Zbiór dobrych praktyk opracowany dla administratorów IT ma służyć jako pożyteczne i praktyczne źródło wiedzy na temat sposobów odpowiedniego zabezpieczenia przez cyberzagrożeniami.
Zarządzanie zasobami
Z punktu widzenia administratora istotne jest ciągłe zbieranie informacji o sprzęcie, oprogramowaniu i danych oraz ich właścicielach.
Wyjaśnienie
Samo zarządzanie zasobami jest czynnością raczej związaną z poziomem managerskim przedsiębiorstwa, jednakże powinno być wykonywane również (albo przynajmniej) na poziomie technicznym. Zasoby sprzętowe, programowe i dane powinny być zinwentaryzowane oraz mieć przypisanych właścicieli.
Oprogramowanie ułatwiające zarządzanie zasobami dostarczane jest przez wielu producentów. W odnośnikach pojawiają się tylko przykładowe darmowe i open-source’owe rozwiązania.
Odnośniki
Stacje robocze i laptopy
Konto z uprawnieniami administracyjnymi (np. Administrator na Windowsie albo root na Linuksie) powinny nie być domyślnie używane przez użytkowników.
Wyjaśnienie
W większości wypadków użytkownik prawdopodobnie w ogóle nie powinien mieć dostępu do konta administratora lokalnego, a w dopuszczalnych wyjątkach powinien korzystać z mechanizmu elewacji uprawnień wymagającego podania hasła. Z jednej strony ograniczy to możliwość wykonania błędnych akcji przez użytkownika, a z drugiej strony ograniczy ewentualne uprawnienia złośliwego oprogramowania, które może dostać się do systemu.
Podobnie, jak uprawnienia administracyjne, możliwość instalowania nowego oprogramowania przez użytkowników powinna być wyjątkiem a nie regułą.
Wyjaśnienie
Administrator powinien kontrolować, co jest zainstalowane na komputerach pracowników. Ogranicza to ryzyko instalacji złośliwego oprogramowania oraz uszkodzenia systemu. Oczywiście od tej reguły istnieją wyjątki – np. programiści mogą mieć faktyczną potrzebę samodzielnej instalacji nowych aplikacji.
Stacje robocze powinny mieć wyłączoną funkcję automatycznego odtwarzania nośników zewnętrznych.
Wyjaśnienie
Funkcja automatycznego uruchamiania i odtwarzania nośników zewnętrznych może przyczynić się do zainstalowania złośliwego oprogramowania w momencie podłączenia zewnętrznego nośnika takiego jak pendrive.
Odnośniki
Używany sprzęt powinien z reguły mieć zainstalowany najnowszy firmware a oprogramowanie powinno być zawsze aktualne.
Wyjaśnienie
Dbanie o aktualizacje – zwłaszcza systemów podłączonych do sieci Internet – to pewne minimum dbania o bezpieczeństwo infrastruktury. Zapewnia nam to najczęściej ochronę przed większością powszechnie znanych (a więc często najłatwiejszych do wykorzystania) podatności i błędów.
Nie oznacza to, że aktualizacje powinny być instalowane bezmyślnie i automatycznie. Warto zapoznać się ze zmianami wprowadzanymi w ramach nowej wersji i podjąć indywidualną decyzję, czy aktualizacja jest potrzebna i nie spowoduje problemów dla użytkowników.
Warto też mieć stały plan instalowania poprawek – np. instalować je wieczorem w jeden określony dzień tygodnia. Dobrą praktyką jest też wcześniejsze przetestowanie aktualizacji w testowym środowisku.
Stacje robocze powinny być chronione przeciwko złośliwemu oprogramowaniu.
Wyjaśnienie
W wielu przypadkach oprogramowanie antywirusowe i antymalware’owe może powstrzymać infekcję stacji roboczej. Wybór konkretnego rozwiązania zależy od przypadku i dostępnych funduszy. Często wystarczającym rozwiązaniem będzie oprogramowanie ochronne wbudowane w system operacyjny lub w przeglądarkę internetową. W niektórych sytuacjach może potrzebny być zakup dodatkowego oprogramowania instalowanego na stacjach roboczych.
W niektórych konfiguracjach ochrona może być zrealizowana poza systemem użytkownika – będzie tak w przypadku wdrożenia wirtualizacji komputerów pracowniczych (technologie typu VDI) albo w przypadku, gdy zagrożeniem mogą być tylko pliki z zewnątrz (wtedy wystarczy np. system antymalware na wejściu do sieci firmy).
Stacje robocze powinny być monitorowane – logi systemowe powinny być regularnie przeglądane a co poważniejsze zdarzenia powinny wzbudzać alarm, który może być łatwo zauważony przez administratora. Idealną sytuacją jest, gdy logi gromadzone są w jednym miejscu – w aplikacji ułatwiającej ich analizę i korelację zdarzeń (SIEM).
Wyjaśnienie
Włamania do infrastruktury potrafią być niewykryte miesiącami. Dyski twarde potrafią niepostrzeżenie przestać działać. Administrator nie zauważa tego, gdyż nie monitoruje w żaden sposób tego, co dzieje się na stacjach roboczych.
Monitoring infrastruktury to krytyczny element bezpieczeństwa. W przypadku stacji roboczych najwięcej informacji dostarczają logi. Powinny one być gromadzone w jednym, centralnym punkcie, który pozwala na korelację i analizę zdarzeń w kontekście innych zdarzeń w sieci. Takim punktem będzie najczęściej SIEM (Security information and event management).
Odnośniki kierują do darmowych, open-sourcowych rozwiązań, ale istnieje też wiele komercyjnych SIEM-ów.
Odnośniki
Urządzenia mobilne i przenośne
Włącz szyfrowanie dysków na wszystkich urządzeniach, dla których polityka tego wymaga.
Wyjaśnienie
Szyfrowanie dysków, pendrive’ów i innych urządzeń wewnętrznych i zewnętrznych, na których mogą być przechowywane dane jest aktualnie bardzo proste – wymaga tylko podjęcia kilku decyzji.
Dla dysków wewnętrznych komputerów osobistych i urządzeń mobilnych typu smartfon często najlepszym rozwiązaniem będzie włączenie szyfrowania udostępnionego przez twórców systemu operacyjnego i wbudowanego w system:
- Bitlocker dla systemów Windows,
- LUKS dla systemów Linux,
- FileVault dla systemów macOS.
Konfiguracja smartfonów z systemem Android zależy znacznie od ich producenta, ale w większości wypadku szyfrowanie danych (w starszych wersjach jest to szyfrowanie całego dysku, a w nowszych szyfrowanie plików) wymaga ustawienia kodu blokady.
W przypadku nośników zewnętrznych decyzja zależeć będzie od stopnia kompatybilności z różnymi systemami, w których nośnik będzie używany. Jeżeli będzie to jednolite środowisko, to możemy wykorzystać mechanizmy systemowe, podobnie jak w przypadku dysków wewnętrznych. Dla bardziej zróżnicowanych wdrożeń warto wybrać rozwiązanie działające pod różnymi systemami. Dobrym wyborem będzie z reguły VeraCrypt.
Należy też podjąć decyzję, kto i kiedy może odszyfrować dane – czy tylko ich użytkownik znający hasło, czy też administrator, czy też może dane powinny być odszyfrowywane automatycznie przy starcie urządzenia (póki dysk znajduje się we właściwym urządzeniu).
Odnośniki
Jeżeli Twoja firma dopuszcza pracę zdalną lub wykonywanie pracy spoza biura, zadbaj o to, aby pracownicy łączyli się z biurem tylko za pomocą wirtualnej sieci prywatnej (VPN).
Wyjaśnienie
Najprościej rzecz ujmując, VPN rozszerza sieć prywatną firmy na zdalne komputery. Może być wykorzystywany zarówno do zabezpieczania protokołów dostępu zdalnego (jak RDP i VNC) ale też do zabezpieczania dostępu do zdalnych plików (CIFS, NFS). Przy dobrze skonfigurowanym VPN-ie pracownik nie będzie widział różnicy w pracy w biurze a np. w domu. Dodatkowo, jego połączenia i używane pliki będą chronione na takim samym (lub podobnym) poziomie jak gdyby był w pracy.
Konkretne rozwiązania zależeć będą od budżetu i środowiska sprzętowo-programowego w firmie. Praktycznie każdy dostawca sprzętu sieciowego będzie miał też wersje sprzętu pozwalające na konfigurację dostępowego VPN. Budżetowym, ale całkiem dobrym rozwiązaniem będzie też wykorzystanie OpenVPN.
Odnośniki
W przypadku zgubienia lub kradzieży urządzenia wykonaj zdalne usunięcie danych.
Wyjaśnienie
Urządzenia mobilne – zwłaszcza smartfony – mają często wbudowaną możliwość zdalnego skasowania danych na wypadek utraty sprzętu. Oczywiście działa to tylko w przypadku, gdy urządzenie jest włączone. Warto z tej funkcji skorzystać zawsze, gdy podejrzewamy, że na urządzeniu mogły znajdować się dane firmowe albo zapamiętane dane do kont mających związek z naszą firmą.
Należy tylko pamiętać, że funkcje te wymagają najczęściej wcześniejszej (czyli przed utratą urządzenia) konfiguracji.
Odnośniki
Wartościowe dane
Upewnij się, że automatycznie wykonywane jest stworzenie kopii zapasowych (wg odpowiedniej ustalonej polityki) oraz przenoszenie tych kopii w odpowiednie miejsce.
Wyjaśnienie
Regularne, zaplanowane kopie zapasowe powinny praktycznie zawsze być wykonywane automatycznie. Wykonywanie ich ręcznie spowoduje prawie na pewno wystąpienie sytuacji, że ktoś zapomni je zrobić albo będzie na urlopie, albo nie będzie miał czasu.
Nie ma znaczenia, jakie narzędzie zostanie wykorzystane do ich tworzenia – praktycznie każde z nich będzie posiadało możliwość automatycznego uruchamiania w zadanych terminach.
Upewnij się też, że cały proces jest zautomatyzowany – zarówno wykonanie kopii lokalnej jaki jej skopiowanie na zdalną lokalizację.
Usuwanie starych kopii również powinno być zautomatyzowane – lepiej, aby nie zabrakło miejsca na nowe kopie.
Dbaj o kopie zapasowe w podobnym stopniu jak o aktywnie używane dane, w tym między innymi:
- Regularnie testuj integralność kopii i regularnie testuj odzyskiwanie z nich danych.
- Zadbaj o ochronę przed nieupoważnionym dostępem do kopii – kopie przechowywane np. w usługach zewnętrznych powinny być szyfrowane, a na lokalnych zewnętrznych nośnikach – zamknięte w bezpiecznym miejscu.
Wyjaśnienie
Niewiele rzeczy jest gorszych niż uświadomienie sobie w momencie dużej awarii, że kopie zapasowe, które myśleliśmy, że mamy, okazują się nieużywalne. Podstawą weryfikacji, że nasze kopie zapasowe działają są regularne próby odzyskania z nich danych.
Problemem innego rodzaju jest przechowywanie kopii w sposób mniej bezpieczny niż oryginalnych danych – np. na serwerze, do którego dostęp ma więcej osób niż do pierwotnego źródła albo na płytach CD leżących w niezamykanej szufladzie. O poufność kopii zapasowych powinniśmy dbać poprzez odpowiedni wybór miejsca ich przechowywania, poprzez odpowiednią kontrolę dostępu lub też np. przez ich szyfrowanie.
Oczywiście nie należy zapominać, że zawsze powinniśmy mieć do kopii dostęp gdy są potrzebne – dobrze jest zadbać o to, aby nie było sytuacji, gdy jedynym pracownikiem mającym dostęp do kopii jest administrator znajdujący się akurat na urlopie.
Przed wyrzuceniem jakiegokolwiek nośnika danych uprzednio wymaż z niego wszystkie dane. W przypadku dysku HDD wykonaj przynajmniej jedno nadpisanie całego dysku. Dla nośników SSD wykonaj czyszczenie dysku za pomocą narzędzi dostarczanych przez producenta.
Wyjaśnienie
Kasowanie plików to skomplikowana sprawa. Samo skasowanie pliku oznacza zazwyczaj jedynie oznaczenie danego pliku jako usuniętego, nie kasuje jednak jego zawartości z dysku. Miejsce zajmowane przez zawartość pliku dopiero po jakimś czasie zostanie ponownie użyte. Sprawa komplikuje się jeszcze bardziej z dyskami SSD, które starają się równoważyć zużycie komórek pamięci, brak jest więc kontroli nad miejscem zapisu danych na dysku.
W przypadku dysków HDD nadpisanie danych za pomocą zer, jedynek lub losowych wartości znacząco utrudni proces odzyskiwania danych. Jednokrotne wykonanie procesu nadpisywania utrudnia odzyskanie danych, ale istnieją metody, które nawet wtedy częściowo odzyskać dane. Aby zmniejszyć prawdopodobieństwo zaistnienia takiej sytuacji warto kilkukrotnie powtórzyć proces nadpisywania.
Do usunięcia danych z dysku SSD najlepiej wykorzystać mechanizmy dostarczone przez producenta dysku. Mechanizm taki będzie często nazywał się ”Secure Erase”. Ostatecznie dysk można także zniszczyć fizycznie (ale w przeciwieństwie do dysków HDD nie zadziała tutaj demagnetyzacja).
Dosyć pewną metodą jest też szyfrowanie danych na dysku od pierwszego jego użycia.
Usługi internetowe i infrastruktura sieciowa
Czy to usługi dla pracowników (VPN, poczta elektroniczna), czy też dla klientów – wszystkie powinny korzystać z szyfrowanych połączeń odpowiednich dla rodzaju usługi (np. HTTPS, SMTP z użyciem TLS, itd.).
Wyjaśnienie
Aktualnie nie ma już praktycznie argumentów przeciwko korzystaniu z szyfrowania w każdej usłudze sieciowej. Nawet w większości wypadków certyfikaty TLS są darmowe, gdyż można je pozyskać z Let’s Encrypt – projektu stworzonego m.in. przez Mozillę, który dostarcza darmowych certyfikatów i oprogramowania do automatycznego ich odnawiania.
Ponadto, przeglądarki internetowe traktują szyfrowanie jako normę i aktywnie komunikują użytkownikowi, że strona nie korzystająca z HTTPS jest niezaufana.
Odnośniki
Usługi wykorzystujące szyfrowanie powinny być na bieżąco dostosowywane do nowych standardów konfiguracji.
Wyjaśnienie
Standardy doboru funkcji kryptograficznych często się zmieniają. Trudno jest śledzić te zmiany i nadążać za nimi, często więc korzysta się z konfiguracji domyślnej lub przez lata używa takiej, która została kiedyś ustalona. Jednakże funkcje i protokoły kryptograficzne się starzeją i mają swoje błędy. Stąd też należy aktualizować odpowiednie konfiguracje raz na jakiś czas (np. raz na rok).
Pomagają w tym co najmniej dwa serwisy: Qualys SSL Server Test i Mozilla SSL Configuration Generator – pierwszy testuje naszą aktualną konfigurację, a drugi dostarcza gotowe dyrektywy do konfiguracji najpopularniejszych serwerów.
Odnośniki
Innymi słowy: odpowiednio skonfiguruj firewall na wejściu do sieci firmowej.
Wyjaśnienie
Podstawową zasadą konfiguracji firewalla jest blokowanie całego ruchu a dopiero później dodawanie wyjątków dla potrzebnych usług. Firewall powinien być wdrożony na każdym możliwym wejściu do sieci firmowej a także pomiędzy różnymi domenami bezpieczeństwa wewnątrz sieci. Z punktu widzenia bezpieczeństwa nie ma większego znaczenia, czy będzie to dedykowane rozwiązanie sprzętowe czy np. dedykowany węzeł Linuksowy oparty o iptables (aczkolwiek, z punktu widzenia wydajności już może mieć to znaczenie).
Odnośniki
Sieć powinna być monitorowana: zarówno na wejściu do sieci firmowej jak i wewnątrz.
Wyjaśnienie
Monitoring sieci to, obok monitoringu logów na hostach, jedna z podstawowych metod zapewniania bezpieczeństwa.
W tym punkcie chodzi nam głównie o obserwację pakietów i ruchu sieciowego. Wykorzystuje się do tego systemy IDS (Intrusion detection system), które w najczęstszej konfiguracji, otrzymują kopię całego ruchu i analizują go. Rezultaty analizy warto wysyłać do systemu typu SIEM (Security information and event management), który pozwoli na korelację różnych innych zdarzeń z ruchem sieciowym.
Odnośniki kierują do darmowych, open-sourcowych rozwiązań, ale istnieje też wiele komercyjnych IDS-ów i SIEM-ów.
Odnośniki
Jeżeli brak ku temu przeciwwskazań, warto scentralizować dostęp do DNS w firmie w jednym serwerze (rekursywny DNS) a następnie wprowadzić filtrowanie adresów niebezpiecznych i niepożądanych.
Wyjaśnienie
Filtrowanie DNS pozwala ograniczyć prawdopodobieństwo infekcji złośliwym oprogramowaniem – może zablokować działanie instalatora (który np. nie będzie mógł pobrać dalszej części wirusa) albo uniemożliwić komunikację już zainfekowanego komputera z osobą kontrolującą malware.
Dodatkowe zalety, to możliwość blokowania potencjalnych źródeł infekcji – np. reklam lub stron phisingowych.
Odnośniki
Rodziel hosty i usługi o różnym poziomie bezpieczeństwa do osobnych sieci wirtualnych lub fizycznych.
Wyjaśnienie
Usługi oraz hosty mające różne poziomy bezpieczeństwa, różne pochodzenie, różnych właścicieli powinny być separowane od siebie. Najprostszy przykład to separacja sieci WiFi, do której pracownicy mogą łączyć się z prywatnych urządzeń albo dla gości od właściwej sieci firmowej, w której znajdują się hosty z usługami wewnętrznymi. Taka separacja redukuje prawdopodobieństwo, że zarażone lub złośliwe hosty, uzyskają kontrolę nad urządzeniami bardziej zaufanymi.
Identyfikacja i uwierzytelnianie
W systemach, gdzie użytkownicy korzystają z więcej niż jednego zasobu (np. oprócz swojej stacji roboczej mają dostęp do zasobów sieciowych) rozważ wprowadzenie scentralizowanego, jednokrotnego logowania (single sign-on, SSO).
Wyjaśnienie
Single sign-on ma co najmniej dwie zalety:
- Użytkownik rzadziej musi wpisywać swoje hasło i nie musi pamiętać wielu haseł.
- Aplikacje nie muszą zapisywać hasła użytkownika – redukuje to ilość miejsc, gdzie hasło zapisane jest w jakiejkolwiek formie.
W praktyce najczęściej wykorzystywane są wdrożenia bazujące na Kerberosie i LDAP-ie. Są to, na przykład:
- Microsoft Active Directory,
- RedHat Identity Manager,
- Oracle Identity Management.
Odnośniki
- Microsoft Active Directory
- RedHat Identity Management
- Oracle Identity Management
Rozważ wprowadzenie uwierzytelniania dwuskładnikowego – zwłaszcza w usługach zdalnych.
Wyjaśnienie
Uwierzytelnianie dwuskładnikowe znacząco podnosi bezpieczeństwo użytkowników i zmniejsza ryzyko phishingu. Aczkolwiek często spotykane głównie przy usługach webowych, to jest również łatwe do skonfigurowania w przypadku dostępu zdalnego do stacji roboczych (np. RDP, SSH) lub plików.
Pamiętaj jedynie, że gdy wdrażasz też SSO, to uwierzytelnianie dwuskładnikowe ma sens tylko, jeżeli wdrożone dla wszystkich usług lub przynajmniej wszystkich usług z jednej chronionej domeny (np. wszystkich usług zdalnych).
Odnośniki
Poczta elektroniczna
Jeśli korzystasz z zewnętrznej usługi mailingowej lub hostingu zwróć uwagę na to kto i w jakich sytuacjach może uzyskać dostęp do Twoich danych. Poufne dane najlepiej przesyłać w postaci zaszyfrowanej.
Wyjaśnienie
W wielu serwisach z darmową pocztą przychodzące maile są skanowane przez automaty firmy dostarczającej usługę. Istotne jest zorientowanie się jakie są warunki udostępnienia przez danego operatora Twoich danych podmiotom trzecim.
Jeśli korzystasz z zewnętrznej usługi mailingowej lub hostingu zwróć uwagę na maksymalny downtime (czas przestoju) lub zapewniany uptime (czas działania).
Wyjaśnienie
Oba te pojęcia określają tzw. dostępność usługi, czyli czas bezawaryjnego działania usługi w stosunku do całości czasu, w którym usługa ta powinna być klientom świadczona.
Downtime (czas przestoju) to maksymalny czas, w którym dana usługa może być niedostępna (ze względu na awarie, itd) bez ponoszenia przez dostawcę kary.
Uptime (czas działania) to z kolei wartość mówiąca przez jaki najmniejszy procent czasu usługa będzie dostępna. Uptime o wartości 99.9% oznacza, że dostawca deklaruje dostępność usługi przez 99.9% czasu – czyli np. w trakcie jednego roku usługa może być niedostępna maksymalnie przez 8 godzin i 20 minut.
Odnośniki
Jak w przypadku wszystkich ważnych danych zadbaj o regularne tworzenie kopii zapasowych. W przypadku korzystania z zewnętrznych usług upewnij się, że dostawca dostarcza również usługę tworzenia kopii zapasowych.
Dla połączeń dostępowych (IMAP, POP3, SMTP dla użytkowników) wymuszaj użycie szyfrowania. Dla połączeń pomiędzy serwerami (SMTP) preferuj użycie szyfrowania.
Wyjaśnienie
Użytkownik końcowy komunikuje się ze swoim serwerem mailowym za pomocą protokołów IMAP i POP3 (odbieranie poczty) oraz SMTP (wysyłka poczty). Komunikacja ta powinna być szyfrowana za pomocą protokołu TLS.
Podobnie, komunikacja pomiędzy serwerami za pomocą protokołu SMTP powinna być szyfrowana. Jednakże nie wszystkie serwery wspierają taką komunikację. Dlatego zalecane jest wspieranie o ogłaszanie STARTLS w przypadku poczty przychodzącej oraz preferowanie szyfrowania dla poczty wychodzącej przy jednoczesnym dopuszczeniu komunikacji nieszyfrowanej.
Dla indywidualnych serwerów można również w wymusić komunikację szyfrowaną w politykach serwera SMTP.
Zaimplementuj SPF, DKIM i DMARC.
Wyjaśnienie
W swojej podstawowej formie protokoły wykorzystywane w poczcie elektronicznej nie zapewniają weryfikacji pochodzenia wiadomości. W szczególności, adres nadawcy może być sfałszowany. Rozwiązania typu SPF, DKIM i DMARC wdrożone po stronie właściciela serwera poczty umożliwiają serwerom odbiorców weryfikację, czy wiadomość, którą otrzymały faktycznie pochodzi z miejsca, które deklaruje.
Zaimplementuj weryfikację poprawnego SPF, DKIM i DMARC oraz skonfiguruj filtry antyspamowe w serwerze poczty.
Wyjaśnienie
W swojej podstawowej formie protokoły wykorzystywane w poczcie elektronicznej nie zapewniają weryfikacji pochodzenia wiadomości. W szczególności, adres nadawcy może być sfałszowany. Jeżeli nadawca wiadomości wdrożył SPF, DKIM i DMARC, to odbiorca może zweryfikować, czy wiadomość faktycznie od niego pochodzi i na tej podstawie zdecydować, czy ją odrzucić czy też oznaczyć jako spam.
Filtry antyspamowe stanowią dodatkową ochronę i na podstawie wielu parametrów wiadomości są w stanie wyeliminować znaczną ilość niechcianej poczty, a w szczególności prostych ataków phishingowych i malware.
Upewnij się, iż Twój serwer pocztowy pozwala na wysyłkę poczty tylko Twoim użytkownikom. Wymagaj uwierzytelniania użytkownika do wysyłki poczty oraz ogranicz zakres adresów, z których może być wysyłana poczta tylko do adresów wewnętrznych.
Wyjaśnienie
Open-relay to określenie na serwer pocztowy, który pozwala na wysyłanie przez niego poczty, która nie pochodzi od jego użytkowników. Innymi słowy, każdy może wysłać z jego pomocą wiadomość podszywając się pod inną osobę (w szczególności pod jakiegoś prawdziwego użytkownika, którego on obsługuje). To takie serwery są głównym źródłem SPAM-u i sfałszowanych wiadomości. Jednym z wielu efektów takiej konfiguracji, będzie dodanie serwera do czarnych list, co będzie skutkować ignorowaniem poczty z niego wychodzącej przez odbiorców.
Podstawowym sposobem ochrony jest wprowadzenie wymaganego uwierzytelniania do wysyłki poczty. Podobnie, można ograniczyć listę adresów, z których dozwolona jest wysyłka, tylko do adresów wewnętrznych w sieci przedsiębiorstwa.