Jak wyglądała sytuacja wyjściowa?

Jednostka publiczna zgłosiła się do nas z prośbą o przeprowadzenie audytu informatycznego. Jest to podmiot objęty Krajowym Systemem Cyberbezpieczeństwa, co oznacza obowiązek utrzymywania odpowiedniego poziomu bezpieczeństwa systemów IT oraz ich niezawodności.

Audyt miał pomóc uporządkować wiedzę o wykorzystywanej infrastrukturze IT, zidentyfikować słabe punkty oraz wskazać realny plan dalszego rozwoju i utrzymania systemów.

Blisko pół roku
bez ochrony urządzeń UTM.

Dziesiątki tysięcy
prób włamań do sieci.

Przekroczenie 2x
licencji antywirusowych.

Jak przebiegał audyt IT?

Audyt informatyczny trwał 2 dni i obejmował kilka lokalizacji.

Inżynier Global IT Solutions sprawdził działanie kluczowych elementów infrastruktury informatycznej, w tym serwery, sieć, system kopii zapasowych, usługi kolokowane, takie jak poczta e-mail i wykorzystywane licencje.

Wyniki audytu oraz rekomendacje przedstawiliśmy w szczegółowym raporcie, który następnie omówiliśmy z Klientem podczas spotkania podsumowującego.

Co wykazał audyt informatyczny?

1. Krytyczne luki bezpieczeństwa

Najpoważniejszym problemem była krytyczna luka bezpieczeństwa na urządzeniach brzegowych sieci (czyli tych, które stanowią „bramę” pomiędzy siecią jednostki a Internetem).

Konsola zarządzająca tymi urządzeniami była dostępna publicznie, co oznacza, że każdy użytkownik Internetu mógł próbować się do niej zalogować. W efekcie odnotowano dziesiątki tysięcy prób włamań.

Rys. Logi systemowe informujące o próbach włamań na urządzenia brzegowe.

Dodatkowo przez blisko pół roku urządzenia działały bez aktywnych mechanizmów ochronnych, takich jak ochrona antywirusowa, filtrowanie stron internetowych, zabezpieczenia przed atakami czy weryfikacja certyfikatów SSL.

Skutkiem tych niedopatrzeń mogło być przejęcie kontroli nad siecią podmiotu, kradzież lub zaszyfrowanie danych oraz paraliż pracy jednostki.

Wykryliśmy też, że sieć nie została posegmentowana. Oznacza to, że nie podzielono jej na mniejsze, izolowane części, co jest podstawową praktyką w ochronie systemów. Brak segmentacji zwiększa ryzyko eskalacji incydentu – atakujący, który uzyskał dostęp do jednej części sieci, ma dostęp do wszystkich jej zasobów.

2. Serwery, które ukrywały poważne ryzyka

Stan serwerów wzbudził nasze zastrzeżenia. Choć urządzenia były poprawnie skonfigurowane i fizycznie dobrze zabezpieczone, wykryliśmy istotne problemy techniczne.

Największym zagrożeniem był brak kopii zapasowych na części serwerów. W przypadku awarii oznacza to ryzyko bezpowrotnej utraty danych, w tym dokumentów i systemów niezbędnych do codziennej pracy.

Dodatkowo część serwerów nie była objęta gwarancją – w niektórych przypadkach od ponad 10 lat. W razie awarii producent nie gwarantuje dostępności części zamiennych. Naprawa mogłaby trwać tygodniami, co grodziłoby przestojem.  

Wykryliśmy również inne problemy:

  • kilka serwerów działało na przestarzałym systemie operacyjnym i powinno zostać pilnie wyłączonych,
  • jedna z maszyn nie posiadała ochrony antywirusowej,
  • na jednym z serwerów występowały błędy w przestrzeni dyskowej, które mogły prowadzić do utraty danych lub niestabilnej pracy systemów.

Pozytywnym aspektem był natomiast dobry stan serwerowni – urządzenia znajdowały się w wydzielonych, klimatyzowanych pomieszczeniach, bez dostępu osób trzecich, z redundantnym (podwójnym) zasilaniem. To rozwiązania zgodne z najlepszymi praktykami.

3. Kopie zapasowe, które nie dają realnego bezpieczeństwa

Jednostka posiadała system kopii zapasowych, jednak audyt wykazał, że nie zapewnia on skutecznej ochrony danych.

Zidentyfikowaliśmy między innymi:

  • brak tzw. „kopii migawkowej”, chroniącej przed ransomware,
  • domyślne hasło w urządzeniu backupowym,
  • ostrzeżenia dotyczące stanu jednego z dysków,
  • brak backupu części danych,
  • jedno przestarzałe urządzenie, które powinno zostać natychmiast wyłączone i zutylizowane.

Co najważniejsze, sposób wykonywania kopii nie dawał gwarancji pełnego odtworzenia środowiska IT w razie awarii lub ataku. Oznacza to, że nawet posiadanie backupu mogłoby nie uchronić jednostki przed długotrwałym przestojem.

Ogólna ocena bezpieczeństwa

Po analizie wszystkich obszarów bezpieczeństwo IT jednostki oceniliśmy jako niskie. 

Na ocenę wpłynęły m.in. krytyczne luki bezpieczeństwa, problemy z serwerami i siecią, nieskuteczny system kopii zapasowych oraz brak segmentacji sieci.

Dodatkowo wykryliśmy poważne nieprawidłowości w licencjonowaniu oprogramowania antywirusowego – liczba aktywnych instalacji przekraczała liczbę posiadanych licencji o ponad 100%. To naruszenie, które możne skutkować konsekwencjami finansowymi i prawnymi.

Co dalej?

Kolejne kroki po audycie IT

Po zakończeniu audytu przygotowaliśmy szczegółowy raport z rekomendacjami. Podczas spotkania z Klientem omówiliśmy wykryte problemy oraz zaproponowaliśmy konkretne działania naprawcze.

Najważniejsze rekomendacje obejmowały:

  • segmentację sieci,
  • wzmocnienie zabezpieczeń sieci,
  • szyfrowanie dysków komputerów,
  • poprawną konfigurację i testowanie kopii zapasowych,
  • opracowanie planu disaster recovery,
  • wymianę przestarzałych urządzeń i aktualizację systemów.

Dzięki audytowi jednostka zyskała jasny obraz swojego stanu IT oraz konkretne wskazówki, jak krok po kroku zwiększyć bezpieczeństwo i stabilność działania.

BEZPŁATNA KONSULTACJA IT

Mógłbyś skorzystać na podobnym wsparciu? Umów się na bezpłatną konsultację! 

Skontaktuj się