Bezpieczeństwo IT - it

Bezpieczeństwo IT
1
Spis treści
O naturze bezpieczeństwa, czyli jak opanować niepewność
Sebastian Pikur, Infovide-Matrix SA
4
Strategie bezpieczeństwa w IT
Krzysztof Labiak, itelligence
9
Uwaga na BYOD!
Krzysztof Wójtowicz, Check Point Software Technologies Polska
11
Ochrona dostępności i treści stron internetowych
Robert Dąbrowski, Fortinet
14
Jak stworzyć zespół odpowiedzialny za bezpieczeństwo
Skrót z raportu rady Security for Business Innovation Council
18
Największe zagrożenia dla bezpieczeństwa w sieci w roku 2014
Raport Fundacji Bezpieczna Cyberprzestrzeń
24
Strzeż tajemnic przedsiębiorstwa
Krzysztof Rydlak, SpyShop
28
„Is IT safe?”
Jan Michałowicz, Innovation Experts
32
Na bezpieczeństwo spójrzmy „z góry”
Radosław Kaczorek, IMMUSEC
40
Modelowanie zagrożeń i analiza ryzyka – podejście praktyka
2
Janusz Nawrat, Raiffeisen Bank Polska
44
Czy hakerskie sztuczki z Watch Dogs to tylko fantastyka?
51
Bezpieczeństwo na portalu it-manager.pl
Monitorować, czy nie monitorować pracowników?
54
7 grzechów głównych systemów backupu
54
Firmowy majątek pod czujnym okiem
55
Aplikacje mobilne rajem dla cyberprzestępców
55
BYOD – bez hurraoptymizmu
56
Pracownik już nie jest najgroźniejszy
56
Bezpieczeństwo w bankowości
57
Uwaga na technologie mobilne
57
PwC: „Globalny stan bezpieczeństwa informacji 2014”
58
Inwestycja w bezpieczeństwo vs optymalizacja wydatków
58
Tak wygląda cyberwojna
59
Hakerzy wykorzystują metody inżynierii społecznej
59
Dlaczego Security Leadership ma znaczenie?
60
Czy istnieją bezpieczne systemy?
60
Redaktor naczelny: Robert Jesionek
Współpraca redakcyjna: Barbara Mejssner
Projekt graficzny i skład: Monika Bucoń
3
O naturze bezpieczeństwa,
czyli jak opanować niepewność
Sebastian Pikur, Infovide-Matrix SA
Każda organizacja działa w niepewnym otoczeniu, które często ma sprzeczne interesy
i negatywne nastawienie do jej działania. Niepewność otoczenia to ryzyko dla organizacji,
które należy zidentyfikować i odpowiednio nim zarządzać. Właściwe zarządzanie ryzykiem
umożliwi redukowanie zagrożeń i podatności na nie, a także pozwoli na wykorzystanie
pojawiających się szans.
Bezpieczeństwo jest podstawową potrzebą
każdego człowieka, a jego zapewnienie, jest
kluczowym aspektem stabilizacji i dobrobytu.
Potrzeba bezpieczeństwa odnosi się do wszelkich
dziedzin funkcjonowania człowieka zarówno
życia prywatnego, jak też społecznego czy
zawodowego. Taka osobista potrzeba przekłada się
na oczekiwanie bezpieczeństwa organizacji firmy,
w której dana osoba pracuje.
Z pojęciem bezpieczeństwem nieodzownie
związane jest ryzyko, rozumiane jako wpływ
niepewności na cele. Takie określenie ryzyka
znakomicie oddaje jego istotę – z jednej strony,
wskazuje na bezpośrednie powiązanie ryzyka
z celami organizacji, a z drugiej pokazuje,
że na realizację celów wpływa wiele nieznanych,
zmiennych w czasie czynników.
Każda organizacja działa w niebezpiecznym dla jej
działań otoczeniu. Na kierownictwie organizacji
spoczywa obowiązek zapewnienia bezpieczeństwa.
Przez bezpieczeństwo rozumie się mechanizmy
pozwalające organizacji radzić sobie w przypadku
pojawiających się problemów. Celem wysiłków
związanych z bezpieczeństwem jest zapewnienie
trwałości organizacji oraz zapewnienie
swobody działania.
Do określenia pryncypiów bezpieczeństwa
organizacji służy strategia bezpieczeństwa,
która polega na zdefiniowaniu interesów,
4
ocenie warunków bezpieczeństwa, sformułowaniu
koncepcji strategicznej oraz ustanowieniu systemu
bezpieczeństwa.
Rozważając pojęcie bezpieczeństwa należy spojrzeć
na nie w dwóch perspektywach:
•jako stan – aktualne/osiągnięte poczucie
bezpieczeństwa organizacji;
•jako proces – działania dla zapewnienia
poczucia bezpieczeństwa organizacji.
Patrząc od strony praktycznej, bezpieczeństwo
należy rozumieć, jako funkcjonowanie różnych
procesów stricte z nim związanych oraz
uwzględnienie zagadnień bezpieczeństwa
w pozostałych procesach organizacji.
Funkcjonowanie procesów związanych
z bezpieczeństwem określa jego stan postrzegany
przez osoby znajdujące się w organizacji.
Efektywne działanie tych procesów powoduje,
że personel organizacji czuje się bezpiecznie.
Patrząc od strony procesów związanych
wprost z bezpieczeństwem, najistotniejszy jest
proces zarządzania ryzykiem. Inne procesy
związane wprost z bezpieczeństwem to procesy
zapewniające funkcjonowanie zarządzania nim,
takie jak np. audyt wewnętrzny. W pozostałych
procesach organizacji związanych z realizacją jej
celów konieczne jest uwzględnienie elementów
takich jak:
•odpowiednia konstrukcja procesów
(np. określona kolejność działań);
•wprowadzenie odpowiednich czynności
do procesów;
•zastosowanie określonych procedur.
Proces zarządzania ryzykiem, jako kluczowy proces
zapewnienia bezpieczeństwa w organizacji służy
koordynowaniu działań dotyczących kierowania
i nadzorowania organizacją w odniesieniu do ryzyka.
Ryzyko
Ryzyko zgodnie z normą ISO/IEC 31000 jest
definiowane, jako wpływ niepewności na cele,
przy czym niepewność może być negatywna –
szkodzi realizacji celów, ale równie często może
być pozytywna (określana jako szansa) – wspiera
i ułatwia realizację celów.
Ryzyko najczęściej jednak jest utożsamiane
z niepewnością w sensie negatywnym. Myśląc
o ryzyku, rozważane są zazwyczaj zagrożenia
dla funkcjonowania organizacji, jej słabości
i podatności oraz niepożądane skutki, jakie mogą
uderzyć w organizację, powodując negatywne
następstwa. Przykładem takiej niepewności jest
wyciek ważnych/wrażliwych informacji w wyniku
szpiegostwa przemysłowego.
Nie można jednak zapominać o pozytywnym
wydźwięku niepewności, szansach stojących przed
organizacją. Ten kierunek rozpatrywania ryzyka,
jako prawdopodobnej, korzystnej sytuacji stojącej
przed organizacją, daje możliwość spojrzenia
i ocenienia szans w zupełnie innej perspektywie.
Ujęcie ryzyka w sensie pozytywnym pozwala
na oszacowanie prawdopodobieństwa wystąpienia
pozytywnych następstw ryzyka. Przykładem
pozytywnej niepewności, szansy jest możliwość
pozyskania lukratywnego kontraktu.
Niejednokrotnie niepewność ma jednocześnie
charakter negatywny jak i pozytywny, stanowi
zarówno zagrożenie dla organizacji, ale jest też
jej szansą. Przykładem pokazującym takie ryzyko,
jest np. sytuacja, w której firma realizuje kontrakt
opierając się na pracy eksperta o wysokich
i unikalnych kompetencjach. Zrealizowanie
kontraktu w oparciu o prace eksperta przyniesie
firmie bardzo wysokie zyski, jest jej szansą.
Ale również oparcie prac na określonym ekspercie
niesie ryzyko braku możliwości ukończenia prac,
jeżeli ów ekspert z dowolnych przyczyn nie będzie
mógł kontynuować pracy.
Ryzyko w organizacji ma wiele płaszczyzn i może
być określane na wielu poziomach. Wyróżniamy
ryzyko organizacji w sensie ogólnym, dotyczącym
całej organizacji określane na poszczególnych
poziomach zarządzania:
•ryzyko na poziomie strategicznym;
•ryzyko na poziomie taktycznym;
•ryzyko na poziomie operacyjnym.
Analizując ryzyko, konieczne jest rozłożenie
go na dziedziny i analizowanie każdej z nich
niezależnie. Rozkładając ryzyko na elementy
składowe, możemy wyróżnić:
•ryzyko rynkowe;
•ryzyko prawne;
•ryzyko operacyjne;
•ryzyko reputacji.
W kategorii ryzyka operacyjnego uwzględniamy
w szczególności ryzyko przetwarzania danych,
w tym ryzyko teleinformatyczne.
Dziedziny ryzyka są prostopadłe w stosunku
do poziomów zarządzania, w związku z czym,
mówiąc np. o ryzyku rynkowym, musimy rozważać
go zarówno na poziomie strategicznym, jak również
taktycznym i operacyjnym. Ryzyko jest zatem
obecne we wszystkich aspektach działania każdej
organizacji i musi być uwzględniane na każdym
poziomie zarządzania. Schematycznie obrazuje to
Rysunek 1 Poziomy zarządzania ryzykiem.
5
Ryzyko na poziomie strategicznym
Ryzyko rynkowe
Ryzyko prawne
Ryzyko operacyjne
Ryzyko reputacji
Ryzyko na poziomie taktycznym
Ryzyko rynkowe
Ryzyko prawne
Ryzyko operacyjne
Ryzyko reputacji
Ryzyko na poziomie operacyjnym
Ryzyko rynkowe
Ryzyko prawne
Ryzyko operacyjne
Ryzyko reputacji
Rysunek 1. Poziomy zarządzania ryzykiem
Obecność ryzyka w każdym aspekcie
działania organizacji ukierunkowuje
potrzebę odpowiedniego nim zarządzania.
Zastosowanie właściwych metod zarządzania
ryzykiem jest kluczem do efektywnego
panowania nad bezpieczeństwem organizacji,
ale też mechanizmem identyfikowania
i wykorzystywania szans pojawiających się przed
organizacją. Zarządzanie ryzykiem pozwala
też racjonalizować koszty funkcjonowania
organizacji. Racjonalizowanie kosztów wynika
z możliwości nadzorowania i wprowadzania tylko
takich mechanizmów (środków bezpieczeństwa),
które wykazują się uzasadnieniem finansowym,
tj. koszty ponoszone na redukowanie ryzyka nie
są wyższe niż skutki, jakie organizacja poniosłaby
w przypadku materializacji ryzyka.
każda organizacja zarządza ryzykiem,
a dowodem na to, że robi to dość skutecznie
jest istnienie tej organizacji. By łatwiej
to zrozumieć, warto w tym miejscu spojrzeć
na definicję zarządzania ryzykiem, np. pochodzącą
z normy ISO/IEC 31000. W ramach procesu
zarządzania ryzykiem następuje systematyczne
stosowanie polityk, procedur i praktyk zarządzania
do działań w zakresie komunikacji, konsultacji,
ustanawiania kontekstu oraz identyfikowania,
analizowania, ewaluacji, postępowania
z ryzykiem, monitorowania i przeglądu ryzyka.
Zarządzanie ryzykiem może odbywać się zupełnie
nieświadomie – organizacja podejmuje ryzyko
działania i realizacji celów, działa w sposób
zupełnie intuicyjny poprzez wykorzystanie szans,
przeciwdziałanie wyzwaniom oraz redukowanie
ryzyka – w efekcie zarządza ryzykiem.
Zarządzenie ryzykiem
Przeciwieństwem takiego podejścia jest
stosowanie wyrafinowanych praktyk z zakresu
zarządzania ryzykiem, metodyk i uwzględnianie
dojrzałych mechanizmów zarządzania
przy podejmowaniu decyzji.
Jak zatem panować nad ryzykiem – najprostsza
odpowiedź to odpowiednio nim zarządzać.
I tu pojawia się pierwsza dobra wiadomość –
6
Pomiędzy wymienionymi powyżej sposobami
podejścia do zarządzania ryzykiem jest wiele
miejsca, wiele różnych metod i stylów zarządzania.
Każda organizacja musi dobrać sposób zarządzania
ryzykiem do własnego profilu działania, do poziomu
swojego rozwoju, do wielkości organizacji i wielu
innych czynników. Rozważając wprowadzenie
mechanizmów zarządzania ryzykiem, warto jest
korzystać z gotowych wzorców. Ważne jest jednak,
by wprowadzając do organizacji systematyczne
zarządzanie ryzykiem, nie dobrać metod zbyt
trudnych, bo takie podejście zamiast przynieść
korzyści, będzie działało odwrotnie.
Przykładem standardu zarządzania ryzykiem jest
norma ISO/IEC 31000. Norma podaje zasady
i wytyczne, które są możliwe do zastosowania
w praktycznie każdej organizacji, w szczególności
określa proces zarządzania ryzykiem.
Podstawowym czynnikiem sukcesu przy
wprowadzaniu zarządzania ryzykiem, jest
zaangażowanie kierownictwa organizacji
i przywództwo w podejmowanych działaniach.
Zaangażowanie kierownictwa nie oznacza oczywiście
konieczności jego udziału w wykonywaniu wszelkich
czynności związanych z funkcjonowaniem systemu.
Niemniej konieczne jest, by kierownictwo wspierało
funkcjonowanie procesu np. poprzez zapewnienie
wystarczających zasobów, czy dostęp do kompetencji.
Bardzo ważny jest też udział kierownictwa
w podejmowaniu decyzji odnośnie postępowania
z ryzykiem organizacji, a także uwzględnianiu
wyników szacowania ryzyka w podejmowaniu
decyzji biznesowych.
Wprowadzenie zarządzania ryzykiem musi
wychodzić od określenia kontekstu zarządzania
nim (patrz Rysunek 2 Proces zarządzania ryzykiem).
Kontekst opisuje organizację, jej misję, cele i wizję,
wpisuje się w strategię oraz uwzględnia procesy
biznesowe funkcjonujące w ramach organizacji.
Bardzo istotnym elementem kontekstu jest określenie
otoczenia organizacji zarówno na poziomie
logicznym: interesariusze, konkurencja, dostawcy,
wymagania prawne, itd., jak również na poziomie
fizycznym – np. umiejscowienie magazynów.
Określenie kontekstu jest podstawowym źródłem
wiedzy o niepewnościach np. umiejscowienie
magazynów może nieść ryzyko (gdy są umieszczone
na terenie zalewowym) i jednocześnie może być
szansą (gdy są umiejscowione blisko odbiorców).
Ocena ryzyka
•Identyfikacja ryzyka
•Analiza ryzyka
•Ewaluacja ryzyka
Monitorowanie
i przegląd
Komunikacja i konsultacje
Ustanowienie kontekstu
Postępowanie z ryzykiem
Rysunek 2. Proces zarządzania ryzykiem
7
Kolejnym ważnym elementem wprowadzenia
zarządzania ryzykiem jest określenie polityki, która
m.in. podaje strategiczne podejście do wprowadzenia
mechanizmów zarządzania nim. Zapisy polityki
zarządzania są podstawowym narzędziem
uzasadnienia sposobów zarządzania ryzykiem oraz
wskazówką powiązania pomiędzy celami organizacji
a ryzykiem. Niezmiernie ważnym elementem polityki
bezpieczeństwa jest określenie sposobów mierzenia
i raportowania wyników zarządzania ryzykiem.
Skuteczność zarządzania ryzykiem zależy w znacznym
stopniu od skuteczności komunikowania ryzyka.
Komunikowanie ryzyka musi objąć personel
organizacji, w szczególności właścicieli ryzyk
oraz musi objąć interesariuszy zewnętrznych.
Wprowadzenie skutecznych metod komunikacji
ma zapewnić właściwe informowanie o ryzyku,
ale przede wszystkim ma usprawniać przekazywanie
informacji o czynnikach wpływających na ryzyko
celem podejmowania odpowiednich działań.
Określenie wielkości ryzyka, a więc określenie
niepewności wpływającej na cele, następuje
w procesie oceny ryzyka, na który składa się:
•unikanie ryzyka – np. wycofanie się
z wprowadzenia ryzykownej usługi;
•minimalizowanie ryzyka – np. zastosowanie
dodatkowego zabezpieczenia;
•dzielenie się ryzykiem – np. ubezpieczenie się
od zalania;
•akceptacja ryzyka – przyjęcie ryzyka w takiej
wielkości, jak oszacowano.
Zarządzanie ryzykiem musi być powiązane
z precyzyjnym monitorowaniem. Musi ono
obejmować zarówno monitorowanie zmian
w ryzyku, jak też monitorowanie poprawności
funkcjonowania procesu zarządzania ryzykiem,
w tym monitorowanie postępowania z ryzykiem.
Monitorowanie jest szczególnie ważne
w przypadku ryzyk, które zostały zaakceptowane
pomimo wysokiego poziomu ryzyka.
Domknięcie procesu zarządzania ryzykiem jest
dokonywane przez wprowadzenie mechanizmów
doskonalenia. Doskonalenie ma obejmować przede
wszystkim:
•proces zarządzania ryzykiem;
•identyfikacja ryzyka;
•sposoby analizy i oceny ryzyka;
•analiza ryzyka;
•sposoby postępowania z ryzykiem.
•ewaluacja ryzyka.
Sposób oceny ryzyka i zastosowanie odpowiedniej
metodyki należy dobrać w odniesieniu do
analizowanego procesu, a także specyfiki organizacji.
W wyniku oceny ryzyka, określone zostają ryzyka
dla których należy określić sposób postępowania.
W klasycznym ujęciu, wyróżniamy cztery metody
postępowania z ryzykiem:
Podsumowanie
Niepewność otaczająca każdego człowieka i każde
działanie niesie ze sobą ryzyko. Wiedząc jednak,
że ryzyko to nie tylko zagrożenie, ale również
szansa, skupiajmy się na wykorzystywaniu
szans. Pamiętając, że każdy zarządza ryzykiem
– doskonalmy stosowane metody – to jest
właściwa droga do oceniania i eksploatowania
pojawiających się możliwości.
Sebastian Pikur
Ekspert ds. bezpieczeństwa oraz architekt rozwiązań w Infovide-Matrix SA. Ma ponad dziesięcioletnie doświadczenie
w realizacji projektów teleinformatycznych, w tym realizacji dużych projektów IT dla administracji publicznej.
Legitymuje się certyfikatami CISA, CISSP, ISO 27001 Lead Auditor, ISO 22301 Lead Auditor.
8
Strategie bezpieczeństwa w IT
Krzysztof Labiak, itelligence
Kluczem funkcjonowania każdego przedsiębiorstwa
jest zapewnienie jego ciągłości działania.
W świecie elektronicznego przetwarzania danych
podstawowym aspektem jest opracowanie,
wdrożenie i respektowanie polityki bezpieczeństwa
informacji. Niestety w realnym świecie nie istnieje
technologia, która potrafi z pełną skutecznością
zabezpieczyć naszą infrastrukturę IT. Dlatego wielu
menedżerów IT czy innych osób odpowiedzialnych
za bezpieczeństwo skupia się na ochronie danych
w kontekście ciągłej pracy nad wdrażaniem
różnych technologii zabezpieczających. Opracowują
standardy, analizują ryzyka z uwzględnieniem
tak zwanego czynnika ludzkiego, czy ostatecznie
fizycznego zabezpieczenia pomieszczeń,
w których dane się znajdują, na przykład
instalacja przeciwwłamaniowa, przeciwpożarowa,
opracowanie kontroli dostępu itd.
Kroki jakie należy podejmować w kontekście
bezpieczeństwa zależą od wielu czynników, takich
jak zakres prowadzonej działalności czy dostępności
zasobów ludzkich, technologicznych i finansowych.
Przy ich opracowaniu warto posługiwać się
gotowymi standardami bezpieczeństwa takimi jak
ITSEC, ISO 15408. Dokumenty te w dość precyzyjny
sposób formalizują podejście do bezpieczeństwa.
Ogólnie jednak możemy wyróżnić kilka filarów
bezpieczeństwa takich jak: poufność, integralność,
poziom dostępności. Dodatkowo należy również
wziąć pod uwagę zgodność z legislacjami
obowiązującymi w danym kraju i dotyczącymi
określonej branży. Z tych powodów strategie
bezpieczeństwa stosowane w firmach z branży
medycznej będą odmienne od tych w koncernie
samochodowym.
Architekci bezpieczeństwa w chwili obecnej
dysponują kilkudziesięcioletnim doświadczeniem
w branży IT. Przy budowie rozwiązań mogą
opierać się również na wielu międzynarodowych
normach. Ponieważ zmieniają się technologie IT,
również sposoby penetracji danych ulegają
ciągłej zmianie. Rewidują się też wymagania
funkcjonalne systemów. W związku z tym proces
zapewnienia bezpieczeństwa jest procesem
ciągłym i dynamicznym. Wyzwania stojące przed
osobami zaangażowanymi w bezpieczeństwo
są ogromne. Dla przykładu oprogramowanie,
które jest przecież tylko jednym z elementów
składowych rozpatrywanych w kontekście
bezpieczeństwa jest narażone na błędy
projektowe, programistyczne, związane
z konfiguracją czy dalszym rozwojem. Idealne
oprogramowanie realizujące tylko i wyłącznie
funkcje, do których zostało stworzone, podobnie
jak idealne technologie zabezpieczające,
po prostu nie istnieje. Dlatego elementy związane
z wdrożeniem, czasem życia aplikacji muszą być
częścią składową polityki bezpieczeństwa.
Oprócz klasycznych zagrożeń, z którymi specjaliści IT
borykają się od wielu lat, w chwili obecnej
dodatkowo należy rozważyć zagrożenia związane
z dodatkowymi warstwami oprogramowania
i sprzętu związanymi z wirtualizacją.
Wiąże się z tym przetwarzanie w chmurze
publicznej i prywatnej. Również wykorzystywanie
urządzeń mobilnych staje się standardem.
Dane firmy często też są przechowywane
na urządzeniach, które nie są ich własnością.
Ważne jest również to, aby w proces bezpieczeństwa
informacji zaangażowani byli wszyscy pracownicy
przedsiębiorstwa, od szczebla kierowniczego
poprzez pracowników w siedzibie firmy,
pracowników terenowych aż po wszystkie
współpracujące firmy outsourcingowe a nawet
klienci. Pracownik przedsiębiorstwa musi być
częścią polityki bezpieczeństwa. Jest to element,
który w istotny sposób może poprawić
bezpieczeństwo przetwarzanych danych.
Należy pamiętać, że zazwyczaj to właśnie
tzw. czynnik ludzki odpowiada za zdecydowaną
większość problemów związanych z incydentami
bezpieczeństwa.
9
Polityka bezpieczeństwa musi być kompleksowa,
ale też jak najprostsza. Skomplikowane procedury
w praktyce są pomijane. Musi też obejmować
bardzo szeroki wachlarz dziedzin od poprawności
wykonania kopii zapasowych do zagrożeń
związanych np. z niedostępnością serwerów
czasu NTP, które ostatnio narażone były na ataki.
Respektowanie polityki bezpieczeństwa firmy,
przestrzegania zasad jest obecnie jednym
z najważniejszych elementów funkcjonowania
każdego nowoczesnego przedsiębiorstwa.
Krzysztof Labiak
Administrator systemów IT w firmie itelligence sp. z o.o. Absolwent Uniwersytetu Adama Mickiewicza w Poznaniu, Wydział
Matematyki i Informatyki. Swoje doświadczenie zdobywał w jednym z największych szpitali w Poznaniu na stanowisku
specjalisty informatyka, gdzie odpowiadał przede wszystkim za ciągłość działania serwerów oraz środowiska sieciowego
poprzez utrzymanie bieżącej infrastruktury oraz wdrażanie nowych technologii. W itelligence odpowiedzialny za wirtualizację,
administrację i opiekę nad wirtualizatorami, systemami i hardware klientów, a także prace projektowe Hyper-V.
[email protected]
10
Uwaga na BYOD!
Krzysztof Wójtowicz, Check Point Software Technologies Polska
W 2014 roku stanęliśmy w obliczu prawdziwej epidemii przestępstw w sieci, a małe i średnie
przedsiębiorstwa stały się głównym celem hakerów. Rosnąca popularność BYOD i technologii
chmury stały się furtką do kolejnych ataków, po których mniejsze firmy rzadko są w stanie się
podnieść. Dlatego warto się zabezpieczyć.
Bring or not to bring?
Wśród zjawisk niosących największe
zagrożenie dla ochrony danych, coraz częściej
wymienia się BYOD (Bring Your Own Device),
czyli przynoszenie do firmy i używanie przez
pracowników prywatnych telefonów i tabletów.
Według badań, aż 94% firm zaobserwowało
rosnącą liczbę prywatnych urządzeń przenośnych,
łączących się z firmową siecią (Dimensional
Research, 2012). Bez tego rodzaju mobilności,
trudno byłoby nam się obyć – zwiększa to
naszą produktywność, odrywa od biurek,
pozwala na pracę w podróży. Jednak wiąże
się z tym wiele zagrożeń – na smartfonach
i tabletach pracownicy często przechowują
ogromną ilość prywatnych i służbowych
danych, a urządzenia te łączą się z firmową
siecią. Przedsiębiorstwa coraz ostrożniej muszą
więc ważyć proporcje między ich mobilnością,
a bezpieczeństwem. Bo priorytetem staje się
ochrona poufnych informacji.
Miliardy dolarów strat
Codziennie na świecie dokonywanych jest ponad
sto tysięcy nieznanych ataków na użytkowników
sieci i kilkadziesiąt tysięcy ataków na strony www.
W Polsce jest ich około 7-8 milionów rocznie.
Choć należymy do grona państw o średnim
zagrożeniu, to wyprzedzamy np. Czechy
i Słowację. Szacuje się, że straty rodzimych firm
w 2013r. mogły sięgnąć 100 milionów złotych.
Ale to i tak znacznie mniej niż w Stanach
Zjednoczonych, gdzie przedsiębiorstwa w wyniku
ataków tracą 250 miliardów dolarów rocznie.
Hakerzy coraz częściej za cel obierają sobie także
urządzenia mobilne – w 2013 r. liczba ataków
na telefony i tablety wzrosła aż sześciokrotnie.
Według prognoz, liczba wirusów mobilnych
może wkrótce przewyższyć tą przygotowywaną
na komputery osobiste. Już dziś, jest ich
650 tysięcy odmian.
Uchronić się przed atakiem
Polskie przedsiębiorstwa popełniają błąd, skupiając
się jedynie na ochronie systemów i zapominając
o zabezpieczeniu baz danych. A to właśnie firmy,
które przechowują wrażliwe dane, są najbardziej
narażone na ataki. Z badań przeprowadzonych
w 2013r. przez Check Point Software Technolgies
wynika, że prawie połowa firm (42%) zanotowała
straty powyżej 100 tysięcy dolarów. Mimo to,
tylko niewiele ponad połowa z nich (53%) planuje
zwiększenie wydatków na ochronę IT w tym roku
(Kapsch, 2013).
Niebezpieczeństwo w chmurze
Zagrożone mogą być także te dane, które
firmy decydują się przechowywać w wirtualnej
przestrzeni, tzw. chmurze. Technologia Cloud
Computing umożliwia zapis danych poza dyskiem
i gwarantuje, że nie zostaną one w żaden sposób
skasowane, a co ważniejsze, będą dostępne
z każdego komputera na świecie. Jednak takie
rozwiązanie stwarza zagrożenie wycieku
poufnych danych w niepowołane ręce.
11
Według ekspertów Check Point Software
Technologies istnieje kilka prostych zasad,
które pomagają zabezpieczyć firmę:
takich jak Firewall Next Generation (NGFW)
od Check Point, oraz zabezpieczać stacje robocze
za pomocą programów antywirusowych,
antyspamowych i antyphishingowych.
1. Popularne hasła to złe hasła
Hasła to pierwsza linia ochrony, jeżeli chodzi
o bezpieczeństwo IT. Cyberprzestępcy
włamujący się do sieci będą na początku
próbować najpopularniejszych haseł.
2. Zabezpiecz każde wejście
Wystarczą tylko jedne otwarte drzwi,
aby haker dostał się do sieci. Sieć należy
zabezpieczyć tak samo jak zabezpiecza się dom
– zamykając wszystkie możliwe wejścia do
naszego komputera. Najlepiej stosując silne
hasła, korzystać z Firewalla lub lepiej rozwiązań
bardziej szeroko zabezpieczających sieć firmową
3. Segmentacja sieci
Jedną z metod ochrony sieci jest podzielenie
jej na strefy – np. jedną dla działań
przedsiębiorstwa, a drugą dla gości, w której
klienci będą mogli korzystać z Internetu,
jednak bez możliwości połączenia się
z Twoją siecią wewnętrzną.
4. Definiuj, edukuj i wymagaj przestrzegania
polityki bezpieczeństwa
Warto poświęcić trochę czasu i zastanowić się,
z których aplikacji można swobodnie korzystać
w sieci wewnętrznej, a które powinny być
zablokowane. Przede wszystkim należy
zdefiniować politykę dotyczącą prawidłowego
korzystania z sieci zawierającą dozwolone oraz
niedozwolone aplikacje i strony.
5. Zagrożenie w trakcie korzystania z portali
społecznościowych
Portale społecznościowe są dla hakerów
prawdziwą kopalnią wiedzy na temat ludzi,
a informacje z nich pochodzące zwiększają
prawdopodobieństwo skutecznie
przeprowadzonego ataku. Ataki typu
phishing, spearphising czy oparte o inżynierię
społecznościową zaczynają się od zbierania
prywatnych danych dotyczących
poszczególnych osób.
6. Zaszyfruj wszystko, co się da
12
Jeden wyciek danych może być prawdziwym
ciosem dla firmy lub jej reputacji. Warto
zabezpieczyć swoje wrażliwe dane stosując
szyfrowanie. Taki proces powinien być też
łatwo dostępny dla pracowników.
7. Dbaj o swoją sieć jak o swój samochód
9. Nie przyznawaj każdemu praw administratora
Regularny przegląd i audyt sieci oraz urządzeń
sprawią, że sieć będzie funkcjonowała bezpiecznie.
Warto, aby systemy operacyjne były zawsze
zaktualizowane do najnowszej wersji, podobnie
jest z innymi aplikacjami i programami.
8. Ostrożność w chmurze
Przechowywanie danych i aplikacje osadzone
w chmurze są obecnie bardzo popularne.
Ale warto być ostrożnym. Każda treść przesłana
do chmury staje się otwarta dla przestępców
w sieci.
Ograniczenie dostępu pracowników do poziomu
konta użytkownika redukuje możliwości
złośliwego oprogramowania (tzw. malware)
w stosunku do jego możliwości w przypadku
działania z uprawnieniami administratora.
10. Nie wpuszczaj słonia BYOD do składu
porcelany
Zacznij od zdefiniowania polityki Bring Your
Own Device. Wiele firm unika tego tematu,
jednak trend BYOD staje się coraz silniejszy.
Nie wpuszczaj słonia do składu porcelany!
Jest to znowu kwestia edukacji użytkowników.
Krzysztof Wójtowicz
Managing Director Check Point Software Technologies Polska
Od lat związany z rynkiem telekomunikacyjnym i IT. W Check Point, gdzie pracuje od 2007 roku, odpowiada m.in. za strategię
wprowadzania i dystrybucji nowych usług i rozwiązań Check Point na polskim rynku oraz za współpracę z partnerami
handlowymi firmy.
Spółka Check Point Software Technologies Ltd., światowy lider w dziedzinie bezpieczeństwa jest jedynym producentem
zapewniającym całkowite bezpieczeństwo sieci, danych oraz urządzeń końcowych w jednej strukturze zarządzania. Check Point
zapewnia klientom ochronę przed wszelkimi rodzajami zagrożeń, ogranicza złożoność systemu bezpieczeństwa i obniża koszty
własności. Innowacyjne rozwiązania Check Point zapewniają bezpieczne, elastyczne i proste rozwiązana, które można w łatwy
sposób implementować i dostosowywać do specyficznych potrzeb różnych środowisk.
13
Ochrona dostępności i treści
stron internetowych
Robert Dąbrowski, Fortinet
Strony internetowe stanowią w dzisiejszym
społeczeństwie kluczowy kanał informacyjny
oraz biznesowy. Dla większości użytkowników
Internetu portale kojarzą się w pierwszej kolejności
ze źródłem codziennych informacji społecznych,
politycznych, gospodarczych czy sportowych.
To z ich poziomu obecni i potencjalni klienci
szukają informacji o firmie i jej produktach
oraz dokonują zakupów, a partnerzy handlowi
uzyskują dostęp do zasobów.
W ostatnim czasie w Polsce byliśmy świadkami
masowego wykorzystania informacji dostępnych
online podczas mistrzostw Europy w piłce nożnej
EURO 2012, obecnie obserwujemy śledzenie
i komentowanie na dużą skalę wydarzeń
politycznych w kontekście sytuacji na Ukrainie.
Strona WWW jest dostępna dla każdego. To czyni
ją naturalnym celem dla cyberprzestępców,
hakerów i tzw. Haktywistów, dziś wiemy,
14
że także dla osób działających na zlecenie
sił politycznych – frakcji, partii a nawet agencji
rządowych. Niezależnie od zakładanego celu oraz
sposobu przeprowadzenia ataku, może mieć on
poważne konsekwencje, w tym utrudniony dostęp
do informacji, dezinformację, utratę dochodów,
narażenie na szwank reputacji instytucji oraz
kradzież poufnych informacji. Media regularnie
donoszą o atakach na strony internetowe firm,
a także organizacji publicznych samorządowych
oraz centralnych.
Wyzwania w zakresie ochrony aplikacji WWW
Podstawowym wyzwaniem przy ochronie
aplikacji WWW jest zapewnienie ich dostępności.
Ataki DDoS przestały wykorzystywać jedynie
wysycenie łącza, ale stały się bardziej
zaawansowane i w sposób trudny do wykrycia
potrafią zaburzyć pracę serwerów uniemożliwiając
dostęp do prezentowanych treści.
Anatomia ataku DDoS
w zabezpieczeniach systemu operacyjnego
Badania przeprowadzone przez firmę Verizon
pokazały, że dwa najczęstsze motywy ataków
na strony internetowe to kradzież (w celu
osiągnięcia np. przewagi technologicznej)
oraz tzw. haktywizm (wyraz niezadowolenia
lub protestu). Ataki te są przeprowadzane
za pomocą eksploitów wykorzystujących luki
lub aplikacji WWW. Z kolei bardziej zaawansowane
ataki, takie jak SQL injection czy cross-site scripting,
przeprowadza się w celu uzyskania dostępu
do poufnych danych. Nierzadko wektor ataku
mającego na celu zmianę publikowanych treści
pochodzi z wewnątrz sieci po przejęciu kontroli
nad komputerami danej organizacji.
71%
Korzyść finansowa
lub osobista
96%
25%
Zabawa,
ciekawość, duma
3%
Niezadowolenie
lub protest
3%
Uraza, przesłanki
osobiste
3%
1%
25%
Wszystkie firmy i instytucje
Duże firmy i instytucje
Raport firmy Verizon nt. przypadków naruszenia bezpieczeństwa danych, 2012 r.
Dezinformacja polegająca na podmianie
dostępnych na portalu treści jest możliwa
do wykrycia i skorygowania stosunkowo skutecznie,
ale działalność na forach internetowych
przeszkolonych agentów lub wyrafinowanych
botnetów wyrządza szkody trudne do oszacowania
i naprawienia. Wprowadza w błąd opinię
publiczną, wywołuje konflikty, utrwala fałszywe,
często absurdalne poglądy.
Problemy związane z ochroną stron internetowych
i aplikacji biorą się przede wszystkim z ich
architektury i dynamiki. O ile zapewnienie
bezpieczeństwa sieci jest względnie łatwe –
wystarczy zdefiniować reguły bezpieczeństwa
autoryzujące lub blokujące określony rodzaj
ruchu z/do sieci/serwerów – o tyle strony
internetowe składają się z setek, a nawet tysięcy
różnych elementów, obejmujących adresy URL,
parametry i pliki cookie. Ręczne definiowanie
reguł dla poszczególnych elementów jest
praktycznie niewykonalne, a ponadto
uniemożliwia skalowalność.
Inna zasadnicza różnica pomiędzy regułami
stosowanymi na firewallu w porównaniu
do platform do ochrony aplikacji webowych
w kontekście kategoryzacji i filtrowania aplikacji
czy adresów URL dotyczy kierunku działania.
Filtrowanie URL na firewallu działa w kierunku
15
do Internetu, jeżeli chcemy chronić portal
musimy polegać na reputacji użytkowników.
Trudno oczekiwać, że atak będzie prowadzony
z określonych państw, dlatego oprócz GEO
lokalizacji należy posłużyć się reputacją adresów IP
pod kątem botnetów czy proxy internetowych
pozwalających zachować anonimowość.
Ochrona zasobów internetowych organizacji
Ochrona zasobów internetowych firmy musi być
kompleksowa, tzn. musi obejmować zarówno
stronę i powiązane z nią aplikacje, jak i sieć.
Fortinet zaleca ochronę aplikacji WWW obejmującą
następujące elementy:
•Bezpieczne techniki tworzenia aplikacji
i aktualizacje kodu źródłowego. Bezpieczne
tworzenie aplikacji w ramach cyklu
programowania powinno być integralną
częścią każdego projektu tworzenia aplikacji.
Dzięki postępowaniu według wytycznych
Open Web Application Security Project (OWASP)
i innych organizacji, użytkownicy mogą tworzyć
bezpieczniejsze i bardziej zaufane aplikacje,
co zmniejsza liczbę ewentualnych eksploitów
w całym cyklu programowania.
FortiDDoS-2000B
16
•Ocena luk w zabezpieczeniach aplikacji
WWW oraz testy penetracyjne. Aplikacje
należy weryfikować ręcznie lub za pomocą
narzędzi do automatycznej oceny luk
w zabezpieczeniach w celu identyfikacji
podatności.
•Ochrona przed atakami DDoS. Organizacje
muszą zrozumieć, że ataki DDoS mogą mieć
różne oblicza i różne cele. Dlatego kluczowe
jest komplementarne zastosowanie filtrowania
ruchu po stronie operatora chroniące przed
wysyceniem pasma na łączu internetowym
oraz filtrowania ruchu w centrum danych.
Filtrowanie w centrum danych pozwala chronić
przed atakami w warstwie aplikacji zużywającymi
zasoby serwerowe, a także zablokować ruch
z niepożądanych regionów geograficznych,
botnetów oraz proxy internetowych.
Dedykowane rozwiązania anty DDoS gwarantują
ochronę i wymaganą wydajność dzięki
zastosowaniu specjalizowanych układów ASIC.
•
Web Application Firewall (WAF).
WAF pozwala firmom i instytucjom wykrywać
i blokować ataki wymierzone w warstwę
aplikacji. Oprócz tradycyjnych zabezpieczeń
sieciowych warto zastosować specjalizowane
rozwiązanie WAF, jako że zwykłe zapory
są projektowane z myślą o wykrywaniu
i unieszkodliwianiu ataków na poziomie
sieci i portów, nie zaś aplikacji. Do swojego
dotychczasowego firewalla sieciowego
można dodać Web Application Firewall
i dzięki temu spełnić specyficzne wymagania
wobec aplikacji WWW oraz zwiększyć ogólny
poziom bezpieczeństwa sieci.
Zaawansowane rozwiązania Fortinet: FortiDDoS,
FortiGate i FortiWeb pozwalają na skuteczne
reagowanie na pojawiające się wyzwania
w zakresie zapewnienia dostępności oraz
ochrony dostarczanych treści.
Rozwiązanie FortiDDoS jest wyposażone w nowy, oparty na analizie behawioralnej mechanizm
unieszkodliwiania ataków. Urządzenie tworzy wzorzec normalnego zachowania aplikacji,
a następnie monitoruje ruch sieciowy względem takiego wzorca. W przypadku pojawienia
się ataku, FortiDDoS potraktuje go jak anomalię i podejmie natychmiastowe działania w celu
ograniczenia jego skutków. Pozwala to identyfikować aktualne i przyszłe zagrożenia oraz
ograniczać ich skutki w oparciu o ich wzorce i zawartość. Urządzenia nie wymagają aktualizacji
sygnatur, dzięki czemu zapewniają lepszą ochronę przed atakami typu zero-day poprzez
dynamiczne monitorowanie charakterystyki ruchu. Bardzo krótki czas reakcji i blokowania
zagrożeń, możliwy dzięki zastosowaniu zaawansowanych procesorów ASIC, pozwala na bieżąco
dokonywać ponownej oceny ataków. Ogranicza to negatywny wpływ fałszywych alarmów
w momencie, gdy ruch sieciowy wraca do normy.
Fortinet to jedyna firma, która w swoich produktach do ochrony przed atakami DDoS stosuje
w pełni dedykowane procesory ASIC. Takie podejście eliminuje koszty ogólne występujące
w systemach opartych na zwykłych procesorach lub układach hybrydowych. Druga generacja
procesorów sieciowych FortiASIC-TP2 umożliwia wykrywanie ataków DDoS i ograniczanie ich
skutków przez pojedynczy procesor obsługujący każdy rodzaj ruchu w warstwach 3, 4 i 7 warstwy
aplikacyjnej OSI/ISO. Konkurencyjne rozwiązania korzystają z różnych kombinacji procesorów.
W przypadku takich rozwiązań część ruchu jest przypisana do procesora ASIC, a część do
zwykłego procesora, przy czym w niektórych modelach zwykły procesor obsługuje całość ruchu.
Prowadzi to do powstawania wąskich gardeł i obniżenia ogólnej wydajności systemu.
Jeżeli są Państwo zainteresowani przetestowaniem rozwiązań Fortinet, prosimy o wypełnienie
formularza: http://www.fortinet.pl/kontakt/testy
Robert Dąbrowski
Senior System Engineer, Fortinet Polska
Ma za sobą 16-letnie doświadczenie w pracy z systemami teleinformatycznymi. Pracował między innymi 9 lat w Alcatel Polska
jako inżynier systemowy oraz 2,5 roku w Solidex jako kierownik zespołu konsultantów. Uczestniczył w wielu rozbudowanych
projektach sieciowych mających na celu zapewnienie bezpieczeństwa informacji w infrastrukturze przedsiębiorstw oraz
operatorów telekomunikacyjnych. W Fortinet od lipca 2009.
17
Jak stworzyć zespół odpowiedzialny
za bezpieczeństwo
Publikujemy dla Państwa skrót z raportu rady Security for Business Innovation Council.
•Rada Security for Business Innovation
Council (SBIC) twierdzi, że funkcja zapewniania
bezpieczeństwa informacji powinna obejmować
swoim zasięgiem całe przedsiębiorstwo.
Zabezpieczenia należy wbudowywać w procesy
biznesowe, a zespoły ds. bezpieczeństwa
powinny ściśle współpracować z jednostkami
biznesowymi w zakresie zarządzania ryzykiem
zagrażającym bezpieczeństwu informacji oraz
minimalizacji zagrożeń z cyberprzestrzeni.
•Członkowie rady SBIC sformułowali siedem
zaleceń, które mają pomóc przedsiębiorstwom
w tworzeniu nowoczesnych zespołów
ds. bezpieczeństwa, dysponujących
zróżnicowanymi umiejętnościami, które będą
niezbędne do realizowania rozszerzonego
zakresu obowiązków związanych z zarządzaniem
ryzykiem zagrażającym zasobom informacyjnym
przedsiębiorstwa.
•Zalecenia członków rady SBIC zostały
przedstawione w nowym raporcie
udostępnionym przez RSA.
Informacje szczegółowe
RSA®, dział zabezpieczeń firmy EMC® Corporation,
opublikował raport specjalny rady Security
for Business Innovation Council (SBIC),
w którym przedstawiono zasady tworzenia
przyszłościowego programu bezpieczeństwa –
począwszy od powołania nowoczesnego zespołu
ds. bezpieczeństwa informacji, aż po zarządzanie
cyklem życia zagrożeń z cyberprzestrzeni,
występujących w dzisiejszych globalnych
przedsiębiorstwach. W ciągu ostatnich miesięcy
odnotowano znaczne zmiany w ogólnych
wymaganiach dotyczących skuteczności działania
18
zespołów ds. bezpieczeństwa informacji.
Zmiany te zostały wymuszone upowszechnieniem
się w środowiskach biznesowych różnych form
komunikacji sieciowej, pojawianiem się nowych
zagrożeń, wdrażaniem nowych technologii oraz
wprowadzaniem coraz bardziej restrykcyjnych
przepisów. W związku z tym zmieniają się zakresy
działań i obowiązków zespołów ds. bezpieczeństwa
informacji w przedsiębiorstwach.
W najnowszym raporcie pt. Transforming
Information Security: Designing a Stateof-the Art Extended Team (Zmiana zasad
zapewniania bezpieczeństwa informacji:
tworzenie nowoczesnego zespołu) stwierdzono,
że zespoły ds. bezpieczeństwa informacji muszą
się rozwijać i zdobywać kwalifikacje, które
w dziedzinie zapewniania bezpieczeństwa nie
były wcześniej potrzebne. Są to między innymi
umiejętność zarządzania ryzykiem biznesowym
oraz wiedza z zakresu prawa, marketingu,
matematyki i zakupów. System zapewniania
bezpieczeństwa informacji musi także obejmować
model wspólnej odpowiedzialności, w ramach
którego odpowiedzialność za zabezpieczanie
zasobów informacyjnych jest ponoszona
wspólnie z menadżerami i dyrektorami działów
biznesowych przedsiębiorstwa. Kierownictwa firm
zaczynają rozumieć, że w dzisiejszych czasach
ryzyko biznesowe obejmuje również zagrożenia
z cyberprzestrzeni. W zespołach ds. bezpieczeństwa
występują braki w wielu kompetencjach
technicznych i biznesowych niezbędnych
do realizowania rozszerzonego zakresu obowiązków
spoczywających na tych zespołach. Konieczne
więc będzie opracowanie nowych strategii
zdobywania i pogłębiania takich kompetencji
we własnym zakresie, a także korzystania z wiedzy
specjalistycznej usługodawców zewnętrznych.
Aby pomóc przedsiębiorstwom w stworzeniu nowoczesnego zespołu ds. bezpieczeństwa,
rada SBIC sformułowała siedem zaleceń:
1. Ponowne zdefiniowanie i rozwój
podstawowych kompetencji – zespół główny
powinien poszerzać kwalifikacje w czterech
dziedzinach: analiza zagrożeń z cyberprzestrzeni
oraz danych nt. bezpieczeństwa; zarządzanie
danymi nt. bezpieczeństwa; doradztwo
w zakresie ryzyka oraz projektowanie
i wdrażanie mechanizmów kontroli.
2. Delegowanie czynności rutynowych
– należy powierzać wykonywanie
powtarzalnych, sprawdzonych procesów
z zakresu zapewniania bezpieczeństwa działowi
informatyki, jednostkom biznesowym i/lub
usługodawcom zewnętrznym.
3. Wypożyczanie lub wynajmowanie ekspertów
– w określonych specjalizacjach należy
uzupełniać główny zespół ekspertami
wewnętrznymi i zewnętrznymi.
4. Kierowanie właścicielami ryzyka w zakresie
zarządzania ryzykiem – należy współpracować
z jednostkami biznesowymi w zakresie
zarządzania ryzykiem zagrażającym
bezpieczeństwu w cyberprzestrzeni
oraz koordynować wypracowywanie
spójnego podejścia.
5. Wynajmowanie specjalistów ds. optymalizacji
procesów – należy zadbać o to, aby w zespole
znaleźli się specjaliści z doświadczeniem
i certyfikatami w zakresie zarządzania jakością,
projektami lub programami, optymalizacji
procesów i świadczenia usług.
6. Budowanie kluczowych relacji – należy
zdobywać zaufanie kluczowych podmiotów
oraz możliwości wywierania na nie wpływu.
Do podmiotów takich należą właściciele
kluczowych procesów, kierownictwo średniego
szczebla oraz usługodawcy zatrudniani
na zasadzie outsourcingu.
7. Dbałość o rozwijanie kwalifikacji
pracowników z myślą o przyszłych
potrzebach – z uwagi na brak potrzebnych
specjalistów, w przypadku większości
przedsiębiorstw, jedynym przyszłościowym
rozwiązaniem jest rozwój kwalifikacji
pracowników. Szczególnie przydatne będzie
zdobywanie umiejętności w dziedzinach,
takich jak tworzenie oprogramowania,
analiza biznesowa, zarządzanie finansami,
wywiad wojskowy, prawo, ochrona danych
osobowych, analityka danych oraz złożona
analiza statystyczna.
19
ENTERPRISE
INFORMATION
SECURITY
TEAMS
Old
School
STATE
ART
VS
OF THE
M I S S I O N
Concentrates on
conventional security
activities such as:
Shifts focus to businesscentric and advanced
technical activities such as:
Developing policy
Implementing and
operating security
controls
Business risk analysis
Asset valuation
IT supply chain integrity
Cyber threat intelligence
Security data analytics
Data warehousing
Process optimization
E X P E R T I S E
IT professionals
with security
skills
Multidisciplinary
group of specialists
with diverse
business leadership
and technical skills
F O C U S
Focuses on reactive and
day-to-day activities
Focuses on proactive and
strategic activities
A P P R O A C H
Siloed approach
with “we’ll do it all
ourselves” attitude
D.I.Y.
V I E W
Check-list or
compliance view
whereby Security’s
goal is to mitigate
all risks
20
Collaborative
approach
with shared
accountability
for protecting
information
O F
R I S K
Business units own the
risk/reward decisions.
Security operates a risk
consultancy to advise the
business on assessing
and managing risks
T H R E A T
D E T E C T I O N
Look at security events
generated by
dedicated
security
devices
Use intelligence-driven security
to detect malicious activity
within business processes
Collect data from
various internal
and external sources
Apply data-enrichment
and analytics techniques
C O N T R O L S
O P E R A T I O N
Basic infrastructure
security controls
are operated by
Security
Selected, well-established,
repeatable security processes
are delegated to internal and
external service providers
Governed by Security
through Service Level
Agreements (SLAs)
C O N T R O L S
A S S E S S M E N T
Auditors periodically
assess security
controls using
manual
methods
P R O C E S S
Controls assurance
analysts continuously
collect evidence on the
efficacy of security
controls using more
automated methods.
Auditors use this evidence
in their assessments
I M P R O V E M E N T S
Security processes
are improved on
an ad-hoc
basis
Security processes are
consistently tracked,
measured, and optimized
based on process expertise
and formalized methods
T A L E N T
Mostly
backgrounds
in IT and
security
TWEET THIS
www.emc.com/rsa-sbic11
Broadened to also
include backgrounds
such as data science,
math, history,
economics, military
intelligence, and
business analysis
An industry initiative sponsored by
Największe zagrożenia dla
bezpieczeństwa w sieci w roku 2014
Raport Fundacji Bezpieczna Cyberprzestrzeń
Trochę historii – przegląd najważniejszych
wydarzeń w 2013 roku
Edward Snowden były pracownik CIA (Central
Intelligence Agency) i NSA, w 2013 ujawnił
na łamach prasy informacje o PRISM, programie
inwigilacji prowadzonym przez NSA. Nie wnikając
w wątki polityczne w tej sprawie jedno jest
pewne, sensacyjne informacje Edwarda Snowdena
sprawiły, że kwestie bezpieczeństwa w sieci
Internet stały się dostrzegane już nie tylko przez
specjalistów. Od tej pory na temat prywatności
i poufności naszych danych prowadzone są
niekończące się dyskusje a usługi i serwisy
internetowe ułatwiające ochronę prywatnych
danych rozkwitają – na przykład obserwujemy
to przy okazji wzrostu popularności sieci Tor
czy kryptowalut.
BitCoin to popularna waluta w świecie
cyberprzestępczym, jest trudniejsza do
monitorowania przez organy ścigania, przez co
stanowi bezpieczniejszą, anonimową metodę
płatności. W 2013 kryptowaluty były w kręgu
zainteresowań branży bezpieczeństwa.
Kaspersky Lab wykrył kampanię, w której
cyberprzestępcy wykorzystywali Skype’a
do dystrybucji szkodliwego oprogramowania
w celu wydobywania Bitcoinów. Cyberprzestępcy
stosowali socjotechnikę jako początkowy
wektor ataku i pobierali kolejne szkodliwe
oprogramowanie do zainstalowania na maszynie
ofiary. Współczynnik kliknięć w kampanii wynosił
2 000 na godzinę!
Sensacją stała się publikacja raportu Mandianta
na temat chińskich ataków APT (Advanced
Persistent Threats). Amerykańska firma Mandiant
zajmująca się analizą ruchu internetowego
i cyberbezpieczeństwem w swoim raporcie
opisała włamania przedstawicieli Chińskiej
24
Republiki Ludowej do baz danych organizacji
działających głównie w USA, Kanadzie
i Wielkiej Brytanii i wykradzenie z nich setek
terabajtów danych. W raporcie opisano
systematyczne kradzieże danych z co najmniej
141 firm skupionych w branżach uważanych
przez Chińczyków jako strategiczne: zbrojeniowej,
energetycznej i medialnej.
Rok 2013 to ponownie włamanie do firm i wycieki
danych: włamanie do Adobe, włamanie do Opery,
niemieckiego Vodafone czy do serwisu Evernote.
Największe z nich to włamanie do Adobe – ponad
150 milionów wierszy z danymi. Niewątpliwie
mamy tu do czynienia z największym do tej pory,
opublikowanym i pochodzącym z jednego
serwisu wyciekiem listy kont, adresów e-mail
i zabezpieczonych haseł.
Omawiając najważniejsze wydarzenia roku 2013
nie można pominąć sprawy dynamicznego
wzrostu zagrożeń dla platform mobilnych,
a głównie popularnego systemu Android. Według
Kaspersky Lab, w 2013 r. zidentyfikowano pierwsze
botnety osób trzecich, tj. mobilne urządzenia
zainfekowane innymi szkodliwymi programami
i wykorzystywane przez innych cyberprzestępców
do rozprzestrzeniania mobilnego szkodliwego
oprogramowania – tak rozprzestrzeniany był
najbardziej wyrafinowany trojan dla Androida,
znany jako Obad.
Mobilne szkodliwe oprogramowanie jest
zwykle wykorzystywane do kradzieży pieniędzy
właścicieli telefonów. Przeprowadzone przez
analityków Trend Micro badania wskazują,
że w ciągu ostatnich miesięcy liczba złośliwego
oprogramowania i aplikacji, które są niebezpieczne
dla użytkowników systemu Android, przekroczyła
1 milion.
Rok 2014 – prawdopodobieństwo i poziom zagrożeń
Prawdopodobieństwo zagrożenia w przypadku wystąpienia podanego poniżej zagrożenia
Skala 1–5 (1 – najmniej groźne, 5 – najbardziej groźne)
Phishing z wykorzystaniem poczty elektronicznej i serwisów WWW – 4,39
Zagrożenia w serwisach społecznościowych – 4,35
Zagrożenia dla platformy Android – 4,22
Wycieki baz danych zawierających dane osobowe – 4,00
Ataki na cloud-computing – 3,96
Ataki drive-by download – 3,96
Zagrożenia zawiązane z BYOD – 3,96
Powstawanie botnetów opartych o platformy mobilne – 3,98
Masowe naruszenia prywatności – 3,52
Zagrożenia typu ransome/scareware – 3,52
Zagrożenia dla platformy Windows Phone/Mobile – 3,35
Haktywizm – 3,35
Cyberkonflikty pomiędzy państwami powiązane z atakami dedykowanymi – 3,30
Zagrożenia dla platformy iOS – 2,26
Zagrożenia związane z „Internet of Things”– 2,87
Wykorzystanie gier sieciowych w atakach – 2,87
Jak widać z tego zestawienia – zagrożenie,
operacyjnej. Częstsze informacje o kradzieży
które jest wręcz klasycznym od wielu lat,
zasobów wirtualnych w GVE czy przejmowaniu
czyli akcje phishingowe z wykorzystaniem poczty
w nich komputerów grających mogą pojawić się
elektronicznej i serwisów WWW – wygrywa
w każdym momencie. „Internet of Things” tak
konkurencję. Gry sieciowe nadal postrzegane są
naprawdę dopiero zaczyna wkraczać do naszego
jako oaza względnego spokoju. Choć niekoniecznie
życia. Stąd pewnie nie za bardzo oczekujemy
tak musi być dalej. Na razie słyszymy, o tym,
zagrożeń z tej strony. To się też może zmienić
że GVE-y (Games and Virtual Environments)
jeśli urządzenia staną się bardziej powszechne.
powszechnie wykorzystywane są przez agencje
Niedawno pojawiła się informacja o pierwszej
wywiadowcze do prowadzenia działalności
lodówce, dołączonej do botnetu i rozsyłającej spam.
25
Największe zagrożenia w roku 2014
– poziom zagrożenia
Prawdopodobieństwo wystąpienia to jedno, ale
siła oddziaływania danego zagrożenia to drugie.
Nie wszystkie zagrożenia wskazywane jako
najbardziej prawdopodobne były jednocześnie
wskazywane jako te, których konsekwencje
wystąpienia byłyby najbardziej dokuczliwe
i najgroźniejsze.
Poziom zagrożenia w przypadku wystąpienia podanego poniżej zagrożenia
Skala 1–5 (1 – najmniej groźne, 5 – najbardziej groźne)
Ataki na cloud-computing – 4,43
Pomiędzy państwami powiązane z atakami dedykowanymi – 4,39
Wycieki baz danych zawierających dane osobowe – 4,00
Masowe naruszenia prywatności – 4,00
Ataki drive-by download – 3,74
Zagrożenia zawiązane z BYOD – 3,57
Zagrożenia dla platformy Android – 3,48
Zagrożenia związane z „Internet of Things” – 3,36
Związane z wykorzystaniem poczty elektronicznej i serwisów WWW – 3,35
Powstawanie botnetów opartych o platformy mobilne – 3,35
Zagrożenia dla platformy Windows Phone/Mobile – 3,14
Zagrożenia w serwisach społecznościowych – 3,13
Zagrożenia dla platformy iOS – 3,13
Zagrożenia typu ransome/scareware – 2,91
Haktywizm – 2,85
Wykorzystanie gier sieciowych w atakach – 2,57
26
Przy niewielkiej dozie wyobraźni można by też
uruchamianiu ataków DDoS. Te ataki często
pokazać, jak wszystkie te ataki mogą się łączyć.
skierowane są na serwery rządowe, a przy okazji
Na przykład: wiadomo, że od pewnego czasu
włamań do centrów danych mogą następować
cyberprzestępcy zaczęli masowo wykorzystywać
również ataki na instalowane w nich rozwiązania
centra danych do swojej działalności, np.:
„chmurowe” i kradzież przetwarzanych
w nich danych osobowych. Taki scenariusz
to jeden z licznych dowodów na to, że systemy
informatyczne, ataki na nie, metody obrony
to olbrzymi system naczyń połączonych często
następuje synergia pewnych działań jak również
wzajemne oddziaływanie ich na siebie.
Mamy nadzieję, że dane z naszego raportu mogą
być w jakimś stopniu przydatne przy tego typu
analizach.
Inne możliwe zagrożenia
Najgroźniejsze są te zagrożenia których
prawdopodobieństwo wystąpienia jest duże,
a spowodowane straty poważne. Warto więc
najbardziej się przyjrzeć właśnie tym zagrożeniom.
Wśród nich znajdują się takie jak:
Eksperci, którzy wzięli udział w naszym badaniu,
oprócz wskazanych zagrożeń w zestawieniu,
zaproponowali również własne. Wśród nich
najczęściej pojawiają się dwa: ataki typu DDoS
oraz ataki na systemy sterowania przemysłowego
typu SCADA. Oprócz tych dwóch najczęściej
pojawiających się – eksperci wskazali kilka innych
ciekawych. Na przykład:
• ataki na cloud-computing (prawdopodobieństwo
– 3.96, poziom zagrożenia – 4.43)
• Ingerencje służb w Internet powodujące utratę
zaufania ludzi do sieci i usług sieciowych
•wycieki baz danych zawierające dane osobowe
(4.00, 4.00)
• Ataki na urządzenia medyczne I instalacje
podtrzymujące życie
• ataki drive-by download (3.96, 3.74)
• Kradzież walut typu BitCoin
• Phishing z wykorzystaniem poczty
elektronicznej i serwisów WWW (4.22, 3.48)
• Backdoory w powszechnie wykorzystywanych
algorytmach
• Zagrożenia dla platformy Android (4.22, 3.48)
• Nowe mechanizmy w rozwoju złośliwego
oprogramowania (wykorzystanie sieci
anonimowych, destrukcja komputera
przy próbie zablokowania botnetu, etc.)
Na co zwrócić uwagę najbardziej
Taka uproszona analiza ryzyka to oczywiście
tylko proste kalkulacje. Każdy sam w zależności
od charakteru podmiotu jaki reprezentuje
i środowiska teleinformatycznego w jakim działa
powinien takową przeprowadzić na swój użytek.
• Sniffing w punktach wymianu ruchu
• DNS hijacking
O raporcie:
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2014 r. jest drugą
edycją tego typu raportu po edycji dotyczącej roku 2013. Jednocześnie jest najprawdopodobniej pierwszym
tego typu raportem, na wyniki którego składają się głosy polskich specjalistów ds. bezpieczeństwa
teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie
korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
27
Strzeż tajemnic przedsiębiorstwa
Krzysztof Rydlak, SpyShop
W ostatnich dwóch latach blisko 50% polskich przedsiębiorstw padło ofiarą przestępstw
gospodarczych. Powodem jest utrata poufności strategicznych informacji. Ochrona danych
biznesowych to konieczność. Jak zabezpieczać się przed szpiegostwem i nielojalnymi pracownikami?
Dane korporacyjne muszą być dobrze chronione.
Z powodu ich wycieku 25% polskich przedsiębiorstw
może tracić nawet do 3 mln zł w skali roku.
Eksperci wykazali, że w ostatnich dwóch
latach niemal 70% sieci korporacyjnych było
zainfekowanych niezidentyfikowanymi botami,
a blisko 50% polskich przedsiębiorstw padło
ofiarami przestępstw gospodarczych.
– Dzięki nowoczesnym metodom zabezpieczania
informacji można tego uniknąć. Aż 52%
nieprawidłowości udaje się wykryć już poprzez
rutynowe kontrole – mówi Paweł Wujcikowski,
ekspert ds. bezpieczeństwa Spy Shop. – Zwiększając
bezpieczeństwo danych korporacyjnych można
zredukować ryzyko do zera.
Rosnący problem
Niebezpieczeństwo utraty poufnych informacji
dotyczy zarówno średnich, jak i dużych
przedsiębiorstw. Kto znajduje się w grupie ryzyka?
Analizy ekspertów pokazały, że najbardziej
zagrożone są sektory:
•finansowy,
•handlowy,
•telekomunikacyjny.
– Ofiarami hakerów najczęściej są firmy, których
funkcjonowanie opiera się na rozbudowanych
sieciach informatycznych – dodaje Paweł
Wujcikowski. Internet to najlepsza droga dotarcia
do strategicznych danych korporacji. Specjalnie
przygotowane boty, mogą inwigilować firmowe
sieci bez wiedzy ich użytkowników. Ocenia się,
że ok. 2/3 komputerów połączonych z Internetem
jest zainfekowanych podobnymi programami.
28
Jednak to nie ataki z zewnątrz są największą
bolączką przedsiębiorców.
Z najnowszych raportów wynika, że:
•56% przypadków działania na szkodę firmy
to wina jej pracowników,
•50% z nich to członkowie kadry menadżerskiej.
Nielojalność pracowników to spore zagrożenie
dla poufności firmowych danych. A co za tym idzie
dla płynności finansowej i rozwoju przedsiębiorstw.
– Osoby mające dostęp do najważniejszych obszarów
w firmie mogą bez problemu ujawniać jej tajemnice
– tłumaczy ekspert ds. bezpieczeństwa Spy Shop.
– Dlatego interesem pracodawcy jest kontrola
aktywności pracowników, szczególnie w kwestii
wykorzystania służbowych komputerów i telefonów.
Bezpieczne sieci
Jak sprawdzić, czy personel nie dopuszcza się
nadużyć, a dane są bezpieczne? Najskuteczniejszym
rozwiązaniem jest profesjonalny monitoring
aktywności pracowników. Rynek oferuje narzędzia,
które znacznie ułatwiają ten proces. Są przy tym
wysoce dyskretne. Nie przeszkadzają pracownikowi
w codziennych obowiązkach, a ten łatwo zapomina
o ich obecności w systemie. SpyLogger to
specjalna aplikacja monitorująca na komputery
osobiste i laptopy. Jej instalacja jest szybka,
konfiguracja prosta, a możliwości imponujące.
Po podłączeniu pendrive’a ze SpyLoggerem
do portu USB komputera, użytkownik uzyskuje
dostęp do panelu, w którym może zdefiniować
wszystkie funkcje programu.
– Aplikacja umożliwia znaczne zwiększenie
bezpieczeństwa danych biznesowych – mówi
ekspert ds. bezpieczeństwa Spy Shop. – Przede
wszystkim daje pewność, że nie są one ujawniane
drogą elektroniczną przez samych pracowników.
By program działał prawidłowo, należy określić
adres e-mail, na który będą przesyłane raporty
aktywności monitorowanego komputera.
Zawierają one:
a gotowy plik trafia na adres e-mail określony
podczas konfiguracji. – Sekretem skuteczności
programu SpyLogger jest to, że aplikacja pozostaje
niewidzialna dla antywirusów. Nie widać jej również
w procesach systemowych i w żaden sposób nie
obciąża komputera. Mówiąc krótko, nie pozostawia
po sobie żadnych śladów – tłumaczy ekspert
ds. bezpieczeństwa Spy Shop.
•zrzuty ekranu (mogą być generowane
z dowolną częstotliwością),
Telefon pod kontrolą
•pliki HTML z tekstami wpisywanymi na
klawiaturze i historią otwieranych programów.
Dzięki temu pracodawca wie, które dokumenty
były przeglądane na komputerze, jakie maile
zostały wysłane oraz z kim pracownik kontaktował
się za pomocą komunikatorów i chatów.
Dodatkowo administrator może ustalić słowa
kluczowe, po których każdorazowym wpisaniu
generowane są specjalne zrzuty ekranu.
– SpyLogger śledzi wszystkie zmiany oraz operacje
wykonane na plikach. Określa, które są najczęściej
używane i jakie foldery wzbudzają największe
zainteresowanie pracownika – mówi Paweł
Wujcikowski. Aplikacja zabezpiecza nie tylko przed
wyciekiem danych drogą internetową, ale także
przed zgrywaniem ich na nośniki fizyczne.
•program wykazuje wszystkie urządzenia
podłączane do komputera,
•włącznie z pamięciami flash,
•informuje o aktywności napędów CD/DVD.
Gdy pracodawca nabiera względem pracownika
szczególnych podejrzeń, może zdecydować
się na generowanie raportów audio. Te są
niczym innym, jak zapisem dźwięków zebranych
z otoczenia komputera. Nagrywanie odbywa się
poprzez wbudowany mikrofon (o ile stanowi on
wyposażenie laptopa lub jednostki stacjonarnej),
Monitorować można nie tylko firmowe komputery.
Eksperci podkreślają wagę kontroli służbowych
telefonów, a producenci oprogramowania
odpowiadają na istniejące zapotrzebowanie.
Stworzyli oni aplikację na telefony komórkowe
i smartfony, która może zainteresować każdego
ostrożnego przedsiębiorcę. SpyPhone, bo tak
nazwa się program, to narzędzie kompleksowej
kontroli. Bardzo dyskretne, bowiem w żaden
sposób nie zakłóca pracy komórek. Co oferuje?
Przede wszystkim zapewnia pełną kontrolę nad
sposobem korzystania z telefonu. Mówi o tym,
z kim kontaktował się pracownik, jak często
i jakie informacje przekazał w trakcie rozmowy.
Prócz tego (w zależności od wersji):
•umożliwia podsłuchiwanie rozmów na żywo
lub ich automatyczne nagrywanie,
•zapisuje treść wiadomości SMS i MMS
wysyłanych i odbieranych na telefonie,
•umożliwia zlokalizowanie telefonu, zwiększając
jednocześnie bezpieczeństwo pracownika.
Informacja o położeniu zostaje nałożona na mapy
Google i jest widoczna na specjalnej stronie
internetowej. Dodatkową zaletą SpyPhone jest
funkcja podsłuchu lub nagrywania dźwięków
z otoczenia komórki. Wystarczy połączyć się
z monitorowanym numerem przez telefon
nadzorujący albo wysłać żądanie rejestracji
głosów. Po zakończeniu nagrywania, plik zostaje
przesłany na skrzynkę poczty elektronicznej.
29
Raporty mogą zawierać również:
•kopie zdjęć zrobionych telefonem,
•wiadomości e-mail i zapis rozmów
na komunikatorach internetowych
np. Whatsapp,
•inne informacje o aktywności telefonu.
By skutecznie kontrolować obserwowaną komórkę,
należy określić numer nadzorujący, z którego
wydawane są polecenia. W tej operacji tkwi
sekret dyskrecji programu SpyPhone.
– Nielojalni pracownicy są często nieostrożni.
Stosując odpowiednie rozwiązania, można łatwo
przyłapać ich na gorącym uczynku i zdobyć dowody
działań na szkodę przedsiębiorstwa – mówi
Paweł Wujcikowski.
Poufne rozmowy
Firmy, w szczególności te duże, powinny chronić
się także przed zagrożeniami z zewnątrz.
Szpiegostwo korporacyjne staje się coraz częstszym
zjawiskiem. Również w świecie polskiego biznesu.
Nieuczciwi konkurenci wykorzystują zaawansowane
metody wykradania strategicznych informacji
i planów. Szczególnie zagrożone są konferencje
oraz strategiczne spotkania zarządu. Dlatego
rośnie popularność akustycznych systemów
zapobiegających inwigilacji. Urządzenia, takie
jak Druid DS-600, oferują najważniejsze
funkcjonalności w tej kwestii:
•zabezpieczają przed każdym rodzajem
podsłuchów,
•gwarantują bezpieczną konwersację nawet
dla 18 osób,
•są odporne na działanie systemów
usuwania szumu,
•posiadają własne akumulatory i mogą być
szybko uruchomione w dowolnym
pomieszczeniu.
30
W klasycznych rozwiązaniach stosuje się
lokalizatory radiowe, które są w stanie wykryć
i odnaleźć źródła sygnałów analogowych
i cyfrowych w różnych standardach (mogące być
potencjalnymi nadajnikami podsłuchowymi) oraz
zagłuszacze blokujące możliwość przesyłania
danych drogą radiową. Jednak nie wszystkie
podsłuchy mogą być neutralizowane w ten sposób.
Druid analizuje dźwięki prowadzonej rozmowy
i generuje zakłócenia akustyczne, które skutecznie
maskują treść konwersacji i zniekształcają ją
na tyle, że staje się całkowicie niezrozumiała
dla osoby podsłuchującej. – Co więcej, zakłócenia
generowane są losowo i w zależności od tonu
rozmów. To powoduje, że odszumienie sygnału
jest całkowicie niemożliwe – mówi ekspert
ds. bezpieczeństwa Spy Shop. – Uczestnicy
konferencji korzystają natomiast ze specjalnego
zestawu słuchawkowego. W ten sposób słyszą
i rozumieją się doskonale.
Pomocny szyfr
Istnieją także rozwiązania, które pozwalają na
skuteczne szyfrowanie rozmów telefonicznych.
Konwencjonalne aparaty nie stanowią problemu
dla specjalisty od podsłuchów. Są więc najsłabszym
ogniwem w procesie zabezpieczania rozmów
biznesowych wysokiego szczebla. Enigma E2
firmy Tripleton wyglądem przypomina zwykłą
komórkę w klasycznym wydaniu. Czarna obudowa,
standardowy ekran, fizyczna klawiatura i obiektyw
aparatu nie zdradzają możliwości, które oferuje
urządzenie. A potrafi wiele. Przede wszystkim
wysoce skutecznie zabezpiecza przed podsłuchem
telefonicznym i wglądem w poufne informacje.
– To szczególnie ważne z punktu widzenia
przekazywania strategicznych danych, czy decyzji
biznesowych. Prowadzenie interesów z zagranicznymi
kontrahentami często wymaga kontaktu na
odległość. Enigma E2 całkowicie redukuje ryzyko
ujawnienia najistotniejszych kwestii – mówi
Paweł Wujcikowski.
Proces szyfrowania odbywa się w dwóch etapach
– uwierzytelnienia i szyfrowania rozmowy.
•pierwszy daje pewność, że połączenie zostaje
nawiązane dokładnie z tym, z kim chcemy
rozmawiać,
•drugi opiera się na super mocnych
algorytmach AES 256 bit, realizowanych
za pomocą specjalnej mikroprocesorowej
karty szyfrującej.
Obecne technologie pozwalają na zapewnienie
najwyższego bezpieczeństwa danych
korporacyjnych. Przedsiębiorcy sięgają po nie
coraz częściej. Skala przestępczości gospodarczej
w Polsce utrzymuje się na wysokim poziomie,
a nieuczciwe praktyki wciąż stanowią poważny
problem świata biznesu. Wiedza i świadomość
nt. ochrony strategicznych informacji może
pomóc przedsiębiorcom w uniknięciu przykrych
konsekwencji utraty poufnych danych.
Krzysztof Rydlak
Jest ekspertem ds. produktów w firmie SpyShop – specjalizuje się w projektowaniu systemów bezpieczeństwa dla firm
i osób prywatnych. Zajmuje się również zarządzaniem i koordynacją projektów związanych z rozwojem firmy SpyShop.
Swoje doświadczenie i kompetencje wykorzystuje w kontaktach z kluczowymi klientami instytucjonalnymi, jak
również producentami i dostawcami sprzętu. Jest inżynierem elektronikiem, absolwentem Politechniki Wrocławskiej.
Ukończył także studia podyplomowe Project Management na Uniwersytecie Ekonomicznym we Wrocławiu.
31
„Is IT safe?”
Jan Michałowicz, Innovation Experts
Osoby próbujące znaleźć w tej narracji motyw będą ścigane; osoby próbujące znaleźć w niej
morał zostaną wygnane; osoby próbujące odnaleźć fabułę zostaną zastrzelone.
Mark Twain, amerykańskie wydanie Przygód Huckelberry Finna
Ochrona informacji oraz utrzymanie zdolności
realizacji zadań stają się coraz ważniejsze.
Dla poważnych firm zagadnienia te już
od dawna wyszły poza sferę technologii
i są obecnie znaczącym fragmentem strategii
biznesowej. Warunkiem sukcesu rynkowego jest
zdolność do szybkiego i trafnego reagowania
na rzeczywiste czynniki zmiany. Bezpieczeństwo IT
samo w sobie nie stanowi wartości, częstokroć
jest jednak warunkiem realizacji przez
firmę jej zadań. Zrozumienie wagi i miejsca
bezpieczeństwa IT w ładzie korporacyjnym jest
możliwe pod warunkiem zdefiniowania zasad
funkcjonowania przedsiębiorstwa oraz roli IT.
Warunkiem koniecznym sukcesu rynkowego
przedsiębiorstwa jest umiejętność reagowania
na zmiany zachodzące w zakresie potrzeb klientów,
możliwości technologicznych i wpływu konkurencji.
Otoczenie firmy jest złożonym systemem
dynamicznym, którego bodźce, takie jak czynniki
społeczne, polityczne, gospodarcze,
demograficzne i naukowe wywierają wpływ
zarówno na firmę jak i klientów, konkurencję
oraz technologię. Rolą przedsiębiorstwa jest
mądre wykorzystanie zasobów – wiedzy,
kapitału, ludzi, maszyn, urządzeń, własności
intelektualnej oraz strategicznych relacji
międzyludzkich, zaś IT to co najmniej budowa
kompetencji przedsiębiorstwa w komunikacji,
przewidywaniu i reagowaniu na otoczenie
oraz realizacji i kreowaniu celów.
Większość typowych rozwiązań z domeny
bezpieczeństwa dotyczy jednak ciągłości działania,
utrzymania i dostępności zasobów oraz spełnienia
32
wymagań formalnych. Warto zatem pokazać kilka
innych kwestii, decydujących częstokroć o sukcesie
przedsiębiorstwa, lecz przez wzgląd na mniejszy
potencjał kreowania sprzedaży technologii,
mniej nagłaśnianych.
Najsłabsze ogniwo
Własny punkt widzenia może być niebezpiecznym
luksusem, gdy zastępuje analizę i zrozumienie.
Marshall McLuhan
Zwykle najsłabszym ogniwem każdego systemu
bezpieczeństwa jest człowiek. Badania wykazują,
że czynnik ludzki odegrał rolę w ponad 80%
incydentów. W ponad połowie z nich był
podstawową przyczyną incydentu naruszenia
bezpieczeństwa. Stopień zagrożenia jest
różny i zazwyczaj wprost proporcjonalny do ego
i niekompetencji osobnika. Stanowisko pełnione
w firmie nie ma większego znaczenia – równie
groźny może być prezes jak sprzątaczka, CFO
jak kopiący rowy robotnik. Pierwsze prawo
bezpieczeństwa IT można sformułować jako
„Błądzić jest rzeczą ludzką”.
Metody zarządzania ryzykiem związanym
z bezpieczeństwem IT zazwyczaj realizowane są
na trzech płaszczyznach: procesów, technologii
i ludzi. Niewiele jest metod, które uwzględniałyby
wszystkie te trzy czynniki na równi. Zwłaszcza
rozwiązywanie problemu czynnika ludzkiego jest
często niedoceniane i zastępowane nadmierną
wiarą w moc sprawczą procedur. Warto przy
tym zwłaszcza pamiętać o zagrożeniach mniej
oczywistych. Większość użytkowników postrzega
swój komputer jako narzędzie realizujące zestaw
pożytecznych funkcji. Nie rozumieją, jak działa
i tak naprawdę nie chcą tego zrozumieć, gdyż
uważają to za problem producenta i ewentualnie
działu IT. Ostatecznie kogo obchodzi jak działa
pralka czy też kserograf?
Lekceważenie potencjalnych zagrożeń to tylko
część problemu. Czynnik ludzki ujawnia się również
w zagrożeniu spowodowanym wiarą w uzyskane
w sieci informacje. Badania wskazują, że te same
osoby, które ze znaczną podejrzliwością odnoszą
się do wiadomości prasowych i telewizyjnych bez
większego trudu ufają w informacje odnalezione
w sieci. Niezwykle łatwy dostęp do zasobów
sieci, w tym danych publicznych, w połączeniu
z rozwojem społeczności internetowej owocuje
ryzykiem wykorzystania danych wątpliwej
jakości. Brak wiedzy i zastanowienia powoduje,
że zdecydowana większość Internautów podejmuje
decyzje na podstawie informacji z WWW będąc
nieświadoma zarówno źródeł danych jak i ich
wiarygodności. Sytuację dodatkowo komplikuje
powszechna dostępność agregacji i asymilacji
danych, dla których informacje o pochodzeniu
i zasadach kwalifikacji danych pozostają nieznane.
Komodyzacja IT
Jeśli torturuje się dane wystarczająco długo,
to wyznają prawdę.
Ronald Coase
Badania wskazują, że produkty dla sektora IT
w sposób szczególnie szybki podlegają zjawisku
komodyzacji czyli urynkowienia. Zjawisko to,
w wyniku którego produkt czy usługa bardzo szybko
tracą swój unikatowy wizerunek i stają się zwykłym
towarem ma dramatyczne konsekwencje. Skrócenie
czasu pomiędzy innowacją a imitacją powoduje
bowiem, że tocząca się pomiędzy producentami
rywalizacja na fizyczne cechy, wyrafinowaną
funkcjonalność, ceny, kampanie reklamowe, obecnie
kończy się rosnącymi kosztami, zmniejszającymi
się zyskami, a czasem wręcz utratą pozycji na
rynku. Każdy kolejny etap walki rynkowej wiąże
się z „racjonalizacją” kosztów, a tym samym
przenoszeniem części zadań z producenta na klienta.
Prawie zawsze obniża to poziom ochrony.
Walka konkurencyjna w sektorze IT rozgrywała się
na wielu polach. W latach 80-tych, dominującymi
czynnikami różnicującymi produkty i usługi były
jakość i funkcjonalność. Rozwój i dostępność
technologii, ułatwienie komunikacji i globalizacja
osłabiły jednak wpływ tych czynników
różnicujących. W konsekwencji producenci
przystąpili do konkurowania ceną. Utrzymanie
oczekiwanych zysków wiązało sie jednak
z ograniczeniem kosztów własnych: ograniczono
nakłady na testowanie produktów oraz w dużej
mierze obciążono klienta dodatkowymi kosztami
eksploatacji (nadzór nad poprawkami, service
pack’ami etc).
Następnym czynnikiem różnicującym była obsługa
wdrożeniowa i wsparcie podczas eksploatacji.
Jednocześnie nastąpiła silna segmentacja rynku –
poważni dostawcy wycofali się z rynku masowego
koncentrując się na kontraktach rządowych
i korporacyjnych. Zgodnie z prawami rynku
po kilku latach część konkurentów wyrównała
swoje poziomy świadczonych usług, pozostali
albo odnaleźli unikalne nisze, albo wypadli z gry.
Wszyscy zaś, za wyjątkiem firm realizujących
kontrakty wojskowe, ze względu na koszt,
wycofali się z badań podstawowych.
W ramach kolejnego okresu konkurencji na ceny
z rynku wypadło wiele firm, zwłaszcza te, które
w swej strategii na serio traktowały tradycyjne
zasady współpracy z klientem. Obecny etap walki
konkurencyjnej sprzyja bowiem obniżaniu kosztów
poprzez standaryzację, częste zmiany oferty
33
promujące uzyskiwanie wartości za drugorzędne
zmiany oraz sprzedaż produktów w niepełnym
ukompletowaniu.
Marketing za cel kluczowy uznaje propagowanie
licznych modeli rozwiązań chmurowych,
grupę metodyk „zwinnego” wytwarzania
oprogramowania opartego na programowaniu
iteracyjno-przyrostowym oraz techniki
analityki predykcyjnej związane z „big data”.
Nie wdając się w szczegółowe rozważania
o naturalnych konsekwencjach tych rozwiązań dla
bezpieczeństwa IT warto podkreślić, że historia nauk
technicznych, a do takich zaliczamy informatykę,
stwierdziła już dawno, że żadne rozwiązanie
uniwersalne nie jest bliskie optymalnemu.
Na rynku nadmiaru wzrasta tendencja
do ignorowania zagadnień bezpieczeństwa
oraz maskowania wad oferowanych rozwiązań.
Stąd zapewne głoszone przez obnośnych
sprzedawców wiodących technologii przypowieści
o braku potrzeby utrzymywania w firmach własnej
kompetencji informatycznej. Zgodnie z tym
paradygmatem odbiorcą oferty Nowego Ładu
Informatycznego jest CFO, jako osoba doceniająca
obiecane obniżenie kosztów i pozbawiona
wiedzy niezbędnej do weryfikacji propozycji
merytorycznej. Informatyk bowiem nie może
zrezygnować z domagania się rzeczywistego
zagwarantowania bezpieczeństwa i jakości
danych oraz spójności logicznej rozwiązania.
Klucz do sukcesu
Jakość nigdy nie jest dziełem przypadku.
Zawsze jest wynikiem celowej działalności.
John Ruskin
Sukces firmy jest uzależniony od wielu czynników.
Nie wdając się w spór dotyczący roli zarządzania
większość z nas zapewne zaakceptuje tezę,
34
iż decyzje podejmowane na podstawie racjonalnych
przesłanek mają większą szansę realizacji
pokładanych w nich nadziei. W branży IT oznacza
to, że o przyszłości firmy może decydować jakość
i wiarygodność danych.
Wpływ jakości danych na łańcuch informacyjny
jest powszechnie znany od początku przetwarzania
danych na dużą skalę. Ostatnie lata to nie
tylko lawinowy wzrost ilości danych, zdolność
do racjonalnego ekonomicznie przetwarzania
ich olbrzymich ilości z wysoką wydajnością,
ale i fundamentalna zmiana zarówno
rodzaju danych jak i celu przetwarzania.
Wysoka dostępność danych prowadzi do ich
bezprecedensowej dystrybucji i udostępnienia,
ale też i braku zgodności pomiędzy celem
tworzenia zbiorów danych i ich późniejszym
wykorzystaniem.
Zmiany te powodują, że kwestionowane jest
tradycyjne podejście i rozwiązania zarządzania
danymi w ogóle, zwłaszcza zaś kontrola
jakości danych. Kwestia jakości danych musi
być przewidziana w całym cyklu życia danych,
zarówno pod względem dostosowania ładu
korporacyjnego jak i aspektów technicznych.
Stan obecny jest daleki od pożądanego.
Przykłady z rynku amerykańskiego:
•zamach terrorystyczny w Detroit wykazał,
że służby odpowiedzialne za bezpieczeństwo
obywateli nie wymieniały danych o zagrożeniach
i nie aktualizowały zasobów informacji
o infrastrukturze;
•system ostrzegania przed zagrożeniami
w Nowym Orleanie działał na podstawie danych
aktualnych w chwili jego instalacji na dwie
dekady przed huraganem, zaś informacje GIS
były w dużej części nieprawdziwe.
Aktualna sytuacja spowodowana jest kombinacją
kilku czynników:
•brak jest jasno zdefiniowanych analiz
jakości danych opisanych w kategoriach
kosztów i korzyści;
•występują społeczne, zarządcze i strukturalne
przyczyny utrudniające zmianę (np. w większości
przedsiębiorstw za jakość danych odpowiadają
komórki IT, które nie są właścicielem tworzących
dane procesów, a tym samym mają ograniczony
wpływ na ich zmianę);
•właściwości danych są odmienne od cech
innych aktywów, co nie zawsze znajduje
odzwierciedlenie w realizowanych przez
organizacje programach poprawy jakości danych (np. koncentrując się na trendach
małe znaczenie przykłada się do indywidualnych cech danych firmy,
które częstokroć są źródłem wiedzy
o potencjalnej przewadze konkurencyjnej).
Podsumowując konieczna jest budowa spójnego
systemu zarządzania danymi, zgodnego
z wymaganiami modeli biznesowych, strategii
oraz struktur organizacyjnych firmy czerpiącej
wymierne korzyści biznesowe z wykorzystania
uzyskanej z danych wiedzy. System taki ma
szanse wyeliminowania zagrożeń spowodowanych
wnioskowaniem na podstawie nieaktualnych
i/lub błędnych danych.
Prawa rynku
Ignorowane fakty nie znikają.
Aldous Huxley
Firmy tworzące oprogramowanie rozwijają je
zgodnie z potrzebami użytkowników oraz zasadami
ekonomicznymi. Rzeczywiste znaczenie tego
stwierdzenia dociera do osób odpowiedzialnych
za bezpieczeństwo IT na ogół w związku
z rozbieżnością ich wyobrażeń i praktyki.
Procedura doboru do wdrożenia pożądanych
cech oprogramowania realizowana jest
z uwzględnieniem znaczenia zgłaszających je
klientów. W pierwszej kolejności akceptowane są
potrzeby kluczowych klientów. Wbrew pozorom
nie oznacza to klientów z najpoważniejszych firm,
bądź firm prezentowanych przez producenta
jako przykład sukcesu. O rozwoju produktu
decydują klienci z sektora o najwyższej
sprzedaży. Oczywiście o ile oczekiwana przez
nich cecha produktu nie koliduje ze strategią
rynkową producenta.
Doskonałym przykładem wpływu polityki rozwoju
produktu na bezpieczeństwo IT jest wielokrotnie
zgłaszany producentom problem obsługi
plików aplikacji CAD. Jedną z podkreślanych
zalet zastosowania oprogramowania CAD jest,
przynajmniej teoretycznie, możliwość
wykorzystania uprzednio wykonanych opracowań
w nowych pracach oraz łatwość nanoszenie
poprawek i zmian. W praktyce przeciętnie
co 3-4 wersje oprogramowania ulega zmianie
format zapisu plików danych, a w konsekwencji
użytkownik traci możliwość edycji plików
archiwalnych bez wykonywania kosztownego
procesu konwersji. Zmiana wersji zapisu plików
wynika wyłącznie z potrzeby eliminowania
przetwarzania danych przez aplikacje konkurencji
i nie przynosi klientowi jakichkolwiek korzyści.
Co więcej jedynie 10% użytkowników tej kategorii
oprogramowania produkuje wyroby o wieloletnim
cyklu życia, 90% nie jest zainteresowana
przechowywaniem dokumentacji. W konsekwencji
powracamy do przechowywania rysunków
technicznych w plikach graficznych pozbawionych
zapisu informacji o cechach projektu.
Równie mało znanym zagadnieniem jest
zagrożenie wynikające z zastosowania aktualnych
technik druku i współczesnego papieru oraz
kalki. W przypadku zastosowania standardowych
rozwiązań producenci gwarantują czytelność
35
wydruków przez 5 lat. Dla firm prawnie
zobowiązanych do przechowywania dokumentów
znacznie dłużej to poważny problem. Niemieckie
biura notarialne wykorzystują specjalny
bezkwasowy papier o żywotności wydruku
do 50 lat. Niestety jego cena jest wielokrotnie
wyższa od ceny materiałów standardowych.
Ciekawe czy za 100 lat nasze archiwa
wypełnione będą zbiorami dzieł z czasów
przedinformatycznych oraz białymi kartkami
wydruków i przestarzałymi nośnikami danych
zapisanymi w nieczytelnych formatach. Już dzisiaj
jestem w stanie wskazać archiwum przechowujące
dyskietki 5 1/4” z tekstami zapisanymi
w formacie Chi-writera. Dla bezpieczeństwa
w 2 egzemplarzach.
Wartość ekonomiczna bezpieczeństwa
Jeśli uważasz, że technologia może rozwiązać problemy
związane z bezpieczeństwem, to nie rozumiesz
problemów i nie rozumiesz technologii.
Bruce Schneier
Kolejne prawo bezpieczeństwa głosi, że środki
przeznaczone na zapewnienie bezpieczeństwa
powinny być adekwatne do wartości chronionego
zasobu. Oczywisty wyjątek stanowi ochrona
bezpieczeństwa wynikająca z realizacji obowiązku
ustawowego, dla którego kryteria oceny
wykraczają poza czystą ekonomię.
Warto podkreślić, że poziom finansowania
bezpieczeństwa wynika z oceny ryzyka
i strategii firmy oraz powinien uwzględniać
koszt ochrony wynikający z potrzeb konkretnej
architektury i technologii. Oznacza to, że tworząc
architekturę systemu IT powinniśmy uwzględnić
zarówno poziom zagrożenia, jak i możliwości
finansowe firmy.
36
Roztropnie jest na wstępie rozróżnić podział
zagrożeń na ogólne oraz celowo ukierunkowane
na nasze zasoby. Ochrona przed zagrożeniami
ogólnymi (wirusy, robaki internetowe,
niefrasobliwość pracowników) realizowana jest
rutynowo, zagrożenia indywidualne wymagają
budowy odpornego systemu IT począwszy
od etapu koncepcji. Procedury bezpieczeństwa
ogólnego powinny czynić atak na nasze zasoby
nieopłacalnym, procedury ochrony przed atakami
celowymi przede wszystkim powinny określić
akceptowalny poziom ryzyka.
Ekonomia ochrony przed zagrożeniami rutynowymi
przypomina zatem starą anegdotę o zasadach
ucieczki przed niedźwiedziem: nie ma potrzeby
uciekać z prędkością wyższą od prędkości
niedźwiedzia, wystarczy być szybszym
od najwolniejszego z uciekających. W przypadku
ataku dedykowanego niestety uciekamy sami.
Ekonomia bezpieczeństwa IT jest w dużym
stopniu uwarunkowana przez środowisko
otaczające nasze systemy: system prawny, kulturę
i tradycję. Niewłaściwe relacje ekonomicznoprawne częstokroć sprawiają, że koszty braku
bezpieczeństwa nie obciążają tych, którzy mogą
temu zaradzić. Oto kilka przykładów.
•Kraje o silnych prawach klienta odnotowują
znacznie niższą ilość przestępstw związanych
z bankomatami. Prawa klienta w USA powodują,
że kosztami incydentu związanego
z bankomatem obciążają klienta wyłącznie
w przypadku, gdy bank potrafi wykazać jego
złą wolę. W Wielkiej Brytanii i Holandii koszty
ponosi klient, chyba że potrafi sądownie wykazać
zaniedbania banku. Banki amerykańskie dbają
o bezpieczeństwo transakcji bankomatowych,
więc przestępstw jest niewiele. Dla banków
w Wielkiej Brytanii i Holandii podwyższenie
bezpieczeństwa nie jest racjonalne ekonomicznie,
więc ten rodzaj przestępczości jest powszechny.
•Rodzina niepewnych systemów operacyjnych
jest międzynarodowym standardem, zaś skutki
gospodarcze tej niepewności w dużej mierze
nie obciążają producenta, lecz jego klientów.
Dla producenta tych systemów operacyjnych,
szkolenia omawiające ich wzmacnianie są
dodatkowym źródłem dochodu.
Badania wskazują również na znaczny wpływ
poziomu konkurencji rynkowej na zmiany poziomu
bezpieczeństwa IT. Dobrym przykładem jest branża
medyczna. Ochrona danych osobowych ulega
widocznemu pogorszeniu wraz ze zwiększeniem
konkurencji rynkowej w branży. Oznacza to,
że dane osobowe w szpitalach i przychodniach
prywatnych są bardziej zagrożone niż w oskarżanej
o bałaganiarstwo publicznej służbie zdrowia.
Przyczyna? Podczas oceny jakości szpitala klienci
w dużej mierze ignorują bezpieczeństwo IT
i ochronę danych, koncentrując się na aspektach
jakości usług medycznych i hotelowych.
Oznacza to, że relatywnie więcej środków zostanie
przeznaczonych na bezpieczeństwo danych
w publicznej służbie zdrowia niż w instytucjach
rynkowych, w których bezpieczeństwo IT konkuruje
o środki z inwestycjami w jakość leczenia
i komfort usług hotelowych.
Z ekonomicznego punktu widzenia typowe
metody organizacyjne rozwiązywania problemu
bezpieczeństwa IT są częstokroć nieracjonalne.
Większość dużych przedsiębiorstw w celu
przeciwdziałania zagrożeniom bezpieczeństwa
powołuje dział/grupę „bezpieczeństwa”, której
zadaniem jest ochrona krytycznych zasobów
przedsiębiorstwa. Zapewne nikogo nie dziwi,
że działy te rutynowo opracowują analizy
zagrożeń, z których wynika konieczność
podnoszenia nakładów na eliminację ryzyka.
Co więcej, wiele z proponowanych dodatkowych
zabezpieczeń w rzeczywistości obniży poziom
bezpieczeństwa, w wyniku zwiększenia
złożoności systemu.
Przewidywania
Przewidywanie jest bardzo trudne,
zwłaszcza, jeśli chodzi o przyszłość.
Niels Bohr
Przyszłość nie jest prostą ekstrapolacją dzisiejszych
trendów. Skuteczna ochrona wymaga jednak
podejmowania decyzji z wyprzedzeniem.
Bodajże najważniejszą oczekującą nas zmianą
technologiczną, o krytycznym wpływie na budowę
bezpieczeństwa IT, będzie stopniowa eliminacja
aktywności użytkownika. Należy się spodziewać
licznych implementacji sztucznej inteligencji
w postaci agentów softwarowych, realizujących
akcje w imieniu i z uprawnieniami użytkownika.
Typowe zastosowania to priorytetyzacja informacji,
realizacja standardowych zamówień oraz
nadzór nad aktywnością.
Na płaszczyźnie prawno-biznesowej nadchodzi era
korporacji transnarodowych. Budowana jako element
neokonserwatywnego modelu demokracji triada
prywatyzacji, deregulacji i liberalizacji zapewniła
swobodę umiędzynarodowienia działalności
gospodarczej. Korporacje transnarodowe będą
podstawowym czynnikiem sprawczym wpływającym
na rozwój gospodarczy i społeczny świata. Wpływ
na interesujące nas zagadnienie bezpieczeństwa IT
będą miały, wprowadzane w wyniku ich starań,
zmiany w klasycznym ładzie prawnym. Nasilą się
dwie tendencje. Jedna z nich, polega na przenoszeniu
tradycyjnych roszczeń cywilno-prawnych do zakresu
przestępstw ściganych z oskarżenia publicznego
(ochrona licencyjna na podstawie majątkowych
praw autorskich). Wystąpi również nasilenie dążenia
do zastąpienia prawa, będącego w domenie
władczej państwa, postępowaniem arbitrażowym,
niepodlegającym konwencjonalnym demokratycznym
zabezpieczeniom sądowym ani kontroli publicznej.
Metodą realizacji tego celu są umowy o wolnym
handlu i inne formy liberalizacji handlu światowego.
37
Konkluzja
Wartość pomysłu leży w jego użyciu.
Thomas A. Edison
Bezpieczeństwo nie jest pojęciem abstrakcyjnym.
Bezpieczeństwo można określić jedynie w stosunku
do czegoś innego. Można być bezpiecznym od
czegoś lub przeciw czemuś. Tradycyjna definicja
bezpieczeństwa IT, jako ochrony przed atakami
hakerów, przestępców i innych „złych mocy”
przeszła radykalną zmianę. Zadaniem
bezpieczeństwa nie jest już ochrona przed
zagrożeniami, nowy sens to ochrona firmy i jej
modelu biznesowego. Pytanie, czy kosztem
człowieka? Współczesna cywilizacja bazuje
na działaniu systemów informatycznych, toteż
rezygnacja ze stawiania im jasno określonych
wymagań bezpieczeństwa nie jest już wyłącznie
zagadnieniem ryzyka finansowego, lecz kondycji,
a może nawet przetrwania gatunku.
Jan Michałowicz
Specjalista w dziedzinie budowy innowacyjnie zorientowanych systemów zarządzania oraz ekspert kreatywnego wykorzystania
technologii komputerowych. Autor publikacji z zakresu bezpieczeństwa, zastosowania metod teorii chaosu w strategii
innowacji oraz społecznej roli technologii informacyjnej. Uczestnik krajowych i międzynarodowych konferencji i sympozjów
poświęconych badaniu wpływu technologii na politykę, rząd i społeczeństwo. Aktywny jako ekspert holistycznej analizy
procesów i zarządzania, konsultant w obszarach inżynierii, marketingu i optymalizacji procesów obsługi. Doradca z dziedziny
E&R Management. Wieloletni CIO w przemyśle obronnym, uczestnik programów rządowych. Współzałożyciel i CEO Innovation
Experts sp. z o.o. – firmy, która wyznacza nowe standardy stosowania metod, systemów i narzędzi w celu trwałej poprawy
wyników biznesowych Klientów.
38
Business
Intelligence
Człowiek w IT
Mądrość i piękno
informacji
Cloud 2013
1
1
1
Raporty i ich omówienia na portalu it-manager.pl
39
Na bezpieczeństwo spójrzmy „z góry”
Radosław Kaczorek, IMMUSEC
Najstarsza fotografia Ziemi widzianej z kosmosu
ma zaledwie 68 lat. Wykonano ją 24 października
1946 roku na 35 mm błonie filmowej, z pokładu
rakiety V-2, która wzbiła się na wysokość ponad
100 km, a następnie spadła gdzieś w stanie Nowy
Meksyk. Wtedy właśnie pierwszy raz spojrzeliśmy
na Ziemię „z góry”. Trzeba było poczekać 22 lata,
aż do 21 grudnia 1968 roku, żeby zobaczyć
Ziemię jeszcze bardziej „z góry”. Wtedy właśnie
wystartowała pierwsza załogowa misja w kierunku
Księżyca – Apollo 8. Przez cztery kolejne lata
programu Apollo prowadzonego przez NASA
w kierunku Księżyca poleciało jeszcze 9 misji.
W trakcie każdej z nich wykonano wiele fotografii.
W tamtych latach zaczęliśmy patrzeć na Ziemię
„z góry” i przyglądać się, uczyć, analizować,
porównywać, wyciągać wnioski.
Pierwsza światowa organizacja skupiona
na problemach środowiska naturalnego,
International Union for Conservation of Nature
(IUCN), powstała w 1948 roku. Misją IUCN
jest wpływanie, zachęcanie i pomaganie
społeczeństwom całego świata w dziele ochrony
integralności i różnorodności przyrody oraz
osiągnięcie sprawiedliwego i ekologicznie
zrównoważonego korzystania z zasobów
naturalnych. W czasie kiedy NASA latała w kosmos
badacze przyrody i środowiska naturalnego
odkrywali tajemnice znacznie bardziej przyziemne.
Zaniepokojeni wysokim stopniem eksploatacji
zasobów naturalnych i podwojeniem liczby
ludności na świecie w ciągu zaledwie jednego
wieku (1262 mln w 1850 r. vs 2519 mln w 1950 r.),
naukowcy postanowili zbadać wpływ człowieka na
środowisko naturalne. Przez wiele lat organizowano
wyprawy w różne zakątki świata, wykonywano
fotografie, pomiary, porównania i analizy, badano
mikroświat, wyciągano wnioski.
W 1960 roku spotkały się te dwa nurty naukowe,
badań kosmosu i badań przyrodniczych. W efekcie
tej naukowej fuzji w przestrzeń kosmiczną
40
wysłany został pierwszy satelita meteorologiczny,
który nosił nazwę TIROS 1. Satelita pracował
tylko 78 dni, do 15 czerwca 1960 r., ale w tym
czasie przesłał na Ziemię blisko 23 tysiące
zdjęć, które otworzyły nową erę w badaniach
meteorologicznych i przyrodniczych. Właściwie
wiele wykonanych przez satelitę zdjęć była złej
jakości, ale jedno jest pewne – TIROS 1 pozwolił
naukowcom spojrzeć „z góry”.
Spojrzenie „z góry” jest jedną z najważniejszych
umiejętności w historii postępu cywilizacyjnego.
To właśnie przyjęcie nowej perspektywy pomaga
ludziom nauki od wieków w zrozumieniu świata
i rządzących nim praw. Pozostaje tylko pytanie
co to wszystko ma wspólnego z bezpieczeństwem
informacji. Otóż ma, znacznie więcej niż można
przypuszczać.
Historia Internetu zaczyna się 29 października
1969 roku, kiedy to w Uniwersytecie Kalifornijskim
w Los Angeles zainstalowano pierwsze węzły
sieci ARPANET. 14 lat później, w listopadzie
1983 roku Fred Cohen prezentuje pierwszą
koncepcję wirusa dla systemu UNIX, który w ciągu
kilku minut uzyskuje pełne prawo dostępu
do plików na zainfekowanych komputerach.
Zaledwie 3 lata później, w 1986 roku w Pakistanie
powstaje pierwszy na świecie wirus infekujący
komputery osobiste, o nazwie Brain. Wirus
ten rozprzestrzenia się poprzez studentów na
uczelniach wyższych w USA. Dalej było już tylko
gorzej – Michelangelo (1991), Love Letter (2000),
Code Red (2001), Sasser (2004), Confiker (2008),
Stuxnet (2010)... Niezależnie od nurtu złośliwego
oprogramowania doskonale ma się również nurt
analityków bezpieczeństwa, crakerów, hakerów
i cybergeeków, którzy wykorzystując swoją wiedzę
i doświadczenie atakują instytucje i organizacje.
Przyświeca im różna motywacja, ale za każdym
razem obnażają słabości systemów i zabezpieczeń.
Vladimir Levin w 1994 roku za pomocą komputera
zdobywa dostęp do kont bankowych klientów
Citibank i uszczupla ich rachunki o ponad dziesięć
milionów dolarów. W 1999 roku Jonathon James,
16 latek znany pod pseudonimem c0mrade,
włamuje się do NASA i pobiera na swój
komputer oprogramowanie przeznaczone
dla Międzynarodowej Stacji Kosmicznej.
Tego co dzieje się w świecie zagrożeń dla
bezpieczeństwa informacji po 2000 roku
nie sposób spisać. Mamy do czynienia
z gwałtownym wzrostem ryzyka w zakresie
bezpieczeństwa informacji przy wybuchowej
dynamice, wprost powiązanej z tempem
rozpowszechniania się technologii i środków
przetwarzania informacji. Ilość urządzeń,
które nas otaczają, coś o nas wiedzą, coś dla nas
robią albo w czymś nam pomagają uzasadnia
obawę, że sytuacja wymyka się spod kontroli.
Gąszcz detali i szczegółów, na poziomie bitów
i bajtów uniemożliwia nam zdrową ocenę sytuacji.
Czas na spojrzenie „z góry”.
Historia bezpieczeństwa informacji ma tyle
samo lat co historia zagrożeń. W latach 80-tych
pojawiły się pierwsze wirusy i właśnie wtedy
powstały też pierwsze programy antywirusowe
i firmy zajmujące się bezpieczeństwem informacji
np. Symantec (1982), McAfee (1987).
W tym samym czasie formują się pierwsze
grupy pasjonatów komputerów i przełamywania
zabezpieczeń np. CCC (1981), Warelords (1981),
KILOBAUD (1983), powstaje też pierwszy CERT
(1988). Jednocześnie temat bezpieczeństwa
uzyskuje uwagę widzów dużego ekranu, którzy
w filmie War Games (1983) mogli pierwszy raz
zobaczyć jakie mogą być skutki braku właściwych
zabezpieczeń. Na mnie to zrobiło wrażenie.
Może dlatego ten temat mnie pociąga do tej pory.
W czerwcu 2014 roku rozmowa o bezpieczeństwie
informacji nie cichnie. Informacji w każdej formie
- wypowiedzianej, zapamiętanej, utrwalonej na
dowolnym nośniku, analogowo lub cyfrowo.
Wartość informacji lub braku informacji rośnie,
a to jest wystarczająca motywacja dla wielu
osób, żeby poświęcić środki i ponieść ryzyko,
dla osiągnięcia korzyści z tego wynikających.
Kolejne afery ujawniające poufne informacje
i bezradność służb specjalnych w zapewnieniu
odpowiedniego poziomu bezpieczeństwa,
kolejne włamania do systemów obnażające
luki zabezpieczeń, kolejne spektakularne
kradzieże danych i tożsamości użytkowników.
Ilość incydentów bezpieczeństwa zgodnie
ze wszystkimi raportami wykazuje trend rosnący,
z dynamiką rzędu 60% rok do roku, przy
jednoczesnym wzroście skutków tych incydentów.
W 2013 roku na skutek incydentów bezpieczeństwa
ujawnione zostały dane ponad 500 milionów
osób na całym świecie, dwa razy więcej niż
w 2011 roku. Ilość podatności w systemach
informatycznych rośnie lawinowo i jest powiązana
z ilością wytworzonego oprogramowania.
Niekończąca się wojna, z niezliczoną liczbą bitew.
Czas na spojrzenie „z góry”.
Kiedy nabierzemy dystansu do obecnej sytuacji,
zdamy sobie sprawę, że w dziedzinie badań nad
bezpieczeństwem informacji nadszedł czas na
fuzję nurtu technologicznego i nurtu zarządzania.
Wiemy już, że bezpieczeństwo informacji to nie
stan, ale ciągły proces. Powinniśmy już wiedzieć,
że organizacja nieświadoma zagrożeń i swoich
podatności, nie identyfikuje incydentów i nie
uczy się, a w efekcie nie doskonali się i nie buduje
odporności na zagrożenia. Czy jesteśmy gotowi,
żeby powiedzieć, że bezpieczeństwo informacji to
nie jest zadanie IT?
W chmurze tagów na stronie głównej it-manager.pl
„bezpieczeństwo informacji” jest drugim
najpopularniejszym tagiem, zaraz po „Trendy IT”
i... ex aequo z „zarządzanie zespołem”.
Może to efekt nośnych medialnie incydentów
bezpieczeństwa i włamań, a może skutek
dojrzewającej świadomości zagrożeń związanych
41
z technologią i Internetem rzeczy wśród
managerów? Współczesny manager, obok realizacji
celów biznesowych, zobowiązany jest sprawować
ciągły nadzór nad procesem zarządzania oraz
ryzykiem związanym z przyjętymi celami.
Jednym z obszarów ryzyka, z którym mierzy się
każdy manager bez względu na sektor, branżę
czy rodzaj działalności firmy jest bezpieczeństwo
informacji. Czy manager może osiągnąć cel
biznesowy nie ponosząc ryzyka związanego
z bezpieczeństwem informacji? Oczywiście, że nie.
To jest ryzyko tego managera i dlatego właśnie
jest on właścicielem ryzyka. Jeśli wyposażymy
go również w zasoby, dzięki którym może
oddziaływać na poziom ryzyka, a całość
uzupełnimy o system pomiaru i monitorowania,
to stworzymy podstawy ładu i nadzoru
w zarządzaniu bezpieczeństwem. Zacząć trzeba
jednak od samego początku, czyli zbudowania
świadomości i zdemitologizowania tematu.
Rozwiązaniem jest zbudowanie przemyślanego,
spójnego z wymaganiami firmy i zachodzącymi
w niej procesami biznesowymi systemu
zarządzania bezpieczeństwem informacji,
który zapewnia, że informacja jest chroniona
odpowiednio do swojej wartości. Doskonałą
wskazówką i jednocześnie wzorcem dla takiego
systemu zarządzania jest norma ISO/IEC 27001,
która pozwala opracować i wdrożyć skuteczne
zabezpieczenia dla informacji i chronić się przed
ryzykiem utraty jej poufności, integralności
i dostępności. Po wdrożeniu systemu zarządzania
firma może uzyskać certyfikat zgodności z normą
ISO/IEC 27001. Ponad wszelką wątpliwość
podnosi to jej wartość, a w wielu przypadkach
stanowi o możliwości współpracy z klientami,
którzy mają coraz większe wymagania wobec
swoich dostawców. Obecnie dostawcy dla sektora
finansów publicznych oraz sektora finansowego,
zarówno w Polsce i na świecie, muszą spełniać
szereg wymagań, w tym w zakresie bezpieczeństwa
informacji. Jednym z najbardziej efektywnych
42
sposobów spełnienia tych wymagań jest właśnie
wdrożenie i certyfikacja za zgodność z normą
ISO/IEC 27001.
Koncepcja zarządzania bezpieczeństwem informacji
zawarta w normie ISO/IEC 27001 została
wprost wykorzystana m.in. w Rozporządzeniu
o Krajowych Ramach Interoperacyjności, które
wprowadza obowiązek ochrony informacji
przez wszystkie podmioty świadczące usługi
publiczne, oraz normach i rekomendacjach
branżowych np. nowe rekomendacje D i M
Komisji Nadzoru Finansowego. W każdym
z przytoczonych przykładów, nawet niewprawne
oko dostrzeże, że XXI wiek to era zarządzania
usystematyzowanego, opartego na zdefiniowanym
podejściu, optymalizującego zasoby,
a co najważniejsze uwzględniającego
ryzyko i potencjał ciągłego doskonalenia.
Zarządzanie bezpieczeństwem informacji powinno
być integralnym elementem codziennej działalności
firmy. W podejściu systemowym do zarządzania
należy uporządkować działania np. zgodnie
z cyklem Deminga, na który składają się fazy
planowania, realizacji, weryfikacji i działania.
Podobnie jak planujemy i budżetujemy działalność
podstawową, powinniśmy planować działania
i wydatki na bezpieczeństwo. W taki sam sposób
jak realizujemy i nadzorujemy podstawowe procesy
biznesowe, powinniśmy zapewnić realizację zadań
z zakresu bezpieczeństwa informacji. Następnie
należy weryfikować czy osiągnięte rezultaty są
zgodne z założeniami, a tam gdzie to niezbędne
wprowadzać usprawnienia i działać, zapewniając
ciągłe doskonalenie całego systemu zarządzania.
Niezwykle istotnym elementem systemu zarządzania
jest audyt, wewnętrzny lub zewnętrzny. Audyt
bezpieczeństwa często kojarzony jest wyłącznie
z analizą i oceną systemów informatycznych na
poziomie technicznym. Należy jednak pamiętać,
że za tym pojęciem kryje się znacznie więcej.
Audyt bezpieczeństwa to przede wszystkim
ocena procesu zarządzania, a dopiero
w następnej kolejności audyt technologiczny.
Takie podejście zapewnia nie tylko chwilową
poprawę bezpieczeństwa, ale również buduje
zdolność do utrzymania założonego poziomu
bezpieczeństwa w długim okresie czasu.
Audyt jako funkcja zapewniająca ma na celu
systematyczną, niezależną i obiektywną ocenę
organizacji, procesu zarządzania, systemów
informatycznych, projektów lub produktów
i usług. Taka pozycja czyni z audytu doskonałe
narzędzie zarządzania, o którym współcześni
managerowie często zapominają lub nie chcą
z niego korzystać ze względu na brak zrozumienia
jego podstawowej roli w procesie zarządzania.
Podstawowym celem audytu jest dostarczenie
interesariuszom racjonalnego zapewnienia
co do stanu rzeczy w badanym obszarze.
Interesariuszem w takim przypadku może być
zarząd lub rada nadzorcza, które mogą być
zainteresowane poznaniem stanu faktycznego
w konkretnym obszarze organizacji, może nim
być również właściciel, kontrahent lub klient,
ale może nim być przecież sam manager.
W przypadku bezpieczeństwa informacji,
dziedziny która dotyka zaawansowanych
technologii i skomplikowanych scenariuszy
zagrożeń, audyt pozwala w podstawowym
stopniu uzyskać zapewnienie co do stanu
bezpieczeństwa kluczowych informacji i systemów
wykorzystywanych w firmie. Obiektywizm
i niezależność audytora w tym przypadku są
podstawowym sposobem na zapewnienie
wiarygodnej oceny stanu faktycznego oraz
zapewniają prawidłową kontrolę i nadzór nad
często najważniejszymi zasobami, które posiada
firma. Audyt ma przy tym jeszcze jedną zaletę –
pozwala spojrzeć „z góry”.
Radosław Kaczorek
CISA, CIA, CISSP, CRISC
Prezes Zarządu IMMUSEC. Audytor systemów informatycznych, ekspert w dziedzinie ładu i nadzoru w informatyce, zarządzaniu
ryzykiem i bezpieczeństwem informacji. W latach 2005 – 2009 Prezes Zarządu ISACA w Polsce. Współtwórca działów audytu
systemów informatycznych i bezpieczeństwa w KPMG (1998 – 2004) oraz Deloitte (2005 – 2007). W latach 2007 – 2012
juror konkursu Lider Informatyki organizowanego przez Computerworld. Od 2005 roku wykładowca Podyplomowego Studium
„Efektywne Zarządzanie IT w Przedsiębiorstwie” w Szkole Głównej Handlowej w Warszawie.
43
Modelowanie zagrożeń i analiza
ryzyka – podejście praktyka
Janusz Nawrat, Raiffeisen Bank Polska
Niejednokrotnie, kiedy trzeba uzasadnić
adekwatność zastosowanych lub – jeszcze
częściej – planowanych metod i środków
zabezpieczeń do rzeczywistego poziomu ryzyka,
przydaje się wiedza na temat tego jak ryzyko
identyfikować i analizować. Z sytuacją taką
zetkniemy się zwłaszcza wtedy, gdy w grę będą
wchodzić poważniejsze koszty do poniesienia
czy zaangażowanie poważniejszych zasobów
niezbędnych do wdrożenia planowanego
rozwiązania służącego bezpieczeństwu. Wątpię,
by kierownictwo firmy, decydujące o inwestowaniu
w bezpieczeństwo, dało się przekonać samym
faktem istnienia zagrożeń. Budując ‘business
case’ trzeba będzie pewnikiem pokazać wynik
przeprowadzonej zgodnie z regułami sztuki
analizy kosztów w odniesieniu do korzyści
Zagrożenia
zabezpieczają przed
Najpierw zajmiemy się pojęciami podstawowymi,
by jednoznacznie rozumieć, co dokładnie mieści
się w ich zakresie znaczeniowym. Konieczne
staje się nie tylko jednoznaczne zdefiniowanie
tych pojęć na potrzeby dalszych rozważań,
ale także określenie powiązań pomiędzy nimi.
Ułatwieniu tego zadania ma służyć następujący
diagram i później podane definicje terminów
podstawowych:
zwiększają
Podatności
zwiększają
eksponują na ryzyko
Ryzyko
Analiza Ryzyka definiuje
Wymagania Ochrony
44
Ryzyko – pojęcia podstawowe
wykorzystują
Zabezpieczenia
Realizowane przez
i to w perspektywie nie tylko biznesowej, ale także
z punktu widzenia skuteczności zarządzania
rzetelnie zidentyfikowanymi i poprawnie
przeanalizowanymi oraz skwantyfikowanymi
rodzajami ryzyk.
Zasoby
zwiększa
posiadają
Wartość
Ryzyko definiuje się jako prawdopodobieństwo
celowego lub przypadkowego wykorzystania
przez dany czynnik materializujący zagrożenie
(na przykład: człowiek, błędy na poziomie procesów
i systemów, zdarzenia klimatyczne, polityczne
i klęski żywiołowe itp.) określonej podatności
(rozumianej jako luka w bezpieczeństwie) oraz
wpływ materializacji zagrożenia na bezpieczeństwo
i ciągłość funkcjonowania organizacji, jej procesów
czy systemów.
Dla właściwego zrozumienia pojęcia ryzyka,
należy dodatkowo zdefiniować pojęcia zagrożenia,
czynnika materializacji zagrożenia, i podatności.
Pod pojęciem podatności należy rozumieć słabe
punkty lub luki w bezpieczeństwie systemów
i procesów, które mogą zostać przypadkowo lub
celowo wykorzystane (przez czynnik materializacji
zagrożenia) do naruszenia bezpieczeństwa
czy zaburzenia ciągłości działania organizacji,
jej procesów czy systemów.
Zagrożenie należy rozumieć jako możliwość
zaistnienia szkody, skutkiem celowego lub
przypadkowego wykorzystania określonej
podatności. Jego czynnik materializacji zaś,
to czynnik, sytuacja lub metoda materializacji
(ujawnienia) zagrożenia.
Ogólnie można zdefiniować ryzyko jako iloczyn
miar zagrożenia, podatności, wartości potencjalnie
zagrożonych aktywów i prawdopodobieństwa
materializacji zagrożenia.
RISK = asset_value x vuln_ratio x threat_ratio x probability
gdzie:
RISK – ryzyko, asset_value – wartość potencjalnie zagrożonych aktywów,
vuln_ratio – miara podatności, threat_ratio – miara zagrożenia,
probability – miara prawdopodobieństwa materializacji zagrożenia.
Z uwagi na fakt, iż wartość aktywów i miara
zagrożenia określają skutek materializacji
zagrożenia, zaś miara podatności jest powiązana
z prawdopodobieństwem materializacji
zagrożenia, w uproszczonym podejściu można
kwantyfikować ryzyko na podstawie iloczynu
prawdopodobieństwa materializacji zagrożenia
oraz skutków tego zdarzenia.
Na potrzeby tego artykułu przyjęto uproszczone
podejście, zgodnie z którym ryzyko stanowi
wypadkową dwóch czynników:
(1) prawdopodobieństwa materializacji zagrożenia
oraz (2) negatywnych następstw tego faktu.
Proszę zauważyć, że o ryzyku można mówić jedynie
wówczas, gdy te dwa podstawowe czynniki mają
miejsce. Samo zagrożenie nie świadczy o istnieniu
lub mierze ryzyka.
Stopień (miara) ryzyka wynika z oszacowania
znaczenia (wagi) wymienionych elementów
składowych.
45
W celu uczynienia omawianego modelu
użytecznym, należy wycenić wagi kryteriów
podstawowych i konsekwentnie się do nich
odnosić przy ocenie poziomu ryzyka. Przykład
oszacowania poziomów ryzyka został zilustrowany
następującą tabelą:
Prawdopodobieństwo
Następstwa
Niskie
Średnie
Wysokie
Małe
N
N
S
Średnie
S
S
S
Wysokie
W
W
W
Oczywiście, zaproponowany model dotyczy
jakościowego podejścia, właściwego do
zastosowania w takich sytuacjach, kiedy trudno
finansowo skwantyfikować ryzyka. W zilustrowanym
przykładowo modelu stopnia ryzyk, przyjęto
założenie oparte na uznaniu wysokiej wagi
możliwych następstw materializacji zagrożeń.
Dokonując oszacowania ryzyka, należy wziąć
pod uwagę fakt, że istnieje dodatkowo
prawdopodobieństwo wystąpienia efektu kumulacji
ryzyka. Skutkiem tego pojawia się tak zwane
ryzyko zagregowane. Efekt ten występuje w takich
przypadkach, gdy określony czynnik materializacji
zagrożenia wykorzystuje dużą liczbę niewielkich,
pod względem ryzyka, podatności, a kumulując
efekty ich wykorzystania, doprowadza do efektu
sumowania lub spiętrzania się ryzyk cząstkowych
finalnie do dużej skali ryzyka zagregowanego.
Na dalszym etapie procesu podejmowane są
decyzje odnośnie sposobów postępowania
z ryzykiem.
46
Istnieją następujące sposoby postępowania
z ryzykiem:
•Transfer ryzyka (w przypadku, gdy koszt
zabezpieczeń jest nieuzasadniony ekonomicznie,
stosuje się transfer ryzyka na podmioty
zewnętrzne: ubezpieczyciela lub outsourcera);
•Akceptacja ryzyka (stosowana w przypadku
braku efektywnych zabezpieczeń, ich
nieadekwatnym koszcie do wartości aktywów
lub w sytuacji wystąpienia możliwości akceptacji
ryzyka, z braku przeciwwskazań natury prawnej
lub zgodności z wewnętrznymi standardami
organizacji);
•Minimalizacja ryzyka (implementacja
zabezpieczeń w celu zredukowania ryzyka
do akceptowalnego poziomu i przy zachowaniu
adekwatności kosztów zabezpieczeń do wartości
chronionych aktywów).
Koncepcje wymienionych powyżej rozwiązań
przedstawiono na poniższym rysunku:
i trudniejszych do przeprowadzenia działań
naprawczych (jak na przykład „łatanie” podatności
po incydencie bezpieczeństwa).
Transfer
Akceptacja
RYZYKO
Minimalizacja
Ryzyko pozostałe po zastosowaniu możliwych
i uzasadnionych ekonomicznie środków
(zabezpieczeń, środków przeciwdziałających,
środków kontroli lub przeniesienia części ryzyka)
określa się jako ryzyko szczątkowe (rezydualne).
Modelowanie zagrożeń
Modelowanie zagrożeń jest bardzo ważnym,
pierwszym etapem prac, mających na celu
zapewnienie adekwatnego do zagrożeń i ryzyk,
poziomu bezpieczeństwa systemów. Na bazie
modelu zagrożeń można bowiem dokonać rzetelnej
oceny ryzyk, zgodnie z zasadą, że dopiero pełna
znajomość zagrożeń pozwala dostrzec wszystkie
ryzyka i właściwie nimi zarządzać.
Podstawowym celem modelowania zagrożeń jest
minimalizacja kosztów środków zabezpieczeń
przy założonym, określonym poziomie ich
skuteczności. Cel ten osiąga się przez zaplanowanie
i wykonanie ich wdrożenia na – możliwie – jak
najwcześniejszych etapach cyklu rozwoju systemu
(SDLC – System Development Life Cycle), kiedy jest
to nie tylko ekonomicznie korzystniejsze (tańsze),
ale także prostsze do wykonania, zanim pojawi
się potrzeba mniej ekonomicznie korzystnych
Zagrożenia, jako elementy obiektywnej
rzeczywistości istnieją i będą istniały zawsze.
W celu oszacowania odpowiadających im
poziomów ryzyk, należy skoncentrować
się na analizie czynników materializacji,
istotności zagrożenia, prawdopodobieństwie
jego materializacji i skutków tego zdarzenia.
Ryzyko bowiem może być niewielkie nawet
w sytuacji poważnego zagrożenia, jeśli
prawdopodobieństwo jego materializacji
czy rozmiar skutków materializacji pozostają
na niskim poziomie.
Na bazie rzetelnie i metodycznie przeprowadzonej
analizy ryzyka, podejmowane są krytyczne
decyzje odnośnie środków i sposobów zarządzania
ryzykiem. Błędne decyzje mogą prowadzić,
na przykład, z jednej strony do zastosowania
niedostatecznie skutecznych środków zaradczych
(niedoszacowanie ryzyka), z drugiej natomiast
do ponoszenia przez organizację nadmiernych,
nieuzasadnionych poziomem ryzyka, kosztów
z tytułu wdrożenia i utrzymania środków
zaradczych (przeszacowanie ryzyka). Bardzo istotne
pozostaje zatem poznanie zagrożeń oraz analiza
ryzyka od kątem prawdopodobieństwa
materializacji i tego skutków.
Nie ma jedynie słusznego podejścia do
modelowania zagrożeń. Wybór metod, spośród
dostępnych i udokumentowanych, powinien
zawsze być dostosowany do specyfiki biznesu
konkretnej organizacji oraz do założeń i oczekiwań
względem oceny ryzyka. Nawet jeśli przyjmie
się określoną metodykę, czasem warto ją
zmodyfikować, a przede wszystkim uprościć,
bo klarowne procesy łatwo jest przełożyć na język
praktyki. Taką też, uproszczoną metodę opisuję
w dalszej części artykułu.
47
W pierwszym etapie modelowania zagrożeń należy
dokonać (1) analizy założeń i celów w obszarze
bezpieczeństwa systemu i procesów od niego
zależnych.
W drugim etapie ważna jest (2) dekompozycja
procesów realizowanych przez systemy oraz –
w dalszej kolejności – analiza wszystkich etapów
procesów. Analizę należy przeprowadzić pod
kątem miejsc przetwarzania i przepływów danych
w systemach. Przy tej okazji należy dokonać
identyfikacji potencjalnych punktów materializacji
ryzyk w tych przepływach.
W trzecim etapie procesu dokonywana jest
(3) identyfikacja zagrożeń. Jej celem jest
zidentyfikowanie wszystkich potencjalnych
zagrożeń, których materializacja może spowodować
ryzyka finansowe, prawne, reputacyjne oraz ryzyka
niegodności ze standardami bezpieczeństwa
i nieciągłości działania itp.
•Przejęcie i podszycie się pod czyjąś tożsamość
(Spoofing Identity)
•Manipulowanie danymi (Tampering with Data)
•Zaprzeczanie autorstwu operacji (Repudiation)
•Ujawnienie informacji (Information Disclosure)
•Ataki odmowy usługi (Denial of Service)
•Podniesienie poziomu uprawnień (Elevation
of Privilege)
Przygotowany tym sposobem model zagrożeń
jest podstawą oceny i zarządzania ryzykiem.
Ocena ryzyka
Podejście ‘attacker-centric’ charakteryzuje
się rozpatrywaniem zagrożeń z punktu
widzenia atakującego, jego potencjalnych
celów, motywacji, sposobów i narzędzi
działania. Podejście ‘asset-centric’ polega zaś
na modelowaniu zagrożeń z perspektywy
aktywów i ich wartości dla organizacji.
Ryzyko należy traktować jako wypadkową
(1) prawdopodobieństwa materializacji zagrożenia
i (2) skutków tego faktu dla organizacji.
Bardzo dobrym narzędziem kwantyfikacji
ryzyka w systemach informatycznych jest
tzw. analiza DREAD. Można ją stosować
zgodnie z zaproponowanym wcześniej
podejściem do kwantyfikacji ryzyk, pamiętając
o zmapowaniu poszczególnych parametrów
DREAD do wspomnianych dwóch czynników
składowych w uproszczonym modelu oceny ryzyk.
O tym, jak również o znaczeniu poszczególnych
parametrów kwantyfikatora DREAD chcę jednak
wspomnieć w dalszej części artykułu.
Możliwe i czasem najkorzystniejsze jest
zastosowanie uproszczonego sposobu
modelowania zagrożeń w oparciu o hybrydowe
podejście, łączące w sobie rozpatrywanie
zagrożeń zarówno z perspektywy atakującego
(‘attacker-centric’), jak i z perspektywy aktywów
organizacji (‘asset-centric’).
1 Na podstawie: “Uncover Security Design Flaws Using
The STRIDE Approach” - Shawn Hernan, Scott Lambert
and Tomasz Ostwald and Adam Shostack
Na potrzeby przygotowania modelu zagrożeń,
warto na początek przyjąć założenie odnośnie
sposobu modelowania. Mamy do dyspozycji
co najmniej dwa podejścia, ogólnie określane
jako ‘attacker-centric’ i ‘asset-centric’.
48
Do klasyfikacji zagrożeń można przyjąć własne
kryteria lub jeden z dostępnych modeli,
na przykład model STRIDE1, w którym zagrożenia
są kategoryzowane według przynależności
do następujących grup:
Kwantyfikator DREAD stanowi ogólną miarę
ryzyka. Wyliczany jest on następująco:
DREAD = (<DAMAGE> + <REPRODUCIBILITY> + <EXPLOITABILITY> +
<AFFECTED USERS> + <DISCOVERABILITY>) / 5
Kwantyfikator ryzyka posiada zawsze wartość
zawierającą się w przedziale od 0 do 10, gdzie
najwyższa wartość oznacza największe ryzyko.
Poniżej znajduje się proponowana skala
kwantyfikacji do każdego czynnika oceny ryzyka
(DAMAGE, REPRODUCIBILITY, EXPLOITABILITY,
AFFECTED USERS, DISCOVERABILITY)
Poziom strat (DAMAGE)
W przypadku, kiedy dojdzie do materializacji
zagrożenia, jakie są spodziewane straty?
•1 = Pomijalne straty lub brak strat
•5 = Średnia strata, strata dotycząca
pojedynczego użytkownika
•10 = Duża strata, na przykład całkowite
zniszczenie systemu lub danych
Łatwość odtworzenia ataku/materializacji
zagrożenia (REPRODUCIBILITY)
Jak łatwo można powtórzyć atak czy spowodować
ponowną materializację zagrożenia?
•1 = Bardzo trudno lub jest to wręcz niemożliwe,
nawet dla użytkownika posiadającego
przywileje administratora.
•5 = Wymagane jest wykonanie jednej lub kilku
czynności oraz często posiadanie odpowiednich
autoryzacji.
•10 = Wystarcza przeglądarka internetowa
lub interfejs klienta aplikacji bez dodatkowych
narzędzi i bez konieczności uwierzytelnień
użytkownika.
Poziom trudności ataku, poziom trudności
spowodowania materializacji zagrożenia
(EXPLOITABILITY)
Co jest wymagane do skutecznego
przeprowadzenia ataku czy spowodowania
materializacji zagrożenia?
•1 = Zaawansowane umiejętności techniczne,
duża wiedza programistyczna, zaawansowana
wiedza na temat protokołów sieci i architektury
systemów, własne lub skomplikowane technicznie
narzędzia do przeprowadzenia ataków.
•5 = Szkodliwe oprogramowanie dostępne
w Internecie, gotowe i łatwe w użyciu wytrychy,
powszechnie dostępne narzędzia do testów
bezpieczeństwa.
•10 = Tylko oprogramowanie typu przeglądarka
lub narzędzia systemu operacyjnego dostępne
z linii poleceń powłoki systemowej.
Poszkodowani użytkownicy (AFFECTED USERS)
Ilu użytkowników jest poszkodowanych?
•0 = Brak
•5 = Niektórzy użytkownicy
•10 = Wszyscy użytkownicy
49
•1 = Zidentyfikowanie zagrożenia/podatności
jest bardzo trudne lub wręcz niemożliwe;
wymaga analizy kodu źródłowego lub/i
dostępu do systemów na prawach
administratora.
Pomocne w mapowaniu parametrów
DREAD do miary prawdopodobieństwa
materializacji zagrożeń i wpływu materializacji
zagrożeń na biznes organizacji, może być
traktowanie czynników ‘Damage’ i ‘Affected
Users’ w kategoriach rezultatu materializacji
zagrożeń, podczas gdy wypadkowej czynników:
‘Reproducibility’, ‘Exploitability’ i ‘Discoverability’
jako miary prawdopodobieństwa materializacji
zagrożeń.
•5 = Możliwe przez śledzenie logów
lub dzienników zdarzeń.
Zakończenie
Wykrywalność (DISCOVERABILITY)
Jak łatwo jest zidentyfikować zagrożenie/
podatność?
•9 = Szczegółowe informacje o podatności
dostępne w specjalistycznych, ogólnodostępnych
serwisach poświęconych bezpieczeństwu
lub dostępnych w sieci Internet serwisach
dostawców oprogramowania/systemów.
•10 = Informacje świadczące o podatności są
widzialne poprzez interfejs oprogramowania.
Jak widać, przeprowadzenie analizy ryzyka
nie jest zadaniem trudnym. Zresztą wszystko
wydaje się trudne dopóki nie stanie się łatwe.
Warto włożyć trochę wysiłku w opracowanie
najlepiej dostosowanego do naszych potrzeb
podejścia, a potem – co ogromnie ważne –
trzymać się go konsekwentnie.
Janusz Nawrat
Szef Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych w Raiffeisen Bank Polska S.A. Praktyk zarządzania
bezpieczeństwem informacji z wieloletnim doświadczeniem sieciowym, systemowym, programistycznym oraz pen-testerskim.
Architekt i projektant technicznych rozwiązań dla bezpieczeństwa. Autor licznych polityk i standardów bezpieczeństwa.
Entuzjasta skryptowych języków programowania, systemów unixowych i technologii sieciowych, łączący wiedzę z zamiłowaniem
do dzielenia się nią z innymi poprzez seminaria, szkolenia i teksty publikowanych artykułów. Posiadacz licznych certyfikatów
branżowych, w tym CISM, CISSP i CRISC.
50
Czy hakerskie sztuczki z Watch Dogs
to tylko fantastyka?
Gra Watch Dogs, która pod koniec maja miała swoją premierę, nadal przykuwa uwagę graczy
i mediów z całego świata. Zainteresowali się nią również eksperci z firmy antywirusowej ESET,
którzy postanowili ocenić czy hakerskie sztuczki, jakimi posługuje się Aiden Pearce, główny
bohater Watch Dogs, są możliwe do zrealizowania we współczesnym świecie.
Chyba każdy wie, że sceny, przedstawiające
łamanie zabezpieczeń przez bohatera kolejnego
kinowego przeboju lub kolejnej gry komputerowej,
nie mają zbyt wiele wspólnego z rzeczywistością.
Wyjątkowo rzadko zdarza się, że złamanie hasła
wymaga od hakera dwóch, góra trzech prób,
metodą na chybił trafił, a kopiowanie wirusa
poprzedza wyświetlenie okna z informacją
„wgrywanie wirusa: 97%”.
Firma ESET od lat kibicuje producentom gier i samym
graczom, organizując dla nich turnieje w Niemczech
i Wielkiej Brytanii. Nic dziwnego, że postanowiła
bliżej przyjrzeć się „rzeczywistości”, jaką ukazuje
najnowsza gra Watch Dogs firmy Ubisoft. Główny
bohater gry, za pomocą swojej komórki, zmienia
cykl świateł ulicznych, zatrzymuje pociągi i włamuje
się do każdej kamery monitoringu. Czy te wszystkie
czynności są możliwe do zrealizowania w dzisiejszym
świecie? Na to pytanie odpowiadają eksperci
wspomnianej firmy.
1. Hakowanie systemu zarządzania miastem
Miasto, w którym rozgrywa się akcja Watch
Dogs, jest zarządzane z poziomu systemu ctOS,
który stanowi informatyczny rdzeń metropolii.
Aiden (główny bohater gry) przejmuje kontrolę
nad miastem infekując wspomniany system
za pomocą specjalnie spreparowanego rootkita.
PRAWDOPODOBIEŃSTWO ZASTOSOWANIA
W RZECZYWISTOŚCI: WYSOKIE
Atak za pośrednictwem spreparowanego
zagrożenia jest możliwy, ale wymaga od
cyberprzestępców wielu miesięcy, a czasami
lat przygotowań. Warto również podkreślić,
że administratorów pilnujących złożonych
systemów teleinformatycznych, zdecydowanie
trudniej oszukać w rzeczywistości, aniżeli w grze.
2. Zdalna identyfikacja wartościowych
przedmiotów i bogatych obywateli
W grze Aiden posiada w swoim smartfonie
aplikację, która pozwala mu skanować otoczenie,
uzyskując informacje m.in. na temat osób, które
przechodzą obok niego. Dzięki temu bohater
może identyfikować wirtualnych bogaczy,
posiadających wartościowe przedmioty,
np. karty dostępu do ważnych lokalizacji
czy kluczyki do luksusowych samochodów.
PRAWDOPODOBIEŃSTWO ZASTOSOWANIA
W RZECZYWISTOŚCI: NISKIE
Nie istnieje aplikacja, która zbierałaby
informacje o użytkowniku z tak wielu źródeł
i w tak krótkim czasie. Dodatkowo eksperci
z firmy ESET zwracają również uwagę na fakt,
że współcześni użytkownicy są coraz bardziej
świadomi zagrożeń – unikają aplikacji, które
mogłyby żądać dostępu do zbyt wielu danych,
ujawniając w ten sposób adres zamieszkania,
miejsce pracy czy inne prywatne informacje
dotyczące ich samych.
51
3. Przejmowanie kontroli nad kamerami
monitoringu
W większości gier komputerowych kamery
bezpieczeństwa stanowią zagrożenie dla
głównego bohatera, stąd zwykle stają się
one dla gracza celem, który szybko eliminuje.
W Watch Dogs kamery są narzędziem, które
pozwala osiągnąć głównemu bohaterowi
zamierzony cel. Może z nich korzystać bez obaw
o namierzenie przez system nadzoru ctOS.
PRAWDOPODOBIEŃSTWO ZASTOSOWANIA
W RZECZYWISTOŚCI: NISKIE
Przechwycenie obrazu z jednej kamery
monitoringu jest w pewnych sytuacjach możliwe,
np. gdy dana sieć jest słabo zabezpieczona.
Jednak przejęcie kontroli nad wszystkimi
systemami monitoringu w danym mieście –
domowymi, przemysłowymi i miejskimi to czysta
fantastyka. Eksperci z firmy ESET podkreślają,
że każda próba dostępu do systemu
teleinformatycznego jest zwykle rejestrowana,
stąd niemożliwa byłaby sytuacja, w której ktoś
włamuje się do danego systemu monitoringu
i to włamanie pozostaje niezauważone dla
administratora sieci.
4. Sterowanie infrastrukturą miasta
Aiden może w pełni kontrolować całą
infrastrukturę miasta – od cyklu świateł
drogowych, przez pracę mechanizmów
52
do podnoszenia i opuszczania mostów
zwodzonych, aż po awaryjne zatrzymywanie
pociągów. Gra daje też bohaterowi możliwość
wysadzenia wybranych obiektów w powietrze
za pomocą specjalnej aplikacji w telefonie.
PRAWDOPODOBIEŃSTWO ZASTOSOWANIA
W RZECZYWISTOŚCI: NISKIE
Kontrolowanie całej infrastruktury
miasta, począwszy od rur ciepłowniczych,
po sygnalizację drogową nie jest możliwe.
Na dodatek taki samozwańczy haker, próbujący
zakłócić funkcjonowanie miasta, zostałby
namierzony już podczas pierwszej próby ataku
na wybrany obiekt.
Twórcy Watch Dogs i eksperci z firmy ESET wiedzą,
że informacje o użytkowniku to współcześnie
coraz częstszy cel ataków cyberprzestępców,
a możliwości smartfonów są coraz większe.
Jednak kontrola miasta i pełna inwigilacja jego
mieszkańców za pomocą aplikacji w telefonie to
na razie jedynie science-fiction. Mimo tego warto
wziąć sobie do serca rady specjalistów i unikać
instalacji aplikacji, które żądają dostępu do zbyt
wielu danych (aplikacja do obróbki zdjęć nie musi
mieć dostępu do książki kontaktów). Nie zaszkodzi
również korzystać z zabezpieczeń dla urządzeń
mobilnych – wielu producentów udostępnia
bezpłatne wersje takich produktów. Stosowanie
się do tych zasad może uchronić użytkownika
np. przed kradzieżą pieniędzy z konta bankowego,
na skutek ataku phishingowego.
Bezpieczeństwo na portalu
53
Monitorować, czy nie monitorować
pracowników?
Instalowanie na komputerach pracowników oprogramowania monitorującego
wciąż budzi wiele kontrowersji. Czasem ciężko jest pogodzić się ludziom z faktem,
iż jest się śledzonym w każdej minucie i można być rozliczonym z każdego, nawet
najdrobniejszego ruchu. Właścicielom firm nie chodzi o permanentne monitorowanie
pracowników, ale maksymalne zabezpieczenie danych, które mogą wydostać się poza
progi przedsiębiorstwa.
Czytaj całość
7 grzechów głównych systemów backupu
System backupu w przedsiębiorstwie cały czas pozostaje tematem, który często
pomija się w planach rozwojowych, a jeśli już się w nich pojawia to w kontekście
poszukiwania oszczędności. Prowadzi to do sytuacji, w której nie spełnia on często
swojej roli i w konsekwencji nie gwarantuje bezpieczeństwa przechowywanych danych.
Doświadczenia w przeprowadzaniu audytów Centralnych Systemów Backupu (CSB)
i wnioski z nich płynące, pozwoliły nam na sporządzenie zestawienia najczęściej
występujących „grzechów głównych systemów backupu”.
Czytaj całość
54
Firmowy majątek pod czujnym okiem
Chociaż najbardziej rozpoznawalne i najbogatsze marki pochodzą z Zachodu, to polski
biznes nie pozostaje w tyle. Obecnie łączna wartość aktywów 500 najzamożniejszych
przedsiębiorców operujących w kraju przekroczyła 147 mld zł i ciągle rośnie.
Jednak zarówno firmy osiągające największe zyski, jak i te rozwijające się powinny
zatroszczyć się o bezpieczeństwo swojego mienia. Poufne dane, samochody służbowe
lub siedziby mogą stać się celem kradzieży lub włamania, co może powodować
poważne utrudnienia w funkcjonowaniu przedsiębiorstw.
Czytaj całość
Aplikacje mobilne rajem dla cyberprzestępców
Dalszy dynamiczny rozwój urządzeń i aplikacji mobilnych będzie wymagał
coraz lepszych rozwiązań w zakresie bezpieczeństwa. W 2013 r. około 15 proc.
ogólnoświatowego ruchu w internecie pochodziło z urządzeń mobilnych, co zachęca
zorganizowane grupy cyberprzestępców do rozwoju złośliwych aplikacji. W najbliższych
latach ten udział będzie szybko rósł, co wynika m.in. z coraz większej dostępności tanich
urządzeń w krajach rozwijających się oraz rozwoju nowych technologii, jak 4G.
Czytaj całość
55
BYOD – bez hurraoptymizmu
W wielu regionach obserwuje się opór przed wdrażaniem BYOD, spowodowany głównie
obawą o bezpieczeństwo danych biznesowych zapisanych w urządzeniach, tożsamości
użytkowników oraz aplikacji.
Czytaj całość
Pracownik już nie jest najgroźniejszy
Pracownik przestał być największym zagrożeniem dla bezpieczeństwa informacji
w firmie. Dziś większym wyzwaniem dla działów IT w przedsiębiorstwach jest rozwój
nowych technologii mobilnych i takie zjawiska, jak big data czy cloud computing.
Firmy z roku na rok zwiększają swoje nakłady na ochronę wrażliwych danych.
Czytaj całość
56
Bezpieczeństwo w bankowości
Jednym z najczęstszych celów ataku hakerów na całym świecie są banki oraz
inne instytucje finansowe. Często jednak, także w Polsce, nie są one dostatecznie
przygotowane na odparcie cyberataków. Dlatego instytucje finansowe nie powinny
polegać wyłącznie na opracowanych procedurach. Ważnym jest natomiast,
aby jak najczęściej ćwiczyć praktyczną obronę przed możliwymi cyberatakami.
Niezbędna jest także ściślejsza współpraca pomiędzy bankami poprzez wymianę
informacji o potencjalnych zagrożeniach i sposobach radzenia sobie z nimi.
Czytaj całość
Uwaga na technologie mobilne
Technologie mobilne stanowią dziś największe wyzwanie dla bezpieczeństwa IT.
Tak wynika ze Światowego Badania Bezpieczeństwa Informacji przeprowadzonego
po raz 16-ty przez firmę doradczą EY. Takiego zdania jest prawie połowa uczestniczących
w badaniu szefów IT. Zwiększanie wydatków na bezpieczeństwo IT niewiele daje.
Mimo że 93% badanych firm w ciągu ostatnich 12-tu miesięcy zwiększyło lub
utrzymało wydatki w obszarze bezpieczeństwa IT, wciąż powiększa się luka między
obecnym a wymaganym poziomem bezpieczeństwa. Zaledwie 17% respondentów
przyznało, że działania w tym zakresie w pełni zaspokajają ich potrzeby.
Czytaj całość
57
PwC: „Globalny stan bezpieczeństwa
informacji 2014”
Jak informuje firma konsultingowa PwC: „W ostatnich latach zagrożenia
dla bezpieczeństwa informacji zmieniły się i stały się bardziej powszechne niż
kiedykolwiek wcześniej. W takiej sytuacji podejście do bezpieczeństwa, którego
głównym celem tradycyjnie jest zaspokojenie wymagań regulacyjnych, nie jest już
wystarczające. Co z tego wynika?
Czytaj całość
Inwestycja w bezpieczeństwo vs optymalizacja
wydatków
Backup backupowi nierówny. A co za tym idzie, i jego koszty. Wydatki poniesione
przez firmę na system centralnego backupu i jego utrzymanie to spory wydatek,
przez wielu przedsiębiorców postrzegany jako koszt, który nigdy się nie zwróci.
Ale czy na pewno tak jest?
Czytaj całość
58
Tak wygląda cyberwojna
Google, zakład wzbogacania uranu w Iranie, rząd Pakistanu, amerykański Departament
Obrony – nawet największe przedsiębiorstwa jak i rządy krajów padły ofiarą
zaawansowanych ataków typu APT w ostatnich dwóch latach. Zakres tych ataków
internetowych jest faktycznie dużo większy niż by się wydawało. Ich celem jest
zniszczenie lub kradzież poufnych danych dyplomatycznych czy tajemnic handlowych,
zarobek, a nierzadko wszystkie trzy czynniki jednocześnie. W związku z tym, organizacje
muszą dysponować środkami szybkiego reagowania na takie ataki.
Czytaj całość
Hakerzy wykorzystują metody inżynierii
społecznej
W kwietniu 2013 r. asystentka wiceprezesa pewnej międzynarodowej spółki z siedzibą
we Francji otrzymała mail z odnośnikiem do faktury umieszczonej w popularnym
serwisie wymiany plików. Kilka minut później odebrała telefon od innego wiceprezesa
tej samej spółki, który polecił jej sprawdzić tę fakturę i nadać jej bieg. Jednak faktura
była fałszywa, a rzekomy wiceprezes był przestępcą uczestniczącym w ataku hakerskim.
Czytaj całość
59
Dlaczego Security Leadership ma znaczenie?
Podstawowym zadaniem CISO jest przewodnictwo w tworzeniu oraz późniejszy rozwój
i nadzór nad egzekwowaniem jak najbardziej sensownego i jak najskuteczniejszego
programu zarządzania bezpieczeństwem informacji w codziennej praktyce operacyjnej
zatrudniającej go instytucji. Czyni to w oparciu o standardy bezpieczeństwa, przepisy
prawa powszechnego, często też normy i najlepsze praktyki branżowe oraz – rzecz jasna
– własną wiedzę i doświadczenie.
Czytaj całość
Czy istnieją bezpieczne systemy?
Czy istnieje coś takiego, jak w pełni bezpieczny system? Dlaczego w systemach wciąż
wykrywane są nowe luki w ich zabezpieczeniach? Czy jesteśmy skazani na „dziurawe”
oprogramowanie?
Czytaj całość
60