Uwierzycie, że można w kilka dni samodzielnie przeprowadzić ocenę poziomu bezpieczeństwa informacji w niedużej firmie nie mając wcześniejszego doświadczenia w tym obszarze? My też nie wierzyliśmy – dopóki nie ujrzeliśmy KILPa.
Kiedy pół roku temu spotkaliśmy się z kilkoma osobami pracującymi nad aplikacją webową, umożliwiającym małym i średnim firmom własnoręczne przeprowadzenie przeglądu i oceny poziomu bezpieczeństwa swoich systemów i infrastruktury, nie do końca wierzyliśmy, że to możliwe. System jednak powstał, działa i w naszej ocenie może mocno zmienić rynek, pozytywnie wpływając na ogólny poziom bezpieczeństwa firm, których do tej pory nie było stać na profesjonalne usługi. Poniżej znajdziecie krótki opis usługi a na końcu artykułu kod i link umożliwiający przetestowanie jej zanim zostanie udostępniona całemu światu.
Co to w ogóle jest
KILP, bo tak nazwana została aplikacja, jest narzędziem służącym do oceny poziomu bezpieczeństwa systemów teleinformatycznych. Jego sercem jest autorski algorytm wykorzystujący naukową metodologię szacowania i traktowania ryzyka, która pozwala na rzetelną identyfikację niespełnionych wymagań bezpieczeństwa. W oparciu o odpowiedzi użytkownika, wymogi regulacyjne oraz najlepsze praktyki system wskazuje te obszary bezpieczeństwa, które są najbardziej zagrożone i wymagają najszybszej interwencji.
Warto podkreślić, że KILP nie jest „elektronicznym audytorem”. Dla firm, które stać na audytorów, KILP może stać się narzędziem usprawniającym pracę obu stron. Z kolei dla tych, których dotychczas nie było stać na dbanie o bezpieczeństwo teleinformatyczne, może być ciekawą alternatywą, która pomoże im zająć się najważniejszymi problemami.
Jak to wygląda?
KILP to zwykła aplikacja webowa. Działa zadając użytkownikowi kilkaset pytań. Na podstawie analizy pierwszych odpowiedzi buduje kolejne scenariusze, by jak najlepiej dopasować kwestionariusz do faktycznych potrzeb firmy. Na początku identyfikujemy urządzenia oraz systemy i oceniamy ich wartość i istotność dla firmy.
W kolejnym etapie odpowiadamy na szczegółowe pytania pomagające systemowi ocenić poziom dojrzałości bezpieczeństwa w danym obszarze.
Liczba obszarów do zbadania zależy oczywiście od skali działania organizacji. Przykładowy fragment listy wygląda następująco:
Po zidentyfikowaniu wszystkich istotnych zasobów i ich zbadaniu system pozwala na wygenerowanie raportu. Zaczyna się on od całościowej oceny poziomu bezpieczeństwa w organizacji w stosunku do wyniku możliwego do osiągnięcia.
Dostępne sa także wyniki dla poszczególnych systemów:
Autorzy KILPa rozwijają obecnie kolejny moduł, który w oparciu o uzyskane wyniki przeglądu bezpieczeństwa zaproponuje kilka scenariuszy inwestycji i zaproponuje najbardziej efektywne mechanizmy bezpieczeństwa, których koszt zmieści się w założonym budżecie.
W trakcie udzielania odpowiedzi na zadawane przez system pytania można korzystać z podpowiedzi i wyjaśnień, a przy okazji także zbierać karty wiedzy, które pomagają w przystępny sposób zrozumieć dany obszar osobom nie będącymi specjalistami w danej dziedzinie.
Odpowiedzi na każde pytanie czy cały obszar można także delegować innej osobie (bez konieczności zakładania kolejn
Co z bezpieczeństwem danych?
Podawanie stronie trzeciej szczegółów posiadanych mechanizmów bezpieczeństwa może być ryzykowne. Jest jednak na to prosty sposób – łącząc się do aplikacji wystarczy z usługi korzystać za pomocą VPNa lub innego sposobu anonimizacji źródła pochodzenia informacji a konto założyć na specjalnie do tego celu utworzoną skrzynkę poczty elektronicznej niepowiązanej z firmą, w której pracujemy. KILP nie oczekuje od użytkownika żadnych prawdziwych danych identyfikacyjnych. Co więcej, autorzy usługi sami zachęcają do zachowania anonimowości przy wypełnianiu formularza a zakres przechowywanych na serwerze danych jest minimalizowany pod kątem zapewnienia prywatności użytkowników.
Na czym zarabiają autorzy?
KILP jest całkowicie darmowy – z czego zatem chcą czerpać zyski autorzy? Nie ukrywają swojego modelu biznesowego i bez problemu odpowiadają na to pytanie. W następnym kroku rozwoju KILP wprowadzi platformę zakupową, na której algorytmy będą rekomendowały konkretne rozwiązania podnoszące bezpieczeństwo dostosowane do profilu badanej firmy, . Co ważne, KILP nie będzie w żaden sposób komercyjnie związany z konkretnym producentem czy dostawcą usług – autorzy zmapowali tysiące dostępnych na rynku rozwiązań, a narzędzie będzie rekomendowało te, które dla konkretnej sytuacji badanej firmy zwiększy poziom bezpieczeństwa zapewniając optymalizację kosztów. Planowane jest również wprowadzanie dodatkowych płatnych opcji dla korzystających z serwisu firm, m.in. narzędzi do łatwego badania zgodności z poszczególnymi normami i regulacjami (np. zbliżającym się RODO).
Po drugie zagregowane dane zebrane od użytkowników również mogą mieć istotną wartość rynkową. Choć dane indywidualnych profili firm nie będą udostępniane, to twórcy KILPa bardzo gorąco zachęcają do podawania ich w sposób anonimowy, by uniknąć wszelkich wątpliwości.
Podsumowanie
Audytem systemów informatycznych przez wiele lat zajmowaliśmy się zarówno od strony prowadzących audyty, jak i podmiotów audytowanych. Usługi te z reguły były dostępne dla większych firm, które stać było na opłacenie czasu specjalistów. KILP oferuje analogiczną usługę za darmo, dodając do niej mechanizm rekomendacji poprawy sytuacji badanej firmy. W naszej ocenie może się to okazać bardzo ciekawą rewolucją. Oczywiście, jak w każdym przypadku innowacji, to rynek zweryfikuje założenia projektu. Zatem, rynku, do dzieła!
Zapraszamy do testowania. Znalezione błędy, pytania i uwagi można wysyłać na [email protected], albo – do czego gorąco zachęcamy – dołączyć do kanału na Slacku https://kilp-beta.slack
Naszą ambicją jest współtworzenie naszego rozwiązania wraz ze społecznością ludzi zajmujących się bezpieczeństwem. Wierzymy, że razem możemy usprawnić ten rynek i zwiększyć poziom bezpieczeństwa firm, dlatego gorąco zachęcamy do dołączenia do naszego kanału i podzielenie się opiniami.
mówią autorzy.
Za publikację tego artykułu nie wzięliśmy ani złotówki, bo to fajny, darmowy, naprawdę innowacyjny, polski projekt i takie zawsze chętnie promujemy.
Komentarze
Standard – kod/hasło nie działa
Standard – u nas działa. Klikasz „mam zaproszenie”? Kod ZaufanaTrzeciaStrona.
U mnie też nie działa – wpisuję kod, klikam „zaloguj” i nic. Wyłączyłem adblocka, sprawdziłem na trzech przeglądarkach. Do serwera idzie żądanie które kończy się bez błędów, ale nic się nie dziej.
OK, problem zidentyfikowany, link zaktualizowany. Wcześniej prowadził do app.kilp.co, a prawidłowy to kilp.co. Dzięki!
Nadal prowadzi pod ten link :)
spam…
Każą dane anonimizować, a jako kraj „San Escobar” wpisać się nie da.
Niestety też nie widzę czegoś takiego jak: Mam zaproszenie :-/
OK, problem zidentyfikowany, link zaktualizowany. Wcześniej prowadził do app.kilp.co, a prawidłowy to kilp.co. Dzięki!
Na stronie kilp.co zaraz na jej początku są dwa przyciski: CHCĘ WYPRÓBOWAĆ (dla osób które nie mają jeszcze hasła) i MAM ZAPROSZENIE, gdzie po podaniu hasła można rozpoczać proces rejstracji.
Aaaa, kiedy to narzędzie powstało? Bo Chrome krzyczy: „SVG’s SMIL animations (, , etc.) are deprecated and will be removed. Please use CSS animations or Web animations instead”.
Oraz: „Angular is running in the development mode. Call enableProdMode() to enable the production mode”.
To narzędzie jest w trakcie rozwoju – jak napisali -> Jest to close beta więc pewnie na bieżąco autorzy debugują kod i poprawiają błędy jak jakieś się znajdą, anyway aplikacja bardzo fajna i ciekawa! :)
Google radośnie zdeprecjonował SMIL w roku 2015, nie dając żadnej alternatywy i w sumie nie określając, czemu to robi i kiedy ostatecznie to zostanie usunięte. A prawda jest taka, że ani animacje CSS, ani rzeczone Web Animation API nie dają tych samych możliwości, co SMIL. I mam nadzieję, że Google w końcu to zrozumie.
dziurawiec….
Hasło za trudne czy co? bo parę kroków po jego podaniu, tj po regulaminie dostaję: /wext/setup/register-and-set-person-attributes: Password should match regex: ^(?=.*[0-9])(?=.*[a-z])(?=.*[^a-zA-Z0-9])(?=\S+$).{8,}$ ;D
Raczej login?
Napisali wpisz hasło ;)
Świetny pomysł i ciekawa realizacja… szybkie spojrzenie na temat wskazuje, że gruntownie się przygotowali. Struktura pytań wskazuje na użyteczność zbliżoną do NIST CSF pytanie czy pomysłodawcy się kierowali tym frameworkiem czy nie. A szkoda by było gdyby nie przy takim nakładzie pracy i tak bliskim „minięciem” się. Jeśli mi odpowiedzą, dam znać innym wtedy była było by to coś na kształt polskiego odpowiednika CSET. W oryginale jest jeszcze możliwość zaimportowania lub narysowania schematu sieci/relacji/przepływu informacji co bardzo pomaga w analizie i daje właściwy kontekst. Ale nie wszystko na raz! Gratulacje dla autorów.
Świetny pomysł, bardzo ułatwi rozmowy z CxO różnych firm. Idę wypróbować.
i co udało się? u mnie jakoś każda podstrona wywala TIMED_OUT
Panowie! Bez takich artykulow bo rozpieprzycie mi interes, ktory nie jest nawet jeszcze dobrze rozkrecony! :) Na szczescie dalej czasami trafi sie Janusz-informatyk od security. Dzieki temu bede mial na chleb, wino i pianino :D
inaczej! Firmy, które przebadają się w KILP zorientują się, że mają problem z bezpieczeństwem i będą potrzebowały ludzi takich, jak Ty, żeby ich z tego problemu wyprowadzić. Nasze narzędzie powstało, żeby razem z ludźmi zawodowo zajmującym się bezpieczeństwem ułatwić firmom dostęp do wiedzy, a im samym ułatwić i usprawnić pracę. Razem, nie przeciwko! :)
Nie….
Ci co się przebadają są świadomi jak trza Więc wybiorą najtańsze komponenty kupią i albo sami włączą albo wybiorą najtańszego studenta żeby to cholerstwo świeciło diodami i startowało i….
Jakoś to będzie.
A dopiero sporo później jest miejsce dal takich jak my.
Jak już te wszystkie komponenty sparaliżują pracę. A student założy rodzinę i nie będzie chciał za 30zł dzielnie walczyć godzinami.
Prawda, smutna i brutalna, ale realna.
Nie chce mi się rejestrować w Slacku i tam do nich pisać więc tu napiszę – wprowadzanie danych (np. ilość urządzeń, etc.) z klawiatury numerycznej nie działa, ja nie mogę…
No tak, jasne. Zajebisty sposób aby zebrać wrażliwe dane na temat wielu instytucji/firm, poznać ich budowę sieci itp. Ciekawe ilu się na to nabierze?
I dlatego wręcz zachęcamy do zakładania konta w sposób anonimowy z dedykowanego niefirmowego adresu email (WP, Gmail etc), łączenia się przez VPN aby właśnie nie być posądzonym o tego typu praktyki.
Ale jakie wrażliwe jakich firm? Bo ja pracuję dla firmy X, siedzę na konsultacjach w firmie Y, myślę o firmie Z, a podałem maila prywatnego. I do tego kłamię jak z nut. A te dane o budowie sieci to faktycznie ojej ojej jakie dokładne: ile macie routerów? – 200, drogich – dziękuję, następny temat.
Dokładnie tak :) KILP bedzie tak rzetelny jak informacje, które poda uzytkownik (stąd tak rozbudowany system pomocy). Poza możliwością anonimowego logowania (do czego zachęcamy) w każdej chwili można skasować konto.
Dużo pytań – poddałem się w połowie jakiejś części z 75 pytań. Na początku pyta ile jest osób w firmie. Wpisałem „1” i było kolejnych kilkadziesiąt pytań w stylu „jak jeden z pracowników zostanie zwolniony” albo podobne. Zaskoczyło mnie jednak pytanie o koszt odtworzenia serwera kopii. Tylko mi się wydaje, że nie jest to możliwe? Kto ma kopię serwera kopii?
Kto ma kopie serwera kopii? I kto pilnuje strażników? Ja mam prywatną kopię bezpieczeństwa bo wiara w firmową to jak wiara w boską opiekę – warto wierzyć, ale nie warto sprawdzać. Tyle że mnie interesuje kilkanaście GB, czyli koszt wykonania kopii to 50zł w biedronce.
Pomysł ciekawy, ale muszą sobie przemyśleć jedną rzecz – do KOGO konkretnie kierują tę platformę?
W małych firmach, nikt nie odpowie na tyle pytań (ja wykonałem 16,03% badania i mi się znudziło), bo są zbyt szczegółowe i pozbawione sensu w takiej skali (żaden mikroprzedsiębiorca nie będzie miał FORMALNYCH procedur na nadawanie loginów do poczty, litości).
W średnich firmach – powinien być jeden wątek dla prezesa, aby mógł ocenić kompetencje swojego administratora sieci/infrastruktury/informatyka, czyli prostsze i ogólniejsze pytania, a drugi widok dla samego pracownika, żeby mógł się pochwalić albo wyżalić. I wtedy prezes musi móc to jakoś zweryfikować, bo „dobre” odpowiedzi są oczywiste. Czyli: pracownik odpowiada, a prezesa pytamy tylko o to, co pracownik wskazał, że JEST („gdzie przechowujecie backupy” i „czy na pewno procedura X jest sformalizowana”).
W korpo – KTO konkretnie miałby odpowiadać na pytania? CxO? – jego czas jest zbyt cenny. A działy IT są niekompetentne i leniwe.
Jedyne zastosowanie, jakie widzę teraz, to właśnie sytuacja działu IT w korpo, gdzie trafi się jeden ambitny, który chce od CxO wyciągnąć kasę na poprawę swoich działań. Ale w korpo ścieżka pieniądza jest długa.
Moja subiektywna ocena:
Fajne narzędzie, można by dopracować pytania, jak odpowiadam „Nie mam dziennika zdarzeń” to nie powinno być 20 kolejnych pytań dotyczących dziennika zdarzeń…
Albo odpowiadam ze czegos nie ma a za chwile pytanie dotyczące tej rzeczy.
Z takich rażących w oczy rzeczy – raport się rozjeżdża w pdfie.
słusznie. Poza tym ten sam szablon pytań do wszystkich zagadnień czasem daje efekt w postaci:
„Czy analizuje się uszkodzone urządzenia w sklepie on-line pod kątem tego, czy należy je fizycznie zniszczyć, wysłać do naprawy bądź wyrzucić?”
to samo pytanie pojawia się przy wielu nie fizycznych obszarach, których ono nie dotyczy i podobnych bzdur jest znacznie więcej!
Taaak. Pytanie brzmi „czy w firmie używany jest system archiwizacji danych”, a w wyjaśnieniu jest, że chodzi o backupy. Backup i archiwizacja to dwa różne procesy! (choć do pewnego stopnia część techniczną można czasem przeprowadzać tymi samymi narzędziami).
Siema, czy system wystartował? czy autorzy zrezygnowali z projektu?
Projekt przeszedł do fazy „stealth” ale kiedyś może powróci