Zainaugurowany w zeszłym roku cykl konferencyjny „Bezpieczeństwo w sieci = bezpieczny biznes 2”, jest reakcją „Pracodawców Pomorza” na rosnące potrzeby przedsiębiorców w kontekście konieczności systematyzowania i uaktualniania wiedzy z zakresu realizacji dobrej strategii bezpieczeństwa informatycznego. Złożoność procesów IT występująca w mikro, małych, średnich i dużych przedsiębiorstwach różnicuje się, lecz cechuje je stała tendencja wzrostowa. Gdy dodamy do tego aspekt socjotechniczny cyberataków (łatwe zmanipulowanie pracownika przy niskim nakładzie technicznym atakującego), na horyzoncie pojawia się nam zagadnienie, który należy potraktować możliwie najbardziej wszechstronnie, ujmując w tym samym stopniu tematykę techniczną, co socjologiczną.
10 grudnia w gdańskim Inkubatorze Przedsiębiorczości STARTER spotkaliśmy się na drugiej odsłonie konferencji. W roli prelegentów zaprosiliśmy praktyków firm m.in. z różnych sektorów IT, którzy byli w stanie precyzyjnie wykazać, jakie zagrożenia są najbardziej powszechne, a co za tym idzie – najbardziej prawdopodobne. W temacie wypowiedzieli się specjaliści z: ITMore, Orange Polska S.A., Bank PKO BP S.A., MGS Kancelarii Radców Prawnych i Adwokatów Mądry, Sznycer, Cwalina-Kowalewska, Sambożuk, Wyższej Szkoły Administracji i Biznesu w Gdyni/Grupy Lotos S.A., Fundacji CODE:ME, IQ PL Sp. z o.o., STBU Brokerów Ubezpieczeniowych i Security Premium. Spotkanie zrealizowaliśmy przy wsparciu gospodarza – Inkubatora Przedsiębiorczości STARTER i Pomorskiego Klastra ICT Interizon.
W bloku otwierającym konferencję wypowiedzieli się: Dyrektor Zarządzający „Pracodawców Pomorza” Tomasz Limon, Prezes Zarządu Inkubatora Przedsiębiorczości STARTER Tomasz Szymczak i prof. Paweł Czarnul, Prodziekan ds. współpracy i Promocji Politechniki Gdańskiej, zasilający kadrę naukową Wydziału Elektroniki, Telekomunikacji i Informatyki. Wydarzenie prowadził Jarosław Parzuchowski, Wiceprezes Pomorskiego Klastra ICT Interizon.
Dobra wiadomość jest taka, że z wielu badań realizowanych w polskich przedsiębiorstwach na przestrzeni ostatnich kilkunastu miesięcy wynika, że świadomość pracodawców dotycząca cyberzagrożeń stale wzrasta. Precyzyjny atak na infrastrukturę informatyczną w firmie jest równoznaczny z zastopowaniem podstawowych funkcji przedsiębiorstwa i rozpoczęciem naliczania dziennych strat finansowych wynikających z takiego technologicznego paraliżu.
Polityka bezpieczeństwa IT w przedsiębiorstwach musi uwzględniać cały wachlarz potencjalnych zagrożeń. Do tego konieczna jest pełna dokumentacja uwzględniająca wrażliwe zasoby informacyjne firmy, a także informatyczne środki zaradcze, jakimi przedsiębiorstwo dysponuje na wypadek ataku. Tak długo, jak nie określi się najbardziej wrażliwych punktów ataków i narzędzi do zapobiegania im, nie będzie można wypracować właściwych zasad postępowania.
Właśnie od tych podstaw, które nierzadko okazują się być najbardziej zaniedbaną warstwą podstawowej struktury bezpieczeństwa, rozpoczęła Anna Birna, Wiceprezes Zarządu Itmore Sp. z o.o. Jak informowała wiceprezes, posiłkując się raportem Norton Cyber Security z 2017 roku, ofiarą cyberprzestępców padło 980 mln osób, a włamywacz pozyskali tym samym łącznie 172 miliardy dolarów. Wszystko rozpoczyna się od edukacji pracowników. Jak zauważyła Anna Birna, globalnie prezentowane podsumowania dotyczące włamań wykazują wciąż te same problemy przedsiębiorstw, takie jak: hasła o zbyt niskim stopniu złożoności, brak struktur i procedur zarządzania dostępami do urządzeń, niedopilnowanie bieżących aktualizacji oprogramowania, brak szyfrowania dysków pracowniczych. Do puli zaniedbań dochodzą: nieregularne wykonywanie kopii zapasowych danych, niewykorzystywanie bezpiecznych połączeń typu VPN i otwieranie wiadomości mailowych – do złudzenia przypominających korespondencję firmową – zawierających niebezpieczne załączniki. Więcej w powyższym materiale wideo.
Mówiąc z kolei o bezpieczeństwie urządzeń mobilnych, listę potencjalnych zagrożeń poszerzył Jarosław Miler z Orange Polska S.A., informując chociażby o bardzo rozpowszechnionych atakach typu DDoS – tanich i łatwych w realizacji, a przy tym niezwykle skutecznych, jeśli firma nie zastosowała odpowiedniej ochrony. W rezultacie przedsiębiorstwo zostaje odcięte od całej warstwy sieciowej. To jednak zaledwie czubek góry lodowej, gdyż za rogiem czekają już: złośliwe oprogramowanie typu malware służące do pozyskiwania zasobów informacyjnych firmy, ransomware – pokrewna odmiana wcześniejszego, ale zorientowana na szyfrowaniu dysków ofiary w celu wymuszenia okupu czy phishing – podszywanie się pod inną osobę lub instytucję w celu wyłudzenia wrażliwych danych. Celem ataków pada biznes mały, średni, duży i ten największy. Jarosław Miler ujął w swoim podsumowaniu chociażby atak na bazę danych Netii z 2016 roku, skutkujący wykradzeniem potężnej liczby informacji związanych z danymi osobowymi. Rok 2017 odbił się szerokim echem za sprawą ataku na polskie banki z wykorzystaniem strony Komisji Nadzoru Finansowego. Ofiarą padło kilkanaście instytucji finansowych. W samym tylko 2018 roku media informowały o dwukrotnym ataku DDoS na dostawcę usług internetowych, firmę Home.pl, skutkujących jej kompletnym paraliżem. Oczywiście, takie przykłady można mnożyć w nieskończoność.
Jarosław Miler podał ważne liczby opracowane przez CERT Orange Polska S.A., z których wynikało, że w samym 2017 roku zarejestrowano w Polsce ponad 10 milionów incydentów, które podłożem były powyższe zagrożenia. CERT Orange Polska S.A. to jednostka odpowiedzialna za analizę zagrożeń w internecie, sieciach klienckich, jak i sieci wewnętrznej Orange Polska. Współpracuje z Narodowym Centrum Bezpieczeństwa, a swoim zakresem analitycznym obejmuje blisko 40% polskiej sieci.
Jak przeciwdziałać? Jakie podejmować kroki? Jarosław Miler miał do przekazania kilka ważnych porad: – Ważna jest zmiana sposobu myślenia wśród przedsiębiorców. Cyberbezpieczeństwo musi przestać być kosztem i stać się inwestycją. Ponadto należy zająć się identyfikacją podatności na ataki w całym środowisku sieciowym firmy. Kluczem jest dobór właściwych rozwiązań bezpieczeństwa do chronionego obszaru – tłumaczył, podkreślając następnie konieczność wdrożenia swoistego BHP cyberbezpieczeństwa w firmie, w którym znalazłoby się miejsce dla budowania świadomości zagrożeń na wszystkich szczeblach przedsiębiorstwa, okresowych ćwiczeń z zakresu świadomości zagrożeń, jak i regularnych szkoleń. Zachęcamy do zapoznania się z materiałem wideo z tego wystąpienia (powyżej).
Trudno do równania zawierającego cyberprzestępczość i narażenie rozległych baz danych nie włączyć aspektu Rozporządzenia o Ochronie Danych Osobowych. Dlatego zaprosiliśmy również partnerów merytorycznych wychodzących poza branżę IT. O wypowiedź poprosiliśmy radców prawnych Michała Sznycera i Annę Eliszewską, partnerów z MGS Kancelarii Radców Prawnych i Adwokatów Mądry, Sznycer, Cwalina-Kowalewska, Sambożuk. Nasi prelegenci zestawili przypadki szczególnie znanych przypadków naruszeń bezpieczeństwa i wycieku danych osobowych, wykazując różnice w działaniach podjętych przez stronę atakowaną przed 25 maja 2018 rok, a więc w terminie sprzed obowiązywania RODO, jak również w miesiącach już objętych omawianą regulacją.
Temat dostosowania systemów informatycznych przetwarzających dane osobowe do systematyki RODO wzbudza sporo wątpliwości, choćby z racji niejednoznacznie sprecyzowanych standardów co do ogólnych wymogów, jakie takowa infrastruktura firmy powinna spełniać. 28 sierpnia tego roku RODO zostało uzupełnione Ustawą o krajowym systemie cyberbezpieczeństwa, co skutkowało wprowadzeniem w naszym kraju Dyrektywy NIS Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. Na przedsiębiorców-administratorów pozyskujących dane od swoich klientów, a następnie przetwarzających je w określonym celu (np. realizacja zamówień) nałożony został szereg nowych obowiązków.
Tutaj, jak wykazali Michał Sznycer i Anna Eliszewska, na wysokość kary pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych składa się szereg czynników, takich jak: wielkość szkody, celowość jej wystąpienia, potencjalne próbny naprawienia sytuacji przez administratora danych osobowych i właściwa historia naruszeń dotycząca konkretnego podmiotu. Zgodnie z przepisami ewentualna kara finansowa nie może przekroczyć 20 milionów Euro lub 4% wartości rocznych obrotów przedsiębiorstwa. Obecnie niezwykle trudno znaleźć przypadki kar, które oscylowałyby wokół takich kwot. Nie oznacza to jednak, że instytucje traktują ulgowo wszelkie przypadki naruszenia ochrony danych. Więcej informacji, w tym ciekawe studia przypadków – w powyższym wideo.
Hakerskie ataki socjotechniczne wykazują, że najsłabszym ogniwem w systemie zabezpieczeń firmy jesteśmy my sami. W tym duchu wypowiadał się Marcin Młyński, CEO Fundacji CODE:ME, skupiając się na przykładach technik i rezultatów ataków opartych na metodzie zakładającej, że pracownicy firm będą podatni na nieskomplikowane manipulacje informacyjne: – Hackerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku. Wyszukują przy tym najsłabszy punkt systemu bezpieczeństwa, którym jest człowiek.
W 2016 roku aż 60% wszystkich przedsiębiorstw w Stanach Zjednoczonych stało się ofiarami różnych ataków socjotechnicznych. Jak mówił Marcin Młyński: – Dziennie powstaje ponad 100 tysięcy nowych wirusów, typów złośliwego oprogramowania. Blisko 92% urządzeń w firmach, mających dostęp do sieci, znajduje się w grupie potencjalnych ofiar ataków. Tylko między rokiem 2015 a 2016 skala przestępstw o podłożu socjotechnicznym wzrosła aż o 600%. Kreatywność przestępców nie zna granic.
Specjaliści są zgodnie co do tego, że nakład kosztów takiego ataku jest znikomy, a rezultat przynosi astronomiczne kwoty. Marcin Młyński powołał się tutaj na zeszłoroczną wypowiedź Marcina Spychały, głównego specjalisty IBM Polska ds. cyberbezpieczeństwa, który podkreślił, że na walkę z przestępcami firmy potrafią wydać miliony dolarów, choć mierzą się w tym przypadku z osobami, które korzystają z narzędzi inwazyjnymi wartymi, w porywach, kilkanaście dolarów. CEO Fundacji CODE:ME, podając przykłady naruszeń na rodzimym gruncie, mówił: rzedsiębiorstwa prowadzące interesy z zagranicznymi dostawcami mogą stanowić dobry cel ataków polegających na modyfikacji płatności, w tym np. jej odbiorcy. Kilka lat temu ofiarą tej metody padło warszawskie metro, a w zeszłym roku także Podlaski Zarząd Dróg Wojewódzkich. Mechanizm był podobny: do księgowości wpłynęło pismo z informacją o zmianie numeru konta bankowego podwykonawcy – w ten sposób stracono 560 tys. zł w przypadku metra oraz 3,7 mln zł w przypadku PZDW. Nikt nie czuł potrzeby weryfikacji prawdziwości dokumentów.