Pobierz całość tekstu.

26
BEZPIECZEŃSTWO IT
8–14 maja 2015 r.
Polityka bezpieczeństwa IT w firmie
Ponad 80 proc. dyrektorów
odpowiedzialnych za
bezpieczeństwo informatyczne
zaobserwowało wzrost poziomu
zagrożenia zewnętrznego
w ostatnich trzech latach,
a 60 proc. deklaruje, że ataki
są bardziej wyrafinowane
niż systemy obrony – wynika
z badania CISO Assessment,
przeprowadzonego przez IBM
Center for Applied Insights.
Leszek Bareja
Jak wskazuje analiza,
szczególne
wyzwanie stanowi zapobieganie wyciekom
informacji, przetwarzanie danych w chmurze obliczeniowej
oraz bezpieczeństwo
aplikacji mobilnych
W związku z tym działania mające na celu za-
bezpieczenie poufności dokumentów, zwłaszcza tych drukowanych, należy skoncentrować
na zdefiniowaniu procedur bezpieczeństwa,
ich ścisłym przestrzeganiu, edukacji pracowników oraz zapewnieniu odpowiedniego wsparcia technologicznego dla wdrażanych procesów.
Tworzenie kopii danych
Podstawowym rozwiązaniem, które poprawia poziom bezpieczeństwa danych, jest
tworzenie ich kopii. Regularny, automatyczny backup czy zapasowe centrum danych
pozwalają na skuteczną ochronę w tym zakresie. Dotyczy to nie tylko informacji znajdujących się na komputerach i urządzeniach
bezpośrednio w siedzibie firmy, ale również
tych, które przechowywane są na tabletach,
smartfonach i laptopach.
Indywidualne klucze dostępu
Aspekt ten staje się szczególnie ważny wobec
coraz bardziej popularnego trendu BYOD
(ang. Bring Your Own Device), związanego
z wykorzystywaniem przez pracowników swo-
ich własnych urządzeń w celach służbowych.
Ostatnie badania przeprowadzone przez Tech
Pro Research wykazały, że 74 proc. przedsiębiorstw pozwala lub planuje zezwolić swoim
pracownikom na wykorzystywanie własnych
smartfonów i tabletów w pracy.
Wychodząc naprzeciw temu zjawisku, największym wyzwaniem dla pracodawców
będzie z jednej strony zapewnienie swobodnego dostępu do danych z różnych urządzeń,
z drugiej natomiast dbanie o procedury bezpieczeństwa. Często stosowanym w tych
wypadkach rozwiązaniem jest używanie indywidualnych kluczy dostępu, które umożliwiają wgląd do określonych informacji tylko
osobom do tego upoważnionym.
Ochrona plików w chmurach
Ważna jest również ochrona plików przechowywanych w tzw. chmurach. Z najnowszego
badania „KPMG’s 2014 Cloud Survey Report:
Elevating Business in the Cloud” wynika, że
według 53 proc. respondentów ryzyko utraty
danych oraz wycieku danych są największymi
wyzwaniami przy zastosowaniu przetwarzania
w chmurze. Połowa badanych firm wskazuje
również obawy związane z ryzykiem kradzieży
własności intelektualnych oraz z koniecznością zmian w organizacji służb i procesów IT
wynikających z zastosowania chmur obliczeniowych. Istnieją systemy, które pozwalają na
zabezpieczenie obiegu informacji otrzymywanych i przesyłanych do urządzenia.
Mikrodruk
Odrębnym zagadnieniem jest zapewnienie
integralności drukowanych danych i podwyższenie ich odporności na nieautoryzowane zmiany. Dobrym rozwiązaniem jest
wykorzystanie najnowszych technologii dynamicznych zabezpieczeń. Należy do nich
m.in. mikrodruk, który utrudnia kopiowanie pozyskanych dokumentów. Wykorzystanie go pozwala na automatyzację procesu
weryfikacji danych z wykorzystaniem typowych skanerów i oprogramowania.
Autor pracuje jako product manager w Xerox Polska
WSZYSTKIE PRAWA DO TEKSTÓW ZASTRZEŻONE. Zabronione jest kopiowanie tekstu w części lub całości przez inne redakcje, serwisy internetowe
oraz firmy monitorujące media bez zgody redakcji pod groźbą kary i może być ścigane prawnie.
28 BEZPIECZEŃSTWO IT
8–14 maja 2015 r.
Chmura podbija świat
Globalne biznesy centralizują pozycję klienta. To wokół niego skupione są
różnorodne usługi, dostępne w dowolnym czasie, z dowolnego narzędzia,
tu i teraz. Absolutną normą stał się natychmiastowy wgląd w narzędzia
finansowe: bankowość i płatności mobilne czy polisy ubezpieczeniowe.
Działania te powodują wzrost wykorzystania chmury, gdyż skuteczna
sprzedaż opiera się obecnie na zapewniających spójną informację o kliencie
rozbudowanych narzędziach CRM.
preferować rozwiązania chmurowe oparte o globalnych dostawców, podczas gdy sieć franczyzowa sklepików operująca w danym mieście
może preferować rozwiązanie hostowane w lokalnego dostawcy.
Jan Zalewski i Magdalena Czubaszek Wg Cisco Global Cloud Index, do 2017 r. ruch
danych związany z chmurą obliczeniową stanowić będzie prawie 70 proc. globalnego ruchu
w centrach danych. W latach 2012-2017 wzrośnie ponad czterokrotnie.
Na rynku obecny jest cały szereg rodzajów rozwiązań cloud. Należą do nich chmury umieszczone w internecie, np. Amazon czy Microsoft,
Oracle lub Salesforce. Są też rozwiązania, których dane umieszczone są w ściśle ustalonym
miejscu – u konkretnego dostawcy hostingu.
Gwarantują one, że dane nie wydostają się poza
tę fizyczną lokalizację. Wybór zależny jest od rodzaju biznesu, np. globalne linie lotnicze mogą
Niższe koszty zabezpieczenia danych
W przypadku wielu chmur istnieje możliwość
określenia, w którym rejonie świata (np. Stany
Zjednoczone Ameryki, Europa etc.) dane będą
przechowywane. Dostawca może także zagwarantować, że nie będą one rozproszone poza
obszarami dopuszczalnymi z punktu widzenia prawa i potrzeb biznesowych. Na przykład
do końca 2015 r. powstaną trzy europejskie
centra danych Salesforce. Już teraz, przechowywanie danych w Europie jest łatwe do
wynegocjowania.
Chmura to również większe bezpieczeństwo
biznesowe. Awaria serwerowni lub zamach nie
sparaliżują pracy przedsiębiorstwa, gdyż wystarczy jakiekolwiek pomieszczenie z dostępem
do internetu, aby można było w pełni realizo-
wać procesy biznesowe. Cloud Computing to
także platforma wspomagająca kopie zapasowe
i mechanizmy archiwizacji danych – zarówno
systemów opartych o cloud, jak i on-premise.
Upraszcza to zarządzanie tzw. ciągłością działania, zmniejszając środki przeznaczane na
ochronę serwerowni i danych w niej zawartych.
Tendencja pozbywania się „ciężkiej” (tzn. wymagającej zatrudniania specjalistów informatyków i inwestowania pokaźnych środków
w infrastrukturę i oprogramowanie) informatyki jest powszechna. Firmy rezygnują z systemów napisanych specjalnie na ich potrzeby na
rzecz rozwiązań z półki. Zaczynają także traktować usługi informatyczne jako element realizacji strategii i dobierają usługi uzasadnione
biznesową koniecznością. Chmura sprawdza się także, gdy firma nie posiada kosztownej serwerowni i dużego zespołu informatyków
o określonych kompetencjach do utrzymania
systemu. Rozwiązania te są przejrzyste, dobrze
udokumentowane i opisane. Są także elastyczne
– przenoszenie zasobów informacyjnych do innego dostawcy oferującego korzystniejsze lub też
bardziej funkcjonalne rozwiązania jest prostsze.
Nie bójmy się chmury
Wiele instytucji finansowych i banków odczuwa silne obawy przed przeniesieniem części
danych klientów do chmury. Temat bezpieczeństwa jest biznesowo istotny i oceniany jest w re-
lacji do możliwości prowadzenia działalności
w wysoce konkurencyjnym świecie. Oznacza
potrzebę wyważenia innowacyjności przedsiębiorstwa względem przyjęcia określonego poziomu zabezpieczeń.
Warto zaufać specjalistom
Bezpieczne
Wirusy, robaki, trojany oraz
działania hakerów, a obok tego
wszystkiego nasi pracownicy,
którzy nie zdają sobie sprawy, jak
ich działania negatywnie wpływają
na bezpieczeństwo naszego IT. Jak
sobie z tym wszystkim radzić?
Maciej Grotyński
Na przestrzeni ostatnich lat istotnie zmieniły się wyzwania
stojące przed systemami IT w obszarze zabezpieczania
i archiwizowania danych. Coraz więcej
istotnych informacji
przechowujemy w plikach, które wraz z pojawieniem się użytkowników mobilnych,
zostały wprawione w ruch. Widać znaczny
popyt na rozwiązania, które nie tylko zapewnią ochronę danych, ale także dostęp do
nich z poziomu urządzeń mobilnych, możliwość współdzielenia plików między użytkownikami w obrębie firmy. Coraz częściej
użytkownicy systemów IT oczekują łatwego,
samoobsługowego procesu odtwarzania danych bez konieczności angażowania działu
administracji IT, który zwykle obciążony jest
prowadzeniem projektów informatycznych.
Mobilność wprowadza także nowy typów zagrożeń dla bezpieczeństwa danych jak utrata
urządzenia czy połączenia za pomocą niezabezpieczonych sieci. W związku z powyższym, klienci coraz częściej decydują się na
rozwiązania szyfrujące dane czy systemy pozwalające zdalnie skasować dane krytyczne.
Magdalena Urbańska
Słysząc hasło „zagrożenia IT” z czym je
utożsamiasz? Zapewne
przed twoimi oczami
pojawia się obraz zmasowanego ataku hakerów na twój system
oraz wszechobecne wirusy, robaki, trojany
i inne twory współczesnej cyberprzestępczości.
Jednak, czy na pewno to jest największym zagrożeniem dla twojej firmy? Jak pokazują ostatnie badania Cisco, przeprowadzone wśród 1000
polskich pracowników, to sposób zachowania
pracowników firm jest jednym z dwóch (obok
ataków zewnętrznych) największych zagrożeń
dla bezpieczeństwa IT organizacji. Co gorsze,
ponad 30 proc. z nich nie zdaje sobie sprawy, jak
ich działania wpływają na obowiązującą w firmie politykę bezpieczeństwa.
Popularne zagrożenia zewnętrzne
Codziennie na firmowe skrzynki pracowników
przychodzi kilkadziesiąt e-maili, część z nich
jest zwykłym spamem, zaś inna część zawiera
ważne, poufne dane. Aby ustrzec się przed ich
utratą, organizacje wdrażają zaawansowane rozwiązania filtrujące pocztę przychodzącą, eliminujące spam oraz szkodliwe oprogramowanie,
zanim dotrze ono do sieci wewnętrznej i stanie
się zagrożeniem dla użytkowników. Obecnie
na rynku jest wiele rozwiązań, które pozwalają
chronić firmową pocztę przed spamem, wirusami oraz oprogramowaniem szpiegowskim.
Dodatkowo mogą one pomóc w ograniczeniu
zużycia energii i przestrzeni zajmowanej w centrach danych.
Do popularnych zagrożeń należą też ataki DoS
(ang. Denial of Service) oraz DDoS (ang. Distributed Denial of Service). Pierwsze z nich
mają na celu uniemożliwić działanie systemu
komputerowego lub usługi, zaś drugie uniemożliwiają działanie wszystkich wolnych zasobów firmy, poprzez przeprowadzenie tzw. ataku
zombie – jednoczesnego ataku z wielu zainfekowanych komputerów. Jak odczuwa to firma?
Początkowo następuje odczuwalne spowolnienie w dostępie do internetu, zaczynają występować kilkuminutowe przerwy w dostępie do
sieci, by ostatecznie całkowicie stracić do niej
dostęp. Jednak, jest to zwykle tylko odwrócenie uwagi administratorów sieci od właściwego
ataku, który odbywa się w wewnętrznych zasobach firmy. Jednym z rozwiązań jest wdrożenie modelu Kill Chain, opartego na koncepcji
wielowarstwowej ochrony (Defense in Depth),
która zakłada stosowanie wielu mechanizmów
zabezpieczeń. Kluczem w tym modelu jest brak
statystyczności i dostosowywanie się do zmieniających się warunków.
BYOD nie pomaga
57 proc. dużych, polskich firm utraciło lub obawia się utraty danych klientów w wyniku korzystania przez pracowników z prywatnych
urządzeń mobilnych – donoszą ostatnie badania Samsunga przeprowadzone w 2014 r.
Z kolei podczas Gartner Symposiom ITxpo
2013 analitycy przewidzieli, że do 2020 r. nie
tylko biznes, ale też administracja publiczna
może mieć problem ze skuteczną ochroną aż
75 proc. danych. Powodem jest m.in. popularyzacja trendu BYOD (ang. Bring Your Own
Device), polegającego na używaniu przez pracowników własnych urządzeń mobilnych. Stanowi on zagrożenie dla firmy na dwa sposoby:
poprzez zainfekowanie sieci firmowej złośliwym oprogramowaniem pochodzącym z prywatnych urządzeń oraz poprzez wyciek danych
bezpośrednio z urządzeń łączących się z nieodpowiednio zabezpieczonymi sieciami. Aby przeciwdziałać negatywnym skutkom BYOD firmy
muszą wdrożyć dobrą politykę bezpieczeństwa,
a dopiero później wybrać odpowiednie narzędzia do jej realizacji. Przykładami takich narzędzi jest oprogramowanie MDM (ang. Mobile
Device Management) do zarządzania flotą urządzeń mobilnych.
Bierność kosztuje
Utrata dobrego wizerunku, danych naszych
klientów oraz przerwa w działaniu systemów
i rosnąca nerwowość pracowników działów IT
to tylko niektóre ze strat, jakie ponosi firma,
gdy nieproszony gość naruszy jej bezpieczeństwo. Według badania „Cost of Data Breach
Study: Global Analysis”, przeprowadzonego
w 2014 r. przez Ponemon Institute, kradzież
przynajmniej jednego rekordu danych oznacza
dla amerykańskich firm stratę w wysokości 195
dol. O tym, jak wielkie są to koszty, przekonała
się firma Sony, która w ubiegłym roku w wyniku działania hakerów, straciła terabajty danych
z nazwami użytkowników popularnej gry Playstation. W efekcie każdy z pracowników musiał zmienić swoje dane uwierzytelniające, zaś
firma ponieść koszty związane m.in. z odtworzeniem systemów komputerowych, zatrudnieniem ekspertów od informatyki śledczej oraz
ekspertów od wizerunku. Według szacunków
Macquarie Research firma mogła ponieść wydatek ok. 83 mln dol.
Autorka jest menedżerem ds. marketingu i PR w firmie Atende SA
Wirtualizacja
Kolejne wyzwanie w zakresie zabezpieczania danych wynika z wszechobecnej już wirtualizacji
środowisk IT. Obecnie w dobie rozwoju kolejnych e-usług i aplikacji mobilnych środowisko
wirtualne stało się nieodzownym elementem infrastruktury IT.
W związku z tym najbardziej pożądane są systemy, które potrafią kompleksowo zabezpieczyć
tego typu środowiska, zarówno na poziomie
BEZPIECZEŃSTWO IT 29
8–14 maja 2015 r.
konieczności innego spojrzenia na informatykę – uważnego wglądu w istotę przedmiotu
ochrony i jakości procedur. Chęć zastosowania chmury wymusza wyraźne określenie
oczekiwań i strategii. Dane zatem przetwarzane są w sposób bardziej uświadomiony.
Współczesne, wiodące narzędzia cloud
computing gwarantują bezpieczeństwo
przetwarzania danych i zgodne są z wymaganiami ISO 27 001 oraz wytycznymi
GIODO. W przypadku Microsoft, rozwiązania chmurowe firmy uzyskały akredytację
organów regulacyjnych Unii Europejskiej
w zakresie zobowiązań dotyczących bezpieczeństwa i ochrony danych. Oznacza to,
że klienci mogą mieć pewność, że jakikolwiek globalny przepływ danych w ramach
usług chmurowych spełnia unijne standardy
ochrony danych, które są jednocześnie jednymi z najbardziej restrykcyjnych na świecie. Wszystkie dane w chmurze Microsoft są
także szyfrowane, a zarządzanie nimi i infrastrukturą realizują oddzielne komórki.
Większość systemów przetwarzania danych
(bazy danych) umożliwia ich szyfrowanie. Wdrożenie rozwiązań chmurowych nie
oznacza automatycznie rezygnacji z jakichkolwiek zabezpieczeń. Wymaga natomiast
Przedsiębiorstwa przyszłości opierać się będą
na solidnym fundamencie lepiej skomunikowanych zespołów obsługi tworzących pozytywne, oparte na personalnym kontakcie
z klientem, relacje. Innowacyjne firmy muszą dokonać transformacji – wejść w sferę
cyfrową przy zachowaniu najwyższego standardu bezpieczeństwa danych.
Jan Zalewski jest dyrektorem departamentu AM
w Outbox Group
Magdalena Czubaszek pracuje jako business development
director w Outbox Group
archiwizowanie danych
danych z drogich ii wydajnych dysków na tańsze nośniki danych
dan jak taśmy LTO.
Warto rozważyć także technologię
gię, która pozwali na integr
grację backupu i archiwizacji
w ramach jednego procesu,
dzięk
dzięki czemu okno backupowe
zostaje ddrastycznie skrócone, a czas
dostępu do informacji ulega kilkukrotnemu skróceniu.
pojedynczego pliku, jak i całych wirtualś d i k np. dla
dl zadań
d ń deweloperskich.
d l
ki h
nychh środowisk
Lawinowy wzrost liczby danych
Rzeczą oczywistą jest lawinowy wzrost ilości
danych. Ma on wpływ na obciążenie systemów
IT, koszty przechowywania i archiwizowania danych oraz trudność w ich zabezpieczaniu.
Warto w związku z tym sprawdzić strukturę posiadanych danych cyfrowych.
Audyty wykonywane u klientów pokazują, że
jedynie ok. 25 proc. danych to dane istotne
i wykorzystywane. Resztę stanowią powielone dane lub takie, z których się nie korzysta. Traktowanie ich jako krytyczne zasoby
w przypadku rozwiązań Disaster Recovery
znacząco wydłuża wymagany czas do uruchomienia istotnych dla biznesu systemów IT.
Dlatego standardem staje się backup z wykorzystaniem wydajnych mechanizmów deduplikacji oraz archiwizacja, która z jednej
strony pozwala na długoterminowe składowanie danych, a z drugiej strony redukuje
koszty przechowywania danych dzięki inteligentnym narzędziom przesuwającym takie
W
Wielooddziałowość
Str
Struktura
rozporoszona to
codzienno dużych przedsiębiorstw.
codzienność
instytuc mają zazwyczaj kilka
Takie instytucje
od
– kilkanaście oddziałów,
dużą liczbę pramobiln
cowników mobilnych,
środowisko fizyczne
i l ddużą
ż liczbę aplikacji i baz dai i wirtualne,
nych. Potrzebują wykorzystywać mechanizmy deduplikacji.
Zazwyczaj oznacza to wdrożenie rozwiązania złożonego z kilku produktów, które
niejednokrotnie posiadają własne systemy
zarządzania, różną konfigurację systemu, oddzielne wparcie itd.
Warto pomyśleć w sytuacji tego typu środowiska o systemie, który w ramach jednej platformy
potrafi poradzić sobie z wszystkimi wymienionymi wyzwaniami.Warto też sprawdzić, czy
taka platforma pozwoli zrealizować cel nadrzędny, którym nie jest wbrew pozorom backup
i archiwizacja danych. Jest nią dostęp do informacji, który musi być szybki i co najważniejsze
możliwy. Czasem niestety zdarza się, iż w ferworze wdrożenia systemów zabezpieczających
dane, ten nadrzędny cel wymyka się uwadze
i wraca na pierwszy plan w sytuacji krytycznej,
jaką jest utrata danych lub konieczność sprawnego sięgnięcia do cyfrowego archiwum.
Autor jest szefem Pionu Commvault,
Nutanix, Quantum w firmie S4E
Ostrożności nigdy
za wiele
Phishing jest atakiem
wymierzonym przeciwko
użytkownikom i wykorzystującym
ich łatwowierność lub niewiedzę.
Głównym celem jest pozyskanie
danych m.in. loginów, haseł,
danych osobowych, historii
transakcji, listy znajomych itp.
Artur Kalinowski
Najczęściej spotykaną formą ataku
jest przesłanie wiadomości e-mail łudząco
przypominającej oryginalną wiadomość
z banku, portalu
lub serwisu, w której użytkownik proszony jest o podanie danych osobowych, bądź
zalogowanie się do serwisu za pomocą wskazanego w wiadomości linka. W innych przypadkach wykorzystywany może być błąd na
stronie serwisu umożliwiający przekierowanie
przeglądarki na fałszywą stronę, bądź wyświetlenie dodatkowego okienka lub formularza
z prośbą o zalogowanie. Użytkownik, będąc
przekonanym, że ma do czynienia z oryginalnym portalem, w rzeczywistości nieświadomie
przekazuje swoje dane atakującemu.
Czujność przy niestandardowym
działaniu
Najprostsze ataki phishingowe wymagają jedynie dobrego pomysłu, jak umieszczenie informacji o wycieku haseł z jakiegoś portalu
i możliwości sprawdzenia na podanej stronie,
czy hasła użytkownika nie ma na liście. Użytkownik chcąc sprawdzić, czy jego hasło nie zostało upublicznione, sam je zdradza, wpisując
w polu wyszukiwania.
Fałszywe strony, zwłaszcza bankowe, często
proszą o dodatkowe, niestandardowe uwierzytelnienie się np. poprzez podanie kodu autoryzacyjnego ze zdrapki, który wymagany jest
zwykle dopiero przy realizacji zlecenia, bądź
podanie kilku takich kodów np. w celu realizacji pojedynczego przelewu. Wszelkie niestandardowe zachowania serwisu powinny
wzbudzić naszą czujność.
Proste nawet dla początkujących
włamywaczy
Jest wiele darmowych i publicznie dostępnych
narzędzi ułatwiających przeprowadzenie ataków phishingowych. Przykładowe stworzenie strony, np. kopii serwisu transakcyjnego
jakiegoś banku, zajmuje najwyżej kilka minut
i w zasadzie sprowadza się do wybrania kopiowanej witryny oraz opcji ataku z menu programu. Potem pozostaje tylko przechwycenie
ruchu w sieci, wykorzystanie jakiegoś błędu
lub przesłanie linka do fałszywej strony e-mailem. Możliwości jest mnóstwo, a atak dość
łatwy do przeprowadzenia, nawet dla początkujących włamywaczy.
Obecne przeglądarki mają wbudowane zabezpieczenia przed phishingiem, jednak pomimo
tego, warto stosować się do zasady ograniczonego zaufania i weryfikować źródła otrzymywanych informacji.
Rozważne użytkowanie
Jeżeli nie spodziewamy się jakiejś wiadomości
np. faktury, ponaglenia z serwisu aukcyjnego
czy informacji z banku, wówczas powinniśmy
zachować szczególną ostrożność. Nie można
ufać ani linkom, ani załącznikom w wiadomościach. Banki i popularne serwisy z reguły
nie podają w e-mailach linków do stron logowania, ani nie wymagają podawania żadnych
danych personalnych, w szczególności numerów PIN, tokenów itp.
Widoczne linki na stronach, jak i w e-mailach, mogą wskazywać na zupełnie inne
miejsca, aniżeli te, do których w rzeczywistości prowadzą. W związku z tym po najechaniu na dany link należy sprawdzić, czy na dole
okna, w pasku statusu widoczny jest identyczny adres. Należy zwrócić również uwagę
na podobieństwo znaków np. „I” i „l”, co jest
wykorzystywane przy generowaniu adresów,
które wizualnie wyglądają niemal identycznie
jak znane strony.
Nie ulegać iluzji
Istotne jest również unikanie dzielenia się
wrażliwymi danymi ze stronami WWW, które
dostępne są poprzez nieszyfrowane połączenie,
czyli takich których adres rozpoczyna się od
http://, a nie od https://. Warto zwrócić uwagę
na fakt, że szyfrowane połączenie nie zawsze
chroni nas przed phishingiem, gdyż atakujący
może wygenerować fałszywą stronę dostępną
poprzez połączenie szyfrowane. Konieczna jest
więc weryfikacja certyfikatów poprzez sprawdzenie, kto go wystawił oraz czy odcisk kryptograficzny jest prawidłowy. Bieżącą wartość
odcisku kryptograficznego można uzyskać np.
na infolinii, a weryfikacja jest wówczas dokonywana z użyciem innego medium komunikacyjnego, co podnosi bezpieczeństwo.
Odpowiednio skonfigurowany system,
wraz z aktualizacjami, firewallem oraz
ochroną antywirusową i antymalware
może ograniczyć ryzyko ataków phishingowych, jednak najistotniejsze jest, by nie
ulegać iluzji i nie kierować się wyłącznie
szatą graficzną ani nazwą, jako jedynym
czynnikiem zaufania do danej strony.
Phishing również przez telefon
Należy pamiętać, że ataki phishingowe mogą
być przeprowadzone nie tylko z użyciem komputera, ale też np. przez telefon, użytkownik
może być poproszony o podanie danych np.
celem odbioru zaproszenia. Podanie samej
daty urodzenia może ułatwić atakującemu
uzyskanie dostępu do konta użytkownika np.
dzięki mechanizmowi „zapomnianych haseł”,
a następnie pozyskanie danych osobowych,
oraz dostępu do portali, w których użyto danego adresu e-mail podczas rejestracji.
Reakcja po ataku
Co zrobić po fakcie? Przede wszystkim poinformować zainteresowane strony np. portal,
bank i podać okoliczności, w jakich doszło
do ataku. Niezwłocznie należy też zablokować narzędzia używane do płatności, takie jak
karty kodów, karty kredytowe, a także zmienić hasło oraz zweryfikować dane powiązane
z kontem, sprawdzając, czy atakujący nie podmienił e-maila lub numeru telefonu, dzięki
któremu będzie mógł odzyskać dostęp w przypadku zmiany hasła. Dobrze jest także zmienić
pytanie i odpowiedź, które są wykorzystywane
w przypadku odzyskiwania dostępu do konta.
Autor jest inżynierem bezpieczeństwa, pracuje w LogicalTrust
30 BEZPIECZEŃSTWO IT
8–14 maja 2015 r.
Człowiek – najsłabsze ogniwo w systemie
bezpieczeństwa firmy
Ciepły marcowy poranek w jednej ze
stołecznych dzielnic biurowych. Do
recepcji firmy wchodzi mężczyzna
w średnim wieku, ubrany w garnitur,
z plikiem papierów pod ręką oraz
zbolałą mina. Podchodzi do blatu
biurka i witając się z asystentką,
kładzie na nim zalane kawą
dokumenty oraz pendrive.
nik. Atakujący natomiast nie będzie wybierał
żmudnej drogi pokonywania naszych zabezpieczeń, jeżeli ma alternatywę w postaci uzyskania
dostępu do konta systemowego, wykorzystując
do tego chociażby przytoczoną powyżej sztuczkę
socjotechniczną lub wysyłając maila z zainfekowanym załącznikiem.
Dominik
Lewandowski
„Byłem umówiony
w dniu dzisiejszym na
rozmowę o pracę, niestety zalałem kawą
swoje CV. Bardzo zależy mi, aby dobrze
wypaść na rozmowie,
a taka sytuacja raczej
nie zwiększy moich szans, wie pani jak to jest;
nie można drugi raz zrobić dobrego pierwszego
wrażenia…” Mężczyzna uśmiecha się delikatnie, a jego mina przybiera błagalny wyraz.
„Czy mogłaby pani mi pomóc i wydrukować
moje CV z pliku pdf na tym pendrivie?” Podaje
kobiecie stick USB i wskazuje na drukarkę wielofunkcyjną ustawioną pod oknem.
Widząc wahanie na twarzy recepcjonistki, kontynuuje: „To może być moja jedyna szansa na
otrzymanie tej pracy, ludzie powinni przecież sobie pomagać. Prawda?”
W rezultacie ludzki odruch decyduje o spełnieniu prośby i pendrive z plikiem zostaje umiejscowiony w porcie USB służbowego komputera,
by następnie połączyć się sesją zdalną z komputerem atakującego, który siedzi wygodnie
w zupełnie innym miejscu. Zanim asystentka
zadzwoni do działu HR w celu zaanonsowania
przemiłego człowieka w garniturze na rozmowę
o pracę, ten stwierdzi, że zostawił telefon w samochodzie i opuści siedzibę firmy.
Dlatego też coraz większą rolę odgrywa świadomość pracowników oraz egzekwowanie wewnętrznych polityk bezpieczeństwa firmy. Aż
83 proc. przebadanych pracowników przyznaje
się do korzystania z firmowego internetu w celach prywatnych, gdzie ponad 43 proc. deklaruje korzystanie z prywatnej poczty oraz portali
społecznościowych (na podstawie badań Cisco 2015). Nikt nie musi przekonywać pracodawcy, na jakie ryzyko takie podejście wystawia
dane firmowe oraz bezpieczeństwo struktury IT
organizacji.
Wykorzystywanie sieci do
celów prywatnych
Najsłabszym ogniwem każdego systemu teleinformatycznego jest człowiek, czyli jego użytkow-
Niewielkie zainteresowanie
bezpieczeństwem
Prywatne pamięci przenośnie, ładowanie prywatnego, nierzadko zainfekowanego telefonu
przez port USB firmowego komputera czy
inne nośniki danych użytkowane na firmowych stacjach roboczych niosą za sobą bardzo poważne zagrożenie zainfekowaniem całej
sieci firmowej.
Zaledwie 26 proc. badanych zna i przestrzega
polityki bezpieczeństwa swojej organizacji,
38 proc. wie o jej istnieniu, ale nigdy się z nią
nie zapoznała, a 32 proc. uważa, że polityka
bezpieczeństwa ogranicza ich w wykonywaniu codziennych obowiązków, a co za tym
idzie omija jej zasady, kiedy wydaje im się to
uzasadnione.
Hasła, wordlisty, personalizacja kont
Czynnikiem, który bezwzględnie powinien
znaleźć się w polityce bezpieczeństwa każdej
firmy jest zarządzanie hasłami. Jeżeli nie posiadamy systemu, który wymusza na użytkowniku zmianę hasła po upływie danego
okresu czasu oraz nie forsuje jego odpowiedniej złożoności (wielkie oraz małe litery, znaki
specjalne, cyfry i minimalna liczba znaków),
to zalecane jest, aby odpowiednie wytyczne
znalazły odzwierciedlenie w naszej polityce
bezpieczeństwa.
Metody profilowania haseł użytkowników,
dostępne w sieci tak zwane wordlisty (listy najczęściej używanych haseł) oraz rosnąca moc
obliczeniowa komputerów pozwalają na efektywne i relatywnie mało czasochłonne łamanie prostych metod uwierzytelniania.
Do dobrych praktyk biznesowych należy również personalizacja kont pracowników (każdy
użytkownik systemu posiada własny login oraz
hasło, którym nie wolno dzielić się z innymi
użytkownikami), pozwala to nie tylko na łatwą identyfikację odpowiedzialności osoby
wykonującej operacje w systemie, ale także
znacząco zmniejsza ryzyko wystąpienia incydentu bezpieczeństwa spowodowanego wyciekiem lub złamaniem hasła.
Rozdzielenie obowiązków i szyfrowanie
Efektywnym sposobem na zarządzanie kontami jest także tak zwane rozdzielenie obowiązków zalecane między innymi przez ISC2
(wystawcę certyfikatu CISSP). Technika ta polega na rozbiciu zakresu uprawnień oraz wykonywanych czynności na dwóch lub więcej
pracowników, tak aby każda decyzja lub akcja
(na przykład wykonanie przelewu lub nadanie
uprawnień) musiała być zatwierdzona przez
inna osobę.
Szyfrowanie danych oraz bezpieczne kanały
komunikacji stanowią podstawę bezpiecznego
przepływu informacji. Jako standard firmowy
powinniśmy przyjąć ograniczenie nieszyfrowanej korespondencji mailowej do absolutnego
minimum. Techniki polegające na bardzo często używanym hasłowaniu przesyłanego pliku
załącznika niestety nie spełniają praktycznie
żadnej normy ochrony, którą moglibyśmy
uznać za zadowalającą.
Dział bezpieczeństwa IT powinien dążyć do
eliminacji jak największej ilości czynników
błędu ludzkiego, starając się jednocześnie zapewnić jak najszerszy i najefektywniejszy dostęp do zasobów IT firmy dla pracowników.
Autor pracuje jako IT onsite engineer/security protection
administrator w firmie Sitel
Hermetyczna architektura mobilna
Kwestie odpowiedniego poziomu bezpieczeństwa IT zaczynają odgrywać
coraz większą rolę w procesie funkcjonowania całego przedsiębiorstwa.
Znaczący wzrost rynku zastosowań mobilnych dla biznesu zaowocował
pojawieniem się nowych zagrożeń z zakresu ochrony danych. Według
raportu PwC „Zarządzanie ryzykiem w cyberprzestrzeni” w 2014 r. zaledwie
60 proc. respondentów z Polski potwierdziło, że wdrożyło strategię
bezpieczeństwa dla urządzeń przenośnych.
Dominik Smajek
To 15-proc. wzrost
w porównaniu z rokiem poprzednim.
Sam rynek IT odpowiedział stworzeniem
nowych mechanizmów obronnych, których większość ma za
zadanie wspomóc najsłabsze ogniwo całego łańcucha – czyli użytkownika. Najczęściej nie posiada on żadnej
wiedzy w tym zakresie, bądź nie stosuje się
do ogólnych zasad ochrony. Eksperci zajmujący się IT w organizacjach są zgodni, że naj-
częściej, bo aż w ponad 80 proc. przypadków,
do utraty lub wycieku danych dochodzi właśnie z powodu ludzkiego błędu lub zamierzonego działania. Dlatego obecnie wprowadzenie
odpowiedniego zarządzania aplikacjami mobilnymi jest konieczne, by w skuteczny sposób
chronić flotę urządzeń firmowych.
Strategia i praktyka bezpieczeństwa
W związku z tym w ramach działań mających na celu zbudowanie hermetycznej architektury mobilnej należy skoncentrować
się nie tylko na zdefiniowaniu procedur bezpieczeństwa czy edukacji pracowników, ale
przede wszystkim na zabezpieczeniu systemu
poprzez odpowiednią konfigurację dostępu.
Odbywa się ona na kilku poziomach jedocześnie – od urządzeń mobilnych (najczęściej
smartfonów), poprzez aplikacje, a kończąc na
systemach, które ją obsługują. Właśnie dlatego ważne jest wprowadzenie centralnej polityki bezpieczeństwa IT, która będzie w stanie
zabezpieczyć pozostałe urządzenia funkcjonujące w ramach struktury firmy oraz wymusi
stosowanie metod ograniczających dostęp do
jej zasobów. Dla samego pracownika może
oznaczać to m.in. konieczność wprowadzenia odpowiednich haseł, na przykład w celu
odpowiedniego skonfigurowania klienta
poczty. Wprowadzenie takich procedur pozwala zwiększyć świadomość poszczególnych
pracowników w tym obszarze, co w dalszej
perspektywie pozwoli korzystać z urządzeń
mobilnych w sposób bardziej produktywny.
Integracja to podstawa
W celu zachowania odpowiedniej integralności infrastruktury IT firmy, oprócz restrykcyj-
nego stosowania się do ustalonych procedur
bezpieczeństwa, ważne jest aby aplikacje mobilne były w odpowiedni sposób zintegrowane
z funkcjonującym już systemem. Korzyści
wynikające ze stosowania zintegrowanych
systemów ochrony architektury mobilnej
powodują, że przedsiębiorstwa wprowadzają
bardziej skomplikowane zabezpieczenia. Należą do nich m.in. procesy wieloetapowego
uwierzytelniania oraz zmienne klawiatury,
które uniemożliwiają zdalne odczytanie haseł. Jednak niezwykle szybki rozwój rozwiązań oraz narzędzi stosowanych w branży IT
sprawia, że skomplikowane struktury informatyczne powinny być nieustannie kontrolowane. W tym celu przeprowadza się testy
bezpieczeństwa realizowane m.in. poprzez
kontrolowane atakowanie systemu teleinformatycznego. Działania te mają na celu jego
realną ocenę oraz ewentualne wykrycie luk
w systemach zabezpieczających.
Autor jest kierownikiem projektów mobilnych w MakoLab