinien zostać w sposób formalny (na piśmie) zobowiązany do zachowania poufności posiadanych przez niego środków dostępowych do systemów IT. Chodzi tu o wykształcenie nawyku ochrony loginów, haseł, kart dostępowych (np. RFID). Należy w tym przypadku kierować się zasadą, że zdecydowanie groźniejsze od zagrożeń płynących z zewnątrz organizacji są zagrożenia pochodzące z jej wnętrza.
• Ograniczenia transportowe danych. Dotyczy to używania pamięci USB, dysków wymiennych, wnoszenia i uruchamiania na stacjach PC płyt CD (CDRV), jak również kopiowania danych bez stosownych zabezpieczeń na ww. nośnikach i wynoszeniu ich poza organizację. Z uwagi na doskonalące się niestety coraz bardziej techniki niepowołanego dostępu do systemów z wykorzystaniem tego typu nośników, pożądane jest ograniczenie do minimum liczby stanowisk umożliwiających stosowanie tego typu nośników.
• Zakaz korzystania z firmowej infrastruktury IT w celach prywatnych.
Szczególną ochronę danych osobowych oraz danych finansowych i innych danych wrażliwych organizacji. Jakkolwiek wszelkie dane winny być chronione, o tyle w sposób szczególny należy chronić dane, które podlegają obowiązkowi takiej ochrony z punktu widzenia przepisów prawa a także te, które winny stanowić przedmiot szczególnej ochrony z uwagi na interes przedsiębiorstwa.
• Szczególną ochronę systemów IT kluczowych z punktu widzenia bezpieczeństwa ruchu kolejowego. Chodzi tu o zapewnienie szczególnej ochrony zarówno dostępu jak i działań w systemach sterowania ruchem kolejowym, systemach zarządzania utrzymaniem taboru, systemach zarządzania utrzymaniem obiektów infrastruktury kolejowej itp. Ta zasada szczególnej ochrony podyktowana jest wagą zagrożeń, do których może dojść w przypadku dostępu do ww. systemów osób do tego nieuprawnionych.
• Ochronę sieci lokalnych (LAN). Sieci te należy chronić między innymi poprzez odseparowanie serwerów istotnych od sieci klienckich. Gniazda sieciowe dostępne publicznie powinny być nieaktywne, a goście organizacji nie powinni uzyskiwać dostępu do sieci lokalnej.
• Wdrożenie i ciągłą aktualizację dokumentacji bezpieczeństwa. Organizacja powinna prowadzić dokumentację w zakresie wykorzystywanych metod zabezpieczeń systemów IT, konfiguracji (budowy) sieci IT, dostępów do zbiorów danych / systemów udzielonych pracownikom itp. Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji.
• Określenie zasad publicznego udostępniania infrastruktury IT. Mowa tu m.in. o wspomnianej już wyżej separacji sieci LAN, wewnętrznej lub zewnętrznej weryfikacji bezpieczeństwa oferowanego przez system, np. poprzez testy penetracyjne.
• Wdrożenie zasady wykonywania kopii zapasowych dla zasobów istotnych i krytycznych w organizacji. Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w firmowej infrastrukturze IT. Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym. Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości odtworzenia danych.
• Wdrożenie innych zasad bezpieczeństwa. Między innymi mowa tu o dezaktywowaniu dostępu do zasobów IT organizacji dla pracowników, którzy z organizacji odeszli lub zostali wydaleni, a także o wdrożeniu bezwzględnego obowiązku zgłaszania incydentów IT w formie raportowania. Każdy taki incydent należy odnotować w stosownej bazie danych, zapisy tej bazy (rejestru) należy na bieżąco aktualizować, weryfikować i analizować, a dane z tej analizy winny stanowić bazę dla wdrażanych rozwiązań zaradczo-profilaktycznych. Kolejną zasadą jest zasada weryfikacji przestrzegania polityki bezpieczeństwa. Należy wdrożyć system okresowych wewnętrznych lub zewnętrznych audytów bezpieczeństwa, mających na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.
Drugą grupą działań na rzecz cyberbezpieczeństwa są środki ochrony o charakterze technicznym. Mowa tu o odpowiednim stosowaniu opisanych wyżej zabezpieczeniach sprzętowych czy programistycznych, ale też o innych środkach technicznych. Należy tu zaliczyć między innymi:
• fizyczną ochronę serwerów krytycznych. Należy przez to rozumieć nie tylko ich zabezpieczenie przed dostępem osób niepowołanych (prócz dostępu do danych serwera z wykorzystaniem narzędzi IT, serwer może być również celem ataków realizowanych w celu fizycznego zniszczenia go), ale także przed działaniem czynników niekoniecznie uzależnionych od zamierzonych działań ludzkich o charakterze negatywnym. Należy tu rozumieć ochronę serwerów przed przegrzaniem, czy pożarem. Serwerownie winny być klimatyzowane, a dodatkowo powinny być w nich zainstalowane dedykowane systemy gaszące. Proces gaszenia nie powinien powodować zniszczenia serwerów, co może nastąpić np. w wyniku gaszenia z wykorzystaniem powszechnie dostępnych metod gaśniczych. Obecnie rynek zabezpieczeń przeciwpożarowych oferuje środki gaszące eliminujące ogień, jednocześnie nie dopuszczające do zniszczenia urządzeń komputerowych. I tak dla przykładu, w serwerowniach PKP SKM w Trójmieście stosowane są systemy gaszące poprzez redukcję tlenu. Brak tego pierwiastka uniemożliwia proces palenia. Serwery i inne urządzenia IT oraz sieci IT należy chronić przed pyłem, wodą, ekspozycją na promienie słoneczne, przegrzanie, zewnętrzne pole magnetyczne (elektromagnetyczne) oraz wibrację. Środki są różne, dla przykładu sieci (np. CAN) zainstalowane w pojazdach, pracujące w polu trakcji elektrycznej, ekranuje się.
• Wydzielanie stref dostępu. To rozwiązanie oparte na podzieleniu obszaru np. strefy administracyjnej organizacji na sektory, do których dostęp możliwy jest wyłącznie dla niektórych pracowników posiadających szczególne uprawnienia. Zabezpieczenia w dostępie do stref powinny być unikalne, a ich hierarchia i rodzaj uzależnione od tego, czy jest to strefa podlegająca szczególnej ochronie, czy też nie. Podobnie, jak w przypadku zabezpieczeń informatycznych, należy tu przewidzieć szczególne zasady postępowania zarówno przy nadawaniu uprawnień, jak przy ich cofaniu, a przede wszystkim prowadzić ścisły monitoring i kontrolę korzystania zeń.
• Kontrolę dostępu. To zapewne najstarszy i najmniej skomplikowany środek zabezpieczający. Kontrola dostępu polega na określeniu kategorii (grup) pracowników oraz przypisaniu im uprawnień w zakresie dostępu do określonych rejonów budynku (obszaru) oraz wizualizacji tych pracowników. Fizyczna ochrona dostępu i kontrola dostępu może być realizowana automatycznie lub poprzez fizyczną kontrolę realizowaną przez wyspecjalizowanych pracowników ochrony. Pracownicy winni w obu przypadkach posługiwać się identyfikatorami, w których opisane będą ich zakresy uprawnień. Jakość tych identyfikatorów nie powinna wzbudzać jakichkolwiek wątpliwości czy podejrzeń co do uprawnień okaziciela identyfikatora w zakresie dostępu. Należy wprowadzić i stosować zasadę ograniczenia swobody dostępu oraz poruszania się po obszarze organizacji przybywających tam gości (interesantów). Każdy z nich powinien być wyposażony w identyfikator dedykowany dla osób spoza organizacji. Należy wprowadzić zasadę ewidencji tych identyfikatorów, z odnotowaniem daty wydania, daty zwrotu, osoby dla którego dany identyfikator wydano. Należy ewidencjonować cel przybycia oraz osobę lub osoby, do których dany gość udaje się. Co więcej, nie należy dopuszczać do swobodnego przemieszczania się interesantów po obszarze organizacji. Wejście gościa, jego przemieszczanie się po infrastrukturze organizacji oraz wyjście powinno zawsze odbywać się w asyście pracownika organizacji.
• Stosowanie zasady dwóch par oczu. Zasada ta polega na dostępie do najbardziej istotnych zasobów organizacji oraz dokonywaniu działań na tych zasobach przy udziale przynajmniej kilku użytkowników, najczęściej o różnych zakresach (poziomach) uprawnień. Czynność wykonana przez jednego użytkownika, po przejściu na wyższy poziom, wymaga akceptacji przez innego użytkownika, walidującego czynność uprzednio dokonaną. Zarówno dokonane czynności, jak i wykonujący je użytkownicy, podlegają rejestracji w elektronicznych dziennikach czynności lub w inny, przyjęty przez dany system sposób.
• Stosowanie zasady stosowania zabezpieczeń fizycznych o dużej komplikacji. Dotyczy to w szczególności zabezpieczeń fizycznych na drogach dostępu do zasobów zarówno do obiektów infrastruktury IT (serwerownie, stanowiska bezpieczne itp.), jak i samych zasobów IT. Duża komplikacja dotyczy zarówno stosowania odpowiednich zamków (tradycyjnych mechanicznych lub elektronicznych) do drzwi ww. pomieszczeń, jak i stosowania ekranowania ścian ww. pomieszczeń. Oczywiście, tak jak przy poprzednio wymienionych zabezpieczeniach, ich rodzaj oraz jakość (odporność na ataki) zależy wprost proporcjonalnie od oszacowanego ryzyka ewentualnych szkód na skutek niekontrolowanego dostępu do danych oraz nieuprawnionej ingerencji w systemie (systemach) IT.
Cyberbezpieczeństwo w transporcie kolejowym nabiera coraz większego znaczenia. Rozwój technologii cyfrowych w zakresie sterowania ruchem kolejowym oraz kontroli biegu pociągów, systematyczne zastępowanie rejestrów papierowych dokumentacją elektroniczną rodzą bowiem poważne ryzyka uszkodzenia, zniekształcenia lub utraty kluczowych danych z punktu widzenia organizacji. Coraz większa autonomizacja i automatyzacja procesów wymaga wzrostu działań w zakresie cyberbezpieczeństwa, rozwoju technik i narzędzi poprawy bezpieczeństwa sieci IT a w dalszej kolejności – niestety też i kosztów tych działań.