Według ostatniego raportu Najwyższej Izby Kontroli, który porusza kwestie bezpieczeństwa danych w podmiotach państwowych, procesy prowadzące do zapewnienia ochrony informacji elektronicznych są niewystarczające, a w większości placówkach państwowych, osoba, która jest odpowiedzialna za kontrolowanie i zapewnienie bezpieczeństwa IT nie posiada wystarczających kwalifikacji do zarządzania całym i skomplikowanym procesem.Spośród zbadanych obszarów: zarządzania, wdrożonych planów, testów po-wdrożeniowych, monitorowania, zarządzania kluczami kryptograficznymi, bezpieczeństwa sieciowego, tylko KRUS podjął niezbędne kroki do zainicjowania (i to nie do końca) zasad ustalonych w Systemie Zarządzania Bezpieczeństwem Informacji (ISO / IC 27000), jednak i tak w stopniu niewystarczającym. W dodatku NIK wytyka KRUS-owi opieszałość oraz traktowanie kwestii bezpieczeństwa po macoszemu, stosowanie się do powszechnie dobrych praktyk teleinformatycznych, bez przestrzegania opracowanych wytycznych i standardów. Kontrola wykazała liczne braki w zarządzaniu i monitorowaniu już wdrożonych rozwiązań. Jeśli przyjmiemy za stopień wdrożenia systemów bezpieczeństwa i przestrzegania standardów bezpieczeństwa (według metodologii Cobit 4.1) w skali od 1 do 5, to:
- KRUS znajduje się na poziomie trzecim określanym jako „zdefiniowany”. Państwowy ubezpieczyciel otrzymał najwyższą ocenę spośród kontrolowanych instytucji, jednak w dalszym ciągu poziom ten jest niezadowalający. Liczne braki i niedociągnięcia sprawiają, że nie ma powodów do zadowolenia ze sposobu wdrożenia, monitorowania i kontrolowania bezpieczeństwa już przechowywanych danych.
- Jeszcze gorzej jest w Ministerstwie Sprawiedliwości, Ministerstwie Skarbu Państwa i Narodowym Funduszy Zdrowia – drugi poziom określany jest jako „powtarzalny lecz intuicyjny”.
- Rekomendacje określone w SZBI są obce dla Ministerstwa Spraw Wewnętrznych i Straży Granicznej – poziom wprowadzonych standardów w Centralnej Bazie Danych Straży Granicznej i w systemie obsługującym wydawanie paszportów przez urzędy wojewódzkie jest na poziomie “początkowym/doraźnym”.
Najwyższa Izba Kontroli jest chyba jedyną publiczną instytucją, która nadal cieszy się powszechnym zaufaniem Polaków. Trudno nie wierzyć ustaleniom NIK. Informacje o niskiej jakości zabezpieczeń państwowych i w dodatku najważniejszych instytucji jest niewystarczający. Mówi o tym ostatni raport NIK, ale też i ten z roku 2015 na temat braku opracowanych procedur w sytuacjach ekstremalnych związanych z cyberprzestępczością. Miejmy nadzieję, że wśród firm prywatnych, świadomość w zakresie bezpieczeństwa danych jest co najmniej na poziomie zrozumienia dzisiejszych internetowych zagrożeń, które mają przecież swoje odzwierciedlenie w rzeczywistości. Dlatego dobierając produkt zabezpieczający do firmy, należy pamiętać o kilku czynnikach, które zależą od:
– ilości stacji roboczych i serwerów, przy czym ważny jest tutaj sposób licencjonowania produktu,
– wymaganych funkcjonalności, takich jak anty-spam, firewall, ochrona przed ransomware, konteneryzacja rozszerzeń plików z określonych źródeł,
– wydajności, którą determinuje: oprogramowanie antywirusowe w modelu chmury SaaS, opatentowane technologie skanowania z użyciem serwera wirtualnego, tradycyjne programy antywirusowe wykorzystujące sygnatury,
– oprogramowania firm trzecich, które jest wspierane przez vendorów AV, np. VMware, Citrix, klient poczty Outlook,
– języka konsoli i agentów antywirusowych,- wsparcia producenta i/lub polskiego dystrybutora,
– dodatkowych funkcjonalności administracyjnych, np. zdalny pulpit, zarządzanie usługami / procesami systemowymi z konsoli, inwentaryzacja sprzętu / oprogramowania,
– wsparcia dla MDM w jednej konsoli z ochroną stacji roboczych i serwerów,
– wsparcia dla najnowszego Windows 10 i ciągle żywego w polskich firmach i placówkach publicznych Windows XP,
– spełnienia wytycznych odnośnie do monitorowania i zarządzania oraz korelacji z innym oprogramowaniem lub sprzętem zwiększającym bezpieczeństwo IT.
Firmom, które stoją przed wyborem oprogramowania antywirusowego polecamy ostatnie artykuły na temat Bitdefender GravityZone, w których poruszyliśmy większość z wyżej wymienionych zagadnień. Producent postarał się o to, aby jego produkt mógł zostać dopasowany do małej firmy, ale też i korporacji, w której główną rolę odgrywa wirtualizacja i wirtualne środowiska robocze. Korzyści z wdrożenia ochrony marki Bitdefender jest wiele. Dla małych firm będzie to konsola w chmurze, która nie wymaga zakupu własnego serwera za kilkanaście tysięcy złotych oraz bardzo łatwy sposób dystrybucji agentów antywirusowy na poszczególne komputery. Ale przede wszystkim jakość ochrony, jaką zapewnia Bitdefender. Z kolei duże firmy ucieszą się z konsoli instalowanej w sieci lokalnej i w głównej mierze z opatentowanej technologii skanowania. Nasz test pokazał, jak wielkie są różnice pomiędzy tradycyjną ochroną, a tzw. skanowaniem centralnym, które w synergicznym działaniu z lokalną konsolą – wirtualnym urządzeniem Bitdefender GravityZone Virtual Appliance sprawia, że administratorzy o inicjowanym na komputerach roboczych problemie wydajnościowym mogą zapomnieć.
