Z naszych obserwacji wynika, że wiele organizacji zarządza cyberbezpieczeństwem w podobny sposób jak kilka lat temu, nie znajdując czasu na refleksję nad zmianami czy aktualizacją strategii. Kiedy skala zagrożeń rośnie w zatrważającym tempie (w 2023 CERT otrzymało 80 tysięcy zgłoszeń incydentów, natomiast już w połowie 2024 roku liczba ta wyniosła 360 tysięcy), firmy powinny dostosowywać swoje strategie bezpieczeństwa, by skutecznie wykrywać i powstrzymywać ataki.

Jakie kroki warto podjąć? Aby nie działać po omacku, należy najpierw przeprowadzić kompleksowy audyt bezpieczeństwa, podczas którego doświadczony zespół ekspertów połączy analizę polityk formalnych z oceną technicznej infrastruktury bezpieczeństwa organizacji. Przeprowadzanie regularnych audytów staje się jeszcze bardziej istotne (a w wielu przypadkach obowiązkowe) w 2026 roku, kiedy to zaczyna obowiązywać nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa.

W dzisiejszym artykule podzielimy się naszym doświadczeniem i przedstawimy problemy jakie najczęściej znajdujemy u naszych klientów podczas przeprowadzanych przez nas audytów bezpieczeństwa.

Na czym polega audyt bezpieczeństwa?

Audyt to nic innego jak „badanie okresowe” danej organizacji w kontekście obowiązujących norm. Powinien być przeprowadzany cyklicznie – nowelizacja ustawy o KSC mówi o co najmniej 2 latach dla podmiotów kluczowych. Naszym zdaniem wymóg ten jest dalece niewystarczający, aby zapewnić organizacji aktualną i realną ocenę poziomu bezpieczeństwa. W związku z tym zalecamy przeprowadzanie audytów nie rzadziej niż raz na rok lub dwa lata. Działania audytorów dostarczają nie tylko szczegółowych informacji o stanie dojrzałości organizacji, ale również precyzyjnych rekomendacji mających na celu wzmocnienie cyberodporności.

Obecnie obserwujemy wzrost zainteresowania audytami bezpieczeństwa, motywowanego zarówno formalnymi wymogami – takimi jak właśnie nowelizacja Ustawy o KSC – jak i rosnącą świadomością znaczenia ochrony biznesu. Coraz więcej przedsiębiorców dostrzega, że inwestycje w cyberbezpieczeństwo są kluczowe, aby uniknąć kosztownych konsekwencji ataków.

Dlaczego warto przeprowadzić audyt?

Audyt bezpieczeństwa to nie tylko formalność, ale narzędzie pozwalające spojrzeć na firmę z nowej perspektywy pod warunkiem, że jest kompleksowy. Analiza obejmująca zarówno „papierowe” aspekty bezpieczeństwa, jak i technologiczną infrastrukturę oraz konfiguracje systemów, daje pełniejszy obraz cyberodporności organizacji. Niedociągnięcia, które mogą na pierwszy rzut oka wydawać się mało istotne, mogą prowadzić do poważnych konsekwencji, dlatego warto działać proaktywnie, systematycznie i kompleksowo.

Faktyczna wartość audytu zależy od jego zakresu. Często spotykamy się z sytuacją, gdzie firmy koncentrują się wyłącznie na analizie polityk i procedur, pomijając warstwę technologiczną, a przecież to właśnie od niej zależy skuteczność ochrony. Nawet najlepsze systemy bezpieczeństwa nie zadziałają, jeśli są niewłaściwie skonfigurowane. Na przykład błędne ustawienia firewalla, w tym niestety popularne polityki „any to any”, mogą umożliwić nieograniczony ruch sieciowy, pozostawiając firmę bez ochrony. Równie częstym błędem jest brak analizowania ruchu SSL co w praktyce oznacza np. brak jakiejkolwiek kontroli nad ruchem użytkowników i aplikacji przeglądarkowych.

Najczęstsze problemy firm wykrywane podczas audytów (według ekspertów 4Prime)

Na podstawie przeprowadzanych audytów bezpieczeństwa u naszych klientów wyróżniamy kilka powtarzających się problemów, które mogą znacząco wpływać na bezpieczeństwo organizacji.

1. Przestarzała technologia

Wiele firm nadal korzysta z systemów antywirusowych, które od 5-7 lat nie mają większego sensu. Brak przejścia na nowoczesne rozwiązania, takie jak EDR (Endpoint Detection and Response), sprawia, że organizacja staje się łatwym celem dla cyberprzestępców. Dodatkowo, często spotykamy stare firewalle, które od dawna nie były aktualizowane, przez co posiadają liczne podatności.

Atakujący dysponują obecnie narzędziami pozwalającymi na łatwe i skuteczne omijanie takich zabezpieczeń, co oznacza, że organizacje, które nie modernizują swoich technologii, narażają się na ogromne ryzyko.

2. Brak aktualnych polityk bezpieczeństwa

W wielu firmach procedury dotyczące bezpieczeństwa są przestarzałe lub wręcz nie istnieją. Taka sytuacja uniemożliwia skuteczną reakcję na nowe zagrożenia, ponieważ organizacja nie aktualizując polityk jednocześnie nie identyfikuje nowych ryzyk co oznacza, że nie będzie w stanie nimi zarządzać.

Regularna aktualizacja polityk bezpieczeństwa jest podstawą skutecznej ochrony. Dobrze przygotowane procedury określają role, zadania oraz dokładne kroki, jakie należy podjąć w przypadku wykrycia incydentu. Brak takich polityk prowadzi do chaosu organizacyjnego w kluczowych momentach, gdy szybka reakcja jest niezbędna.

3. Brak zarządzania dostępem i hasłami

Jednym z najczęstszych problemów jest brak kontroli nad dostępem do systemów. Często zdarza się, że byli pracownicy nadal mają dostęp do krytycznych systemów, lub że pracownicy posiadają uprawnienia nadmiarowe, które nie są wymagane do wykonywania bieżących obowiązków.

Wdrożenie zasad nadawania minimalnych uprawnień, regularne przeglądy dostępu oraz rygorystyczne zarządzanie hasłami (np. wymuszanie regularnej zmiany hasła i stosowanie MFA) to kluczowe elementy ochrony.

4. Brak monitorowania i audytowania systemów

Wiele organizacji nie posiada systemów umożliwiających monitorowanie infrastruktury IT w czasie rzeczywistym. W efekcie trudno jest zauważyć, że doszło do naruszenia bezpieczeństwa, co pozwala cyberprzestępcom działać nieprzerwanie przez dłuższy czas (nawet miesiącami).

Rozwiązania takie jak EDR, NDR i SIEM oraz usługa SOC są kluczowe, aby szybko wykrywać i reagować na incydenty.

5. Brak przetestowanych planów reakcji na incydenty

Nawet najbardziej zaawansowane zabezpieczenia mogą zawieść, dlatego kluczowe jest regularne testowanie planu reakcji na incydenty. Niestety, często spotykamy sytuacje, w których plan istnieje jedynie „na papierze”.

Plan reakcji, który nie został zweryfikowany w praktyce, jest jak kopia zapasowa, której nigdy nie przetestowano – w kluczowym momencie może zawieść. Firmy powinny regularnie przeprowadzać testy backupów czy przełączen między nodami klastra HA, aby upewnić się, że są gotowe do szybkiego i skutecznego działania w przypadku zagrożenia.

6. Brak nadzoru nad podmiotami zewnętrznymi

Podwykonawcy często mają dostęp do wewnętrznych systemów organizacji. Brak nadzoru nad ich działaniami stwarza ryzyko, że błędy popełnione przez zewnętrznych dostawców mogą prowadzić do poważnych naruszeń bezpieczeństwa.

Kluczowym elementem ochrony jest jasne określenie zasad współpracy z podmiotami zewnętrznymi, podpisanie odpowiednich umów oraz monitorowanie ich działań. Wdrożenie systemów PAM (Privileged Access Management) pozwala na pełną kontrolę nad dostępem uprzywilejowanym, zmniejszając ryzyko wycieku danych.

Audyty bezpieczeństwa zgodne z NIS2

Nowelizacja ustawy o KSC wymaga między innymi przeprowadzania regularnych audytów (co najmniej co 2 lata) dla podmiotów kluczowych. Jednak według nas również reszta organizacji powinna poważnie podejść do kwestii oceny bezpieczeństwa – tylko w ten sposób można wdrożyć efektywną strategię oraz zaadresować luki w architekturze.

Jako 4Prime IT Security wraz z naszym partnerem strategicznym SkySec oferujemy kompleksowe audyty, obejmujące analizę polityk formalnych z oceną technicznej infrastruktury bezpieczeństwa organizacji.

Sprawdź stan bezpieczeństwa Twojej organizacji – zamów audyt.

SkySec tworzą eksperci w dziedzinie bezpieczeństwa informacji, rozwiązań IT/OT, o kilkunastoletnim doświadczeniu w projektowaniu, implementacji oraz audytowaniu środowisk informatycznych. Posiadają ogromną wiedzę potwierdzoną dziesiątkami uznanych w branży certyfikatów technicznych potwierdzających ich najwyższe kompetencje.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.