Michał Czuma
W serwisach na całym świecie pojawiła się niedawno informacja o tym, że tysiące plików zawierających informacje o żołnierzach i tajnych agentach służb specjalnych Stanów Zjednoczonych wyciekły w nieznanych okolicznościach. Znaleziono je na niezabezpieczonym serwerze.
Jak podał serwis IBTimes, „9402 dokumenty opatrzone klauzulą ściśle tajne znaleziono na jednym z serwerów Amazona. Kopia danych, do której dostęp miał każdy, została odkryta przez specjalistę od cyberbezpieczeństwa”. Na innych serwisach z kolei napisano, że „pliki zawierały poufne dane dotyczące wojskowych oraz pracowników tajnych służb. Wśród ujawnionych informacji znalazły się prywatne adresy, numery telefonów, adresy e-mail i historia zatrudnienia. Niektóre rekordy zawierały numery prawa jazdy lub paszportu, a nawet poziom dostępu do tajnych danych”.
Jak zareagowałby każdy z nas, gdyby okazało się, że poufne dane zarówno firmy, jak i jej klientów, e-maile i opinie znalazły się w nieodpowiednim miejscu albo ktoś je opublikował w celu sprzedaży? Ile trzeba by zapłacić, żeby nie przedostały one się do opinii publicznej, i co by się stało, gdyby je sprzedano…
Często uczestniczę w sympozjach i panelach dyskusyjnych dotyczących sposobów radzenia sobie z cyberzagrożeniami. Słowo cyber dodaje się obecnie do wielu określeń. Wszyscy chcą przeciwdziałać cyberprzestępczości, spora grupa ludzi zatrudnia cyberekspertów, by zabezpieczali firmy przed cyberatakami, cyberfraudami i hakerami oraz innymi formami cyberprzestępczości. Powstaje niezliczona liczba aplikacji mających na celu ochronę systemów przed „ulotem informacji”, cyberpenetracją czy cyberatakami. Ale co jakiś czas każdy zastanawia się nad kilkoma kwestiami: czy jestem bezpieczny w sieci, czy moja firma jest dobrze zabezpieczona przed wrogimi działaniami, czy opłaca się wydawać krocie, bo i tak jakiś haker przełamie kosztowne zabezpieczenia i poniosę straty. Jak więc wygląda bezpieczeństwo systemów i ochrona przed cyberatakami?
Nie istnieje system, dzięki któremu można powiedzieć, że dana firma czy korporacja są skutecznie zabezpieczone przed cyberatakami. Nikt nie jest bezpieczny w 100%.
O poprawnie zainstalowanych zabezpieczeniach na poziomie systemów informatycznych można mówić na podstawie dużych firm. Im mniejsze przedsiębiorstwo, tym bardziej jest bezbronne. Hakerstwo to obecnie doskonale zorganizowany biznes, w coraz większym stopniu oparty na socjotechnice i olbrzymiej ilości informacji, które o życiu prywatnym umieszczamy w social mediach. Dobry haker zaczynał swoje działania, grzebiąc w nocy w śmietniku ofiary będącej jego celem. I do dzisiaj to robi, dlatego dobrze zabezpieczone firmy kupują specjalistyczne maszyny do niszczenia dokumentów, a w piwnicach trzymają specjalny sprzęt do prasowania śmieci. Dobremu hakerowi wystarczy kilka minut, by na swój komputer pobrać podstawowe informacje dotyczące konkretnej osoby.
Nie tak dawno pewnym menedżerem w pewnej korporacji zainteresowała się w sieci atrakcyjna dziewczyna. On był pracownikiem średniego szczebla, ona pracowała – jak twierdziła – niedaleko. Znajomość w sieci trwała w najlepsze, menedżer zapałał gorącym uczuciem do pięknej (jak wyglądała na prezentowanych w portalach społecznościowych zdjęciach) dziewczyny, przeszli więc na korespondencję e-mailową. Pani przesyłała masę fotografii, na wszystkich wyglądała atrakcyjnie, on był przekonany, że już ją gdzieś widział. Zachęcał ją do spotkania w realu, ale ona była zapracowana i przekładała terminy spotkań. W e-mailach zadawała wiele pytań, pan pokazywał, gdzie pracuje i czym się zajmuje. Chwalił się swoimi osiągnięciami. Pani zaproponowała, że odezwie się do niego na Skypie w czasie pracy i wtedy w końcu się zobaczą. Pan z żalem odmówił, informując, że w jego firmie wymogi bezpieczeństwa uniemożliwiają instalowanie wszelkiego, niecertyfikowanego oprogramowania. Jego rozmówczyni nie zraziła się, wprost przeciwnie – nie widziała problemu, ponieważ i ją też obowiązywały „wygórowane wymogi bezpieczeństwa”, ale obiecała, że prześle mu link, który „obchodzi wszelkie blokady”, i będą mogli zobaczyć się online.
W pracy na służbowy e-mail (w firmie menedżera nie można odbierać prywatnej poczty nawet przez przeglądarkę), który wcześniej został zarzucony zdjęciami, plikami z pięknymi filmami i albumami nieznajomej, przyszedł e-mail wysłany z adresu znanej wszystkim firmy, z linkiem do strony z apletem umożliwiającym telekonferencję. Gdy otworzyło się okno z apletem, pan ucieszony włączył mikrofon w swoim komputerze, po drugiej stronie usłyszał głos przemiłej dziewczyny, ale był bardzo niezadowolony z powodu braku wizji. Minęło kilka minut, gdy usłyszał w głosie dziewczyny nutkę irytacji i pytanie, czy otwierając link, zatwierdził certyfikat, o jaki przeglądarka musiała go przecież zapytać. Przypomniał sobie, że gdy otwierał link, aplet zasygnalizował potrzebę instalacji dekodera i certyfikatu, ale będąc po szkoleniu zorganizowanym przez biuro bezpieczeństwa, nacisnął „nie”, nie wyrażając zgody na instalację, zresztą jak powtarzał dziewczynie, „nie miał do tego takich uprawnień”. Dziewczyna przekonywała go, że też nie miała uprawnień, ale po instalacji bez problemu mogła rozmawiać z mamą, tatą i koleżankami. Szybko dokonał więc rachunku potencjalnych zysków i strat i uznał, że w oczach pięknej dziewczyny nie możę wypaść na lamera. Przeprosił ją, po czym się rozłączył, przeładował stronę i zrobił to, o co go poprosiła.
Jednej rzeczy nie mógł się domyślić – akceptując niezaufaną aplikację, certyfikat, a wcześniej otwierając zdjęcia, wśród których „część się nie otwierała”, za to zawieszała komputer, zainfekował nie tylko swojego laptopa w domu i pracy, ale także do systemu firmy wpuścił worma intruza, a ten najpierw umożliwił instalację spreparowanego skryptu, otwierając dostęp do wszystkich tajemnic firmy osobom nieupoważnionym. W ten sposób zdolny haker wszedł do sieci korporacyjnej firmy i tylko dzięki czujności administratorów po tygodniu ślad jego działalności został wykryty. Do dzisiaj nie wiadomo, co zrobił haker, do czego uzyskał dostęp oraz jakie straty poniosła firma. Menedżer musiał pożegnać się z pracą, a poznana w sieci dziewczyna już nie odpowiada na jego e-maile. Co gorsza, ta historia jest prawdziwa.
Najsłabszym elementem najbardziej nawet wyrafinowanych systemów bezpieczeństwa jest człowiek: użytkownik, administrator i nadzorca systemu.
Pracownicy branży bezpieczeństwa, oferujący bardzo dobre rozwiązania dotyczące obszaru cybersecurity, często mają problemy z zachęcaniem potencjalnych klientów do korzystania z rozwiązań i usług w tym zakresie. Prezentując skuteczne rozwiązania osobom odpowiedzialnym za cyberbezpieczeństwo, nierzadko spotykają się albo z brakiem decyzji, albo wręcz z niechęcią. Trzeba więc się zmierzyć z faktami. Nawet najlepsi administratorzy systemów odpowiedzialni za bezpieczeństwo sieci firmowych nie mają pewności, czy sieć, o którą dbają, jest skutecznie zabezpieczona przed atakiem. Pentesterzy testujący bezpieczeństwo systemu powinni przeprowadzać testy penetracyjne przynajmniej raz na pół roku, ponieważ tylko w ten sposób mogą określić stopień bezpieczeństwa badanego systemu. Terminem pentester określa się wysokiej klasy hakera, który penetrując system firmy, wykrywa w niej podatności i luki umożliwiające potencjalny atak. Niestety cena za takie testy jest niemała, a mogą one potrwać nawet kilka tygodni. Wynagrodzenie pentestera wynosi 500 euro za dzień pracy. Po znalezieniu ewentualnych słabych punktów wybrana firma usuwa je, po czym pentester przeprowadza kolejne testy. Jeśli znajdzie kolejne luki, proces jest kontynuowany, aż do całkowitego „załatania” systemu.
Czasami trzeba zmienić sposób funkcjonowania całego biznesu, zwyczaje w firmie, wprowadzić procedury, nowe specjalizacje – co zwiększa koszty działalności, a w konsekwencji firmy rezygnują z tych wydatków. Jak bardzo cyberzagrożenia wpływają na koszty funkcjonowania? Wystarczy sobie wyobrazić, jakie niezadowolenie w firmie może spowodować wprowadzenie polityki „czystych biurek”, gdy pracownikom zabrania się przynosić do pracy notatniki, a telefony komórkowe trzyma się w specjalnym pomieszczeniu z dala od komputerów, by uniemożliwić kopiowanie z ekranów danych osobowych czy poufnych dokumentów firmy. Jest to nieodzowne, gdy na ekranach komputerów pracownicy mogą przeglądać tajne dokumenty. Kolejne procedury blokujące dostęp do portów, wprowadzające kody dostępu do drukarki, monitorowanie poczty elektronicznej mogą budzić sprzeciw pracowników. Jeśli ponadto ma zostać wprowadzona kontrola dostępu do pomieszczeń, zakaz używania komórek prywatnych w pracy, a wszystko, co robi pracownik, będzie podlegać kontroli, monitorowaniu i analizie służb bezpieczeństwa firmy, może to skłonić właścicieli do zaniechania takich działań. Dlatego wielu ekspertów odwiedzających polskie firmy, oferujących coraz lepsze rozwiązania zwiększające odporność systemów korporacyjnych na cyberataki i cyberzagrożenia, spotyka się z murem niemożności. Nie można uzyskać odpowiedzi, czy dane rozwiązanie ma szansę stać się elementem zabezpieczenia systemu klienta, czy zarząd firmy jest zainteresowany zakupem i czy w ogóle zwiększenie bezpieczeństwa należy do priorytetów. Niestety wielu ludzi mających czuwać nad bezpieczeństwem sieciowym w pewnym momencie się poddaje. Nie chcąc wchodzić w konflikty z szefami, pracownicy sygnalizują jedynie, że system wymaga zakupów, testów, upgrade’u oprogramowania, gdyż spada poziom zabezpieczeń przed starymi i nowymi formami ataków. Zdarza się, że tylko informują decydentów o nowym zagrożeniu i potrzebie sfinansowania zabezpieczeń, zdając sobie sprawę z tego, że ich siła przebicia jest niewielka.
Stan bezpieczeństwa systemów informatycznych jest mierzony wysokością nakładów firmy na bezpieczeństwo.
Wiele firm ubezpieczeniowych oferowało ubezpieczenie na wypadek cyberataków. Okazało się, że ten rodzaj ubezpieczeń nie cieszy się zbytnim zainteresowaniem. Produkt oferowany obecnie przez siedem towarzystw sprzedaje się bardzo słabo, takie ubezpieczenie kupiła tylko jedna polska firma i był nią duży bank. W dużych firmach, szczególnie finansowych, infrastruktura informatyczna bardzo często jest poddawana atakom. Z każdym atakiem wydatki na bezpieczeństwo się zwiększają. Czyżby więc chodziło o to, że rodzimi przedsiębiorcy wychodzą z założenia, że jeśli nikt ich nie atakuje, a procedury bezpieczeństwa działają, to oznacza, że są bezpieczni i nic więcej nie muszą robić? Testy przeprowadzane w Polsce pokazują, że dobrze chronione są duże firmy, szczególnie z branży finansowej i bankowej, natomiast im mniejsza firma, tym gorzej. Przedsiębiorcy i menedżerowie stojący na czele średnich firm często nie zdają sobie sprawy ze skali zagrożeń.
Kwestią jest nie to, czy firma będzie celem ataku, ale kiedy ten atak nastąpi.
O skali zagrożenia świadczy fakt, że ceny wystawionych na sprzedaż danych sukcesywnie spadają. Wiele lat temu cena danych osobowych pojedynczych rekordów wykradzionych z polskich firm i instytucji, zawierających dane osobowe i dotyczące kont, numery rachunków bankowych itp. wahała się od 1000 do 1500 zł. Obecnie za pojedynczy rekord tej samej bazy płaci się 10–20 gr. Jeszcze niedawno cena na czarnym rynku za numer karty kredytowej z danymi osobowymi jej posiadacza wynosiła 10 dolarów za rekord, dziś spadła do zaledwie kilku centów. Ta analiza dowodzi, że na czarnym rynku występuje nadpodaż danych, co jest najlepszym wskaźnikiem zagrożenia firm w sieci.
Przeświadczenie, że jeszcze nikt nie zaatakował firmy, jest aprioryczne. Większość firm nie wie, jakie i ile ich poufnych danych jest już dostępnych w Darknecie, a także kiedy i ile razy spenetrowano ich zasoby.
Analizując zasoby danych pozwalających na penetrację firm i wyrządzenie szkód, widać, że tych danych jest w Darknecie bardzo dużo. I chyba tylko nieświadomość wielu zjawisk, które sygnalizują fakt, iż firma została spenetrowana albo jej poufne dane są dostępne w Darknecie sprawia, że zagrożenia są lekceważone. Ważne, aby każde przedsiębiorstwo opracowało procedury bezpieczeństwa i je egzekwowało. Pewne zwyczaje muszą szybko zniknąć, ponieważ stwarzają ogromne ryzyko. To, że nie da się w pełni zabezpieczyć firm przed zagrożeniami, nie może powodować, że w ogóle zrezygnują one z wdrożenia rozwiązań zabezpieczających ich zasoby. Wkrótce wejdą w życie regulacje, które nakładają na firmy, niezabezpieczające chociażby tylko przechowywanych w swoich systemach danych osobowych i danych wrażliwych, kary sięgające do 4% rocznego ich obrotu. Łatwo więc policzyć, ile będzie kosztowało oszczędzanie na zabezpieczeniu baz danych.
Sytuacje, w których właściciel firmy lekceważy informacje o możliwym bankructwie nie tylko z powodu braku zabezpieczeń związanych z zagrożeniami fraudami i oszustwami, ale również cyberprzestępczością, występują często. Może nawet dzięki oszczędzaniu na bezpieczeństwie tego typu przedsiębiorstwa osiągają przewagę nad konkurencją, ale muszą sobie zdawać sprawę, że to działanie krótkowzroczne. Ludzi przezornych dziwi ta nonszalancja i brak zdolności przewidywania.
Należy więc podjąć podstawowe działania zwiększające bezpieczeństwo.
1. Ważnym krokiem w odpowiednim zabezpieczeniu firmy przed cyberatakami powinno być zbudowanie wyspecjalizowanej komórki wewnętrznej lub sięgnięcie po zespół zewnętrzny, który zajmie się przygotowaniem firmy na cyberataki i będzie na bieżąco monitorował stan bezpieczeństwa.
2. Ulubioną bronią cyberprzestępców jest manipulacja i socjotechnika. Metodologia przestępców opiera się nie tylko na zaufaniu, ale także na niewiedzy i braku świadomości zagrożenia. Odpowiednio przeszkoleni pracownicy mogą ograniczyć skuteczność ataku hakerów. Nie bez kozery pierwszy atak, jaki wykonują przestępcy, to ustalenie listy pracowników, ich numerów telefonów oraz adresów e-mail, które wykorzystują do testowania świadomości pracowników firmy na potencjalne zagrożenia.
3. Firma musi opracować procedury, które pozwalają na ochronę przedsiębiorstwa przed ewentualnymi zagrożeniami. Pracownicy mają niestety naturalną tendencję do łamania procedur, ale na pewno określenie ich oraz ustanowienie odpowiednich sankcji za łamanie jest lepsze niż ich brak.
Polskie firmy bagatelizują zagrożenia cyberatakami, ale jednocześnie zwiększają wydatki na ochronę przed nimi. Daje się jednak zauważyć tendencję do poszukiwania możliwości wykorzystania luk w systemach firmowych w celu ich penetracji i użycia do szpiegostwa gospodarczego. Dzisiaj prawie każda firma obserwuje konkurencję, jej ofertę i trendy w branży. Jest mnóstwo możliwości robienia tego zgodnie z przepisami, ale łatwo pójść na skróty i przekroczyć pewną granicę, podejmując działania niezgodne z prawem, a wtedy należy mówić już o szpiegostwie. Do zagrożeń cyberprzestępczością dochodzi zagrożenie ze strony nieuczciwej konkurencji. Zaskoczenie i straty z tego wynikające są przyczyną dużych problemów wielu firm. Przedsiębiorca, chcąc pokonać konkurencję nieuczciwymi metodami, szuka możliwości włamania się na serwer biznesowego rywala, by poznać jego strategie, plany i tajemnice.
Twierdzenie, iż przed cyberprzestępczością nie da się obronić w 100%, nie oznacza, że nie można się przed nią zabezpieczyć. Czy zakup systemu alarmowego do domu jest niepotrzebnym wydatkiem, bo przecież „złodziej ma swoje sposoby”? Nawet najlepiej zabezpieczone przed kradzieżą samochody również są kradzione. Czy w związku z tym nie instalujemy w domach systemów monitoringu, a samochody przestajemy zabezpieczać i parkujemy z kluczykami w stacyjce? Montujemy alarmy, kupujemy ubezpieczenia, parkujemy na parkingach strzeżonych – na bezpieczeństwie nie można oszczędzać. Nie trzeba specjalistycznego oprogramowania, by wejść na fora dyskusyjne konkretnych firm, zagadnąć sfrustrowanego pracownika, który np. został zwolniony z pracy, pała chęcią zemsty i powie wszystko, co chce konkurencja. Firmy nie chwalą się tym, że ich zasoby zostały wykradzione, dane ich klientów i informacje wrażliwe przejęte przez grupy przestępcze lub hakerów. Większość tych spraw jest najpilniej strzeżonymi sekretami zaatakowanych firm. Nie żałują one później pieniędzy na testy penetracyjne, specjalistyczne usługi, wynajęcie wyspecjalizowanych firm doradczych, sięgnięcie po usługi cyberguard i cybersecurity, ponieważ wiedzą, ile kosztuje spokój, byt i los firmy. A ten koszt jest zawsze mniejszy niż straty poniesione z powodu braku podjęcia stosownych działań w odpowiednim czasie. Lepiej być mądrym przed szkodą.
| Początek internetu – koniec bezpieczeństwa? Należę do pokolenia, które pamięta narodziny Internetu. Programowania uczono mnie jeszcze w liceum, gdy na lekcjach informatyki pierwsze algorytmy pisaliśmy długopisem w zeszycie. Pierwsze programy pisałem, mając ZX Spectrum, korzystając z egzemplarzy „Bajtka”, ucząc się programowania oraz komend pozwalających na opanowanie komputera i napisanie kilku użytecznych skryptów. Podczas pobytu w USA w 1990 r. dowiedziałem się o Internecie, który krok po kroku wciągał mnie w rzeczywistość wirtualną. W Polsce horrendalnie drogi dostęp do Internetu uruchomił w 1991 r. NASK, będący monopolistą na rynku. Trwało to kilka lat. Ale już wtedy, mimo że nie istniały jeszcze strony www, a pierwszy serwer sieci akademickiej Uniwersytetu Warszawskiego dopiero się tworzył, wykorzystując dostęp oferowany mi przez kuzyna, obserwowałem sieć i grzebałem w zasobach i treściach przechowywanych na serwerach. Szybko odkryłem, że siecią najbardziej zainteresowali się przestępcy, dostrzegając tu nowe możliwości do nielegalnych działań. Przyspieszenie zainteresowania Internetem nastąpiło po uruchomieniu przez Telekomunikację Polską powszechnie dostępnego numeru telefonicznego, pozwalającego wszystkim abonentom posiadającym komputer z modemem na połączenie z globalną siecią. Wtedy jeszcze nikt nie myślał o bezpieczeństwie, chociaż były już pierwsze sygnały, iż sieć nie jest bezpieczna i mogą pojawiać się zagrożenia. Pierwszy program antywirusowy był zapowiedzią tego, co czeka w sieci. Jeszcze nie do końca przewidywano rozmiar zagrożeń, ale zaczęto się zastanawiać, czy Internet jest bezpieczny. Dzięki mnożącym się BBS-om (oferującym dostęp do sieci) rozpoczął się proces upowszechnienia się w Polsce Internetu. W tym czasie, pracując przy tajnym projekcie, niechcący przełamałem zabezpieczenia w sieci wewnętrznej mojej instytucji. Zgłosiłem mojemu ówczesnemu szefowi, że system komputerowy jest zawodny, skoro w kilka chwil można wyciągnąć z jego komputera ściśle tajne informacje. Jako dowód przekazałem wydrukowaną na igłowej drukarce OKI listę jego osobistych kontaktów. Był wyraźnie niezadowolony. Był rok 1995 i wtedy postanowiłem opuścić mury tej instytucji. Uzmysłowiłem sobie, że wielu ludziom niewiedza daje większy spokój niż świadomość zagrożeń. By zachować złudny spokój, wystawiają siebie i firmy na wiele zagrożeń. Wtedy wydawało mi się, że to absurd, ale dzisiaj już nie jestem tego pewny. |
