CyberShieldON » CIA – ale nie ta z Langley: triada, na której oparte jest bezpieczeństwo informacji

Czy wiesz, że w świecie cyberbezpieczeństwa skrót CIA nie odnosi się do amerykańskiej agencji wywiadowczej, lecz do fundamentu, na którym opiera się ochrona informacji?
Poufność (Confidentiality), integralność (Integrity) i dostępność (Availability) – to trzy filary, które wspólnie tworzą tzw. triadę CIA. Ich zachowanie jest kluczowe dla zapewnienia bezpieczeństwa danych w każdej organizacji, niezależnie od jej wielkości czy branży.

Liczba i wyrafinowanie ataków wymierzonych w atrybuty bezpieczeństwa informacji gwałtownie wzrosły w ostatnich latach. Czy wiesz, że zaniedbanie któregokolwiek z elementów bezpieczeństwa może prowadzić do częstych incydentów, negatywnie wpływających na wyniki finansowe i reputację Twojej firmy?

Triada CIA (Poufność, Integralność, Dostępność) stanowi fundament zrozumienia bezpieczeństwa informacji i jest niezbędna m. in. dla administratorów zarządzających systemami. Te 3 podstawowe atrybuty bezpieczeństwa informacji są kluczowe dla ochrony zasobów systemów informatycznych, w tym sprzętu, oprogramowania i danych. Pomimo, że cechy bezpieczeństwa informacji ewoluują wraz
z nowymi technologiami, triada bezpieczeństwa pozostaje aktualna od ponad 40 lat.

W obliczu rozwoju chmury obliczeniowej i rozwiązań SaaS (Software as a Service), należy stawiać czoła nowym wyzwaniom w utrzymaniu zasad triady CIA. Ponadto, koncepcja Zero-Trust (nigdy nie ufaj, zawsze weryfikuj) jest coraz częściej wdrażana w celu zwiększenia poufności danych, traktując wszystkich użytkowników jako niezaufanych. W tym artykule dowiesz się, jak skutecznie wdrożyć
i utrzymać równowagę między trzema filarami bezpieczeństwa informacji w Twojej firmie.

Triada CIA: co oznaczają 3 podstawowe atrybuty bezpieczeństwa informacji

Triada CIA stanowi podstawę każdego skutecznego systemu bezpieczeństwa informacji w organizacji. Składa się z trzech kluczowych elementów: Poufności (Confidentiality), Integralności (Integrity) oraz Dostępności (Availability), które razem tworzą fundament ochrony danych.
Norma PN-EN ISO 27001, międzynarodowy standard zarządzania bezpieczeństwem informacji, wskazuje właśnie na te trzy podstawowe atrybuty jako najistotniejsze dla zapewnienia kompleksowej ochrony.

Atrybuty bezpieczeństwa informacji nie działają same - tworzą spójny system, gdzie osłabienie któregokolwiek z nich może prowadzić do poważnych konsekwencji dla całej organizacji. Nieuwzględnienie choćby jednego z trzech wymienionych kierunków podczas planowania systemów
i funkcjonowania firmy może skutkować częstymi incydentami bezpieczeństwa, które zawsze odbijają się na wynikach finansowych, a w przypadku wycieku danych - również dotyczy to kwestii wizerunkowych
i kar finansowych (UODO).

Model triady bezpieczeństwa jest uniwersalny i znajduje zastosowanie zarówno w tradycyjnych, jak
i nowoczesnych środowiskach informatycznych. Aby w pełni zrozumieć jego znaczenie, należy dokładnie przeanalizować każdy z jego elementów.

Poufność: ochrona przed nieautoryzowanym dostępem

Atrybut poufności polega na zapewnieniu, że dane są dostępne wyłącznie dla uprawnionych osób lub systemów. Jest to pierwszy i często uznawany za najważniejszy element triady bezpieczeństwa informacji. W praktyce oznacza to kontrolę nad tym, jakie dane są gromadzone, przechowywane oraz komu mogą być ujawnione.

Utrata poufności następuje w momencie nieuprawnionego ujawnienia informacji. Warto podkreślić,
że poufność obejmuje dwa powiązane ze sobą pojęcia:

1. Poufność danych - zapewnia, że wrażliwe lub zastrzeżone informacje nie zostaną udostępnione osobom nieuprawnionym.

2. Prywatność - gwarantuje, że osoby sprawują kontrolę nad tym, które z dotyczących ich informacji mogą być gromadzone, przechowywane oraz przez kogo i komu mogą być ujawniane.

Aby skutecznie zapewnić poufność informacji, organizacja musi wprowadzić odpowiednie procedury
i mechanizmy. Przede wszystkim konieczne jest właściwe kategoryzowanie i przechowywanie danych oraz autoryzacja pracowników mających do nich dostęp. Dodatkowo zaleca się stosowanie zasady minimalnych uprawnień - użytkownicy powinni mieć dostęp tylko do tych danych, które są niezbędne do wykonywania ich obowiązków, a uprawnienia mogą być zwiększane w miarę potrzeb.

Poufność znacząco ogranicza wpływ błędów ludzkich na bezpieczeństwo danych. Jeśli przykładowo pracownik padnie ofiarą ataku phishingowego i ujawni ważne informacje, szkody będą mniejsze,
gdy miał dostęp tylko do części zasobów. Jest to szczególnie istotne w kontekście aktualnych zagrożeń.

Do najskuteczniejszych metod zachowania poufności należą:

• Regularne szkolenia pracowników z zakresu bezpieczeństwa.

• Limitowanie dostępu do danych zgodnie z zasadą "need to know".

• Szyfrowanie informacji podczas przechowywania i transmisji.

• Stosowanie silnych metod uwierzytelniania, w tym uwierzytelniania wieloskładnikowego.

• Zawieranie umów o zachowaniu poufności (non-disclosure agreement, NDA).

• Oznaczanie informacji klauzulami typu "poufna" lub "tajemnica przedsiębiorstwa".

• Wdrożenie indywidualnych haseł dostępu do systemów informatycznych.

Należy przy tym pamiętać, że działania podjęte w celu ochrony poufności powinny być "rozsądne
w danych okolicznościach" i "przy zachowaniu należytej staranności". W praktyce oznacza to, że dostęp do informacji poufnych musi być kontrolowany, co zapobiega nieautoryzowanemu udostępnianiu danych - zarówno celowemu, jak i przypadkowemu.

Integralność: zapobieganie manipulacjom danych

Integralność danych to drugi filar triady bezpieczeństwa, który polega na zapewnieniu, że informacje nie zostały zmienione ani uszkodzone przez osoby nieuprawnione. Innymi słowy, integralność gwarantuje, że dane pozostają kompletne, dokładne i wiarygodne przez cały swój "cykl życia" (Data Life Cycle - DLC), który obejmuje generowanie, rejestrowanie, przetwarzanie, wykorzystanie, przechowywanie, archiwizację i niszczenie.

Utrata integralności następuje w momencie nieautoryzowanej modyfikacji lub zniszczenia informacji.
W kontekście bezpieczeństwa informacji, integralność odnosi się do dwóch powiązanych aspektów:

1. Integralność danych - zapewnia, że informacje i programy podlegają zmianom tylko w określony
i upoważniony sposób.

2. Integralność systemu - gwarantuje, że system wykonuje przewidziane funkcje bez zakłóceń, nienarażony na umyślne lub niezamierzone, niedozwolone manipulacje.

Według brytyjskiej agencji MHRA (Medicines and Healthcare Products Regulatory Agency), integralne dane powinny posiadać pięć podstawowych atrybutów określanych akronimem "ALCOA":

• A - Attributable (przypisane do osoby generującej dane).

• L - Legible (czytelne).

• C - Contemporaneous (zapisane w czasie rzeczywistym).

• O - Original (oryginalne).

• A - Accurate (dokładne).

Naruszenie integralności danych może nastąpić zarówno przypadkowo, jak i celowo. Przykładem celowego naruszenia jest sytuacja, gdy złośliwy haker podmienia informacje na stronie internetowej firmy. Natomiast przypadkowe naruszenia mogą wynikać z błędów systemowych, awarii sprzętu czy nieumyślnych działań użytkowników.

Ransomware, destrukcyjne złośliwe oprogramowanie (malware), zagrożenia wewnętrzne, a nawet nieświadome błędy stanowią poważne zagrożenie dla integralności danych organizacji. Bazy danych (ich rekordy i struktura), pliki systemowe, konfiguracje, pliki użytkowników, kody aplikacji i dane klientów są szczególnie narażone na uszkodzenia i zniszczenia, także przypadkowe.

Do najskuteczniejszych metod ochrony integralności danych należą:

• Szyfrowanie danych.

• Stosowanie certyfikatów wiarygodności.

• Rejestrowanie pełnej historii operacji na danych.

• Regularne tworzenie kopii zapasowych.

• Wdrożenie mechanizmów uwierzytelniania i autoryzacji.

• Regularne aktualizacje oprogramowania i zabezpieczeń.

Dodatkowo, skuteczne zabezpieczenie integralności danych wymaga regularnego audytowania systemów w celu wykrywania ewentualnych nieprawidłowości i identyfikacji zagrożeń.
Sprawne wykrywanie i reagowanie na utratę integralności danych może przynieść wiele wymiernych korzyści, dlatego odpowiednie narzędzia i przygotowanie są niezbędne do zminimalizowania przestojów
i strat.

W przypadku naruszenia integralności danych dotyczących jakości produktów lub usług, może dojść do poważnych konsekwencji prowadzących do strat finansowych, utraty zaufania klientów, a w niektórych branżach - nawet zagrożenia zdrowia i życia odbiorców.

Dostępność: zapewnienie ciągłości działania

Dostępność, trzeci filar triady CIA, oznacza zapewnienie, że dane są dostępne dla uprawnionych użytkowników w odpowiednim czasie i miejscu. Jest to kluczowy element bezpieczeństwa informacji, który gwarantuje, że systemy, sieci i aplikacje muszą działać tak, jak powinny i kiedy powinny.

Utrata dostępności następuje w momencie zaburzenia dostępu lub zakłócenia możliwości użytkowania informacji lub systemu informacyjnego. W praktyce oznacza to, że użytkownicy mający dostęp do określonych informacji muszą mieć możliwość korzystania z nich w razie potrzeby, a dotarcie do danych nie powinno zajmować zbyt wiele czasu.

Zapewnienie odpowiedniego poziomu dostępności wymaga, aby informacje były:

• Przechowywane w odpowiednim miejscu.

• Szybko dostępne dla wszystkich, którzy ich potrzebują.

• Przedstawione w sposób zrozumiały dla odbiorców.

Systemy muszą być odporne na różnego rodzaju zagrożenia, takie jak:

• Awarie sprzętu.

• Przerwy w dostawie prądu.

• Katastrofy naturalne.

• Ataki hakerskie (np. DDoS).

Aby zapewnić wysoki poziom dostępności, firmy powinny wdrożyć szereg rozwiązań, w tym:

1. Redundancja systemów - korzystanie z zapasowych serwerów i sieci, które minimalizują ryzyko braku dostępności informacji poprzez zapewnienie alternatywnych ścieżek dostępu do danych.

2. Kopie zapasowe danych - regularne wykonywanie backupów pozwala szybko odzyskać dostęp do informacji w przypadku awarii, minimalizując negatywne skutki braku dostępności.

3. Monitorowanie i utrzymanie infrastruktury IT - kluczowe dla zapewnienia ciągłej dostępności informacji jest regularne aktualizowanie oprogramowania i zabezpieczeń, aby minimalizować ryzyko ataków i utraty danych.

4. Równomierne obciążanie zasobów - stosowanie technologii "Load Balancer" (równomierne rozłożenie ruchu) pozwala na efektywne rozłożenie obciążenia między serwerami, co zwiększa wydajność i niezawodność systemu.

5. Ustanowienie polityki dotyczącej dostępności informacji - formalne określenie zasad i procedur związanych z dostępnością danych, w tym plany awaryjne i procedury odzyskiwania po awarii.

Konsekwencje braku wymaganego poziomu dostępności informacji mogą być poważne i obejmować:

• Niższą produktywność pracowników i pośrednio mniejsze zyski dla organizacji.

• Większe ryzyko dla bezpieczeństwa danych i ryzyko utraty poufności.

• Niższy poziom jakości usług świadczonych przez przedsiębiorstwo.

• Większe trudności w zapewnieniu zgodności z obowiązującymi przepisami.

• Konieczność poniesienia większych kosztów, aby utrzymać wymaganą jakość informacji.

Dostępność informacji ma również istotne znaczenie w obsłudze klientów i budowaniu ich zaufania. Klienci oczekują szybkiej i dokładnej odpowiedzi na swoje pytania oraz dostępu do informacji o swoich zamówieniach czy transakcjach. Z tego powodu dostępność jest niezwykle istotna dla skutecznego zarządzania organizacją i utrzymania pozycji rynkowej.

Podsumowanie

Triada CIA – poufność, integralność i dostępność – to fundament bezpieczeństwa informacji.
Każdy z tych elementów jest równie ważny i ich naruszenie może mieć poważne konsekwencje.
Warto zauważyć, że między trzema filarami triady CIA istnieją wzajemne zależności, a czasami nawet konflikty. Na przykład, zwiększenie poziomu poufności poprzez wdrożenie bardziej rygorystycznych procedur dostępu może negatywnie wpłynąć na dostępność. Podobnie, zapewnienie wysokiego poziomu dostępności może wymagać duplikowania danych, co z kolei może zwiększyć ryzyko naruszenia poufności.
W dobie cyfryzacji, pracy zdalnej i rosnącej liczby cyberataków, zrozumienie i wdrażanie zasad triady CIA jest nie tylko obowiązkiem działów IT, ale i całych organizacji.

Bezpieczeństwa informacji nie należy traktować jako jednorazowej czynności, który raz zaprojektowany, będzie zabezpieczał i chronił, lecz ciągły proces, wymagający stałego monitorowania i doskonalenia. Triada CIA to podstawowa wiedza, bez której ciężko będzie wdrożyć należyty poziom ochrony informacji.

Jeśli chcesz dowiedzieć się więcej odwiedzaj cybershieldon.pl. To miejsce, w którym cyberodporność spotyka się z ludzkim podejściem.

Marcin Pachucki

Ekspert bezpieczeństwa | Audytor |Doradca