W obliczu rosnącej liczby cyberataków i zagrożeń uczelnie muszą proaktywnie chronić swoje zasoby i dane, szczególnie dane osobowe pracowników i studentów. Dodatkowo uczelnie muszą też dostosować się do obowiązków wynikających z dyrektywy NIS2 i rozporządzenia eIDAS 2 w zakresie bezpieczeństwa cyfrowego.

W odpowiedzi na te wyzwania, PCG Academia wraz z partnerem, Onex Group, zaprezentowali usługi zwiększające cyberbezpieczeństwo uczelni z wykorzystaniem technologii Microsoft. Rozwiązania przybliżyli eksperci Onex: Piotr Bieliński i Mateusz Stążecki, a wstęp przedstawił Łukasz Nowak, Prezes Zarządu PCG Academia.

Zasady Zero Trust

Model „Zero Zaufania” to zasady, które powinny wdrażać instytucje chcące dbać o cyberbezpieczeństwo. Model sprowadza się do trzech głównych zasad:

  • Jednoznacznie weryfikuj – sprawdź tożsamość użytkownika: czy osoba, która się loguje, jest tą, za którą się podaje;
  • Minimalizuj uprawnienia – nie przydzielaj niepotrzebnych ról użytkownikom, zwłaszcza ról administracyjnych;
  • Zakładaj naruszenie – większość naruszeń wykrywana jest po kilku miesiącach, musimy cały czas być czujni i proaktywni oraz monitorować sytuację.

Zasady Zero Trust wcielają w życie technologie Microsoftu. Chmura Microsoft 365 zabezpiecza kompleksowo środowisko informatyczne organizacji.

Zarządzanie tożsamością – podstawa bezpieczeństwa

Tożsamość w systemach IT oznacza sposób na jednoznaczną identyfikację osoby, np. pracownika. To właśnie tożsamość jest używana do logowania do systemów.

Do zarządzania tożsamością wiele organizacji korzysta z usługi lokalnej Active Directory. Dziś jednak musimy dostosować polityki bezpieczeństwa do nowoczesnych metod zarządzania i technologii chmurowych. Usługi w chmurze dostępne są przez Internet, więc nie możemy użyć Active Directory, do dziś nieprzystosowanego do publicznego dostępu i zamkniętego w wewnętrznej sieci instytucji.

Jako chmurowego dostawcę tożsamości można wybrać usługę Microsoft EntraID, wykorzystującą nowoczesne, zabezpieczone protokoły logowania. Utworzona tam tożsamość działa nie tylko w aplikacjach Microsoft, ale także innych systemach poprzez integracje. EntraID integruje się z m.in. systemami kadrowo-płacowymi, księgowymi, CRM czy platformami edukacyjnymi. Mamy więc jedną tożsamość w wielu systemach.

Jest to bezpieczny sposób logowania dzięki uwierzytelnianiu wieloskładnikowemu (MFA), czyli dodatkowemu składnikowi logowania, jak aplikacja na telefonie czy token. Dlatego nawet w sytuacji przechwycenia hasła, haker nie będzie mógł z niego skorzystać z powodu braku dostępu do drugiego uwierzytelnienia. W ten sposób możemy zniwelować aż 99% ataków hakerskich.

A gdyby tak w ogóle nie podawać hasła? Rozwiązania passwordless polegają nie na haśle, a na takich sposobach identyfikacji jak skan linii papilarnych czy twarzy. Do bezpiecznego korzystania z tego typu rozwiązań w służą aplikacje Microsoft Authenticator lub Windows Hello.

Inna usługa Microsoft wspierająca bezpieczeństwo na tym poziomie to Conditional Access, czyli dostęp warunkowy. Jest to mechanizm pozwalający na dostęp lub go blokujący dla użytkowników do różnych systemów na podstawie określonych sygnałów, np. kraju logowania.

Warto wspomnieć jeszcze o Microsoft Defender for Identity. Rozwiązanie jest usługą chmurową pozwalającą zabezpieczyć tożsamość lokalną i wykryć zaawansowane ataki próbujące przejąć tożsamość użytkowników.

Zarządzanie urządzeniami

Zadbać musimy też o bezpieczeństwo urządzeń, z których korzystamy na co dzień w pracy. Microsoft Intune to prosty sposób na skuteczną ochronę i zarządzanie urządzeniami.

Intune to rozwiązanie typu MDM (Mobile Device Management), które również opiera się na modelu Zero Trust. Pozwala na zarządzanie urządzeniami z systemami Windows, macOS, Linux, Android oraz iOS. Jednocześnie Intune spełnia rolę narzędzia typu MAM (Mobile Application Management) do zarządzania aplikacjami służbowymi.

Microsoft Intune pozwala też na ochronę aplikacji służbowych na prywatnych urządzeniach użytkowników (m.in. Outlook, Teams), jeśli instytucja dopuszcza je do celów służbowych (tzw. BYOD). Administrator ma możliwość np. usunięcia danych służbowych z takiego urządzenia bez ingerencji w prywatne dane lub wymuszenia korzystania z PIN do otwarcia aplikacji służbowej.

Dla kompleksowej ochrony urządzeń warto jeszcze dodać Microsoft Defender for Endpoint – zaawansowane rozwiązanie EDR (endpoint detection and response), które pozwala wykrywać i blokować podejrzane zachowania, takie jak niechciane procesy, złośliwy kod czy ataki sieciowe. Rozwiązanie można zintegrować z Intune i chronić z nim zarówno urządzenia na różnych systemach, jak i serwery.

Bezpieczeństwo poczty

Ponad 90% ataków rozpoczyna się od e-maila, dlatego ochrona poczty jest kluczowa dla bezpieczeństwa. Najważniejsze elementy to filtry antyspam i antymalware, wykrywanie zagrożeń, badanie ataków i szybka reakcja, podejmowanie działań naprawczych, edukacja użytkowników i ocena bezpieczeństwa w organizacji.

Microsoft oferuje narzędzie Microsoft Defender for Office 365, które pozwala symulować atak i wysłać do użytkowników mail przypominający phishing. Osoby, które klikną w „niebezpieczny” link, można następnie przeszkolić z zasad bezpieczeństwa, korzystając z wbudowanych treningów i filmików edukacyjnych. Administrator dostaje zaś szczegółowy raport pozwalający ocenić poziom bezpieczeństwa organizacji i podatność użytkowników na atak, a następnie planować dalsze działania.

Zarządzanie aplikacjami i danymi

Użytkownicy często korzystają na służbowych urządzeniach z aplikacji, które instalowane są bez wiedzy lub zgody IT – niezatwierdzonych może być nawet 65% wykorzystywanych aplikacji. Zjawisko to określa się mianem Shadow IT.

Jeśli nie mamy wiedzy o istnieniu tych aplikacji, nie jesteśmy w stanie zastosować do nich zasad bezpieczeństwa. Nie wiemy też, jakie dane są w nich przetwarzane i co może wycieknąć. W wykrywaniu takich aplikacji i zarządzaniu dostępem pomaga Microsoft Defender for Cloud Apps. Narzędzie można też wykorzystać do np. blokowania aplikacji, z którymi nie jest zintegrowana tożsamość EntraID oraz do blokowania adresów URL.

Dla ochrony danych w aplikacjach dostępna jest również możliwość blokowania takich akcji jak pobranie pliku z chmury na urządzenie, kopiowanie zawartości pliku poufnego czy drukowanie pliku poufnego.

Dodatkową warstwą zabezpieczenia danych są etykiety poufności (Microsoft Purview Information Protection). Służą one do klasyfikacji dokumentów i wiadomości e-mail, a także do oznaczania obiektów służących do pracy grupowej (zespoły Teams czy witryny Sharepoint). Etykiety mogą wykorzystywać mechanizmy ochrony danych i oznaczenia wizualne. Zasady etykiet definiują, czy i jakie etykiety będą dostępne dla użytkowników.

Innym rozwiązaniem są polityki DLP (Microsoft Purview Data Loss Prevention), których zasady możemy tworzyć na podstawie szablonów lub niestandardowo. Pozwalają one na wykrywanie informacji wrażliwych, ochronę przed wyciekiem danych, monitoring i ochronę danych wrażliwych w aplikacjach Office, wsparcie użytkowników (m.in. wiadomości kontekstowe) oraz analizę działań użytkowników.

Porozmawiajmy!

Zapraszamy na bezpłatne, 1-godzinne konsultacje z przedstawicielami ONEX Group i PCG Academia, podczas których zdiagnozujemy Państwa potrzeby, a następnie przedstawimy konkretną propozycję dalszych działań.

Zachęcamy do kontaktu mailowego pod adresem info@pcgacademia.pl lub telefonicznego pod numerem: +48 725 055 115.