Polityka i prawo
Atos: „Bezpieczeństwo to centrum cyfrowej transformacji” (XXIII Forum Teleinformatyki)
28 września w Miedzeszynie na XXIII Forum Teleinformatyki „Infrastruktura informacyjna państwa – usługi, komunikacja, bezpieczeństwo” wystąpili przedstawiciele firmy Atos oraz Evercom. Odnieśli się oni do współczesnych zagrożeń i kwestii cyberbezpieczeństwa. Jak powiedział Robert Mroziński z Atosa: „bezpieczeństwo powinno stanowić centrum cyfrowej transformacji”.
Tematem wystąpienia prezesa zarządu Evercom Pawła Nogowicza były „Wybrane zagadnienia cyberbezpieczeństwa”. Jak podkreślił cyberbezpieczeństwo cały czas ewoluuje. Chodzi o zmiany w cyberprzestrzeni, zwłaszcza technologiczne oraz nowe sposoby wykorzystania istniejących rozwiązań. Użytkownik nie musi być ich świadomy, dopóki nie staną się one odczuwalne.
Wśród zmian wyróżnił te zachodzące w otoczeniu, tj. społeczne, prawne i polityczne. Podkreślił również, że istnieje grupa problemów, o których jest głośno, natomiast wcale nie musi to oznaczać, iż stanowią one największe zagrożenie. To, o czym piszą media, to m.in.: inżynieria społeczna (phishing), ataki celowane (APT) oraz wymuszenia (Ransomware). Jak mówił Nogowicz: „pomijane są ataki o najwyższej szkodliwości – przejęcie poświadczeń i nadużycia osób uprawnionych”.
Jako przykład podał tutaj Ransomware Wannacry. Faktyczne jego skutki to 200 tys. infekcji w 150 krajach, czyli statystycznie ok. 1300 na kraj, niska skala wyłudzonych opłat (wartości sześciocyfrowe) oraz nieetyczny marketing. W sferze zapobiegania chodziło o automatyczne poprawki MS z marca 2017 roku dedykowane do podatności. Jeżeli chodzi o phishing i ataki celowane, to są to zwłaszcza akcje mailingowe od „firm kurierskich” i „banków”. Faktyczne skutki to zakłócanie pracy i uszkodzenia systemów, ale nie było żadnej dużej katastrofy.
Pokazuje to, iż skala i realne konsekwencje są niewielkie. Jak dodał: „w Polsce identyfikuje się 10 tys. skutecznych ataków, tj. takich, że komputery stają się botami, na dobę. Główna przyczyna to własne niedbalstwo i brak instalowania automatycznych aktualizacji”. Wśród aktywności z obszaru zapobiegania chodzi o edukację, brak zaniechań, staranne utrzymanie systemów i monitoring. Wystarczy podstawowa i elementarna wiedza, aby uniknąć podobnych sytuacji.
Zdaniem Nogowicza to nie w tych przypadkach są największe zagrożenia. W jego ocenie będą to:
- Przejęcie poświadczeń i tożsamości cyfrowej (podpatrzenie hasła, zapis wideo czynności logowania, zdjęcie palców, odciski palców),
- Użytkownik o wysokich uprawnieniach (administrator, pracownik wsparcia dostawcy, audytor, analityk).
W pierwszej grupie czynników, ekspert zwrócił uwagę, że własne hasło można utracić nawet wpisując hasło pod kamerami monitoringu. „Wystarczą 3 osoby nagrywające wpisywanie hasła w jakości w HD z 3 różnych ujęć. Wyłączanie kamery w komputerze czy zaklejanie jej to żadna metoda zabezpieczenia. Wystarczy zrobić zdjęcie dłoni, aby odtworzyć odcisk palca”. W drugiej grupie mamy przykład Edwarda Snowdena. „Często pojawiają się ogłoszenia w darknecie o sprzedaży danych. Tam nie trzeba hakerów, wystarczy fizyczne wyniesienie danych. Wystarczy niezabezpieczony komputer administratora lub innego pracownika”.
Zdaniem Nogowicza recept jest kilka. Będzie to m.in. ochrona poświadczeń:
- marginalizacja haseł znakowych,
- wprowadzenie uwierzytelniania wieloskładnikowego – obecnie to konieczność (można obecnie korzystać z technologii np. rozpoznawania żył na rękach),
- silne czynniki uwierzytelniające: hasła jednorazowe, biometria (których koszty są od kilkudziesięciu do kilkuset złotych na stanowisko, a nie futurystyczne rozwiązania),
- edukacja i procedury (jak z patrzeniem w lewo i w prawo przed przejściem na drugą stronę ulicy).
Jak twierdzi przedstawiciel firmy Evercom, skutecznym elementem odstraszania jest świadomość nieuchronności wykrycia, przy czym jest to niezależne od samej kary. Innymi słowy przy rejestrowaniu 100% wykonywanych w systemie czynności, a także zapisie w formie graficznej obrazu działań użytkownika, pozwala na zwiększenie poziomu ochrony. Określa on takie aspekty zabezpieczenia:
- monitoring i nieuchronność wykrycia,
- rejestracja działania, analityka obrazu,
- brak dostępu do haseł systemów docelowych (podmiana),
- procedury haseł łączonych,
- analiza zachowań i wykonywanych czynności w czasie rzeczywistym,
- brak dostępu do systemu monitorowania dla podmiotów monitorowanych.
Kolejnym panelistą był Robert Mroziński. Tytuł jego wystąpienia to „Atos a cyberbezpieczeństwo w Polsce i na świecie”. Mówiąc o firmie, podkreślił on, że jest to globalna organizacja. Posiada pierwsze miejsce w Europie i jest jednym ze światowych liderów w dostarczaniu usług związanych z cyberbezpieczeństwem. Firma posiada ponad 100 tys. ekspertów ds. rozwoju biznesu oraz specjalistów ds. informatyki i bezpieczeństwa pracujących w 72 krajach. Jak podkreślił, Atos w Polsce to ponad 5 tys. specjalistów z obszarów Business & Platform Solutions, Infrastructure & Data Managment oraz BigData Security & Defense.
Mroziński zauważa, że w cyberbezpieczeństwie ważne jest widzieć to, co niewidoczne. Zagrożenia nieustannie się zmieniają, a do ich przeciwdziałania jest ograniczona ilość czasu. Same ataki również stają się bardziej złożone – rozszerzają się ich pola i kierunki działania (punkty końcowe, sieć, telefony, loT, Cloud, systemy przemysłowe). Do tego dochodzą zmotywowani sprawcy i organizacje (osoby wtajemniczone, aktywiści środowiska hakerów, przestępczość zorganizowana, finansowanie państwowe) oraz kompleksowe i zorganizowane kierunki zagrożeń (Ransomware, Cross-platform malware, IoT botnet, Swiftboating/hoax, Watering hole, Spear phishing czy DDoS Smokescreening).
Zdaniem eksperta w cyberbezpieczeństwie jest jak w innych sferach: „jedni budują lepsze armaty, inni lepsze ściany. Ryzyko to nie tylko koszty, ale i odszkodowania, inwestycje w bezpieczeństwo, wizerunek itp. Są też straty niematerialne – zaufanie do podmiotów i instytucji. Też przeliczalne na pieniądze w ostatecznym rozrachunku (jak bank czy firmy ubezpieczeniowe)”.
Mroziński zwraca uwagę, że tylko w 2016 r. utracono ponad 3,1 bln danych. W latach 2013-2015 koszty cyberataków wzrosły czterokrotnie, „przewidywany koszt cyberataków do 2019 roku to 2 tryliony euro”.
Ekspert odniósł się do często powtarzanych słów, że nie ma szansy zabezpieczyć się w 100%. Jak zauważył – można jednak szacować koszty, racjonalizować wydatki i działać szeroko na odcinku cyberbezpieczeństwa. Efektywność rozwiązań składa się też na przygotowania do aktywnej obrony. Jak mówił Mroziński: „wdrażanie cyberbezpieczeństwa to szereg różnych rozwiązań. Lepiej podejmować działania zaradcze i zarządzania ryzkiem, niż później ratować i odtwarzać. Aby wdrażać skutecznie zabezpieczenia, trzeba mieć świadomość sytuacyjną cyberbezpieczeństwa, inteligentną analizę zagrożeń. Harmonizacja poziomu bezpieczeństwa długofalowo optymalizuje wydatki – płatność kar, kosztów, strat, itp. Bezpieczeństwo jest wtedy gdy do zagadnienia podchodzimy całościowo, a nie fragmentarycznie. Każdy wołom czy szczelina będzie miejscem, w które skierowany zostanie atak”.
Od 2004 r. Atos jest partnerem Komitetu Olimpijskiego. Jak wspomniał Mroziński, przy wydarzeniach tej skali: „występuje 400 zdarzeń bezpieczeństwa IT na sekundę, podczas gdy ma się zero wpływu na bezpieczeństwo IT. Tylko w Rio w 2016 roku łącznie było 255 mln alarmów bezpieczeństwa, 510 mln przechwytywanych komunikatów syslog, a przecież monitoring prowadzony jest nie tylko w trakcie trwania igrzysk. Nigdy nie doszło do zajścia zakłócającego wydarzenia sportowego”.
Atos posiada wieloletnie doświadczenie w obszułdze incydentów bezpieczeństwa w Centrum Operacji Bezpieczeństwa (Security Operations Center, SOC). Jak dodał: „tworzymy światowej klasy Incident Response. Nasze działania są zgodne z wytycznymi standardów ISO27001 oraz ISAE 3401”. Wnioski i uwagi, które są najważniejsze w ocenie eksperta, to:
1. Bezpieczeństwo powinno stanowić centrum cyfrowej transformacji,
2. Doskonalenie zarządzania i napędzane biznesem rozwiązania bezpieczeństwa dla utrzymania zaufania i elastyczności wszystkich ekosystemów cyfrowych,
3. Bycie jednym z kluczowych innowatorów w obszarze adaptacyjnym bezpieczeństwa w erze nowych zagrożeń cyberbezpieczństwa.