Polityka i prawo
Świadomość zagrożenia, to fundament cyberbezpieczeństwa [ANALIZA]
Świadomość zagrożenia jest podstawowym elementem silnego systemu cyberbezpieczeństwa. Na rynku pojawia się coraz bogatsza oferta szkoleń, które mają przygotować pracowników i funkcjonariuszy służb do reagowania na zagrożenia informatyczne. Bez podstawowego przeszkolenia w tym zakresie firmy i administracja publiczna mogą ponieść ogromne straty.
Świadomość zagrożeń polega na zaszczepieniu odpowiedniej postawy wśród pracowników/funkcjonariuszy służb oraz przekazaniu im wiedzy na temat zabezpieczenia fizycznych i informacyjnych zasobów organizacji. Niedopatrzenie w tym aspekcie może doprowadzić do poważnych strat, zarówno finansowych, jak i - czasem nawet groźniejszych - wizerunkowych
Edward Snowden uzyskał wiele tajnych informacji, do których nie miał dostępu właśnie ze względu na fakt, że jego koledzy, wbrew obowiązującym przepisom, przekazali mu swoje hasła dostępu. Nie zdawali sobie sprawy z zagrożenia i potencjalnych konsekwencji swojej niefrasobliwości. W ten sposób uzyskał poufne dokumenty, które następnie opublikował za pomocą portalu Wikileaks.
W 2008 roku doszło do włamania do amerykańskiej tajnej sieci wojskowej. Miało to miejsce na skutek podłączenia zainfekowanego pendrive’a do systemów w jednej z baz. Złośliwe oprogramowanie rozpowszechniło się na bazy USA na Bliskim Wschodzie i Azji Centralnej. Jego usunięcie zajęło Amerykanom ponad rok.
W 2016 roku John Podesta, szef kampanii Hillary Clinton padł ofiarą spearphisingu rosyjskich hakerów. Fałszywą wiadomość przeoczył nawet ekspert, którego Podesta poprosił o zweryfikowanie treści[1].
Czytaj też: Szef FBI: Korzystanie z poczty e-mail przez Hillary Clinton było nieroztropne
Od błędów nie uchronili się również pracownicy firmy Booz Allen Hamilton. Niedawno serwis Gizmodo poinformował o wycieku wrażliwych danych o wojskowym projekcie Stanów Zjednoczonych. Ponad 60 tys. plików zostało zlokalizowanych na publicznie dostępych serwerach firmy Amazon. Zawierały one m.in. hasła i loginy do systemów rządowych czy dane uwierzytelniające jednego z pracowników.
Czytaj też: Wrażliwe pliki Pentagonu na Amazonie
Te przykłady pokazują jak ważna jest świadomość potencjalnego zagrożenia. Jednak nie tylko członkowie administracji i sił zbrojnych padają ofiarą hakerów, którzy wykorzystują brak znajomości podstaw bezpieczeństwa. Problem ten dotyczy praktycznie każdego przedsiębiorstwa. W skrajnych przypadkach może nawet zakończyć się bankructwem firmy. Badania przeprowadzone przez PwC w Wielkiej Brytanii wykazały, że 75 proc. organizacji doświadczyło włamań, a aż połowa z nich była spowodowana przez błąd ludzki[2].
Coraz częściej przeprowadzane są obowiązkowe szkolenia dla wszystkich pracowników, które odbywają się co najmniej raz w roku. Zmniejszają one ryzyko wycieku poufnych informacji czy spowolnienia produkcji, podczas gdy firma osiąga największe przychody. Dodatkowo wycieki informacji negatywnie wpływają na reputację przedsiębiorstwa i prowadzą do strat wizerunkowych. Ciekawą ofertę w zakresie edukacji na temat bezpieczeństwa przygotowała firma LogicalTrust.
Pracownicy i funkcjonariusze powinni znać zakres materiałów oraz zasobów fizycznych, z którymi mają kontakt, jak np. dane prywatne czy informacje rządowe. Powinni także umieć stosować w praktyce metody ochrony wrażliwych informacji, w tym między innymi politykę bezpiecznych haseł oraz autoryzację dwustopniową. Muszą oni też być świadomi podstawowych zagrożeń takich, jak wszelkiego rodzaju złośliwe oprogramowanie, phising czy inżynieria społeczna. Wreszcie, osoby korzystające z zasobów IT powinny brać pod uwagę, że część użytkowników będzie chciała ukraść lub wykorzystać w nieodpowiedni sposób dane znajdujące się na systemach komputerowych.
Długoterminowym celem wdrażania systemu świadomości zagrożeń jest osiągnięcie trwałych zmian w podejściu pracowników poprzez promowanie kultury bezpieczeństwa i wdrożenia odpowiednich nawyków. Bezpieczeństwo w końcowej fazie nie powinno być postrzegane jako zbiór przepisów utrudniających pracę i prowadzenie działalności, ale raczej jak szansa na rozwój organizacji.
Znaczenie wiedzy o zagrożeniach podkreśla Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA)[3] argumentując, że świadomość ryzyka i zagrożenia powinna stanowić pierwszą linię obrony bezpieczeństwa systemów i sieci. Również strategia cyberbezpieczeństwa Wielkiej Brytanii podkreśla znaczenie świadomości zagrożenia. Jak możemy przeczytać w dokumencie[4], pierwszą linią obrony w cyberprzestrzeni mają być właśnie obywatele Wielkiej Brytanii i ich wiedza o niebezpieczeństwach. Również Krajowe Ramy Polityki Cyberbezpieczeństwa zwracają uwagę na ten problem[5].
LogicalTrust proponuje szkolenia pozwalające za pomocą filmów infografikowych systematycznie zwiększać świadomość pracowników z zakresu zagadnień bezpieczeństwa IT. Firma edukuje firmy m.in. z sektora finansowego, telekomunikacyjnego, przemysłowego czy medycznego.
Priorytetem firmy w zakresie edukacji jest przyjazna dla kursantów forma (zarówno podczas warsztatów prowadzonych na żywo jak i w ramach platformy SecurityInside), ponieważ bez niej nawet najlepsza merytorycznie treść nie zostanie zapamiętana i uwzględniona w codziennej pracy.
Program szkolenia uwzględnia najważniejsze kwestie związane z bezpieczeństwem informacji, jak np. temat poświęcony hasłom, w którym użytkownicy nauczą się tworzyć łatwe do zapamiętania, skomplikowane, długie i trudne do złamania hasła.
Czytaj też: ePrinus: "Hasła nadal są potrzebne" [CyberDefence24.pl TV]
Coroczne rankingi najpopularniejszych haseł[6] pokazują, że użytkownicy internetu wciąż przede wszystkim stawiają na prostotę, a nie bezpieczeństwo. Pomimo ostrzeżeń ekspertów z branży wciąż najpopularniejsze pozostają: 123456789 czy qwerty. W ten sposób internauci ułatwiają pracę hakerom, którzy korzystając z gotowych narzędzi włamują się na skrzynki pocztowe czy konta mediów społecznościowych i kradną cenne informacje.
Drugim elementem programu szkoleniowego jest ochrona przed phishingiem. W ramach tej części zostaną scharakteryzowane ataki phisingowe, czym są i jak przebiegają oraz przedstawiona zostanie ochrona przed nimi. Ten rodzaj operacji należy do najczęściej stosowanych przez hakerów i de facto ma więcej wspólnego z inżynierią społeczną niż klasycznym cyberatakiem. Hakerzy wykorzystując naiwność użytkownika, wymuszają na nim pożądane zachowanie, które prowadzi najcześciej do pobrania załączonego pliku albo kliknięcia w podsunięty odnośnik. Na to zagrożenie wskazuje również raport przygotowany przez CERT Polska zatytułowany „Krajobraz bezpieczeństwa polskiego internetu”[7]. Dokument podkreśla liczne próby podszywania się pod firmy kurierskie, operatorów telekomunikacyjnych czy kancelarie komornicze.
Coraz większe zagrożenie związane jest z urządzaniami mobilnymi, na które tworzone są nowe formy złośliwego oprogramowania. Jeden z modułów platformy edukacyjnej LogicalTrust poświęcony jest w całości właśnie temu zagrożeniu. W raporcie CERT Polska o stanie bezpieczeństwa polskiego internetu z 2016 roku podkreśla się zagrożenia związane z podszywaniem się pod inne programy.[8]
Kolejną z częściej stosowanych odmian cyberataków jest tzw. spearphishing, polegający na wysyłaniu internautom spreparowanych wiadomości e-mail zawierających zainfekowane załączniki. Szkolenia proponowane przez LogicalTrust obejmują szereg testów, ułatwiających sprawne rozpoznawanie zainfekowanych załączników oraz instruuje w temacie zalecanego postępowania w przypadku nieumyślnego otwarcia niebezpiecznego pliku.
Programy szkoleniowe opracowane przez LogicalTrust pozwalają też zidentyfikować źródła wycieku poufnych informacji oraz ograniczyć potencjalne skutki ujawnienia danych. Przedstawiciele firmy podkreślają, że jest to jedno z największych zagrożeń, z którym borykają się nie tylko duże korporacje czy amerykańskie służby wywiadowcze, ale również i mniejsze podmioty. Platforma edukacyjna firmy oferuje też lekcję w obszarze bezpiecznej konfiguracji i dobrych praktyk w korzystaniu z sieci bezprzewodowych, zarówno w siedzibie przedsiębiorstwa jak i poza nią.
Specjaliści Logical Trust podkreślają, że firma działa na rynku cyberbezpieczeństwa od ponad 10 lat, przeprowadziła w tym czasie kilkaset testów bezpieczeństwa systemów informatycznych, a w szerzenie wiedzy na temat informatycznego bezpieczeństwa angażuje się od ponad siedmiu lat – m.in. prowadząc strony z informacjami na temat kolejnych ataków czy przygotowując darmowe quizy i akcje edukacyjne. Zwracają uwagę, że proponowane przez nich narzędzia szkoleniowe pozwalają na pomiar efektów prowadzonych zajęć.
Biorąc pod uwagę możliwe problemy i straty, które można ponieść z powodu nieświadomej zagrożenia kadry, inwestycje w szkolenia okazują się absolutną koniecznością. Wciąż wiele przedsiębiorstw oraz użytkowników administracji państwowej ma szansę uniknąć szeregu kłopotów, jeżeli tylko zainwestuje w odpowiednie rozwiązania.
[1] Is this the email that hacked John Podesta's account?, http://edition.cnn.com/2016/10/28/politics/phishing-email-hack-john-podesta-hillary-clinton-wikileaks/index.html
[2] 2015 Information Security Breaches Survey, https://www.pwc.co.uk/assets/pdf/2015-isbs-technical-report-blue-03.pdf
[3] Information Security awareness material, https://www.enisa.europa.eu/media/multimedia/material
[4] National Cyber Security Strategy 2016 to 2021, https://www.gov.uk/government/publications/national-cyber-security-strategy-2016-to-2021
[5] Krajowe ramy polityki cyberbezpieczenstwa rzeczypospolitej polskiej na lata 2017 -2022, https://mc.gov.pl/files/krajowe_ramy_polityki_cyberbezpieczenstwa_rzeczypospolitej_polskiej_na_lata_2017_-_2022.pdf
[6] The world's most common passwords revealed: Are you using them?, http://www.telegraph.co.uk/technology/2017/01/16/worlds-common-passwords-revealed-using/
[7] Krajobraz bezpieczeństwa polskiego Internetu w 2016 roku, https://www.cert.pl/news/single/krajobraz-bezpieczenstwa-polskiego-internetu-2016-roku/
[8] Ibidem