Bezpieczeństwo IT - it
Transkrypt
Bezpieczeństwo IT - it
Bezpieczeństwo IT 1 Spis treści O naturze bezpieczeństwa, czyli jak opanować niepewność Sebastian Pikur, Infovide-Matrix SA 4 Strategie bezpieczeństwa w IT Krzysztof Labiak, itelligence 9 Uwaga na BYOD! Krzysztof Wójtowicz, Check Point Software Technologies Polska 11 Ochrona dostępności i treści stron internetowych Robert Dąbrowski, Fortinet 14 Jak stworzyć zespół odpowiedzialny za bezpieczeństwo Skrót z raportu rady Security for Business Innovation Council 18 Największe zagrożenia dla bezpieczeństwa w sieci w roku 2014 Raport Fundacji Bezpieczna Cyberprzestrzeń 24 Strzeż tajemnic przedsiębiorstwa Krzysztof Rydlak, SpyShop 28 „Is IT safe?” Jan Michałowicz, Innovation Experts 32 Na bezpieczeństwo spójrzmy „z góry” Radosław Kaczorek, IMMUSEC 40 Modelowanie zagrożeń i analiza ryzyka – podejście praktyka 2 Janusz Nawrat, Raiffeisen Bank Polska 44 Czy hakerskie sztuczki z Watch Dogs to tylko fantastyka? 51 Bezpieczeństwo na portalu it-manager.pl Monitorować, czy nie monitorować pracowników? 54 7 grzechów głównych systemów backupu 54 Firmowy majątek pod czujnym okiem 55 Aplikacje mobilne rajem dla cyberprzestępców 55 BYOD – bez hurraoptymizmu 56 Pracownik już nie jest najgroźniejszy 56 Bezpieczeństwo w bankowości 57 Uwaga na technologie mobilne 57 PwC: „Globalny stan bezpieczeństwa informacji 2014” 58 Inwestycja w bezpieczeństwo vs optymalizacja wydatków 58 Tak wygląda cyberwojna 59 Hakerzy wykorzystują metody inżynierii społecznej 59 Dlaczego Security Leadership ma znaczenie? 60 Czy istnieją bezpieczne systemy? 60 Redaktor naczelny: Robert Jesionek Współpraca redakcyjna: Barbara Mejssner Projekt graficzny i skład: Monika Bucoń 3 O naturze bezpieczeństwa, czyli jak opanować niepewność Sebastian Pikur, Infovide-Matrix SA Każda organizacja działa w niepewnym otoczeniu, które często ma sprzeczne interesy i negatywne nastawienie do jej działania. Niepewność otoczenia to ryzyko dla organizacji, które należy zidentyfikować i odpowiednio nim zarządzać. Właściwe zarządzanie ryzykiem umożliwi redukowanie zagrożeń i podatności na nie, a także pozwoli na wykorzystanie pojawiających się szans. Bezpieczeństwo jest podstawową potrzebą każdego człowieka, a jego zapewnienie, jest kluczowym aspektem stabilizacji i dobrobytu. Potrzeba bezpieczeństwa odnosi się do wszelkich dziedzin funkcjonowania człowieka zarówno życia prywatnego, jak też społecznego czy zawodowego. Taka osobista potrzeba przekłada się na oczekiwanie bezpieczeństwa organizacji firmy, w której dana osoba pracuje. Z pojęciem bezpieczeństwem nieodzownie związane jest ryzyko, rozumiane jako wpływ niepewności na cele. Takie określenie ryzyka znakomicie oddaje jego istotę – z jednej strony, wskazuje na bezpośrednie powiązanie ryzyka z celami organizacji, a z drugiej pokazuje, że na realizację celów wpływa wiele nieznanych, zmiennych w czasie czynników. Każda organizacja działa w niebezpiecznym dla jej działań otoczeniu. Na kierownictwie organizacji spoczywa obowiązek zapewnienia bezpieczeństwa. Przez bezpieczeństwo rozumie się mechanizmy pozwalające organizacji radzić sobie w przypadku pojawiających się problemów. Celem wysiłków związanych z bezpieczeństwem jest zapewnienie trwałości organizacji oraz zapewnienie swobody działania. Do określenia pryncypiów bezpieczeństwa organizacji służy strategia bezpieczeństwa, która polega na zdefiniowaniu interesów, 4 ocenie warunków bezpieczeństwa, sformułowaniu koncepcji strategicznej oraz ustanowieniu systemu bezpieczeństwa. Rozważając pojęcie bezpieczeństwa należy spojrzeć na nie w dwóch perspektywach: •jako stan – aktualne/osiągnięte poczucie bezpieczeństwa organizacji; •jako proces – działania dla zapewnienia poczucia bezpieczeństwa organizacji. Patrząc od strony praktycznej, bezpieczeństwo należy rozumieć, jako funkcjonowanie różnych procesów stricte z nim związanych oraz uwzględnienie zagadnień bezpieczeństwa w pozostałych procesach organizacji. Funkcjonowanie procesów związanych z bezpieczeństwem określa jego stan postrzegany przez osoby znajdujące się w organizacji. Efektywne działanie tych procesów powoduje, że personel organizacji czuje się bezpiecznie. Patrząc od strony procesów związanych wprost z bezpieczeństwem, najistotniejszy jest proces zarządzania ryzykiem. Inne procesy związane wprost z bezpieczeństwem to procesy zapewniające funkcjonowanie zarządzania nim, takie jak np. audyt wewnętrzny. W pozostałych procesach organizacji związanych z realizacją jej celów konieczne jest uwzględnienie elementów takich jak: •odpowiednia konstrukcja procesów (np. określona kolejność działań); •wprowadzenie odpowiednich czynności do procesów; •zastosowanie określonych procedur. Proces zarządzania ryzykiem, jako kluczowy proces zapewnienia bezpieczeństwa w organizacji służy koordynowaniu działań dotyczących kierowania i nadzorowania organizacją w odniesieniu do ryzyka. Ryzyko Ryzyko zgodnie z normą ISO/IEC 31000 jest definiowane, jako wpływ niepewności na cele, przy czym niepewność może być negatywna – szkodzi realizacji celów, ale równie często może być pozytywna (określana jako szansa) – wspiera i ułatwia realizację celów. Ryzyko najczęściej jednak jest utożsamiane z niepewnością w sensie negatywnym. Myśląc o ryzyku, rozważane są zazwyczaj zagrożenia dla funkcjonowania organizacji, jej słabości i podatności oraz niepożądane skutki, jakie mogą uderzyć w organizację, powodując negatywne następstwa. Przykładem takiej niepewności jest wyciek ważnych/wrażliwych informacji w wyniku szpiegostwa przemysłowego. Nie można jednak zapominać o pozytywnym wydźwięku niepewności, szansach stojących przed organizacją. Ten kierunek rozpatrywania ryzyka, jako prawdopodobnej, korzystnej sytuacji stojącej przed organizacją, daje możliwość spojrzenia i ocenienia szans w zupełnie innej perspektywie. Ujęcie ryzyka w sensie pozytywnym pozwala na oszacowanie prawdopodobieństwa wystąpienia pozytywnych następstw ryzyka. Przykładem pozytywnej niepewności, szansy jest możliwość pozyskania lukratywnego kontraktu. Niejednokrotnie niepewność ma jednocześnie charakter negatywny jak i pozytywny, stanowi zarówno zagrożenie dla organizacji, ale jest też jej szansą. Przykładem pokazującym takie ryzyko, jest np. sytuacja, w której firma realizuje kontrakt opierając się na pracy eksperta o wysokich i unikalnych kompetencjach. Zrealizowanie kontraktu w oparciu o prace eksperta przyniesie firmie bardzo wysokie zyski, jest jej szansą. Ale również oparcie prac na określonym ekspercie niesie ryzyko braku możliwości ukończenia prac, jeżeli ów ekspert z dowolnych przyczyn nie będzie mógł kontynuować pracy. Ryzyko w organizacji ma wiele płaszczyzn i może być określane na wielu poziomach. Wyróżniamy ryzyko organizacji w sensie ogólnym, dotyczącym całej organizacji określane na poszczególnych poziomach zarządzania: •ryzyko na poziomie strategicznym; •ryzyko na poziomie taktycznym; •ryzyko na poziomie operacyjnym. Analizując ryzyko, konieczne jest rozłożenie go na dziedziny i analizowanie każdej z nich niezależnie. Rozkładając ryzyko na elementy składowe, możemy wyróżnić: •ryzyko rynkowe; •ryzyko prawne; •ryzyko operacyjne; •ryzyko reputacji. W kategorii ryzyka operacyjnego uwzględniamy w szczególności ryzyko przetwarzania danych, w tym ryzyko teleinformatyczne. Dziedziny ryzyka są prostopadłe w stosunku do poziomów zarządzania, w związku z czym, mówiąc np. o ryzyku rynkowym, musimy rozważać go zarówno na poziomie strategicznym, jak również taktycznym i operacyjnym. Ryzyko jest zatem obecne we wszystkich aspektach działania każdej organizacji i musi być uwzględniane na każdym poziomie zarządzania. Schematycznie obrazuje to Rysunek 1 Poziomy zarządzania ryzykiem. 5 Ryzyko na poziomie strategicznym Ryzyko rynkowe Ryzyko prawne Ryzyko operacyjne Ryzyko reputacji Ryzyko na poziomie taktycznym Ryzyko rynkowe Ryzyko prawne Ryzyko operacyjne Ryzyko reputacji Ryzyko na poziomie operacyjnym Ryzyko rynkowe Ryzyko prawne Ryzyko operacyjne Ryzyko reputacji Rysunek 1. Poziomy zarządzania ryzykiem Obecność ryzyka w każdym aspekcie działania organizacji ukierunkowuje potrzebę odpowiedniego nim zarządzania. Zastosowanie właściwych metod zarządzania ryzykiem jest kluczem do efektywnego panowania nad bezpieczeństwem organizacji, ale też mechanizmem identyfikowania i wykorzystywania szans pojawiających się przed organizacją. Zarządzanie ryzykiem pozwala też racjonalizować koszty funkcjonowania organizacji. Racjonalizowanie kosztów wynika z możliwości nadzorowania i wprowadzania tylko takich mechanizmów (środków bezpieczeństwa), które wykazują się uzasadnieniem finansowym, tj. koszty ponoszone na redukowanie ryzyka nie są wyższe niż skutki, jakie organizacja poniosłaby w przypadku materializacji ryzyka. każda organizacja zarządza ryzykiem, a dowodem na to, że robi to dość skutecznie jest istnienie tej organizacji. By łatwiej to zrozumieć, warto w tym miejscu spojrzeć na definicję zarządzania ryzykiem, np. pochodzącą z normy ISO/IEC 31000. W ramach procesu zarządzania ryzykiem następuje systematyczne stosowanie polityk, procedur i praktyk zarządzania do działań w zakresie komunikacji, konsultacji, ustanawiania kontekstu oraz identyfikowania, analizowania, ewaluacji, postępowania z ryzykiem, monitorowania i przeglądu ryzyka. Zarządzanie ryzykiem może odbywać się zupełnie nieświadomie – organizacja podejmuje ryzyko działania i realizacji celów, działa w sposób zupełnie intuicyjny poprzez wykorzystanie szans, przeciwdziałanie wyzwaniom oraz redukowanie ryzyka – w efekcie zarządza ryzykiem. Zarządzenie ryzykiem Przeciwieństwem takiego podejścia jest stosowanie wyrafinowanych praktyk z zakresu zarządzania ryzykiem, metodyk i uwzględnianie dojrzałych mechanizmów zarządzania przy podejmowaniu decyzji. Jak zatem panować nad ryzykiem – najprostsza odpowiedź to odpowiednio nim zarządzać. I tu pojawia się pierwsza dobra wiadomość – 6 Pomiędzy wymienionymi powyżej sposobami podejścia do zarządzania ryzykiem jest wiele miejsca, wiele różnych metod i stylów zarządzania. Każda organizacja musi dobrać sposób zarządzania ryzykiem do własnego profilu działania, do poziomu swojego rozwoju, do wielkości organizacji i wielu innych czynników. Rozważając wprowadzenie mechanizmów zarządzania ryzykiem, warto jest korzystać z gotowych wzorców. Ważne jest jednak, by wprowadzając do organizacji systematyczne zarządzanie ryzykiem, nie dobrać metod zbyt trudnych, bo takie podejście zamiast przynieść korzyści, będzie działało odwrotnie. Przykładem standardu zarządzania ryzykiem jest norma ISO/IEC 31000. Norma podaje zasady i wytyczne, które są możliwe do zastosowania w praktycznie każdej organizacji, w szczególności określa proces zarządzania ryzykiem. Podstawowym czynnikiem sukcesu przy wprowadzaniu zarządzania ryzykiem, jest zaangażowanie kierownictwa organizacji i przywództwo w podejmowanych działaniach. Zaangażowanie kierownictwa nie oznacza oczywiście konieczności jego udziału w wykonywaniu wszelkich czynności związanych z funkcjonowaniem systemu. Niemniej konieczne jest, by kierownictwo wspierało funkcjonowanie procesu np. poprzez zapewnienie wystarczających zasobów, czy dostęp do kompetencji. Bardzo ważny jest też udział kierownictwa w podejmowaniu decyzji odnośnie postępowania z ryzykiem organizacji, a także uwzględnianiu wyników szacowania ryzyka w podejmowaniu decyzji biznesowych. Wprowadzenie zarządzania ryzykiem musi wychodzić od określenia kontekstu zarządzania nim (patrz Rysunek 2 Proces zarządzania ryzykiem). Kontekst opisuje organizację, jej misję, cele i wizję, wpisuje się w strategię oraz uwzględnia procesy biznesowe funkcjonujące w ramach organizacji. Bardzo istotnym elementem kontekstu jest określenie otoczenia organizacji zarówno na poziomie logicznym: interesariusze, konkurencja, dostawcy, wymagania prawne, itd., jak również na poziomie fizycznym – np. umiejscowienie magazynów. Określenie kontekstu jest podstawowym źródłem wiedzy o niepewnościach np. umiejscowienie magazynów może nieść ryzyko (gdy są umieszczone na terenie zalewowym) i jednocześnie może być szansą (gdy są umiejscowione blisko odbiorców). Ocena ryzyka •Identyfikacja ryzyka •Analiza ryzyka •Ewaluacja ryzyka Monitorowanie i przegląd Komunikacja i konsultacje Ustanowienie kontekstu Postępowanie z ryzykiem Rysunek 2. Proces zarządzania ryzykiem 7 Kolejnym ważnym elementem wprowadzenia zarządzania ryzykiem jest określenie polityki, która m.in. podaje strategiczne podejście do wprowadzenia mechanizmów zarządzania nim. Zapisy polityki zarządzania są podstawowym narzędziem uzasadnienia sposobów zarządzania ryzykiem oraz wskazówką powiązania pomiędzy celami organizacji a ryzykiem. Niezmiernie ważnym elementem polityki bezpieczeństwa jest określenie sposobów mierzenia i raportowania wyników zarządzania ryzykiem. Skuteczność zarządzania ryzykiem zależy w znacznym stopniu od skuteczności komunikowania ryzyka. Komunikowanie ryzyka musi objąć personel organizacji, w szczególności właścicieli ryzyk oraz musi objąć interesariuszy zewnętrznych. Wprowadzenie skutecznych metod komunikacji ma zapewnić właściwe informowanie o ryzyku, ale przede wszystkim ma usprawniać przekazywanie informacji o czynnikach wpływających na ryzyko celem podejmowania odpowiednich działań. Określenie wielkości ryzyka, a więc określenie niepewności wpływającej na cele, następuje w procesie oceny ryzyka, na który składa się: •unikanie ryzyka – np. wycofanie się z wprowadzenia ryzykownej usługi; •minimalizowanie ryzyka – np. zastosowanie dodatkowego zabezpieczenia; •dzielenie się ryzykiem – np. ubezpieczenie się od zalania; •akceptacja ryzyka – przyjęcie ryzyka w takiej wielkości, jak oszacowano. Zarządzanie ryzykiem musi być powiązane z precyzyjnym monitorowaniem. Musi ono obejmować zarówno monitorowanie zmian w ryzyku, jak też monitorowanie poprawności funkcjonowania procesu zarządzania ryzykiem, w tym monitorowanie postępowania z ryzykiem. Monitorowanie jest szczególnie ważne w przypadku ryzyk, które zostały zaakceptowane pomimo wysokiego poziomu ryzyka. Domknięcie procesu zarządzania ryzykiem jest dokonywane przez wprowadzenie mechanizmów doskonalenia. Doskonalenie ma obejmować przede wszystkim: •proces zarządzania ryzykiem; •identyfikacja ryzyka; •sposoby analizy i oceny ryzyka; •analiza ryzyka; •sposoby postępowania z ryzykiem. •ewaluacja ryzyka. Sposób oceny ryzyka i zastosowanie odpowiedniej metodyki należy dobrać w odniesieniu do analizowanego procesu, a także specyfiki organizacji. W wyniku oceny ryzyka, określone zostają ryzyka dla których należy określić sposób postępowania. W klasycznym ujęciu, wyróżniamy cztery metody postępowania z ryzykiem: Podsumowanie Niepewność otaczająca każdego człowieka i każde działanie niesie ze sobą ryzyko. Wiedząc jednak, że ryzyko to nie tylko zagrożenie, ale również szansa, skupiajmy się na wykorzystywaniu szans. Pamiętając, że każdy zarządza ryzykiem – doskonalmy stosowane metody – to jest właściwa droga do oceniania i eksploatowania pojawiających się możliwości. Sebastian Pikur Ekspert ds. bezpieczeństwa oraz architekt rozwiązań w Infovide-Matrix SA. Ma ponad dziesięcioletnie doświadczenie w realizacji projektów teleinformatycznych, w tym realizacji dużych projektów IT dla administracji publicznej. Legitymuje się certyfikatami CISA, CISSP, ISO 27001 Lead Auditor, ISO 22301 Lead Auditor. 8 Strategie bezpieczeństwa w IT Krzysztof Labiak, itelligence Kluczem funkcjonowania każdego przedsiębiorstwa jest zapewnienie jego ciągłości działania. W świecie elektronicznego przetwarzania danych podstawowym aspektem jest opracowanie, wdrożenie i respektowanie polityki bezpieczeństwa informacji. Niestety w realnym świecie nie istnieje technologia, która potrafi z pełną skutecznością zabezpieczyć naszą infrastrukturę IT. Dlatego wielu menedżerów IT czy innych osób odpowiedzialnych za bezpieczeństwo skupia się na ochronie danych w kontekście ciągłej pracy nad wdrażaniem różnych technologii zabezpieczających. Opracowują standardy, analizują ryzyka z uwzględnieniem tak zwanego czynnika ludzkiego, czy ostatecznie fizycznego zabezpieczenia pomieszczeń, w których dane się znajdują, na przykład instalacja przeciwwłamaniowa, przeciwpożarowa, opracowanie kontroli dostępu itd. Kroki jakie należy podejmować w kontekście bezpieczeństwa zależą od wielu czynników, takich jak zakres prowadzonej działalności czy dostępności zasobów ludzkich, technologicznych i finansowych. Przy ich opracowaniu warto posługiwać się gotowymi standardami bezpieczeństwa takimi jak ITSEC, ISO 15408. Dokumenty te w dość precyzyjny sposób formalizują podejście do bezpieczeństwa. Ogólnie jednak możemy wyróżnić kilka filarów bezpieczeństwa takich jak: poufność, integralność, poziom dostępności. Dodatkowo należy również wziąć pod uwagę zgodność z legislacjami obowiązującymi w danym kraju i dotyczącymi określonej branży. Z tych powodów strategie bezpieczeństwa stosowane w firmach z branży medycznej będą odmienne od tych w koncernie samochodowym. Architekci bezpieczeństwa w chwili obecnej dysponują kilkudziesięcioletnim doświadczeniem w branży IT. Przy budowie rozwiązań mogą opierać się również na wielu międzynarodowych normach. Ponieważ zmieniają się technologie IT, również sposoby penetracji danych ulegają ciągłej zmianie. Rewidują się też wymagania funkcjonalne systemów. W związku z tym proces zapewnienia bezpieczeństwa jest procesem ciągłym i dynamicznym. Wyzwania stojące przed osobami zaangażowanymi w bezpieczeństwo są ogromne. Dla przykładu oprogramowanie, które jest przecież tylko jednym z elementów składowych rozpatrywanych w kontekście bezpieczeństwa jest narażone na błędy projektowe, programistyczne, związane z konfiguracją czy dalszym rozwojem. Idealne oprogramowanie realizujące tylko i wyłącznie funkcje, do których zostało stworzone, podobnie jak idealne technologie zabezpieczające, po prostu nie istnieje. Dlatego elementy związane z wdrożeniem, czasem życia aplikacji muszą być częścią składową polityki bezpieczeństwa. Oprócz klasycznych zagrożeń, z którymi specjaliści IT borykają się od wielu lat, w chwili obecnej dodatkowo należy rozważyć zagrożenia związane z dodatkowymi warstwami oprogramowania i sprzętu związanymi z wirtualizacją. Wiąże się z tym przetwarzanie w chmurze publicznej i prywatnej. Również wykorzystywanie urządzeń mobilnych staje się standardem. Dane firmy często też są przechowywane na urządzeniach, które nie są ich własnością. Ważne jest również to, aby w proces bezpieczeństwa informacji zaangażowani byli wszyscy pracownicy przedsiębiorstwa, od szczebla kierowniczego poprzez pracowników w siedzibie firmy, pracowników terenowych aż po wszystkie współpracujące firmy outsourcingowe a nawet klienci. Pracownik przedsiębiorstwa musi być częścią polityki bezpieczeństwa. Jest to element, który w istotny sposób może poprawić bezpieczeństwo przetwarzanych danych. Należy pamiętać, że zazwyczaj to właśnie tzw. czynnik ludzki odpowiada za zdecydowaną większość problemów związanych z incydentami bezpieczeństwa. 9 Polityka bezpieczeństwa musi być kompleksowa, ale też jak najprostsza. Skomplikowane procedury w praktyce są pomijane. Musi też obejmować bardzo szeroki wachlarz dziedzin od poprawności wykonania kopii zapasowych do zagrożeń związanych np. z niedostępnością serwerów czasu NTP, które ostatnio narażone były na ataki. Respektowanie polityki bezpieczeństwa firmy, przestrzegania zasad jest obecnie jednym z najważniejszych elementów funkcjonowania każdego nowoczesnego przedsiębiorstwa. Krzysztof Labiak Administrator systemów IT w firmie itelligence sp. z o.o. Absolwent Uniwersytetu Adama Mickiewicza w Poznaniu, Wydział Matematyki i Informatyki. Swoje doświadczenie zdobywał w jednym z największych szpitali w Poznaniu na stanowisku specjalisty informatyka, gdzie odpowiadał przede wszystkim za ciągłość działania serwerów oraz środowiska sieciowego poprzez utrzymanie bieżącej infrastruktury oraz wdrażanie nowych technologii. W itelligence odpowiedzialny za wirtualizację, administrację i opiekę nad wirtualizatorami, systemami i hardware klientów, a także prace projektowe Hyper-V. [email protected] 10 Uwaga na BYOD! Krzysztof Wójtowicz, Check Point Software Technologies Polska W 2014 roku stanęliśmy w obliczu prawdziwej epidemii przestępstw w sieci, a małe i średnie przedsiębiorstwa stały się głównym celem hakerów. Rosnąca popularność BYOD i technologii chmury stały się furtką do kolejnych ataków, po których mniejsze firmy rzadko są w stanie się podnieść. Dlatego warto się zabezpieczyć. Bring or not to bring? Wśród zjawisk niosących największe zagrożenie dla ochrony danych, coraz częściej wymienia się BYOD (Bring Your Own Device), czyli przynoszenie do firmy i używanie przez pracowników prywatnych telefonów i tabletów. Według badań, aż 94% firm zaobserwowało rosnącą liczbę prywatnych urządzeń przenośnych, łączących się z firmową siecią (Dimensional Research, 2012). Bez tego rodzaju mobilności, trudno byłoby nam się obyć – zwiększa to naszą produktywność, odrywa od biurek, pozwala na pracę w podróży. Jednak wiąże się z tym wiele zagrożeń – na smartfonach i tabletach pracownicy często przechowują ogromną ilość prywatnych i służbowych danych, a urządzenia te łączą się z firmową siecią. Przedsiębiorstwa coraz ostrożniej muszą więc ważyć proporcje między ich mobilnością, a bezpieczeństwem. Bo priorytetem staje się ochrona poufnych informacji. Miliardy dolarów strat Codziennie na świecie dokonywanych jest ponad sto tysięcy nieznanych ataków na użytkowników sieci i kilkadziesiąt tysięcy ataków na strony www. W Polsce jest ich około 7-8 milionów rocznie. Choć należymy do grona państw o średnim zagrożeniu, to wyprzedzamy np. Czechy i Słowację. Szacuje się, że straty rodzimych firm w 2013r. mogły sięgnąć 100 milionów złotych. Ale to i tak znacznie mniej niż w Stanach Zjednoczonych, gdzie przedsiębiorstwa w wyniku ataków tracą 250 miliardów dolarów rocznie. Hakerzy coraz częściej za cel obierają sobie także urządzenia mobilne – w 2013 r. liczba ataków na telefony i tablety wzrosła aż sześciokrotnie. Według prognoz, liczba wirusów mobilnych może wkrótce przewyższyć tą przygotowywaną na komputery osobiste. Już dziś, jest ich 650 tysięcy odmian. Uchronić się przed atakiem Polskie przedsiębiorstwa popełniają błąd, skupiając się jedynie na ochronie systemów i zapominając o zabezpieczeniu baz danych. A to właśnie firmy, które przechowują wrażliwe dane, są najbardziej narażone na ataki. Z badań przeprowadzonych w 2013r. przez Check Point Software Technolgies wynika, że prawie połowa firm (42%) zanotowała straty powyżej 100 tysięcy dolarów. Mimo to, tylko niewiele ponad połowa z nich (53%) planuje zwiększenie wydatków na ochronę IT w tym roku (Kapsch, 2013). Niebezpieczeństwo w chmurze Zagrożone mogą być także te dane, które firmy decydują się przechowywać w wirtualnej przestrzeni, tzw. chmurze. Technologia Cloud Computing umożliwia zapis danych poza dyskiem i gwarantuje, że nie zostaną one w żaden sposób skasowane, a co ważniejsze, będą dostępne z każdego komputera na świecie. Jednak takie rozwiązanie stwarza zagrożenie wycieku poufnych danych w niepowołane ręce. 11 Według ekspertów Check Point Software Technologies istnieje kilka prostych zasad, które pomagają zabezpieczyć firmę: takich jak Firewall Next Generation (NGFW) od Check Point, oraz zabezpieczać stacje robocze za pomocą programów antywirusowych, antyspamowych i antyphishingowych. 1. Popularne hasła to złe hasła Hasła to pierwsza linia ochrony, jeżeli chodzi o bezpieczeństwo IT. Cyberprzestępcy włamujący się do sieci będą na początku próbować najpopularniejszych haseł. 2. Zabezpiecz każde wejście Wystarczą tylko jedne otwarte drzwi, aby haker dostał się do sieci. Sieć należy zabezpieczyć tak samo jak zabezpiecza się dom – zamykając wszystkie możliwe wejścia do naszego komputera. Najlepiej stosując silne hasła, korzystać z Firewalla lub lepiej rozwiązań bardziej szeroko zabezpieczających sieć firmową 3. Segmentacja sieci Jedną z metod ochrony sieci jest podzielenie jej na strefy – np. jedną dla działań przedsiębiorstwa, a drugą dla gości, w której klienci będą mogli korzystać z Internetu, jednak bez możliwości połączenia się z Twoją siecią wewnętrzną. 4. Definiuj, edukuj i wymagaj przestrzegania polityki bezpieczeństwa Warto poświęcić trochę czasu i zastanowić się, z których aplikacji można swobodnie korzystać w sieci wewnętrznej, a które powinny być zablokowane. Przede wszystkim należy zdefiniować politykę dotyczącą prawidłowego korzystania z sieci zawierającą dozwolone oraz niedozwolone aplikacje i strony. 5. Zagrożenie w trakcie korzystania z portali społecznościowych Portale społecznościowe są dla hakerów prawdziwą kopalnią wiedzy na temat ludzi, a informacje z nich pochodzące zwiększają prawdopodobieństwo skutecznie przeprowadzonego ataku. Ataki typu phishing, spearphising czy oparte o inżynierię społecznościową zaczynają się od zbierania prywatnych danych dotyczących poszczególnych osób. 6. Zaszyfruj wszystko, co się da 12 Jeden wyciek danych może być prawdziwym ciosem dla firmy lub jej reputacji. Warto zabezpieczyć swoje wrażliwe dane stosując szyfrowanie. Taki proces powinien być też łatwo dostępny dla pracowników. 7. Dbaj o swoją sieć jak o swój samochód 9. Nie przyznawaj każdemu praw administratora Regularny przegląd i audyt sieci oraz urządzeń sprawią, że sieć będzie funkcjonowała bezpiecznie. Warto, aby systemy operacyjne były zawsze zaktualizowane do najnowszej wersji, podobnie jest z innymi aplikacjami i programami. 8. Ostrożność w chmurze Przechowywanie danych i aplikacje osadzone w chmurze są obecnie bardzo popularne. Ale warto być ostrożnym. Każda treść przesłana do chmury staje się otwarta dla przestępców w sieci. Ograniczenie dostępu pracowników do poziomu konta użytkownika redukuje możliwości złośliwego oprogramowania (tzw. malware) w stosunku do jego możliwości w przypadku działania z uprawnieniami administratora. 10. Nie wpuszczaj słonia BYOD do składu porcelany Zacznij od zdefiniowania polityki Bring Your Own Device. Wiele firm unika tego tematu, jednak trend BYOD staje się coraz silniejszy. Nie wpuszczaj słonia do składu porcelany! Jest to znowu kwestia edukacji użytkowników. Krzysztof Wójtowicz Managing Director Check Point Software Technologies Polska Od lat związany z rynkiem telekomunikacyjnym i IT. W Check Point, gdzie pracuje od 2007 roku, odpowiada m.in. za strategię wprowadzania i dystrybucji nowych usług i rozwiązań Check Point na polskim rynku oraz za współpracę z partnerami handlowymi firmy. Spółka Check Point Software Technologies Ltd., światowy lider w dziedzinie bezpieczeństwa jest jedynym producentem zapewniającym całkowite bezpieczeństwo sieci, danych oraz urządzeń końcowych w jednej strukturze zarządzania. Check Point zapewnia klientom ochronę przed wszelkimi rodzajami zagrożeń, ogranicza złożoność systemu bezpieczeństwa i obniża koszty własności. Innowacyjne rozwiązania Check Point zapewniają bezpieczne, elastyczne i proste rozwiązana, które można w łatwy sposób implementować i dostosowywać do specyficznych potrzeb różnych środowisk. 13 Ochrona dostępności i treści stron internetowych Robert Dąbrowski, Fortinet Strony internetowe stanowią w dzisiejszym społeczeństwie kluczowy kanał informacyjny oraz biznesowy. Dla większości użytkowników Internetu portale kojarzą się w pierwszej kolejności ze źródłem codziennych informacji społecznych, politycznych, gospodarczych czy sportowych. To z ich poziomu obecni i potencjalni klienci szukają informacji o firmie i jej produktach oraz dokonują zakupów, a partnerzy handlowi uzyskują dostęp do zasobów. W ostatnim czasie w Polsce byliśmy świadkami masowego wykorzystania informacji dostępnych online podczas mistrzostw Europy w piłce nożnej EURO 2012, obecnie obserwujemy śledzenie i komentowanie na dużą skalę wydarzeń politycznych w kontekście sytuacji na Ukrainie. Strona WWW jest dostępna dla każdego. To czyni ją naturalnym celem dla cyberprzestępców, hakerów i tzw. Haktywistów, dziś wiemy, 14 że także dla osób działających na zlecenie sił politycznych – frakcji, partii a nawet agencji rządowych. Niezależnie od zakładanego celu oraz sposobu przeprowadzenia ataku, może mieć on poważne konsekwencje, w tym utrudniony dostęp do informacji, dezinformację, utratę dochodów, narażenie na szwank reputacji instytucji oraz kradzież poufnych informacji. Media regularnie donoszą o atakach na strony internetowe firm, a także organizacji publicznych samorządowych oraz centralnych. Wyzwania w zakresie ochrony aplikacji WWW Podstawowym wyzwaniem przy ochronie aplikacji WWW jest zapewnienie ich dostępności. Ataki DDoS przestały wykorzystywać jedynie wysycenie łącza, ale stały się bardziej zaawansowane i w sposób trudny do wykrycia potrafią zaburzyć pracę serwerów uniemożliwiając dostęp do prezentowanych treści. Anatomia ataku DDoS w zabezpieczeniach systemu operacyjnego Badania przeprowadzone przez firmę Verizon pokazały, że dwa najczęstsze motywy ataków na strony internetowe to kradzież (w celu osiągnięcia np. przewagi technologicznej) oraz tzw. haktywizm (wyraz niezadowolenia lub protestu). Ataki te są przeprowadzane za pomocą eksploitów wykorzystujących luki lub aplikacji WWW. Z kolei bardziej zaawansowane ataki, takie jak SQL injection czy cross-site scripting, przeprowadza się w celu uzyskania dostępu do poufnych danych. Nierzadko wektor ataku mającego na celu zmianę publikowanych treści pochodzi z wewnątrz sieci po przejęciu kontroli nad komputerami danej organizacji. 71% Korzyść finansowa lub osobista 96% 25% Zabawa, ciekawość, duma 3% Niezadowolenie lub protest 3% Uraza, przesłanki osobiste 3% 1% 25% Wszystkie firmy i instytucje Duże firmy i instytucje Raport firmy Verizon nt. przypadków naruszenia bezpieczeństwa danych, 2012 r. Dezinformacja polegająca na podmianie dostępnych na portalu treści jest możliwa do wykrycia i skorygowania stosunkowo skutecznie, ale działalność na forach internetowych przeszkolonych agentów lub wyrafinowanych botnetów wyrządza szkody trudne do oszacowania i naprawienia. Wprowadza w błąd opinię publiczną, wywołuje konflikty, utrwala fałszywe, często absurdalne poglądy. Problemy związane z ochroną stron internetowych i aplikacji biorą się przede wszystkim z ich architektury i dynamiki. O ile zapewnienie bezpieczeństwa sieci jest względnie łatwe – wystarczy zdefiniować reguły bezpieczeństwa autoryzujące lub blokujące określony rodzaj ruchu z/do sieci/serwerów – o tyle strony internetowe składają się z setek, a nawet tysięcy różnych elementów, obejmujących adresy URL, parametry i pliki cookie. Ręczne definiowanie reguł dla poszczególnych elementów jest praktycznie niewykonalne, a ponadto uniemożliwia skalowalność. Inna zasadnicza różnica pomiędzy regułami stosowanymi na firewallu w porównaniu do platform do ochrony aplikacji webowych w kontekście kategoryzacji i filtrowania aplikacji czy adresów URL dotyczy kierunku działania. Filtrowanie URL na firewallu działa w kierunku 15 do Internetu, jeżeli chcemy chronić portal musimy polegać na reputacji użytkowników. Trudno oczekiwać, że atak będzie prowadzony z określonych państw, dlatego oprócz GEO lokalizacji należy posłużyć się reputacją adresów IP pod kątem botnetów czy proxy internetowych pozwalających zachować anonimowość. Ochrona zasobów internetowych organizacji Ochrona zasobów internetowych firmy musi być kompleksowa, tzn. musi obejmować zarówno stronę i powiązane z nią aplikacje, jak i sieć. Fortinet zaleca ochronę aplikacji WWW obejmującą następujące elementy: •Bezpieczne techniki tworzenia aplikacji i aktualizacje kodu źródłowego. Bezpieczne tworzenie aplikacji w ramach cyklu programowania powinno być integralną częścią każdego projektu tworzenia aplikacji. Dzięki postępowaniu według wytycznych Open Web Application Security Project (OWASP) i innych organizacji, użytkownicy mogą tworzyć bezpieczniejsze i bardziej zaufane aplikacje, co zmniejsza liczbę ewentualnych eksploitów w całym cyklu programowania. FortiDDoS-2000B 16 •Ocena luk w zabezpieczeniach aplikacji WWW oraz testy penetracyjne. Aplikacje należy weryfikować ręcznie lub za pomocą narzędzi do automatycznej oceny luk w zabezpieczeniach w celu identyfikacji podatności. •Ochrona przed atakami DDoS. Organizacje muszą zrozumieć, że ataki DDoS mogą mieć różne oblicza i różne cele. Dlatego kluczowe jest komplementarne zastosowanie filtrowania ruchu po stronie operatora chroniące przed wysyceniem pasma na łączu internetowym oraz filtrowania ruchu w centrum danych. Filtrowanie w centrum danych pozwala chronić przed atakami w warstwie aplikacji zużywającymi zasoby serwerowe, a także zablokować ruch z niepożądanych regionów geograficznych, botnetów oraz proxy internetowych. Dedykowane rozwiązania anty DDoS gwarantują ochronę i wymaganą wydajność dzięki zastosowaniu specjalizowanych układów ASIC. • Web Application Firewall (WAF). WAF pozwala firmom i instytucjom wykrywać i blokować ataki wymierzone w warstwę aplikacji. Oprócz tradycyjnych zabezpieczeń sieciowych warto zastosować specjalizowane rozwiązanie WAF, jako że zwykłe zapory są projektowane z myślą o wykrywaniu i unieszkodliwianiu ataków na poziomie sieci i portów, nie zaś aplikacji. Do swojego dotychczasowego firewalla sieciowego można dodać Web Application Firewall i dzięki temu spełnić specyficzne wymagania wobec aplikacji WWW oraz zwiększyć ogólny poziom bezpieczeństwa sieci. Zaawansowane rozwiązania Fortinet: FortiDDoS, FortiGate i FortiWeb pozwalają na skuteczne reagowanie na pojawiające się wyzwania w zakresie zapewnienia dostępności oraz ochrony dostarczanych treści. Rozwiązanie FortiDDoS jest wyposażone w nowy, oparty na analizie behawioralnej mechanizm unieszkodliwiania ataków. Urządzenie tworzy wzorzec normalnego zachowania aplikacji, a następnie monitoruje ruch sieciowy względem takiego wzorca. W przypadku pojawienia się ataku, FortiDDoS potraktuje go jak anomalię i podejmie natychmiastowe działania w celu ograniczenia jego skutków. Pozwala to identyfikować aktualne i przyszłe zagrożenia oraz ograniczać ich skutki w oparciu o ich wzorce i zawartość. Urządzenia nie wymagają aktualizacji sygnatur, dzięki czemu zapewniają lepszą ochronę przed atakami typu zero-day poprzez dynamiczne monitorowanie charakterystyki ruchu. Bardzo krótki czas reakcji i blokowania zagrożeń, możliwy dzięki zastosowaniu zaawansowanych procesorów ASIC, pozwala na bieżąco dokonywać ponownej oceny ataków. Ogranicza to negatywny wpływ fałszywych alarmów w momencie, gdy ruch sieciowy wraca do normy. Fortinet to jedyna firma, która w swoich produktach do ochrony przed atakami DDoS stosuje w pełni dedykowane procesory ASIC. Takie podejście eliminuje koszty ogólne występujące w systemach opartych na zwykłych procesorach lub układach hybrydowych. Druga generacja procesorów sieciowych FortiASIC-TP2 umożliwia wykrywanie ataków DDoS i ograniczanie ich skutków przez pojedynczy procesor obsługujący każdy rodzaj ruchu w warstwach 3, 4 i 7 warstwy aplikacyjnej OSI/ISO. Konkurencyjne rozwiązania korzystają z różnych kombinacji procesorów. W przypadku takich rozwiązań część ruchu jest przypisana do procesora ASIC, a część do zwykłego procesora, przy czym w niektórych modelach zwykły procesor obsługuje całość ruchu. Prowadzi to do powstawania wąskich gardeł i obniżenia ogólnej wydajności systemu. Jeżeli są Państwo zainteresowani przetestowaniem rozwiązań Fortinet, prosimy o wypełnienie formularza: http://www.fortinet.pl/kontakt/testy Robert Dąbrowski Senior System Engineer, Fortinet Polska Ma za sobą 16-letnie doświadczenie w pracy z systemami teleinformatycznymi. Pracował między innymi 9 lat w Alcatel Polska jako inżynier systemowy oraz 2,5 roku w Solidex jako kierownik zespołu konsultantów. Uczestniczył w wielu rozbudowanych projektach sieciowych mających na celu zapewnienie bezpieczeństwa informacji w infrastrukturze przedsiębiorstw oraz operatorów telekomunikacyjnych. W Fortinet od lipca 2009. 17 Jak stworzyć zespół odpowiedzialny za bezpieczeństwo Publikujemy dla Państwa skrót z raportu rady Security for Business Innovation Council. •Rada Security for Business Innovation Council (SBIC) twierdzi, że funkcja zapewniania bezpieczeństwa informacji powinna obejmować swoim zasięgiem całe przedsiębiorstwo. Zabezpieczenia należy wbudowywać w procesy biznesowe, a zespoły ds. bezpieczeństwa powinny ściśle współpracować z jednostkami biznesowymi w zakresie zarządzania ryzykiem zagrażającym bezpieczeństwu informacji oraz minimalizacji zagrożeń z cyberprzestrzeni. •Członkowie rady SBIC sformułowali siedem zaleceń, które mają pomóc przedsiębiorstwom w tworzeniu nowoczesnych zespołów ds. bezpieczeństwa, dysponujących zróżnicowanymi umiejętnościami, które będą niezbędne do realizowania rozszerzonego zakresu obowiązków związanych z zarządzaniem ryzykiem zagrażającym zasobom informacyjnym przedsiębiorstwa. •Zalecenia członków rady SBIC zostały przedstawione w nowym raporcie udostępnionym przez RSA. Informacje szczegółowe RSA®, dział zabezpieczeń firmy EMC® Corporation, opublikował raport specjalny rady Security for Business Innovation Council (SBIC), w którym przedstawiono zasady tworzenia przyszłościowego programu bezpieczeństwa – począwszy od powołania nowoczesnego zespołu ds. bezpieczeństwa informacji, aż po zarządzanie cyklem życia zagrożeń z cyberprzestrzeni, występujących w dzisiejszych globalnych przedsiębiorstwach. W ciągu ostatnich miesięcy odnotowano znaczne zmiany w ogólnych wymaganiach dotyczących skuteczności działania 18 zespołów ds. bezpieczeństwa informacji. Zmiany te zostały wymuszone upowszechnieniem się w środowiskach biznesowych różnych form komunikacji sieciowej, pojawianiem się nowych zagrożeń, wdrażaniem nowych technologii oraz wprowadzaniem coraz bardziej restrykcyjnych przepisów. W związku z tym zmieniają się zakresy działań i obowiązków zespołów ds. bezpieczeństwa informacji w przedsiębiorstwach. W najnowszym raporcie pt. Transforming Information Security: Designing a Stateof-the Art Extended Team (Zmiana zasad zapewniania bezpieczeństwa informacji: tworzenie nowoczesnego zespołu) stwierdzono, że zespoły ds. bezpieczeństwa informacji muszą się rozwijać i zdobywać kwalifikacje, które w dziedzinie zapewniania bezpieczeństwa nie były wcześniej potrzebne. Są to między innymi umiejętność zarządzania ryzykiem biznesowym oraz wiedza z zakresu prawa, marketingu, matematyki i zakupów. System zapewniania bezpieczeństwa informacji musi także obejmować model wspólnej odpowiedzialności, w ramach którego odpowiedzialność za zabezpieczanie zasobów informacyjnych jest ponoszona wspólnie z menadżerami i dyrektorami działów biznesowych przedsiębiorstwa. Kierownictwa firm zaczynają rozumieć, że w dzisiejszych czasach ryzyko biznesowe obejmuje również zagrożenia z cyberprzestrzeni. W zespołach ds. bezpieczeństwa występują braki w wielu kompetencjach technicznych i biznesowych niezbędnych do realizowania rozszerzonego zakresu obowiązków spoczywających na tych zespołach. Konieczne więc będzie opracowanie nowych strategii zdobywania i pogłębiania takich kompetencji we własnym zakresie, a także korzystania z wiedzy specjalistycznej usługodawców zewnętrznych. Aby pomóc przedsiębiorstwom w stworzeniu nowoczesnego zespołu ds. bezpieczeństwa, rada SBIC sformułowała siedem zaleceń: 1. Ponowne zdefiniowanie i rozwój podstawowych kompetencji – zespół główny powinien poszerzać kwalifikacje w czterech dziedzinach: analiza zagrożeń z cyberprzestrzeni oraz danych nt. bezpieczeństwa; zarządzanie danymi nt. bezpieczeństwa; doradztwo w zakresie ryzyka oraz projektowanie i wdrażanie mechanizmów kontroli. 2. Delegowanie czynności rutynowych – należy powierzać wykonywanie powtarzalnych, sprawdzonych procesów z zakresu zapewniania bezpieczeństwa działowi informatyki, jednostkom biznesowym i/lub usługodawcom zewnętrznym. 3. Wypożyczanie lub wynajmowanie ekspertów – w określonych specjalizacjach należy uzupełniać główny zespół ekspertami wewnętrznymi i zewnętrznymi. 4. Kierowanie właścicielami ryzyka w zakresie zarządzania ryzykiem – należy współpracować z jednostkami biznesowymi w zakresie zarządzania ryzykiem zagrażającym bezpieczeństwu w cyberprzestrzeni oraz koordynować wypracowywanie spójnego podejścia. 5. Wynajmowanie specjalistów ds. optymalizacji procesów – należy zadbać o to, aby w zespole znaleźli się specjaliści z doświadczeniem i certyfikatami w zakresie zarządzania jakością, projektami lub programami, optymalizacji procesów i świadczenia usług. 6. Budowanie kluczowych relacji – należy zdobywać zaufanie kluczowych podmiotów oraz możliwości wywierania na nie wpływu. Do podmiotów takich należą właściciele kluczowych procesów, kierownictwo średniego szczebla oraz usługodawcy zatrudniani na zasadzie outsourcingu. 7. Dbałość o rozwijanie kwalifikacji pracowników z myślą o przyszłych potrzebach – z uwagi na brak potrzebnych specjalistów, w przypadku większości przedsiębiorstw, jedynym przyszłościowym rozwiązaniem jest rozwój kwalifikacji pracowników. Szczególnie przydatne będzie zdobywanie umiejętności w dziedzinach, takich jak tworzenie oprogramowania, analiza biznesowa, zarządzanie finansami, wywiad wojskowy, prawo, ochrona danych osobowych, analityka danych oraz złożona analiza statystyczna. 19 ENTERPRISE INFORMATION SECURITY TEAMS Old School STATE ART VS OF THE M I S S I O N Concentrates on conventional security activities such as: Shifts focus to businesscentric and advanced technical activities such as: Developing policy Implementing and operating security controls Business risk analysis Asset valuation IT supply chain integrity Cyber threat intelligence Security data analytics Data warehousing Process optimization E X P E R T I S E IT professionals with security skills Multidisciplinary group of specialists with diverse business leadership and technical skills F O C U S Focuses on reactive and day-to-day activities Focuses on proactive and strategic activities A P P R O A C H Siloed approach with “we’ll do it all ourselves” attitude D.I.Y. V I E W Check-list or compliance view whereby Security’s goal is to mitigate all risks 20 Collaborative approach with shared accountability for protecting information O F R I S K Business units own the risk/reward decisions. Security operates a risk consultancy to advise the business on assessing and managing risks T H R E A T D E T E C T I O N Look at security events generated by dedicated security devices Use intelligence-driven security to detect malicious activity within business processes Collect data from various internal and external sources Apply data-enrichment and analytics techniques C O N T R O L S O P E R A T I O N Basic infrastructure security controls are operated by Security Selected, well-established, repeatable security processes are delegated to internal and external service providers Governed by Security through Service Level Agreements (SLAs) C O N T R O L S A S S E S S M E N T Auditors periodically assess security controls using manual methods P R O C E S S Controls assurance analysts continuously collect evidence on the efficacy of security controls using more automated methods. Auditors use this evidence in their assessments I M P R O V E M E N T S Security processes are improved on an ad-hoc basis Security processes are consistently tracked, measured, and optimized based on process expertise and formalized methods T A L E N T Mostly backgrounds in IT and security TWEET THIS www.emc.com/rsa-sbic11 Broadened to also include backgrounds such as data science, math, history, economics, military intelligence, and business analysis An industry initiative sponsored by Największe zagrożenia dla bezpieczeństwa w sieci w roku 2014 Raport Fundacji Bezpieczna Cyberprzestrzeń Trochę historii – przegląd najważniejszych wydarzeń w 2013 roku Edward Snowden były pracownik CIA (Central Intelligence Agency) i NSA, w 2013 ujawnił na łamach prasy informacje o PRISM, programie inwigilacji prowadzonym przez NSA. Nie wnikając w wątki polityczne w tej sprawie jedno jest pewne, sensacyjne informacje Edwarda Snowdena sprawiły, że kwestie bezpieczeństwa w sieci Internet stały się dostrzegane już nie tylko przez specjalistów. Od tej pory na temat prywatności i poufności naszych danych prowadzone są niekończące się dyskusje a usługi i serwisy internetowe ułatwiające ochronę prywatnych danych rozkwitają – na przykład obserwujemy to przy okazji wzrostu popularności sieci Tor czy kryptowalut. BitCoin to popularna waluta w świecie cyberprzestępczym, jest trudniejsza do monitorowania przez organy ścigania, przez co stanowi bezpieczniejszą, anonimową metodę płatności. W 2013 kryptowaluty były w kręgu zainteresowań branży bezpieczeństwa. Kaspersky Lab wykrył kampanię, w której cyberprzestępcy wykorzystywali Skype’a do dystrybucji szkodliwego oprogramowania w celu wydobywania Bitcoinów. Cyberprzestępcy stosowali socjotechnikę jako początkowy wektor ataku i pobierali kolejne szkodliwe oprogramowanie do zainstalowania na maszynie ofiary. Współczynnik kliknięć w kampanii wynosił 2 000 na godzinę! Sensacją stała się publikacja raportu Mandianta na temat chińskich ataków APT (Advanced Persistent Threats). Amerykańska firma Mandiant zajmująca się analizą ruchu internetowego i cyberbezpieczeństwem w swoim raporcie opisała włamania przedstawicieli Chińskiej 24 Republiki Ludowej do baz danych organizacji działających głównie w USA, Kanadzie i Wielkiej Brytanii i wykradzenie z nich setek terabajtów danych. W raporcie opisano systematyczne kradzieże danych z co najmniej 141 firm skupionych w branżach uważanych przez Chińczyków jako strategiczne: zbrojeniowej, energetycznej i medialnej. Rok 2013 to ponownie włamanie do firm i wycieki danych: włamanie do Adobe, włamanie do Opery, niemieckiego Vodafone czy do serwisu Evernote. Największe z nich to włamanie do Adobe – ponad 150 milionów wierszy z danymi. Niewątpliwie mamy tu do czynienia z największym do tej pory, opublikowanym i pochodzącym z jednego serwisu wyciekiem listy kont, adresów e-mail i zabezpieczonych haseł. Omawiając najważniejsze wydarzenia roku 2013 nie można pominąć sprawy dynamicznego wzrostu zagrożeń dla platform mobilnych, a głównie popularnego systemu Android. Według Kaspersky Lab, w 2013 r. zidentyfikowano pierwsze botnety osób trzecich, tj. mobilne urządzenia zainfekowane innymi szkodliwymi programami i wykorzystywane przez innych cyberprzestępców do rozprzestrzeniania mobilnego szkodliwego oprogramowania – tak rozprzestrzeniany był najbardziej wyrafinowany trojan dla Androida, znany jako Obad. Mobilne szkodliwe oprogramowanie jest zwykle wykorzystywane do kradzieży pieniędzy właścicieli telefonów. Przeprowadzone przez analityków Trend Micro badania wskazują, że w ciągu ostatnich miesięcy liczba złośliwego oprogramowania i aplikacji, które są niebezpieczne dla użytkowników systemu Android, przekroczyła 1 milion. Rok 2014 – prawdopodobieństwo i poziom zagrożeń Prawdopodobieństwo zagrożenia w przypadku wystąpienia podanego poniżej zagrożenia Skala 1–5 (1 – najmniej groźne, 5 – najbardziej groźne) Phishing z wykorzystaniem poczty elektronicznej i serwisów WWW – 4,39 Zagrożenia w serwisach społecznościowych – 4,35 Zagrożenia dla platformy Android – 4,22 Wycieki baz danych zawierających dane osobowe – 4,00 Ataki na cloud-computing – 3,96 Ataki drive-by download – 3,96 Zagrożenia zawiązane z BYOD – 3,96 Powstawanie botnetów opartych o platformy mobilne – 3,98 Masowe naruszenia prywatności – 3,52 Zagrożenia typu ransome/scareware – 3,52 Zagrożenia dla platformy Windows Phone/Mobile – 3,35 Haktywizm – 3,35 Cyberkonflikty pomiędzy państwami powiązane z atakami dedykowanymi – 3,30 Zagrożenia dla platformy iOS – 2,26 Zagrożenia związane z „Internet of Things”– 2,87 Wykorzystanie gier sieciowych w atakach – 2,87 Jak widać z tego zestawienia – zagrożenie, operacyjnej. Częstsze informacje o kradzieży które jest wręcz klasycznym od wielu lat, zasobów wirtualnych w GVE czy przejmowaniu czyli akcje phishingowe z wykorzystaniem poczty w nich komputerów grających mogą pojawić się elektronicznej i serwisów WWW – wygrywa w każdym momencie. „Internet of Things” tak konkurencję. Gry sieciowe nadal postrzegane są naprawdę dopiero zaczyna wkraczać do naszego jako oaza względnego spokoju. Choć niekoniecznie życia. Stąd pewnie nie za bardzo oczekujemy tak musi być dalej. Na razie słyszymy, o tym, zagrożeń z tej strony. To się też może zmienić że GVE-y (Games and Virtual Environments) jeśli urządzenia staną się bardziej powszechne. powszechnie wykorzystywane są przez agencje Niedawno pojawiła się informacja o pierwszej wywiadowcze do prowadzenia działalności lodówce, dołączonej do botnetu i rozsyłającej spam. 25 Największe zagrożenia w roku 2014 – poziom zagrożenia Prawdopodobieństwo wystąpienia to jedno, ale siła oddziaływania danego zagrożenia to drugie. Nie wszystkie zagrożenia wskazywane jako najbardziej prawdopodobne były jednocześnie wskazywane jako te, których konsekwencje wystąpienia byłyby najbardziej dokuczliwe i najgroźniejsze. Poziom zagrożenia w przypadku wystąpienia podanego poniżej zagrożenia Skala 1–5 (1 – najmniej groźne, 5 – najbardziej groźne) Ataki na cloud-computing – 4,43 Pomiędzy państwami powiązane z atakami dedykowanymi – 4,39 Wycieki baz danych zawierających dane osobowe – 4,00 Masowe naruszenia prywatności – 4,00 Ataki drive-by download – 3,74 Zagrożenia zawiązane z BYOD – 3,57 Zagrożenia dla platformy Android – 3,48 Zagrożenia związane z „Internet of Things” – 3,36 Związane z wykorzystaniem poczty elektronicznej i serwisów WWW – 3,35 Powstawanie botnetów opartych o platformy mobilne – 3,35 Zagrożenia dla platformy Windows Phone/Mobile – 3,14 Zagrożenia w serwisach społecznościowych – 3,13 Zagrożenia dla platformy iOS – 3,13 Zagrożenia typu ransome/scareware – 2,91 Haktywizm – 2,85 Wykorzystanie gier sieciowych w atakach – 2,57 26 Przy niewielkiej dozie wyobraźni można by też uruchamianiu ataków DDoS. Te ataki często pokazać, jak wszystkie te ataki mogą się łączyć. skierowane są na serwery rządowe, a przy okazji Na przykład: wiadomo, że od pewnego czasu włamań do centrów danych mogą następować cyberprzestępcy zaczęli masowo wykorzystywać również ataki na instalowane w nich rozwiązania centra danych do swojej działalności, np.: „chmurowe” i kradzież przetwarzanych w nich danych osobowych. Taki scenariusz to jeden z licznych dowodów na to, że systemy informatyczne, ataki na nie, metody obrony to olbrzymi system naczyń połączonych często następuje synergia pewnych działań jak również wzajemne oddziaływanie ich na siebie. Mamy nadzieję, że dane z naszego raportu mogą być w jakimś stopniu przydatne przy tego typu analizach. Inne możliwe zagrożenia Najgroźniejsze są te zagrożenia których prawdopodobieństwo wystąpienia jest duże, a spowodowane straty poważne. Warto więc najbardziej się przyjrzeć właśnie tym zagrożeniom. Wśród nich znajdują się takie jak: Eksperci, którzy wzięli udział w naszym badaniu, oprócz wskazanych zagrożeń w zestawieniu, zaproponowali również własne. Wśród nich najczęściej pojawiają się dwa: ataki typu DDoS oraz ataki na systemy sterowania przemysłowego typu SCADA. Oprócz tych dwóch najczęściej pojawiających się – eksperci wskazali kilka innych ciekawych. Na przykład: • ataki na cloud-computing (prawdopodobieństwo – 3.96, poziom zagrożenia – 4.43) • Ingerencje służb w Internet powodujące utratę zaufania ludzi do sieci i usług sieciowych •wycieki baz danych zawierające dane osobowe (4.00, 4.00) • Ataki na urządzenia medyczne I instalacje podtrzymujące życie • ataki drive-by download (3.96, 3.74) • Kradzież walut typu BitCoin • Phishing z wykorzystaniem poczty elektronicznej i serwisów WWW (4.22, 3.48) • Backdoory w powszechnie wykorzystywanych algorytmach • Zagrożenia dla platformy Android (4.22, 3.48) • Nowe mechanizmy w rozwoju złośliwego oprogramowania (wykorzystanie sieci anonimowych, destrukcja komputera przy próbie zablokowania botnetu, etc.) Na co zwrócić uwagę najbardziej Taka uproszona analiza ryzyka to oczywiście tylko proste kalkulacje. Każdy sam w zależności od charakteru podmiotu jaki reprezentuje i środowiska teleinformatycznego w jakim działa powinien takową przeprowadzić na swój użytek. • Sniffing w punktach wymianu ruchu • DNS hijacking O raporcie: Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2014 r. jest drugą edycją tego typu raportu po edycji dotyczącej roku 2013. Jednocześnie jest najprawdopodobniej pierwszym tego typu raportem, na wyniki którego składają się głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy. 27 Strzeż tajemnic przedsiębiorstwa Krzysztof Rydlak, SpyShop W ostatnich dwóch latach blisko 50% polskich przedsiębiorstw padło ofiarą przestępstw gospodarczych. Powodem jest utrata poufności strategicznych informacji. Ochrona danych biznesowych to konieczność. Jak zabezpieczać się przed szpiegostwem i nielojalnymi pracownikami? Dane korporacyjne muszą być dobrze chronione. Z powodu ich wycieku 25% polskich przedsiębiorstw może tracić nawet do 3 mln zł w skali roku. Eksperci wykazali, że w ostatnich dwóch latach niemal 70% sieci korporacyjnych było zainfekowanych niezidentyfikowanymi botami, a blisko 50% polskich przedsiębiorstw padło ofiarami przestępstw gospodarczych. – Dzięki nowoczesnym metodom zabezpieczania informacji można tego uniknąć. Aż 52% nieprawidłowości udaje się wykryć już poprzez rutynowe kontrole – mówi Paweł Wujcikowski, ekspert ds. bezpieczeństwa Spy Shop. – Zwiększając bezpieczeństwo danych korporacyjnych można zredukować ryzyko do zera. Rosnący problem Niebezpieczeństwo utraty poufnych informacji dotyczy zarówno średnich, jak i dużych przedsiębiorstw. Kto znajduje się w grupie ryzyka? Analizy ekspertów pokazały, że najbardziej zagrożone są sektory: •finansowy, •handlowy, •telekomunikacyjny. – Ofiarami hakerów najczęściej są firmy, których funkcjonowanie opiera się na rozbudowanych sieciach informatycznych – dodaje Paweł Wujcikowski. Internet to najlepsza droga dotarcia do strategicznych danych korporacji. Specjalnie przygotowane boty, mogą inwigilować firmowe sieci bez wiedzy ich użytkowników. Ocenia się, że ok. 2/3 komputerów połączonych z Internetem jest zainfekowanych podobnymi programami. 28 Jednak to nie ataki z zewnątrz są największą bolączką przedsiębiorców. Z najnowszych raportów wynika, że: •56% przypadków działania na szkodę firmy to wina jej pracowników, •50% z nich to członkowie kadry menadżerskiej. Nielojalność pracowników to spore zagrożenie dla poufności firmowych danych. A co za tym idzie dla płynności finansowej i rozwoju przedsiębiorstw. – Osoby mające dostęp do najważniejszych obszarów w firmie mogą bez problemu ujawniać jej tajemnice – tłumaczy ekspert ds. bezpieczeństwa Spy Shop. – Dlatego interesem pracodawcy jest kontrola aktywności pracowników, szczególnie w kwestii wykorzystania służbowych komputerów i telefonów. Bezpieczne sieci Jak sprawdzić, czy personel nie dopuszcza się nadużyć, a dane są bezpieczne? Najskuteczniejszym rozwiązaniem jest profesjonalny monitoring aktywności pracowników. Rynek oferuje narzędzia, które znacznie ułatwiają ten proces. Są przy tym wysoce dyskretne. Nie przeszkadzają pracownikowi w codziennych obowiązkach, a ten łatwo zapomina o ich obecności w systemie. SpyLogger to specjalna aplikacja monitorująca na komputery osobiste i laptopy. Jej instalacja jest szybka, konfiguracja prosta, a możliwości imponujące. Po podłączeniu pendrive’a ze SpyLoggerem do portu USB komputera, użytkownik uzyskuje dostęp do panelu, w którym może zdefiniować wszystkie funkcje programu. – Aplikacja umożliwia znaczne zwiększenie bezpieczeństwa danych biznesowych – mówi ekspert ds. bezpieczeństwa Spy Shop. – Przede wszystkim daje pewność, że nie są one ujawniane drogą elektroniczną przez samych pracowników. By program działał prawidłowo, należy określić adres e-mail, na który będą przesyłane raporty aktywności monitorowanego komputera. Zawierają one: a gotowy plik trafia na adres e-mail określony podczas konfiguracji. – Sekretem skuteczności programu SpyLogger jest to, że aplikacja pozostaje niewidzialna dla antywirusów. Nie widać jej również w procesach systemowych i w żaden sposób nie obciąża komputera. Mówiąc krótko, nie pozostawia po sobie żadnych śladów – tłumaczy ekspert ds. bezpieczeństwa Spy Shop. •zrzuty ekranu (mogą być generowane z dowolną częstotliwością), Telefon pod kontrolą •pliki HTML z tekstami wpisywanymi na klawiaturze i historią otwieranych programów. Dzięki temu pracodawca wie, które dokumenty były przeglądane na komputerze, jakie maile zostały wysłane oraz z kim pracownik kontaktował się za pomocą komunikatorów i chatów. Dodatkowo administrator może ustalić słowa kluczowe, po których każdorazowym wpisaniu generowane są specjalne zrzuty ekranu. – SpyLogger śledzi wszystkie zmiany oraz operacje wykonane na plikach. Określa, które są najczęściej używane i jakie foldery wzbudzają największe zainteresowanie pracownika – mówi Paweł Wujcikowski. Aplikacja zabezpiecza nie tylko przed wyciekiem danych drogą internetową, ale także przed zgrywaniem ich na nośniki fizyczne. •program wykazuje wszystkie urządzenia podłączane do komputera, •włącznie z pamięciami flash, •informuje o aktywności napędów CD/DVD. Gdy pracodawca nabiera względem pracownika szczególnych podejrzeń, może zdecydować się na generowanie raportów audio. Te są niczym innym, jak zapisem dźwięków zebranych z otoczenia komputera. Nagrywanie odbywa się poprzez wbudowany mikrofon (o ile stanowi on wyposażenie laptopa lub jednostki stacjonarnej), Monitorować można nie tylko firmowe komputery. Eksperci podkreślają wagę kontroli służbowych telefonów, a producenci oprogramowania odpowiadają na istniejące zapotrzebowanie. Stworzyli oni aplikację na telefony komórkowe i smartfony, która może zainteresować każdego ostrożnego przedsiębiorcę. SpyPhone, bo tak nazwa się program, to narzędzie kompleksowej kontroli. Bardzo dyskretne, bowiem w żaden sposób nie zakłóca pracy komórek. Co oferuje? Przede wszystkim zapewnia pełną kontrolę nad sposobem korzystania z telefonu. Mówi o tym, z kim kontaktował się pracownik, jak często i jakie informacje przekazał w trakcie rozmowy. Prócz tego (w zależności od wersji): •umożliwia podsłuchiwanie rozmów na żywo lub ich automatyczne nagrywanie, •zapisuje treść wiadomości SMS i MMS wysyłanych i odbieranych na telefonie, •umożliwia zlokalizowanie telefonu, zwiększając jednocześnie bezpieczeństwo pracownika. Informacja o położeniu zostaje nałożona na mapy Google i jest widoczna na specjalnej stronie internetowej. Dodatkową zaletą SpyPhone jest funkcja podsłuchu lub nagrywania dźwięków z otoczenia komórki. Wystarczy połączyć się z monitorowanym numerem przez telefon nadzorujący albo wysłać żądanie rejestracji głosów. Po zakończeniu nagrywania, plik zostaje przesłany na skrzynkę poczty elektronicznej. 29 Raporty mogą zawierać również: •kopie zdjęć zrobionych telefonem, •wiadomości e-mail i zapis rozmów na komunikatorach internetowych np. Whatsapp, •inne informacje o aktywności telefonu. By skutecznie kontrolować obserwowaną komórkę, należy określić numer nadzorujący, z którego wydawane są polecenia. W tej operacji tkwi sekret dyskrecji programu SpyPhone. – Nielojalni pracownicy są często nieostrożni. Stosując odpowiednie rozwiązania, można łatwo przyłapać ich na gorącym uczynku i zdobyć dowody działań na szkodę przedsiębiorstwa – mówi Paweł Wujcikowski. Poufne rozmowy Firmy, w szczególności te duże, powinny chronić się także przed zagrożeniami z zewnątrz. Szpiegostwo korporacyjne staje się coraz częstszym zjawiskiem. Również w świecie polskiego biznesu. Nieuczciwi konkurenci wykorzystują zaawansowane metody wykradania strategicznych informacji i planów. Szczególnie zagrożone są konferencje oraz strategiczne spotkania zarządu. Dlatego rośnie popularność akustycznych systemów zapobiegających inwigilacji. Urządzenia, takie jak Druid DS-600, oferują najważniejsze funkcjonalności w tej kwestii: •zabezpieczają przed każdym rodzajem podsłuchów, •gwarantują bezpieczną konwersację nawet dla 18 osób, •są odporne na działanie systemów usuwania szumu, •posiadają własne akumulatory i mogą być szybko uruchomione w dowolnym pomieszczeniu. 30 W klasycznych rozwiązaniach stosuje się lokalizatory radiowe, które są w stanie wykryć i odnaleźć źródła sygnałów analogowych i cyfrowych w różnych standardach (mogące być potencjalnymi nadajnikami podsłuchowymi) oraz zagłuszacze blokujące możliwość przesyłania danych drogą radiową. Jednak nie wszystkie podsłuchy mogą być neutralizowane w ten sposób. Druid analizuje dźwięki prowadzonej rozmowy i generuje zakłócenia akustyczne, które skutecznie maskują treść konwersacji i zniekształcają ją na tyle, że staje się całkowicie niezrozumiała dla osoby podsłuchującej. – Co więcej, zakłócenia generowane są losowo i w zależności od tonu rozmów. To powoduje, że odszumienie sygnału jest całkowicie niemożliwe – mówi ekspert ds. bezpieczeństwa Spy Shop. – Uczestnicy konferencji korzystają natomiast ze specjalnego zestawu słuchawkowego. W ten sposób słyszą i rozumieją się doskonale. Pomocny szyfr Istnieją także rozwiązania, które pozwalają na skuteczne szyfrowanie rozmów telefonicznych. Konwencjonalne aparaty nie stanowią problemu dla specjalisty od podsłuchów. Są więc najsłabszym ogniwem w procesie zabezpieczania rozmów biznesowych wysokiego szczebla. Enigma E2 firmy Tripleton wyglądem przypomina zwykłą komórkę w klasycznym wydaniu. Czarna obudowa, standardowy ekran, fizyczna klawiatura i obiektyw aparatu nie zdradzają możliwości, które oferuje urządzenie. A potrafi wiele. Przede wszystkim wysoce skutecznie zabezpiecza przed podsłuchem telefonicznym i wglądem w poufne informacje. – To szczególnie ważne z punktu widzenia przekazywania strategicznych danych, czy decyzji biznesowych. Prowadzenie interesów z zagranicznymi kontrahentami często wymaga kontaktu na odległość. Enigma E2 całkowicie redukuje ryzyko ujawnienia najistotniejszych kwestii – mówi Paweł Wujcikowski. Proces szyfrowania odbywa się w dwóch etapach – uwierzytelnienia i szyfrowania rozmowy. •pierwszy daje pewność, że połączenie zostaje nawiązane dokładnie z tym, z kim chcemy rozmawiać, •drugi opiera się na super mocnych algorytmach AES 256 bit, realizowanych za pomocą specjalnej mikroprocesorowej karty szyfrującej. Obecne technologie pozwalają na zapewnienie najwyższego bezpieczeństwa danych korporacyjnych. Przedsiębiorcy sięgają po nie coraz częściej. Skala przestępczości gospodarczej w Polsce utrzymuje się na wysokim poziomie, a nieuczciwe praktyki wciąż stanowią poważny problem świata biznesu. Wiedza i świadomość nt. ochrony strategicznych informacji może pomóc przedsiębiorcom w uniknięciu przykrych konsekwencji utraty poufnych danych. Krzysztof Rydlak Jest ekspertem ds. produktów w firmie SpyShop – specjalizuje się w projektowaniu systemów bezpieczeństwa dla firm i osób prywatnych. Zajmuje się również zarządzaniem i koordynacją projektów związanych z rozwojem firmy SpyShop. Swoje doświadczenie i kompetencje wykorzystuje w kontaktach z kluczowymi klientami instytucjonalnymi, jak również producentami i dostawcami sprzętu. Jest inżynierem elektronikiem, absolwentem Politechniki Wrocławskiej. Ukończył także studia podyplomowe Project Management na Uniwersytecie Ekonomicznym we Wrocławiu. 31 „Is IT safe?” Jan Michałowicz, Innovation Experts Osoby próbujące znaleźć w tej narracji motyw będą ścigane; osoby próbujące znaleźć w niej morał zostaną wygnane; osoby próbujące odnaleźć fabułę zostaną zastrzelone. Mark Twain, amerykańskie wydanie Przygód Huckelberry Finna Ochrona informacji oraz utrzymanie zdolności realizacji zadań stają się coraz ważniejsze. Dla poważnych firm zagadnienia te już od dawna wyszły poza sferę technologii i są obecnie znaczącym fragmentem strategii biznesowej. Warunkiem sukcesu rynkowego jest zdolność do szybkiego i trafnego reagowania na rzeczywiste czynniki zmiany. Bezpieczeństwo IT samo w sobie nie stanowi wartości, częstokroć jest jednak warunkiem realizacji przez firmę jej zadań. Zrozumienie wagi i miejsca bezpieczeństwa IT w ładzie korporacyjnym jest możliwe pod warunkiem zdefiniowania zasad funkcjonowania przedsiębiorstwa oraz roli IT. Warunkiem koniecznym sukcesu rynkowego przedsiębiorstwa jest umiejętność reagowania na zmiany zachodzące w zakresie potrzeb klientów, możliwości technologicznych i wpływu konkurencji. Otoczenie firmy jest złożonym systemem dynamicznym, którego bodźce, takie jak czynniki społeczne, polityczne, gospodarcze, demograficzne i naukowe wywierają wpływ zarówno na firmę jak i klientów, konkurencję oraz technologię. Rolą przedsiębiorstwa jest mądre wykorzystanie zasobów – wiedzy, kapitału, ludzi, maszyn, urządzeń, własności intelektualnej oraz strategicznych relacji międzyludzkich, zaś IT to co najmniej budowa kompetencji przedsiębiorstwa w komunikacji, przewidywaniu i reagowaniu na otoczenie oraz realizacji i kreowaniu celów. Większość typowych rozwiązań z domeny bezpieczeństwa dotyczy jednak ciągłości działania, utrzymania i dostępności zasobów oraz spełnienia 32 wymagań formalnych. Warto zatem pokazać kilka innych kwestii, decydujących częstokroć o sukcesie przedsiębiorstwa, lecz przez wzgląd na mniejszy potencjał kreowania sprzedaży technologii, mniej nagłaśnianych. Najsłabsze ogniwo Własny punkt widzenia może być niebezpiecznym luksusem, gdy zastępuje analizę i zrozumienie. Marshall McLuhan Zwykle najsłabszym ogniwem każdego systemu bezpieczeństwa jest człowiek. Badania wykazują, że czynnik ludzki odegrał rolę w ponad 80% incydentów. W ponad połowie z nich był podstawową przyczyną incydentu naruszenia bezpieczeństwa. Stopień zagrożenia jest różny i zazwyczaj wprost proporcjonalny do ego i niekompetencji osobnika. Stanowisko pełnione w firmie nie ma większego znaczenia – równie groźny może być prezes jak sprzątaczka, CFO jak kopiący rowy robotnik. Pierwsze prawo bezpieczeństwa IT można sformułować jako „Błądzić jest rzeczą ludzką”. Metody zarządzania ryzykiem związanym z bezpieczeństwem IT zazwyczaj realizowane są na trzech płaszczyznach: procesów, technologii i ludzi. Niewiele jest metod, które uwzględniałyby wszystkie te trzy czynniki na równi. Zwłaszcza rozwiązywanie problemu czynnika ludzkiego jest często niedoceniane i zastępowane nadmierną wiarą w moc sprawczą procedur. Warto przy tym zwłaszcza pamiętać o zagrożeniach mniej oczywistych. Większość użytkowników postrzega swój komputer jako narzędzie realizujące zestaw pożytecznych funkcji. Nie rozumieją, jak działa i tak naprawdę nie chcą tego zrozumieć, gdyż uważają to za problem producenta i ewentualnie działu IT. Ostatecznie kogo obchodzi jak działa pralka czy też kserograf? Lekceważenie potencjalnych zagrożeń to tylko część problemu. Czynnik ludzki ujawnia się również w zagrożeniu spowodowanym wiarą w uzyskane w sieci informacje. Badania wskazują, że te same osoby, które ze znaczną podejrzliwością odnoszą się do wiadomości prasowych i telewizyjnych bez większego trudu ufają w informacje odnalezione w sieci. Niezwykle łatwy dostęp do zasobów sieci, w tym danych publicznych, w połączeniu z rozwojem społeczności internetowej owocuje ryzykiem wykorzystania danych wątpliwej jakości. Brak wiedzy i zastanowienia powoduje, że zdecydowana większość Internautów podejmuje decyzje na podstawie informacji z WWW będąc nieświadoma zarówno źródeł danych jak i ich wiarygodności. Sytuację dodatkowo komplikuje powszechna dostępność agregacji i asymilacji danych, dla których informacje o pochodzeniu i zasadach kwalifikacji danych pozostają nieznane. Komodyzacja IT Jeśli torturuje się dane wystarczająco długo, to wyznają prawdę. Ronald Coase Badania wskazują, że produkty dla sektora IT w sposób szczególnie szybki podlegają zjawisku komodyzacji czyli urynkowienia. Zjawisko to, w wyniku którego produkt czy usługa bardzo szybko tracą swój unikatowy wizerunek i stają się zwykłym towarem ma dramatyczne konsekwencje. Skrócenie czasu pomiędzy innowacją a imitacją powoduje bowiem, że tocząca się pomiędzy producentami rywalizacja na fizyczne cechy, wyrafinowaną funkcjonalność, ceny, kampanie reklamowe, obecnie kończy się rosnącymi kosztami, zmniejszającymi się zyskami, a czasem wręcz utratą pozycji na rynku. Każdy kolejny etap walki rynkowej wiąże się z „racjonalizacją” kosztów, a tym samym przenoszeniem części zadań z producenta na klienta. Prawie zawsze obniża to poziom ochrony. Walka konkurencyjna w sektorze IT rozgrywała się na wielu polach. W latach 80-tych, dominującymi czynnikami różnicującymi produkty i usługi były jakość i funkcjonalność. Rozwój i dostępność technologii, ułatwienie komunikacji i globalizacja osłabiły jednak wpływ tych czynników różnicujących. W konsekwencji producenci przystąpili do konkurowania ceną. Utrzymanie oczekiwanych zysków wiązało sie jednak z ograniczeniem kosztów własnych: ograniczono nakłady na testowanie produktów oraz w dużej mierze obciążono klienta dodatkowymi kosztami eksploatacji (nadzór nad poprawkami, service pack’ami etc). Następnym czynnikiem różnicującym była obsługa wdrożeniowa i wsparcie podczas eksploatacji. Jednocześnie nastąpiła silna segmentacja rynku – poważni dostawcy wycofali się z rynku masowego koncentrując się na kontraktach rządowych i korporacyjnych. Zgodnie z prawami rynku po kilku latach część konkurentów wyrównała swoje poziomy świadczonych usług, pozostali albo odnaleźli unikalne nisze, albo wypadli z gry. Wszyscy zaś, za wyjątkiem firm realizujących kontrakty wojskowe, ze względu na koszt, wycofali się z badań podstawowych. W ramach kolejnego okresu konkurencji na ceny z rynku wypadło wiele firm, zwłaszcza te, które w swej strategii na serio traktowały tradycyjne zasady współpracy z klientem. Obecny etap walki konkurencyjnej sprzyja bowiem obniżaniu kosztów poprzez standaryzację, częste zmiany oferty 33 promujące uzyskiwanie wartości za drugorzędne zmiany oraz sprzedaż produktów w niepełnym ukompletowaniu. Marketing za cel kluczowy uznaje propagowanie licznych modeli rozwiązań chmurowych, grupę metodyk „zwinnego” wytwarzania oprogramowania opartego na programowaniu iteracyjno-przyrostowym oraz techniki analityki predykcyjnej związane z „big data”. Nie wdając się w szczegółowe rozważania o naturalnych konsekwencjach tych rozwiązań dla bezpieczeństwa IT warto podkreślić, że historia nauk technicznych, a do takich zaliczamy informatykę, stwierdziła już dawno, że żadne rozwiązanie uniwersalne nie jest bliskie optymalnemu. Na rynku nadmiaru wzrasta tendencja do ignorowania zagadnień bezpieczeństwa oraz maskowania wad oferowanych rozwiązań. Stąd zapewne głoszone przez obnośnych sprzedawców wiodących technologii przypowieści o braku potrzeby utrzymywania w firmach własnej kompetencji informatycznej. Zgodnie z tym paradygmatem odbiorcą oferty Nowego Ładu Informatycznego jest CFO, jako osoba doceniająca obiecane obniżenie kosztów i pozbawiona wiedzy niezbędnej do weryfikacji propozycji merytorycznej. Informatyk bowiem nie może zrezygnować z domagania się rzeczywistego zagwarantowania bezpieczeństwa i jakości danych oraz spójności logicznej rozwiązania. Klucz do sukcesu Jakość nigdy nie jest dziełem przypadku. Zawsze jest wynikiem celowej działalności. John Ruskin Sukces firmy jest uzależniony od wielu czynników. Nie wdając się w spór dotyczący roli zarządzania większość z nas zapewne zaakceptuje tezę, 34 iż decyzje podejmowane na podstawie racjonalnych przesłanek mają większą szansę realizacji pokładanych w nich nadziei. W branży IT oznacza to, że o przyszłości firmy może decydować jakość i wiarygodność danych. Wpływ jakości danych na łańcuch informacyjny jest powszechnie znany od początku przetwarzania danych na dużą skalę. Ostatnie lata to nie tylko lawinowy wzrost ilości danych, zdolność do racjonalnego ekonomicznie przetwarzania ich olbrzymich ilości z wysoką wydajnością, ale i fundamentalna zmiana zarówno rodzaju danych jak i celu przetwarzania. Wysoka dostępność danych prowadzi do ich bezprecedensowej dystrybucji i udostępnienia, ale też i braku zgodności pomiędzy celem tworzenia zbiorów danych i ich późniejszym wykorzystaniem. Zmiany te powodują, że kwestionowane jest tradycyjne podejście i rozwiązania zarządzania danymi w ogóle, zwłaszcza zaś kontrola jakości danych. Kwestia jakości danych musi być przewidziana w całym cyklu życia danych, zarówno pod względem dostosowania ładu korporacyjnego jak i aspektów technicznych. Stan obecny jest daleki od pożądanego. Przykłady z rynku amerykańskiego: •zamach terrorystyczny w Detroit wykazał, że służby odpowiedzialne za bezpieczeństwo obywateli nie wymieniały danych o zagrożeniach i nie aktualizowały zasobów informacji o infrastrukturze; •system ostrzegania przed zagrożeniami w Nowym Orleanie działał na podstawie danych aktualnych w chwili jego instalacji na dwie dekady przed huraganem, zaś informacje GIS były w dużej części nieprawdziwe. Aktualna sytuacja spowodowana jest kombinacją kilku czynników: •brak jest jasno zdefiniowanych analiz jakości danych opisanych w kategoriach kosztów i korzyści; •występują społeczne, zarządcze i strukturalne przyczyny utrudniające zmianę (np. w większości przedsiębiorstw za jakość danych odpowiadają komórki IT, które nie są właścicielem tworzących dane procesów, a tym samym mają ograniczony wpływ na ich zmianę); •właściwości danych są odmienne od cech innych aktywów, co nie zawsze znajduje odzwierciedlenie w realizowanych przez organizacje programach poprawy jakości danych (np. koncentrując się na trendach małe znaczenie przykłada się do indywidualnych cech danych firmy, które częstokroć są źródłem wiedzy o potencjalnej przewadze konkurencyjnej). Podsumowując konieczna jest budowa spójnego systemu zarządzania danymi, zgodnego z wymaganiami modeli biznesowych, strategii oraz struktur organizacyjnych firmy czerpiącej wymierne korzyści biznesowe z wykorzystania uzyskanej z danych wiedzy. System taki ma szanse wyeliminowania zagrożeń spowodowanych wnioskowaniem na podstawie nieaktualnych i/lub błędnych danych. Prawa rynku Ignorowane fakty nie znikają. Aldous Huxley Firmy tworzące oprogramowanie rozwijają je zgodnie z potrzebami użytkowników oraz zasadami ekonomicznymi. Rzeczywiste znaczenie tego stwierdzenia dociera do osób odpowiedzialnych za bezpieczeństwo IT na ogół w związku z rozbieżnością ich wyobrażeń i praktyki. Procedura doboru do wdrożenia pożądanych cech oprogramowania realizowana jest z uwzględnieniem znaczenia zgłaszających je klientów. W pierwszej kolejności akceptowane są potrzeby kluczowych klientów. Wbrew pozorom nie oznacza to klientów z najpoważniejszych firm, bądź firm prezentowanych przez producenta jako przykład sukcesu. O rozwoju produktu decydują klienci z sektora o najwyższej sprzedaży. Oczywiście o ile oczekiwana przez nich cecha produktu nie koliduje ze strategią rynkową producenta. Doskonałym przykładem wpływu polityki rozwoju produktu na bezpieczeństwo IT jest wielokrotnie zgłaszany producentom problem obsługi plików aplikacji CAD. Jedną z podkreślanych zalet zastosowania oprogramowania CAD jest, przynajmniej teoretycznie, możliwość wykorzystania uprzednio wykonanych opracowań w nowych pracach oraz łatwość nanoszenie poprawek i zmian. W praktyce przeciętnie co 3-4 wersje oprogramowania ulega zmianie format zapisu plików danych, a w konsekwencji użytkownik traci możliwość edycji plików archiwalnych bez wykonywania kosztownego procesu konwersji. Zmiana wersji zapisu plików wynika wyłącznie z potrzeby eliminowania przetwarzania danych przez aplikacje konkurencji i nie przynosi klientowi jakichkolwiek korzyści. Co więcej jedynie 10% użytkowników tej kategorii oprogramowania produkuje wyroby o wieloletnim cyklu życia, 90% nie jest zainteresowana przechowywaniem dokumentacji. W konsekwencji powracamy do przechowywania rysunków technicznych w plikach graficznych pozbawionych zapisu informacji o cechach projektu. Równie mało znanym zagadnieniem jest zagrożenie wynikające z zastosowania aktualnych technik druku i współczesnego papieru oraz kalki. W przypadku zastosowania standardowych rozwiązań producenci gwarantują czytelność 35 wydruków przez 5 lat. Dla firm prawnie zobowiązanych do przechowywania dokumentów znacznie dłużej to poważny problem. Niemieckie biura notarialne wykorzystują specjalny bezkwasowy papier o żywotności wydruku do 50 lat. Niestety jego cena jest wielokrotnie wyższa od ceny materiałów standardowych. Ciekawe czy za 100 lat nasze archiwa wypełnione będą zbiorami dzieł z czasów przedinformatycznych oraz białymi kartkami wydruków i przestarzałymi nośnikami danych zapisanymi w nieczytelnych formatach. Już dzisiaj jestem w stanie wskazać archiwum przechowujące dyskietki 5 1/4” z tekstami zapisanymi w formacie Chi-writera. Dla bezpieczeństwa w 2 egzemplarzach. Wartość ekonomiczna bezpieczeństwa Jeśli uważasz, że technologia może rozwiązać problemy związane z bezpieczeństwem, to nie rozumiesz problemów i nie rozumiesz technologii. Bruce Schneier Kolejne prawo bezpieczeństwa głosi, że środki przeznaczone na zapewnienie bezpieczeństwa powinny być adekwatne do wartości chronionego zasobu. Oczywisty wyjątek stanowi ochrona bezpieczeństwa wynikająca z realizacji obowiązku ustawowego, dla którego kryteria oceny wykraczają poza czystą ekonomię. Warto podkreślić, że poziom finansowania bezpieczeństwa wynika z oceny ryzyka i strategii firmy oraz powinien uwzględniać koszt ochrony wynikający z potrzeb konkretnej architektury i technologii. Oznacza to, że tworząc architekturę systemu IT powinniśmy uwzględnić zarówno poziom zagrożenia, jak i możliwości finansowe firmy. 36 Roztropnie jest na wstępie rozróżnić podział zagrożeń na ogólne oraz celowo ukierunkowane na nasze zasoby. Ochrona przed zagrożeniami ogólnymi (wirusy, robaki internetowe, niefrasobliwość pracowników) realizowana jest rutynowo, zagrożenia indywidualne wymagają budowy odpornego systemu IT począwszy od etapu koncepcji. Procedury bezpieczeństwa ogólnego powinny czynić atak na nasze zasoby nieopłacalnym, procedury ochrony przed atakami celowymi przede wszystkim powinny określić akceptowalny poziom ryzyka. Ekonomia ochrony przed zagrożeniami rutynowymi przypomina zatem starą anegdotę o zasadach ucieczki przed niedźwiedziem: nie ma potrzeby uciekać z prędkością wyższą od prędkości niedźwiedzia, wystarczy być szybszym od najwolniejszego z uciekających. W przypadku ataku dedykowanego niestety uciekamy sami. Ekonomia bezpieczeństwa IT jest w dużym stopniu uwarunkowana przez środowisko otaczające nasze systemy: system prawny, kulturę i tradycję. Niewłaściwe relacje ekonomicznoprawne częstokroć sprawiają, że koszty braku bezpieczeństwa nie obciążają tych, którzy mogą temu zaradzić. Oto kilka przykładów. •Kraje o silnych prawach klienta odnotowują znacznie niższą ilość przestępstw związanych z bankomatami. Prawa klienta w USA powodują, że kosztami incydentu związanego z bankomatem obciążają klienta wyłącznie w przypadku, gdy bank potrafi wykazać jego złą wolę. W Wielkiej Brytanii i Holandii koszty ponosi klient, chyba że potrafi sądownie wykazać zaniedbania banku. Banki amerykańskie dbają o bezpieczeństwo transakcji bankomatowych, więc przestępstw jest niewiele. Dla banków w Wielkiej Brytanii i Holandii podwyższenie bezpieczeństwa nie jest racjonalne ekonomicznie, więc ten rodzaj przestępczości jest powszechny. •Rodzina niepewnych systemów operacyjnych jest międzynarodowym standardem, zaś skutki gospodarcze tej niepewności w dużej mierze nie obciążają producenta, lecz jego klientów. Dla producenta tych systemów operacyjnych, szkolenia omawiające ich wzmacnianie są dodatkowym źródłem dochodu. Badania wskazują również na znaczny wpływ poziomu konkurencji rynkowej na zmiany poziomu bezpieczeństwa IT. Dobrym przykładem jest branża medyczna. Ochrona danych osobowych ulega widocznemu pogorszeniu wraz ze zwiększeniem konkurencji rynkowej w branży. Oznacza to, że dane osobowe w szpitalach i przychodniach prywatnych są bardziej zagrożone niż w oskarżanej o bałaganiarstwo publicznej służbie zdrowia. Przyczyna? Podczas oceny jakości szpitala klienci w dużej mierze ignorują bezpieczeństwo IT i ochronę danych, koncentrując się na aspektach jakości usług medycznych i hotelowych. Oznacza to, że relatywnie więcej środków zostanie przeznaczonych na bezpieczeństwo danych w publicznej służbie zdrowia niż w instytucjach rynkowych, w których bezpieczeństwo IT konkuruje o środki z inwestycjami w jakość leczenia i komfort usług hotelowych. Z ekonomicznego punktu widzenia typowe metody organizacyjne rozwiązywania problemu bezpieczeństwa IT są częstokroć nieracjonalne. Większość dużych przedsiębiorstw w celu przeciwdziałania zagrożeniom bezpieczeństwa powołuje dział/grupę „bezpieczeństwa”, której zadaniem jest ochrona krytycznych zasobów przedsiębiorstwa. Zapewne nikogo nie dziwi, że działy te rutynowo opracowują analizy zagrożeń, z których wynika konieczność podnoszenia nakładów na eliminację ryzyka. Co więcej, wiele z proponowanych dodatkowych zabezpieczeń w rzeczywistości obniży poziom bezpieczeństwa, w wyniku zwiększenia złożoności systemu. Przewidywania Przewidywanie jest bardzo trudne, zwłaszcza, jeśli chodzi o przyszłość. Niels Bohr Przyszłość nie jest prostą ekstrapolacją dzisiejszych trendów. Skuteczna ochrona wymaga jednak podejmowania decyzji z wyprzedzeniem. Bodajże najważniejszą oczekującą nas zmianą technologiczną, o krytycznym wpływie na budowę bezpieczeństwa IT, będzie stopniowa eliminacja aktywności użytkownika. Należy się spodziewać licznych implementacji sztucznej inteligencji w postaci agentów softwarowych, realizujących akcje w imieniu i z uprawnieniami użytkownika. Typowe zastosowania to priorytetyzacja informacji, realizacja standardowych zamówień oraz nadzór nad aktywnością. Na płaszczyźnie prawno-biznesowej nadchodzi era korporacji transnarodowych. Budowana jako element neokonserwatywnego modelu demokracji triada prywatyzacji, deregulacji i liberalizacji zapewniła swobodę umiędzynarodowienia działalności gospodarczej. Korporacje transnarodowe będą podstawowym czynnikiem sprawczym wpływającym na rozwój gospodarczy i społeczny świata. Wpływ na interesujące nas zagadnienie bezpieczeństwa IT będą miały, wprowadzane w wyniku ich starań, zmiany w klasycznym ładzie prawnym. Nasilą się dwie tendencje. Jedna z nich, polega na przenoszeniu tradycyjnych roszczeń cywilno-prawnych do zakresu przestępstw ściganych z oskarżenia publicznego (ochrona licencyjna na podstawie majątkowych praw autorskich). Wystąpi również nasilenie dążenia do zastąpienia prawa, będącego w domenie władczej państwa, postępowaniem arbitrażowym, niepodlegającym konwencjonalnym demokratycznym zabezpieczeniom sądowym ani kontroli publicznej. Metodą realizacji tego celu są umowy o wolnym handlu i inne formy liberalizacji handlu światowego. 37 Konkluzja Wartość pomysłu leży w jego użyciu. Thomas A. Edison Bezpieczeństwo nie jest pojęciem abstrakcyjnym. Bezpieczeństwo można określić jedynie w stosunku do czegoś innego. Można być bezpiecznym od czegoś lub przeciw czemuś. Tradycyjna definicja bezpieczeństwa IT, jako ochrony przed atakami hakerów, przestępców i innych „złych mocy” przeszła radykalną zmianę. Zadaniem bezpieczeństwa nie jest już ochrona przed zagrożeniami, nowy sens to ochrona firmy i jej modelu biznesowego. Pytanie, czy kosztem człowieka? Współczesna cywilizacja bazuje na działaniu systemów informatycznych, toteż rezygnacja ze stawiania im jasno określonych wymagań bezpieczeństwa nie jest już wyłącznie zagadnieniem ryzyka finansowego, lecz kondycji, a może nawet przetrwania gatunku. Jan Michałowicz Specjalista w dziedzinie budowy innowacyjnie zorientowanych systemów zarządzania oraz ekspert kreatywnego wykorzystania technologii komputerowych. Autor publikacji z zakresu bezpieczeństwa, zastosowania metod teorii chaosu w strategii innowacji oraz społecznej roli technologii informacyjnej. Uczestnik krajowych i międzynarodowych konferencji i sympozjów poświęconych badaniu wpływu technologii na politykę, rząd i społeczeństwo. Aktywny jako ekspert holistycznej analizy procesów i zarządzania, konsultant w obszarach inżynierii, marketingu i optymalizacji procesów obsługi. Doradca z dziedziny E&R Management. Wieloletni CIO w przemyśle obronnym, uczestnik programów rządowych. Współzałożyciel i CEO Innovation Experts sp. z o.o. – firmy, która wyznacza nowe standardy stosowania metod, systemów i narzędzi w celu trwałej poprawy wyników biznesowych Klientów. 38 Business Intelligence Człowiek w IT Mądrość i piękno informacji Cloud 2013 1 1 1 Raporty i ich omówienia na portalu it-manager.pl 39 Na bezpieczeństwo spójrzmy „z góry” Radosław Kaczorek, IMMUSEC Najstarsza fotografia Ziemi widzianej z kosmosu ma zaledwie 68 lat. Wykonano ją 24 października 1946 roku na 35 mm błonie filmowej, z pokładu rakiety V-2, która wzbiła się na wysokość ponad 100 km, a następnie spadła gdzieś w stanie Nowy Meksyk. Wtedy właśnie pierwszy raz spojrzeliśmy na Ziemię „z góry”. Trzeba było poczekać 22 lata, aż do 21 grudnia 1968 roku, żeby zobaczyć Ziemię jeszcze bardziej „z góry”. Wtedy właśnie wystartowała pierwsza załogowa misja w kierunku Księżyca – Apollo 8. Przez cztery kolejne lata programu Apollo prowadzonego przez NASA w kierunku Księżyca poleciało jeszcze 9 misji. W trakcie każdej z nich wykonano wiele fotografii. W tamtych latach zaczęliśmy patrzeć na Ziemię „z góry” i przyglądać się, uczyć, analizować, porównywać, wyciągać wnioski. Pierwsza światowa organizacja skupiona na problemach środowiska naturalnego, International Union for Conservation of Nature (IUCN), powstała w 1948 roku. Misją IUCN jest wpływanie, zachęcanie i pomaganie społeczeństwom całego świata w dziele ochrony integralności i różnorodności przyrody oraz osiągnięcie sprawiedliwego i ekologicznie zrównoważonego korzystania z zasobów naturalnych. W czasie kiedy NASA latała w kosmos badacze przyrody i środowiska naturalnego odkrywali tajemnice znacznie bardziej przyziemne. Zaniepokojeni wysokim stopniem eksploatacji zasobów naturalnych i podwojeniem liczby ludności na świecie w ciągu zaledwie jednego wieku (1262 mln w 1850 r. vs 2519 mln w 1950 r.), naukowcy postanowili zbadać wpływ człowieka na środowisko naturalne. Przez wiele lat organizowano wyprawy w różne zakątki świata, wykonywano fotografie, pomiary, porównania i analizy, badano mikroświat, wyciągano wnioski. W 1960 roku spotkały się te dwa nurty naukowe, badań kosmosu i badań przyrodniczych. W efekcie tej naukowej fuzji w przestrzeń kosmiczną 40 wysłany został pierwszy satelita meteorologiczny, który nosił nazwę TIROS 1. Satelita pracował tylko 78 dni, do 15 czerwca 1960 r., ale w tym czasie przesłał na Ziemię blisko 23 tysiące zdjęć, które otworzyły nową erę w badaniach meteorologicznych i przyrodniczych. Właściwie wiele wykonanych przez satelitę zdjęć była złej jakości, ale jedno jest pewne – TIROS 1 pozwolił naukowcom spojrzeć „z góry”. Spojrzenie „z góry” jest jedną z najważniejszych umiejętności w historii postępu cywilizacyjnego. To właśnie przyjęcie nowej perspektywy pomaga ludziom nauki od wieków w zrozumieniu świata i rządzących nim praw. Pozostaje tylko pytanie co to wszystko ma wspólnego z bezpieczeństwem informacji. Otóż ma, znacznie więcej niż można przypuszczać. Historia Internetu zaczyna się 29 października 1969 roku, kiedy to w Uniwersytecie Kalifornijskim w Los Angeles zainstalowano pierwsze węzły sieci ARPANET. 14 lat później, w listopadzie 1983 roku Fred Cohen prezentuje pierwszą koncepcję wirusa dla systemu UNIX, który w ciągu kilku minut uzyskuje pełne prawo dostępu do plików na zainfekowanych komputerach. Zaledwie 3 lata później, w 1986 roku w Pakistanie powstaje pierwszy na świecie wirus infekujący komputery osobiste, o nazwie Brain. Wirus ten rozprzestrzenia się poprzez studentów na uczelniach wyższych w USA. Dalej było już tylko gorzej – Michelangelo (1991), Love Letter (2000), Code Red (2001), Sasser (2004), Confiker (2008), Stuxnet (2010)... Niezależnie od nurtu złośliwego oprogramowania doskonale ma się również nurt analityków bezpieczeństwa, crakerów, hakerów i cybergeeków, którzy wykorzystując swoją wiedzę i doświadczenie atakują instytucje i organizacje. Przyświeca im różna motywacja, ale za każdym razem obnażają słabości systemów i zabezpieczeń. Vladimir Levin w 1994 roku za pomocą komputera zdobywa dostęp do kont bankowych klientów Citibank i uszczupla ich rachunki o ponad dziesięć milionów dolarów. W 1999 roku Jonathon James, 16 latek znany pod pseudonimem c0mrade, włamuje się do NASA i pobiera na swój komputer oprogramowanie przeznaczone dla Międzynarodowej Stacji Kosmicznej. Tego co dzieje się w świecie zagrożeń dla bezpieczeństwa informacji po 2000 roku nie sposób spisać. Mamy do czynienia z gwałtownym wzrostem ryzyka w zakresie bezpieczeństwa informacji przy wybuchowej dynamice, wprost powiązanej z tempem rozpowszechniania się technologii i środków przetwarzania informacji. Ilość urządzeń, które nas otaczają, coś o nas wiedzą, coś dla nas robią albo w czymś nam pomagają uzasadnia obawę, że sytuacja wymyka się spod kontroli. Gąszcz detali i szczegółów, na poziomie bitów i bajtów uniemożliwia nam zdrową ocenę sytuacji. Czas na spojrzenie „z góry”. Historia bezpieczeństwa informacji ma tyle samo lat co historia zagrożeń. W latach 80-tych pojawiły się pierwsze wirusy i właśnie wtedy powstały też pierwsze programy antywirusowe i firmy zajmujące się bezpieczeństwem informacji np. Symantec (1982), McAfee (1987). W tym samym czasie formują się pierwsze grupy pasjonatów komputerów i przełamywania zabezpieczeń np. CCC (1981), Warelords (1981), KILOBAUD (1983), powstaje też pierwszy CERT (1988). Jednocześnie temat bezpieczeństwa uzyskuje uwagę widzów dużego ekranu, którzy w filmie War Games (1983) mogli pierwszy raz zobaczyć jakie mogą być skutki braku właściwych zabezpieczeń. Na mnie to zrobiło wrażenie. Może dlatego ten temat mnie pociąga do tej pory. W czerwcu 2014 roku rozmowa o bezpieczeństwie informacji nie cichnie. Informacji w każdej formie - wypowiedzianej, zapamiętanej, utrwalonej na dowolnym nośniku, analogowo lub cyfrowo. Wartość informacji lub braku informacji rośnie, a to jest wystarczająca motywacja dla wielu osób, żeby poświęcić środki i ponieść ryzyko, dla osiągnięcia korzyści z tego wynikających. Kolejne afery ujawniające poufne informacje i bezradność służb specjalnych w zapewnieniu odpowiedniego poziomu bezpieczeństwa, kolejne włamania do systemów obnażające luki zabezpieczeń, kolejne spektakularne kradzieże danych i tożsamości użytkowników. Ilość incydentów bezpieczeństwa zgodnie ze wszystkimi raportami wykazuje trend rosnący, z dynamiką rzędu 60% rok do roku, przy jednoczesnym wzroście skutków tych incydentów. W 2013 roku na skutek incydentów bezpieczeństwa ujawnione zostały dane ponad 500 milionów osób na całym świecie, dwa razy więcej niż w 2011 roku. Ilość podatności w systemach informatycznych rośnie lawinowo i jest powiązana z ilością wytworzonego oprogramowania. Niekończąca się wojna, z niezliczoną liczbą bitew. Czas na spojrzenie „z góry”. Kiedy nabierzemy dystansu do obecnej sytuacji, zdamy sobie sprawę, że w dziedzinie badań nad bezpieczeństwem informacji nadszedł czas na fuzję nurtu technologicznego i nurtu zarządzania. Wiemy już, że bezpieczeństwo informacji to nie stan, ale ciągły proces. Powinniśmy już wiedzieć, że organizacja nieświadoma zagrożeń i swoich podatności, nie identyfikuje incydentów i nie uczy się, a w efekcie nie doskonali się i nie buduje odporności na zagrożenia. Czy jesteśmy gotowi, żeby powiedzieć, że bezpieczeństwo informacji to nie jest zadanie IT? W chmurze tagów na stronie głównej it-manager.pl „bezpieczeństwo informacji” jest drugim najpopularniejszym tagiem, zaraz po „Trendy IT” i... ex aequo z „zarządzanie zespołem”. Może to efekt nośnych medialnie incydentów bezpieczeństwa i włamań, a może skutek dojrzewającej świadomości zagrożeń związanych 41 z technologią i Internetem rzeczy wśród managerów? Współczesny manager, obok realizacji celów biznesowych, zobowiązany jest sprawować ciągły nadzór nad procesem zarządzania oraz ryzykiem związanym z przyjętymi celami. Jednym z obszarów ryzyka, z którym mierzy się każdy manager bez względu na sektor, branżę czy rodzaj działalności firmy jest bezpieczeństwo informacji. Czy manager może osiągnąć cel biznesowy nie ponosząc ryzyka związanego z bezpieczeństwem informacji? Oczywiście, że nie. To jest ryzyko tego managera i dlatego właśnie jest on właścicielem ryzyka. Jeśli wyposażymy go również w zasoby, dzięki którym może oddziaływać na poziom ryzyka, a całość uzupełnimy o system pomiaru i monitorowania, to stworzymy podstawy ładu i nadzoru w zarządzaniu bezpieczeństwem. Zacząć trzeba jednak od samego początku, czyli zbudowania świadomości i zdemitologizowania tematu. Rozwiązaniem jest zbudowanie przemyślanego, spójnego z wymaganiami firmy i zachodzącymi w niej procesami biznesowymi systemu zarządzania bezpieczeństwem informacji, który zapewnia, że informacja jest chroniona odpowiednio do swojej wartości. Doskonałą wskazówką i jednocześnie wzorcem dla takiego systemu zarządzania jest norma ISO/IEC 27001, która pozwala opracować i wdrożyć skuteczne zabezpieczenia dla informacji i chronić się przed ryzykiem utraty jej poufności, integralności i dostępności. Po wdrożeniu systemu zarządzania firma może uzyskać certyfikat zgodności z normą ISO/IEC 27001. Ponad wszelką wątpliwość podnosi to jej wartość, a w wielu przypadkach stanowi o możliwości współpracy z klientami, którzy mają coraz większe wymagania wobec swoich dostawców. Obecnie dostawcy dla sektora finansów publicznych oraz sektora finansowego, zarówno w Polsce i na świecie, muszą spełniać szereg wymagań, w tym w zakresie bezpieczeństwa informacji. Jednym z najbardziej efektywnych 42 sposobów spełnienia tych wymagań jest właśnie wdrożenie i certyfikacja za zgodność z normą ISO/IEC 27001. Koncepcja zarządzania bezpieczeństwem informacji zawarta w normie ISO/IEC 27001 została wprost wykorzystana m.in. w Rozporządzeniu o Krajowych Ramach Interoperacyjności, które wprowadza obowiązek ochrony informacji przez wszystkie podmioty świadczące usługi publiczne, oraz normach i rekomendacjach branżowych np. nowe rekomendacje D i M Komisji Nadzoru Finansowego. W każdym z przytoczonych przykładów, nawet niewprawne oko dostrzeże, że XXI wiek to era zarządzania usystematyzowanego, opartego na zdefiniowanym podejściu, optymalizującego zasoby, a co najważniejsze uwzględniającego ryzyko i potencjał ciągłego doskonalenia. Zarządzanie bezpieczeństwem informacji powinno być integralnym elementem codziennej działalności firmy. W podejściu systemowym do zarządzania należy uporządkować działania np. zgodnie z cyklem Deminga, na który składają się fazy planowania, realizacji, weryfikacji i działania. Podobnie jak planujemy i budżetujemy działalność podstawową, powinniśmy planować działania i wydatki na bezpieczeństwo. W taki sam sposób jak realizujemy i nadzorujemy podstawowe procesy biznesowe, powinniśmy zapewnić realizację zadań z zakresu bezpieczeństwa informacji. Następnie należy weryfikować czy osiągnięte rezultaty są zgodne z założeniami, a tam gdzie to niezbędne wprowadzać usprawnienia i działać, zapewniając ciągłe doskonalenie całego systemu zarządzania. Niezwykle istotnym elementem systemu zarządzania jest audyt, wewnętrzny lub zewnętrzny. Audyt bezpieczeństwa często kojarzony jest wyłącznie z analizą i oceną systemów informatycznych na poziomie technicznym. Należy jednak pamiętać, że za tym pojęciem kryje się znacznie więcej. Audyt bezpieczeństwa to przede wszystkim ocena procesu zarządzania, a dopiero w następnej kolejności audyt technologiczny. Takie podejście zapewnia nie tylko chwilową poprawę bezpieczeństwa, ale również buduje zdolność do utrzymania założonego poziomu bezpieczeństwa w długim okresie czasu. Audyt jako funkcja zapewniająca ma na celu systematyczną, niezależną i obiektywną ocenę organizacji, procesu zarządzania, systemów informatycznych, projektów lub produktów i usług. Taka pozycja czyni z audytu doskonałe narzędzie zarządzania, o którym współcześni managerowie często zapominają lub nie chcą z niego korzystać ze względu na brak zrozumienia jego podstawowej roli w procesie zarządzania. Podstawowym celem audytu jest dostarczenie interesariuszom racjonalnego zapewnienia co do stanu rzeczy w badanym obszarze. Interesariuszem w takim przypadku może być zarząd lub rada nadzorcza, które mogą być zainteresowane poznaniem stanu faktycznego w konkretnym obszarze organizacji, może nim być również właściciel, kontrahent lub klient, ale może nim być przecież sam manager. W przypadku bezpieczeństwa informacji, dziedziny która dotyka zaawansowanych technologii i skomplikowanych scenariuszy zagrożeń, audyt pozwala w podstawowym stopniu uzyskać zapewnienie co do stanu bezpieczeństwa kluczowych informacji i systemów wykorzystywanych w firmie. Obiektywizm i niezależność audytora w tym przypadku są podstawowym sposobem na zapewnienie wiarygodnej oceny stanu faktycznego oraz zapewniają prawidłową kontrolę i nadzór nad często najważniejszymi zasobami, które posiada firma. Audyt ma przy tym jeszcze jedną zaletę – pozwala spojrzeć „z góry”. Radosław Kaczorek CISA, CIA, CISSP, CRISC Prezes Zarządu IMMUSEC. Audytor systemów informatycznych, ekspert w dziedzinie ładu i nadzoru w informatyce, zarządzaniu ryzykiem i bezpieczeństwem informacji. W latach 2005 – 2009 Prezes Zarządu ISACA w Polsce. Współtwórca działów audytu systemów informatycznych i bezpieczeństwa w KPMG (1998 – 2004) oraz Deloitte (2005 – 2007). W latach 2007 – 2012 juror konkursu Lider Informatyki organizowanego przez Computerworld. Od 2005 roku wykładowca Podyplomowego Studium „Efektywne Zarządzanie IT w Przedsiębiorstwie” w Szkole Głównej Handlowej w Warszawie. 43 Modelowanie zagrożeń i analiza ryzyka – podejście praktyka Janusz Nawrat, Raiffeisen Bank Polska Niejednokrotnie, kiedy trzeba uzasadnić adekwatność zastosowanych lub – jeszcze częściej – planowanych metod i środków zabezpieczeń do rzeczywistego poziomu ryzyka, przydaje się wiedza na temat tego jak ryzyko identyfikować i analizować. Z sytuacją taką zetkniemy się zwłaszcza wtedy, gdy w grę będą wchodzić poważniejsze koszty do poniesienia czy zaangażowanie poważniejszych zasobów niezbędnych do wdrożenia planowanego rozwiązania służącego bezpieczeństwu. Wątpię, by kierownictwo firmy, decydujące o inwestowaniu w bezpieczeństwo, dało się przekonać samym faktem istnienia zagrożeń. Budując ‘business case’ trzeba będzie pewnikiem pokazać wynik przeprowadzonej zgodnie z regułami sztuki analizy kosztów w odniesieniu do korzyści Zagrożenia zabezpieczają przed Najpierw zajmiemy się pojęciami podstawowymi, by jednoznacznie rozumieć, co dokładnie mieści się w ich zakresie znaczeniowym. Konieczne staje się nie tylko jednoznaczne zdefiniowanie tych pojęć na potrzeby dalszych rozważań, ale także określenie powiązań pomiędzy nimi. Ułatwieniu tego zadania ma służyć następujący diagram i później podane definicje terminów podstawowych: zwiększają Podatności zwiększają eksponują na ryzyko Ryzyko Analiza Ryzyka definiuje Wymagania Ochrony 44 Ryzyko – pojęcia podstawowe wykorzystują Zabezpieczenia Realizowane przez i to w perspektywie nie tylko biznesowej, ale także z punktu widzenia skuteczności zarządzania rzetelnie zidentyfikowanymi i poprawnie przeanalizowanymi oraz skwantyfikowanymi rodzajami ryzyk. Zasoby zwiększa posiadają Wartość Ryzyko definiuje się jako prawdopodobieństwo celowego lub przypadkowego wykorzystania przez dany czynnik materializujący zagrożenie (na przykład: człowiek, błędy na poziomie procesów i systemów, zdarzenia klimatyczne, polityczne i klęski żywiołowe itp.) określonej podatności (rozumianej jako luka w bezpieczeństwie) oraz wpływ materializacji zagrożenia na bezpieczeństwo i ciągłość funkcjonowania organizacji, jej procesów czy systemów. Dla właściwego zrozumienia pojęcia ryzyka, należy dodatkowo zdefiniować pojęcia zagrożenia, czynnika materializacji zagrożenia, i podatności. Pod pojęciem podatności należy rozumieć słabe punkty lub luki w bezpieczeństwie systemów i procesów, które mogą zostać przypadkowo lub celowo wykorzystane (przez czynnik materializacji zagrożenia) do naruszenia bezpieczeństwa czy zaburzenia ciągłości działania organizacji, jej procesów czy systemów. Zagrożenie należy rozumieć jako możliwość zaistnienia szkody, skutkiem celowego lub przypadkowego wykorzystania określonej podatności. Jego czynnik materializacji zaś, to czynnik, sytuacja lub metoda materializacji (ujawnienia) zagrożenia. Ogólnie można zdefiniować ryzyko jako iloczyn miar zagrożenia, podatności, wartości potencjalnie zagrożonych aktywów i prawdopodobieństwa materializacji zagrożenia. RISK = asset_value x vuln_ratio x threat_ratio x probability gdzie: RISK – ryzyko, asset_value – wartość potencjalnie zagrożonych aktywów, vuln_ratio – miara podatności, threat_ratio – miara zagrożenia, probability – miara prawdopodobieństwa materializacji zagrożenia. Z uwagi na fakt, iż wartość aktywów i miara zagrożenia określają skutek materializacji zagrożenia, zaś miara podatności jest powiązana z prawdopodobieństwem materializacji zagrożenia, w uproszczonym podejściu można kwantyfikować ryzyko na podstawie iloczynu prawdopodobieństwa materializacji zagrożenia oraz skutków tego zdarzenia. Na potrzeby tego artykułu przyjęto uproszczone podejście, zgodnie z którym ryzyko stanowi wypadkową dwóch czynników: (1) prawdopodobieństwa materializacji zagrożenia oraz (2) negatywnych następstw tego faktu. Proszę zauważyć, że o ryzyku można mówić jedynie wówczas, gdy te dwa podstawowe czynniki mają miejsce. Samo zagrożenie nie świadczy o istnieniu lub mierze ryzyka. Stopień (miara) ryzyka wynika z oszacowania znaczenia (wagi) wymienionych elementów składowych. 45 W celu uczynienia omawianego modelu użytecznym, należy wycenić wagi kryteriów podstawowych i konsekwentnie się do nich odnosić przy ocenie poziomu ryzyka. Przykład oszacowania poziomów ryzyka został zilustrowany następującą tabelą: Prawdopodobieństwo Następstwa Niskie Średnie Wysokie Małe N N S Średnie S S S Wysokie W W W Oczywiście, zaproponowany model dotyczy jakościowego podejścia, właściwego do zastosowania w takich sytuacjach, kiedy trudno finansowo skwantyfikować ryzyka. W zilustrowanym przykładowo modelu stopnia ryzyk, przyjęto założenie oparte na uznaniu wysokiej wagi możliwych następstw materializacji zagrożeń. Dokonując oszacowania ryzyka, należy wziąć pod uwagę fakt, że istnieje dodatkowo prawdopodobieństwo wystąpienia efektu kumulacji ryzyka. Skutkiem tego pojawia się tak zwane ryzyko zagregowane. Efekt ten występuje w takich przypadkach, gdy określony czynnik materializacji zagrożenia wykorzystuje dużą liczbę niewielkich, pod względem ryzyka, podatności, a kumulując efekty ich wykorzystania, doprowadza do efektu sumowania lub spiętrzania się ryzyk cząstkowych finalnie do dużej skali ryzyka zagregowanego. Na dalszym etapie procesu podejmowane są decyzje odnośnie sposobów postępowania z ryzykiem. 46 Istnieją następujące sposoby postępowania z ryzykiem: •Transfer ryzyka (w przypadku, gdy koszt zabezpieczeń jest nieuzasadniony ekonomicznie, stosuje się transfer ryzyka na podmioty zewnętrzne: ubezpieczyciela lub outsourcera); •Akceptacja ryzyka (stosowana w przypadku braku efektywnych zabezpieczeń, ich nieadekwatnym koszcie do wartości aktywów lub w sytuacji wystąpienia możliwości akceptacji ryzyka, z braku przeciwwskazań natury prawnej lub zgodności z wewnętrznymi standardami organizacji); •Minimalizacja ryzyka (implementacja zabezpieczeń w celu zredukowania ryzyka do akceptowalnego poziomu i przy zachowaniu adekwatności kosztów zabezpieczeń do wartości chronionych aktywów). Koncepcje wymienionych powyżej rozwiązań przedstawiono na poniższym rysunku: i trudniejszych do przeprowadzenia działań naprawczych (jak na przykład „łatanie” podatności po incydencie bezpieczeństwa). Transfer Akceptacja RYZYKO Minimalizacja Ryzyko pozostałe po zastosowaniu możliwych i uzasadnionych ekonomicznie środków (zabezpieczeń, środków przeciwdziałających, środków kontroli lub przeniesienia części ryzyka) określa się jako ryzyko szczątkowe (rezydualne). Modelowanie zagrożeń Modelowanie zagrożeń jest bardzo ważnym, pierwszym etapem prac, mających na celu zapewnienie adekwatnego do zagrożeń i ryzyk, poziomu bezpieczeństwa systemów. Na bazie modelu zagrożeń można bowiem dokonać rzetelnej oceny ryzyk, zgodnie z zasadą, że dopiero pełna znajomość zagrożeń pozwala dostrzec wszystkie ryzyka i właściwie nimi zarządzać. Podstawowym celem modelowania zagrożeń jest minimalizacja kosztów środków zabezpieczeń przy założonym, określonym poziomie ich skuteczności. Cel ten osiąga się przez zaplanowanie i wykonanie ich wdrożenia na – możliwie – jak najwcześniejszych etapach cyklu rozwoju systemu (SDLC – System Development Life Cycle), kiedy jest to nie tylko ekonomicznie korzystniejsze (tańsze), ale także prostsze do wykonania, zanim pojawi się potrzeba mniej ekonomicznie korzystnych Zagrożenia, jako elementy obiektywnej rzeczywistości istnieją i będą istniały zawsze. W celu oszacowania odpowiadających im poziomów ryzyk, należy skoncentrować się na analizie czynników materializacji, istotności zagrożenia, prawdopodobieństwie jego materializacji i skutków tego zdarzenia. Ryzyko bowiem może być niewielkie nawet w sytuacji poważnego zagrożenia, jeśli prawdopodobieństwo jego materializacji czy rozmiar skutków materializacji pozostają na niskim poziomie. Na bazie rzetelnie i metodycznie przeprowadzonej analizy ryzyka, podejmowane są krytyczne decyzje odnośnie środków i sposobów zarządzania ryzykiem. Błędne decyzje mogą prowadzić, na przykład, z jednej strony do zastosowania niedostatecznie skutecznych środków zaradczych (niedoszacowanie ryzyka), z drugiej natomiast do ponoszenia przez organizację nadmiernych, nieuzasadnionych poziomem ryzyka, kosztów z tytułu wdrożenia i utrzymania środków zaradczych (przeszacowanie ryzyka). Bardzo istotne pozostaje zatem poznanie zagrożeń oraz analiza ryzyka od kątem prawdopodobieństwa materializacji i tego skutków. Nie ma jedynie słusznego podejścia do modelowania zagrożeń. Wybór metod, spośród dostępnych i udokumentowanych, powinien zawsze być dostosowany do specyfiki biznesu konkretnej organizacji oraz do założeń i oczekiwań względem oceny ryzyka. Nawet jeśli przyjmie się określoną metodykę, czasem warto ją zmodyfikować, a przede wszystkim uprościć, bo klarowne procesy łatwo jest przełożyć na język praktyki. Taką też, uproszczoną metodę opisuję w dalszej części artykułu. 47 W pierwszym etapie modelowania zagrożeń należy dokonać (1) analizy założeń i celów w obszarze bezpieczeństwa systemu i procesów od niego zależnych. W drugim etapie ważna jest (2) dekompozycja procesów realizowanych przez systemy oraz – w dalszej kolejności – analiza wszystkich etapów procesów. Analizę należy przeprowadzić pod kątem miejsc przetwarzania i przepływów danych w systemach. Przy tej okazji należy dokonać identyfikacji potencjalnych punktów materializacji ryzyk w tych przepływach. W trzecim etapie procesu dokonywana jest (3) identyfikacja zagrożeń. Jej celem jest zidentyfikowanie wszystkich potencjalnych zagrożeń, których materializacja może spowodować ryzyka finansowe, prawne, reputacyjne oraz ryzyka niegodności ze standardami bezpieczeństwa i nieciągłości działania itp. •Przejęcie i podszycie się pod czyjąś tożsamość (Spoofing Identity) •Manipulowanie danymi (Tampering with Data) •Zaprzeczanie autorstwu operacji (Repudiation) •Ujawnienie informacji (Information Disclosure) •Ataki odmowy usługi (Denial of Service) •Podniesienie poziomu uprawnień (Elevation of Privilege) Przygotowany tym sposobem model zagrożeń jest podstawą oceny i zarządzania ryzykiem. Ocena ryzyka Podejście ‘attacker-centric’ charakteryzuje się rozpatrywaniem zagrożeń z punktu widzenia atakującego, jego potencjalnych celów, motywacji, sposobów i narzędzi działania. Podejście ‘asset-centric’ polega zaś na modelowaniu zagrożeń z perspektywy aktywów i ich wartości dla organizacji. Ryzyko należy traktować jako wypadkową (1) prawdopodobieństwa materializacji zagrożenia i (2) skutków tego faktu dla organizacji. Bardzo dobrym narzędziem kwantyfikacji ryzyka w systemach informatycznych jest tzw. analiza DREAD. Można ją stosować zgodnie z zaproponowanym wcześniej podejściem do kwantyfikacji ryzyk, pamiętając o zmapowaniu poszczególnych parametrów DREAD do wspomnianych dwóch czynników składowych w uproszczonym modelu oceny ryzyk. O tym, jak również o znaczeniu poszczególnych parametrów kwantyfikatora DREAD chcę jednak wspomnieć w dalszej części artykułu. Możliwe i czasem najkorzystniejsze jest zastosowanie uproszczonego sposobu modelowania zagrożeń w oparciu o hybrydowe podejście, łączące w sobie rozpatrywanie zagrożeń zarówno z perspektywy atakującego (‘attacker-centric’), jak i z perspektywy aktywów organizacji (‘asset-centric’). 1 Na podstawie: “Uncover Security Design Flaws Using The STRIDE Approach” - Shawn Hernan, Scott Lambert and Tomasz Ostwald and Adam Shostack Na potrzeby przygotowania modelu zagrożeń, warto na początek przyjąć założenie odnośnie sposobu modelowania. Mamy do dyspozycji co najmniej dwa podejścia, ogólnie określane jako ‘attacker-centric’ i ‘asset-centric’. 48 Do klasyfikacji zagrożeń można przyjąć własne kryteria lub jeden z dostępnych modeli, na przykład model STRIDE1, w którym zagrożenia są kategoryzowane według przynależności do następujących grup: Kwantyfikator DREAD stanowi ogólną miarę ryzyka. Wyliczany jest on następująco: DREAD = (<DAMAGE> + <REPRODUCIBILITY> + <EXPLOITABILITY> + <AFFECTED USERS> + <DISCOVERABILITY>) / 5 Kwantyfikator ryzyka posiada zawsze wartość zawierającą się w przedziale od 0 do 10, gdzie najwyższa wartość oznacza największe ryzyko. Poniżej znajduje się proponowana skala kwantyfikacji do każdego czynnika oceny ryzyka (DAMAGE, REPRODUCIBILITY, EXPLOITABILITY, AFFECTED USERS, DISCOVERABILITY) Poziom strat (DAMAGE) W przypadku, kiedy dojdzie do materializacji zagrożenia, jakie są spodziewane straty? •1 = Pomijalne straty lub brak strat •5 = Średnia strata, strata dotycząca pojedynczego użytkownika •10 = Duża strata, na przykład całkowite zniszczenie systemu lub danych Łatwość odtworzenia ataku/materializacji zagrożenia (REPRODUCIBILITY) Jak łatwo można powtórzyć atak czy spowodować ponowną materializację zagrożenia? •1 = Bardzo trudno lub jest to wręcz niemożliwe, nawet dla użytkownika posiadającego przywileje administratora. •5 = Wymagane jest wykonanie jednej lub kilku czynności oraz często posiadanie odpowiednich autoryzacji. •10 = Wystarcza przeglądarka internetowa lub interfejs klienta aplikacji bez dodatkowych narzędzi i bez konieczności uwierzytelnień użytkownika. Poziom trudności ataku, poziom trudności spowodowania materializacji zagrożenia (EXPLOITABILITY) Co jest wymagane do skutecznego przeprowadzenia ataku czy spowodowania materializacji zagrożenia? •1 = Zaawansowane umiejętności techniczne, duża wiedza programistyczna, zaawansowana wiedza na temat protokołów sieci i architektury systemów, własne lub skomplikowane technicznie narzędzia do przeprowadzenia ataków. •5 = Szkodliwe oprogramowanie dostępne w Internecie, gotowe i łatwe w użyciu wytrychy, powszechnie dostępne narzędzia do testów bezpieczeństwa. •10 = Tylko oprogramowanie typu przeglądarka lub narzędzia systemu operacyjnego dostępne z linii poleceń powłoki systemowej. Poszkodowani użytkownicy (AFFECTED USERS) Ilu użytkowników jest poszkodowanych? •0 = Brak •5 = Niektórzy użytkownicy •10 = Wszyscy użytkownicy 49 •1 = Zidentyfikowanie zagrożenia/podatności jest bardzo trudne lub wręcz niemożliwe; wymaga analizy kodu źródłowego lub/i dostępu do systemów na prawach administratora. Pomocne w mapowaniu parametrów DREAD do miary prawdopodobieństwa materializacji zagrożeń i wpływu materializacji zagrożeń na biznes organizacji, może być traktowanie czynników ‘Damage’ i ‘Affected Users’ w kategoriach rezultatu materializacji zagrożeń, podczas gdy wypadkowej czynników: ‘Reproducibility’, ‘Exploitability’ i ‘Discoverability’ jako miary prawdopodobieństwa materializacji zagrożeń. •5 = Możliwe przez śledzenie logów lub dzienników zdarzeń. Zakończenie Wykrywalność (DISCOVERABILITY) Jak łatwo jest zidentyfikować zagrożenie/ podatność? •9 = Szczegółowe informacje o podatności dostępne w specjalistycznych, ogólnodostępnych serwisach poświęconych bezpieczeństwu lub dostępnych w sieci Internet serwisach dostawców oprogramowania/systemów. •10 = Informacje świadczące o podatności są widzialne poprzez interfejs oprogramowania. Jak widać, przeprowadzenie analizy ryzyka nie jest zadaniem trudnym. Zresztą wszystko wydaje się trudne dopóki nie stanie się łatwe. Warto włożyć trochę wysiłku w opracowanie najlepiej dostosowanego do naszych potrzeb podejścia, a potem – co ogromnie ważne – trzymać się go konsekwentnie. Janusz Nawrat Szef Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych w Raiffeisen Bank Polska S.A. Praktyk zarządzania bezpieczeństwem informacji z wieloletnim doświadczeniem sieciowym, systemowym, programistycznym oraz pen-testerskim. Architekt i projektant technicznych rozwiązań dla bezpieczeństwa. Autor licznych polityk i standardów bezpieczeństwa. Entuzjasta skryptowych języków programowania, systemów unixowych i technologii sieciowych, łączący wiedzę z zamiłowaniem do dzielenia się nią z innymi poprzez seminaria, szkolenia i teksty publikowanych artykułów. Posiadacz licznych certyfikatów branżowych, w tym CISM, CISSP i CRISC. 50 Czy hakerskie sztuczki z Watch Dogs to tylko fantastyka? Gra Watch Dogs, która pod koniec maja miała swoją premierę, nadal przykuwa uwagę graczy i mediów z całego świata. Zainteresowali się nią również eksperci z firmy antywirusowej ESET, którzy postanowili ocenić czy hakerskie sztuczki, jakimi posługuje się Aiden Pearce, główny bohater Watch Dogs, są możliwe do zrealizowania we współczesnym świecie. Chyba każdy wie, że sceny, przedstawiające łamanie zabezpieczeń przez bohatera kolejnego kinowego przeboju lub kolejnej gry komputerowej, nie mają zbyt wiele wspólnego z rzeczywistością. Wyjątkowo rzadko zdarza się, że złamanie hasła wymaga od hakera dwóch, góra trzech prób, metodą na chybił trafił, a kopiowanie wirusa poprzedza wyświetlenie okna z informacją „wgrywanie wirusa: 97%”. Firma ESET od lat kibicuje producentom gier i samym graczom, organizując dla nich turnieje w Niemczech i Wielkiej Brytanii. Nic dziwnego, że postanowiła bliżej przyjrzeć się „rzeczywistości”, jaką ukazuje najnowsza gra Watch Dogs firmy Ubisoft. Główny bohater gry, za pomocą swojej komórki, zmienia cykl świateł ulicznych, zatrzymuje pociągi i włamuje się do każdej kamery monitoringu. Czy te wszystkie czynności są możliwe do zrealizowania w dzisiejszym świecie? Na to pytanie odpowiadają eksperci wspomnianej firmy. 1. Hakowanie systemu zarządzania miastem Miasto, w którym rozgrywa się akcja Watch Dogs, jest zarządzane z poziomu systemu ctOS, który stanowi informatyczny rdzeń metropolii. Aiden (główny bohater gry) przejmuje kontrolę nad miastem infekując wspomniany system za pomocą specjalnie spreparowanego rootkita. PRAWDOPODOBIEŃSTWO ZASTOSOWANIA W RZECZYWISTOŚCI: WYSOKIE Atak za pośrednictwem spreparowanego zagrożenia jest możliwy, ale wymaga od cyberprzestępców wielu miesięcy, a czasami lat przygotowań. Warto również podkreślić, że administratorów pilnujących złożonych systemów teleinformatycznych, zdecydowanie trudniej oszukać w rzeczywistości, aniżeli w grze. 2. Zdalna identyfikacja wartościowych przedmiotów i bogatych obywateli W grze Aiden posiada w swoim smartfonie aplikację, która pozwala mu skanować otoczenie, uzyskując informacje m.in. na temat osób, które przechodzą obok niego. Dzięki temu bohater może identyfikować wirtualnych bogaczy, posiadających wartościowe przedmioty, np. karty dostępu do ważnych lokalizacji czy kluczyki do luksusowych samochodów. PRAWDOPODOBIEŃSTWO ZASTOSOWANIA W RZECZYWISTOŚCI: NISKIE Nie istnieje aplikacja, która zbierałaby informacje o użytkowniku z tak wielu źródeł i w tak krótkim czasie. Dodatkowo eksperci z firmy ESET zwracają również uwagę na fakt, że współcześni użytkownicy są coraz bardziej świadomi zagrożeń – unikają aplikacji, które mogłyby żądać dostępu do zbyt wielu danych, ujawniając w ten sposób adres zamieszkania, miejsce pracy czy inne prywatne informacje dotyczące ich samych. 51 3. Przejmowanie kontroli nad kamerami monitoringu W większości gier komputerowych kamery bezpieczeństwa stanowią zagrożenie dla głównego bohatera, stąd zwykle stają się one dla gracza celem, który szybko eliminuje. W Watch Dogs kamery są narzędziem, które pozwala osiągnąć głównemu bohaterowi zamierzony cel. Może z nich korzystać bez obaw o namierzenie przez system nadzoru ctOS. PRAWDOPODOBIEŃSTWO ZASTOSOWANIA W RZECZYWISTOŚCI: NISKIE Przechwycenie obrazu z jednej kamery monitoringu jest w pewnych sytuacjach możliwe, np. gdy dana sieć jest słabo zabezpieczona. Jednak przejęcie kontroli nad wszystkimi systemami monitoringu w danym mieście – domowymi, przemysłowymi i miejskimi to czysta fantastyka. Eksperci z firmy ESET podkreślają, że każda próba dostępu do systemu teleinformatycznego jest zwykle rejestrowana, stąd niemożliwa byłaby sytuacja, w której ktoś włamuje się do danego systemu monitoringu i to włamanie pozostaje niezauważone dla administratora sieci. 4. Sterowanie infrastrukturą miasta Aiden może w pełni kontrolować całą infrastrukturę miasta – od cyklu świateł drogowych, przez pracę mechanizmów 52 do podnoszenia i opuszczania mostów zwodzonych, aż po awaryjne zatrzymywanie pociągów. Gra daje też bohaterowi możliwość wysadzenia wybranych obiektów w powietrze za pomocą specjalnej aplikacji w telefonie. PRAWDOPODOBIEŃSTWO ZASTOSOWANIA W RZECZYWISTOŚCI: NISKIE Kontrolowanie całej infrastruktury miasta, począwszy od rur ciepłowniczych, po sygnalizację drogową nie jest możliwe. Na dodatek taki samozwańczy haker, próbujący zakłócić funkcjonowanie miasta, zostałby namierzony już podczas pierwszej próby ataku na wybrany obiekt. Twórcy Watch Dogs i eksperci z firmy ESET wiedzą, że informacje o użytkowniku to współcześnie coraz częstszy cel ataków cyberprzestępców, a możliwości smartfonów są coraz większe. Jednak kontrola miasta i pełna inwigilacja jego mieszkańców za pomocą aplikacji w telefonie to na razie jedynie science-fiction. Mimo tego warto wziąć sobie do serca rady specjalistów i unikać instalacji aplikacji, które żądają dostępu do zbyt wielu danych (aplikacja do obróbki zdjęć nie musi mieć dostępu do książki kontaktów). Nie zaszkodzi również korzystać z zabezpieczeń dla urządzeń mobilnych – wielu producentów udostępnia bezpłatne wersje takich produktów. Stosowanie się do tych zasad może uchronić użytkownika np. przed kradzieżą pieniędzy z konta bankowego, na skutek ataku phishingowego. Bezpieczeństwo na portalu 53 Monitorować, czy nie monitorować pracowników? Instalowanie na komputerach pracowników oprogramowania monitorującego wciąż budzi wiele kontrowersji. Czasem ciężko jest pogodzić się ludziom z faktem, iż jest się śledzonym w każdej minucie i można być rozliczonym z każdego, nawet najdrobniejszego ruchu. Właścicielom firm nie chodzi o permanentne monitorowanie pracowników, ale maksymalne zabezpieczenie danych, które mogą wydostać się poza progi przedsiębiorstwa. Czytaj całość 7 grzechów głównych systemów backupu System backupu w przedsiębiorstwie cały czas pozostaje tematem, który często pomija się w planach rozwojowych, a jeśli już się w nich pojawia to w kontekście poszukiwania oszczędności. Prowadzi to do sytuacji, w której nie spełnia on często swojej roli i w konsekwencji nie gwarantuje bezpieczeństwa przechowywanych danych. Doświadczenia w przeprowadzaniu audytów Centralnych Systemów Backupu (CSB) i wnioski z nich płynące, pozwoliły nam na sporządzenie zestawienia najczęściej występujących „grzechów głównych systemów backupu”. Czytaj całość 54 Firmowy majątek pod czujnym okiem Chociaż najbardziej rozpoznawalne i najbogatsze marki pochodzą z Zachodu, to polski biznes nie pozostaje w tyle. Obecnie łączna wartość aktywów 500 najzamożniejszych przedsiębiorców operujących w kraju przekroczyła 147 mld zł i ciągle rośnie. Jednak zarówno firmy osiągające największe zyski, jak i te rozwijające się powinny zatroszczyć się o bezpieczeństwo swojego mienia. Poufne dane, samochody służbowe lub siedziby mogą stać się celem kradzieży lub włamania, co może powodować poważne utrudnienia w funkcjonowaniu przedsiębiorstw. Czytaj całość Aplikacje mobilne rajem dla cyberprzestępców Dalszy dynamiczny rozwój urządzeń i aplikacji mobilnych będzie wymagał coraz lepszych rozwiązań w zakresie bezpieczeństwa. W 2013 r. około 15 proc. ogólnoświatowego ruchu w internecie pochodziło z urządzeń mobilnych, co zachęca zorganizowane grupy cyberprzestępców do rozwoju złośliwych aplikacji. W najbliższych latach ten udział będzie szybko rósł, co wynika m.in. z coraz większej dostępności tanich urządzeń w krajach rozwijających się oraz rozwoju nowych technologii, jak 4G. Czytaj całość 55 BYOD – bez hurraoptymizmu W wielu regionach obserwuje się opór przed wdrażaniem BYOD, spowodowany głównie obawą o bezpieczeństwo danych biznesowych zapisanych w urządzeniach, tożsamości użytkowników oraz aplikacji. Czytaj całość Pracownik już nie jest najgroźniejszy Pracownik przestał być największym zagrożeniem dla bezpieczeństwa informacji w firmie. Dziś większym wyzwaniem dla działów IT w przedsiębiorstwach jest rozwój nowych technologii mobilnych i takie zjawiska, jak big data czy cloud computing. Firmy z roku na rok zwiększają swoje nakłady na ochronę wrażliwych danych. Czytaj całość 56 Bezpieczeństwo w bankowości Jednym z najczęstszych celów ataku hakerów na całym świecie są banki oraz inne instytucje finansowe. Często jednak, także w Polsce, nie są one dostatecznie przygotowane na odparcie cyberataków. Dlatego instytucje finansowe nie powinny polegać wyłącznie na opracowanych procedurach. Ważnym jest natomiast, aby jak najczęściej ćwiczyć praktyczną obronę przed możliwymi cyberatakami. Niezbędna jest także ściślejsza współpraca pomiędzy bankami poprzez wymianę informacji o potencjalnych zagrożeniach i sposobach radzenia sobie z nimi. Czytaj całość Uwaga na technologie mobilne Technologie mobilne stanowią dziś największe wyzwanie dla bezpieczeństwa IT. Tak wynika ze Światowego Badania Bezpieczeństwa Informacji przeprowadzonego po raz 16-ty przez firmę doradczą EY. Takiego zdania jest prawie połowa uczestniczących w badaniu szefów IT. Zwiększanie wydatków na bezpieczeństwo IT niewiele daje. Mimo że 93% badanych firm w ciągu ostatnich 12-tu miesięcy zwiększyło lub utrzymało wydatki w obszarze bezpieczeństwa IT, wciąż powiększa się luka między obecnym a wymaganym poziomem bezpieczeństwa. Zaledwie 17% respondentów przyznało, że działania w tym zakresie w pełni zaspokajają ich potrzeby. Czytaj całość 57 PwC: „Globalny stan bezpieczeństwa informacji 2014” Jak informuje firma konsultingowa PwC: „W ostatnich latach zagrożenia dla bezpieczeństwa informacji zmieniły się i stały się bardziej powszechne niż kiedykolwiek wcześniej. W takiej sytuacji podejście do bezpieczeństwa, którego głównym celem tradycyjnie jest zaspokojenie wymagań regulacyjnych, nie jest już wystarczające. Co z tego wynika? Czytaj całość Inwestycja w bezpieczeństwo vs optymalizacja wydatków Backup backupowi nierówny. A co za tym idzie, i jego koszty. Wydatki poniesione przez firmę na system centralnego backupu i jego utrzymanie to spory wydatek, przez wielu przedsiębiorców postrzegany jako koszt, który nigdy się nie zwróci. Ale czy na pewno tak jest? Czytaj całość 58 Tak wygląda cyberwojna Google, zakład wzbogacania uranu w Iranie, rząd Pakistanu, amerykański Departament Obrony – nawet największe przedsiębiorstwa jak i rządy krajów padły ofiarą zaawansowanych ataków typu APT w ostatnich dwóch latach. Zakres tych ataków internetowych jest faktycznie dużo większy niż by się wydawało. Ich celem jest zniszczenie lub kradzież poufnych danych dyplomatycznych czy tajemnic handlowych, zarobek, a nierzadko wszystkie trzy czynniki jednocześnie. W związku z tym, organizacje muszą dysponować środkami szybkiego reagowania na takie ataki. Czytaj całość Hakerzy wykorzystują metody inżynierii społecznej W kwietniu 2013 r. asystentka wiceprezesa pewnej międzynarodowej spółki z siedzibą we Francji otrzymała mail z odnośnikiem do faktury umieszczonej w popularnym serwisie wymiany plików. Kilka minut później odebrała telefon od innego wiceprezesa tej samej spółki, który polecił jej sprawdzić tę fakturę i nadać jej bieg. Jednak faktura była fałszywa, a rzekomy wiceprezes był przestępcą uczestniczącym w ataku hakerskim. Czytaj całość 59 Dlaczego Security Leadership ma znaczenie? Podstawowym zadaniem CISO jest przewodnictwo w tworzeniu oraz późniejszy rozwój i nadzór nad egzekwowaniem jak najbardziej sensownego i jak najskuteczniejszego programu zarządzania bezpieczeństwem informacji w codziennej praktyce operacyjnej zatrudniającej go instytucji. Czyni to w oparciu o standardy bezpieczeństwa, przepisy prawa powszechnego, często też normy i najlepsze praktyki branżowe oraz – rzecz jasna – własną wiedzę i doświadczenie. Czytaj całość Czy istnieją bezpieczne systemy? Czy istnieje coś takiego, jak w pełni bezpieczny system? Dlaczego w systemach wciąż wykrywane są nowe luki w ich zabezpieczeniach? Czy jesteśmy skazani na „dziurawe” oprogramowanie? Czytaj całość 60