Nawyki milenialsów zagrażają bezpieczeństwu informacji [WYWIAD]

dr Andrzej Kozłowski: Ataki insiderskie są coraz większym zagrożeniem dla bezpieczeństwa w organizacjach. Z niebezpieczeństwem tego typu borykają się zarówno przedsiębiorcy, jak i służby państwowe czy agendy rządowe. Jako jedną z ich podstawowych przyczyn wskazuje się celowe działania, jednak jest to niepełny obraz. W jakim stopniu bezpośrednią lub pośrednią przyczyną jest brak odpowiedniej wiedzy na temat zagrożeń sieciowych?

Carl Leonard, Principal Security Analyst Forcepoint: Po pierwsze musimy zdefiniować atak insiderski i podzielić go na trzy typy, które spotkamy podczas naszej codziennej pracy. Dzielimy je na: celowy, przypadkowy oraz kiedy pracownik pada ofiarą hakerów. O pierwszym mówimy wtedy, kiedy pracownik celowo ujawnia informacje w celu zaszkodzenia organizacji. Przykładowo uzyskał on kiepską ocenę roczną swojej pracy i zdał sobie sprawę, że będzie musiał opuścić firmę. Pełni świadomy swojego działania, zaczął zbierać i zapisywać poufne dane na ich urządzeniach i próbować przesyłać je na serwisy udostępniające dane jak np. Wikileaks. Mogą to być części kodu źródłowego, informacje o kontraktach handlowych, ceny towarów i usług.

Często przyczyny ataków „z wewnątrz” firmy są jednak bardziej prozaiczne.

Najbardziej popularnym typem ataku jest sytuacja, w której pracownik przypadkowo popełnia błąd lub dopuszcza się zaniedbania bezpieczeństwa, bez wiedzy o konsekwencjach i z przeświadczeniem, że praca jest wykonywana w należyty sposób. Dla przykładu, osoba chce popracować nad swoim projektem w domu, przesyłając niedokończony dokument na prywatną skrzynkę pocztową. Nie zdaje sobie sprawy, że taka poczta może zostać łatwo przejęta. Zwykle takie wiadomości nie są w żaden sposób szyfrowane. To właśnie podobne sytuacje powodują najwięcej zagrożeń dla bezpieczeństwa organizacji. Takie wnioski wyciągnęliśmy z badania, które przeprowadziliśmy niedawno, noszące nazwę „EU Inisider Threat Survey”, które dotyczy 4 tys. pracowników na terenie Unii Europejskiej. W badaniu wzięli udział przedstawiciele czterech krajów UE – Wielkiej Brytanii, Francji, Włoch i Niemiec.

Badano więc najsilniejsze kraje Unii Europejskiej, deklarujące posiadanie szeroko rozbudowanych systemów cyberobrony.

Warto wyciągnąć wnioski z ankiety, którą udało nam się przeprowadzić. Zaobserwowaliśmy, że ci przypadkowi insiderzy, nie rozumieją zagrożeń spowodowanych np. przez używanie chmury obliczeniowej. Około 40 proc. pracowników nie myśli o bezpieczeństwie systemu, z którego korzystają. Jest to dla nas dowód, że w przypadku pracowników organizacji potrzeba jeszcze wiele szkoleń edukacyjnych. Przedsiębiorstwa kładą nacisk na wydajność pracy, miejscami jednak problem może stanowić odpowiednie zaplecze informatyczne, które wspierałoby poziom bezpieczeństwa tych pracowników. Część firm nie zdaje sobie sprawy z problemu. Kolejne zagrożenie stanowią ludzie odpowiedzialni za interakcje z danymi krytycznymi dla funkcjonowania firmy. Przekazują je pomiędzy sobą, czasami nawet przesyłają zbyt dużo danych. Musimy wspominać o tym zjawisku, ponieważ jest ono zdecydowanie naganne.

Trzecia kategoria dotyczy pracowników, których urządzenia zostały zainfekowane. Zajmowali oni się swoimi codziennymi obowiązkami, bez większych problemów i nagle ich urządzenie zostaje zainfekowane przez złośliwe oprogramowanie. Wtedy atakujący może wykorzystać przejęty komputer do logowania się, uzyskania dostępu do infrastruktury sieciowej organizacji, czasami nawet do elementów, do których przeciętny pracownik nie ma dostępu. Takie działania są łatwo wykrywalne przez odpowiednie zabezpieczenia, które badają sposób poruszania się po sieci przez użytkowników.

W jednej ze wcześniejszych wypowiedzi wskazywał Pan, że podobne postępowanie jest charakterystyczne dla pokolenia milenialsów. Ta grupa może więc być szczególnie narażona na zagrożenie.

Staramy się zrozumieć sposób zachowania tej grupy osób. Tzw. milenialsi, są to zazwyczaj ludzie w przedziale wiekowym od 20 do 35 lat. Są przyzwyczajeni do noszenia ze sobą telefonów komórkowych, tabletów, do korzystania z mediów społecznościowych nie zdając sobie sprawy, gdzie znajdują się ich dane.

Przekładają ten beztroski sposób korzystania z urządzeń elektronicznych na środowisko pracy. Nie zawsze udostępnienie prywatnych zdjęć przesyłanych do środowiska chmurowego zabezpieczonych za pomocą prostego hasła jest najlepszym pomysłem. Wyobraźmy sobie, że takie same czynności są podejmowane przez nich w środowisku pracowniczym, gdzie dane dotyczące planów biznesowych czy kontraktów z klientami są nadmiernie przekazywane do chmury obliczeniowej, która nie jest zarządzana przez zespół informatyków.

Tym samym właśnie milenialsi są bardziej skłonni do wykorzystywania rozwiązań technologicznych, które nie są zatwierdzane przez zespół IT. Mogą subskrybować usługi chmurowe w prosty sposób używając swojej karty kredytowej. Wtedy informacje firmowe mogą bez żadnej kontroli być przekazywane do chmury.

Korzystanie z rozwiązań podłączonych do sieci w sposób ciągły, niemal nieograniczony staje się normą, i te schematy zachowania są przenoszone również do miejsca pracy.

Dlatego staramy się zrozumieć sposób zachowania całej grupy społeczeństwa. Wynikają one wprost z przyzwyczajenia do nadmiernego dzielenia się informacjami na portalach społecznościowych.

Zauważyliśmy, że milenialsi żądają od pracodawcy możliwości przekazywania informacji o swoich projektach na mediach społecznościowych w celu poznania opinii znajomych i znalezienia lepszego rozwiązania problemu.  To charakterystyczny sposób zachowania, są graczami drużynowymi.  

Taki sposób pracy ma swoje dwie strony. Z jednej umożliwia to zwiększenie produktywności wśród pracowników. Może też czasami doprowadzić do powstania szkód. Pracodawcy powinni informować swoich pracowników o tym, że mogą korzystać z odpowiedniego zabezpieczonego systemu, który jest zaimplementowany w organizacji. Część z NGOsów, nawet nie rozważa używania aplikacji bezpieczeństwa, myśląc, że rozwiązania używane przez nich są na tyle bezpieczne, że nic im się nie stanie.

Jakie były podstawowe założenia ankiety, przeprowadzonej w czterech krajach UE – we Włoszech, w Niemczech, Francji i Wielkiej Brytanii?

Całe badanie dotyczyło kilku tysięcy pracowników indywidualnych w każdym z wymienionych wcześniej krajów. Badanie było oparte o standardowe wytyczne, takie jak np. przekrój populacyjny. Tak aby dotyczyło większości pracowników w tym wieku i przypominał ich rozkład w całej Unii Europejskiej.

Nasza ankieta jest pierwszym tego rodzaju badaniem, ale chcemy ją corocznie powtarzać, ponieważ zależy nam na zbadaniu zmieniających się postaw wraz z upływem czasu, w szczególności po wejściu w życie rozporządzenia o ochronie danych osobowych (RODO).  Pamiętajmy, że dotyczy ono wszystkich krajów Unii Europejskiej. Wraz z wejściem życie pracownicy będą musieli zostać przygotowani do przestrzegania odpowiednich zasad bezpieczeństwa. Właśnie ich edukacja, może doprowadzić do momentu, w którym milenialsi zrozumieją wyzwania, jakie niesie za sobą kwestia cyberbezpieczeństwa, w taki sposób, że będą świadomi podejmowanych przez siebie decyzji i ich wpływu na bezpieczeństwo.

Wyniki ankiety posłużą też do wzmocnienia systemów bezpieczeństwa?

Innym naszym celem przeprowadzenia ankiety było zrozumienie, w jaki sposób możemy zabezpieczyć własne systemy danych. Jako dostawca usług chmurowych zapewniamy rozwiązania dla infrastruktury krytycznej dla dziesiątek tysięcy organizacji na całym świecie, począwszy od sektora edukacyjnego, poprzez sprzedaż, obronność aż po administracje państwową.

Dlatego chcieliśmy lepiej zrozumieć, jak inne przedsiębiorstwa radzą sobie z problem cyberbezpieczeństwa i poznać jakie działania muszą w tej kwestii podejmować.  Chcieliśmy także sprawdzić, czy edukacja pracowników daje jakiekolwiek efekty. Jednym z pytań był problem wykorzystywania przez pracowników technologii, które nie są zatwierdzane przez informatyków (shadow IT – przyp. red.). Część przedsiębiorstw nawet nie wie, że mają w swojej strukturze tego rodzaju problemy. Dzięki narzędziom firmy Forcepoint nasi klienci mogą mieć taką wiedzę na temat problemu np. shadow IT. Zwykle po pokazaniu im takiego problemu, przyznają, że wcześniej o nim nie wiedzieli.

Technologia wspomaga identyfikację zagrożeń, pamiętajmy, że sama nie jest rozwiązaniem problemu. Trzeba zrozumieć zachowania użytkowników, lepiej wiedzieć co zamierzają zrobić i jakie to może przynieść konsekwencje dla firmy. Wtedy można stworzyć odpowiednie zapisy, które pozwolą na podkreślenie ryzykownych zachowań, które mają miejsce w organizacji.

Wprowadzenie Rozporządzenia o Ochronie Danych Osobowych ma w założeniu stanowić, przynajmniej częściowo, odpowiedź na problem zbyt luźnego zarządzania danymi.

RODO zachęca organizacje do sprawdzenia gdzie przechowywane są ich dane i jak są zarządzane. W rozporządzeniu są dwie propozycje rozwiązań dotyczące kontroli danych i zarządzania nimi. Jeżeli przetwarzasz prywatne informacje należące do obywateli krajów Unii Europejskiej, musisz pokazać, że robisz to w sposób absolutnie bezpieczny.

Jeżeli firma, chce sprawdzić, gdzie jej dane są przechowywane, to jest to bardzo dobry pierwszy krok. Zwykle organizacje nie zdają sobie sprawy np. z istniejącego problemu Shadow IT. Problemem jest również przechowywanie danych w bliżej nieznanej lokalizacji w sieci globalnej.

Jak RODO upora się z sytuacją, kiedy dane przechowywane będą na zewnątrz UE, na przykład w Stanach Zjednoczonych i będą mogły być udostępniane tamtejszym służbom wywiadowczym?

W przypadku nieumiejętnego lub złego zarządzania danymi przewidziane są kary pieniężne. Dlatego organizacje i firmy będą musiały zadać o odpowiedni stopień bezpieczeństwa i implementować rozwiązania i narzędzia.. W przypadku incydentu lub włamania, każda organizacja musi w ciągu 72 godzin poinformować odpowiednie służby odpowiedzialne za ich obsługę.

Jeżeli administracji uda się udowodnić, że organizacja zaniedbała bezpieczeństwo danych klientów, może zostać ukarana kwotą 4 proc. globalnych dochodów

Kary finansowe dla przedsiębiorców są dobrym rozwiązaniem?

Moim zdaniem przykuwa to uwagę przedsiębiorców i dostarcza im bodźców do szukania dobrych praktyk przy ochronie danych. Rozporządzenie wchodzi w życie w połowie 2019 roku. Mam nadzieje, że biznes już teraz jest przygotowany pod względem bezpieczeństwa sieciowego.  Konsekwencje niezastosowania się do zaleceń RODO mogą istotnie być dotkliwe. 

Mam nadzieje, że sprawi to, że dyrektorzy będą chętniej także rozmawiać z zespołami odpowiedzialnymi za kadry, sprawy prawne, informatykę czy firmami produkującymi zabezpieczenia sieciowe.

Najbliższe lata będą więc okresem dostosowania do nowych wymogów i rozbudowy systemów cyberbezpieczeństwa.

Do momentu wejścia w życie, biznes ma czas na lepsze przygotowanie się na incydenty bezpieczeństwa. W ostatnich latach obserwujemy wzrost ilości włamań sieciowych. Obecnie ujawniane dane w internecie nie tylko pochodzą z włamań hakerów, ale przede wszystkim są udostępnione w sposób niekontrolowany przez pracowników. RODO pozwoli firmom na zarządzanie i przetwarzanie dane w bezpieczniejszy sposób.

W ramach działań edukacyjnych pytamy przedstawicieli firm, co może mieć największy wpływ na sposób działania ich przedsiębiorstw. Warto także, aby przedsiębiorstwa wiedziały, jacy użytkownicy prezentują największe zagrożenie dla ogólnego bezpieczeństwa. Jeżeli znają dziesięciu pracowników, którzy spowodowali najwięcej incydentów w ostatnim czasie, warto aby bliżej się nimi zainteresowali. Należy także zapewnić pracownikom dodatkowe szkolenia oraz firmy muszą pamiętać o używaniu odpowiedniej technologii, która pozwoli na monitorowanie ryzykownych działań w sieci firmowej.

Warto sprawdzić, dlaczego na przykład część pracowników używa aplikacji Dropbox. Może to być spowodowane zbyt niską sprawnością firmowego systemu IT, aby go wykorzystywać w codziennej pracy. Samo odkrycie problemu i odpowiednia reakcja mogą rozwiązać większość problemów jakie mają miejsce w firmie. Dlatego najpierw trzeba oszacować, jakie elementy przedsiębiorstwa mogą wpływać w największym stopniu na cyberbezpieczeństwo. Warto je wtedy naprawić i w ten sposób lepiej przygotować przedsiębiorstwa na wdrożenie RODO.

Forcepoint jest częścią Raytheon, koncernu zbrojeniowego. W jaki sposób doświadczenie z branży obronnej wykorzystywane jest w działalności firmy?

Forcepoint rozpoczął swoją działalność w styczniu 2016 roku jako wspólne przedsięwzięcie Raytheon i Vista Equality Partners. Mimo, że jesteśmy nową firmą, posiadamy za sobą dekady doświadczeń. Raytheon zapewniał bezpieczeństwo sobie i klientom, co pozwoliło organizacji na osiągnięcie jednego z najwyższych poziomów wiedzy w tym temacie. Klientami są zarówno kraje jak i agencje wywiadowcze czy wojsko, od wielu już lat. Forcepoint w pełni korzysta z doświadczenia jakie zdobył Raytheon podczas dekad swojego działania. Dodatkowo nasze doświadczenia dotyczą ochrony atakowanych organizacji.  W ten sposób możemy zapewnić naszym klientom rozwiązania, które są sprawdzone w naprawdę ekstremalnych sytuacjach.

Obecnie możemy zaoferować europejskim klientom, w tym administracji państwowej czy wojsku, zabezpieczenia, które sprawdziły się w przypadku Stanów Zjednoczonych. Nasze rozwiązania niosą za sobą dekady doświadczeń Raytheona.

Jakie są główne obszary działalności firmy?

Forcepoint Security Labs zajmuje się przetwarzaniem informacji pochodzących z 5 mld punktów danych dziennie. Zajmujemy się wektorami ataków jak wiadomości poczty elektronicznej, analizujemy złośliwe oprogramowanie, monitorujemy wszelkie możliwe elementy sieciowe, w które może zostać wstrzyknięte złośliwe oprogramowanie.

Zajmujemy się tymi sprawami w inny sposób niż nasi konkurenci. Analizujemy zagrożenia płynące z działań insiderskich w organizacjach i instytucjach. Chodzi o pracowników naszych klientów, których klasyfikujemy według naszego algorytmu.

A ochrona stron internetowych przed atakiem?

Jeżeli jednak chodzi o zabezpieczenia stron internetowych, staramy się monitorować proces wstrzykiwania złośliwego kodu i skryptów, takich jak np. Javascript i innych, które hakerzy starają się zamieścić na stronach internetowych. W ten sposób odwiedzający stronę są zarażeni złośliwym oprogramowaniem.

W naszej pracy zajmujemy się także wyszukiwaniem stron internetowych, które zostały przejęte przez cyberprzestępców. Czasami nawet umieszczone tam zdjęcia czy wiadomości mogą stanowić wskazówkę, że strona została zmodyfikowana przez hakerów i może stanowić zagrożenie. Patrzymy w źródło strony szukając przejawów manipulacji kodu, który został zaimplementowany w strukturę strony. To jedynie niewielki wycinek działań, jakie podejmują hakerzy zmieniając zawartość strony, której odwiedzenia staję się wysoce niebezpieczne

W swojej pracy mamy do czynienia także z phishingiem, czy toolkitami, które przechwytują dane logowania do bankowości elektronicznej.

Innym potencjalnym zagrożeniem są ataki insiderskie.

Jedno z oferowanych przez nas narzędzi nosi nazwę Forcepoint Insider Threat. Pozwala zrozumieć ich zachowania behawioralne i przeanalizować je pod kątem zagrożenia. Nasze rozwiązanie pozwala na identyfikacje użytkowników sieci, którzy mogą mieć największy wpływ na bezpieczeństwo korporacji. Rozwiązanie, które oferujemy korzysta z logów sieciowych i kategoryzuje użytkowników za pomocą wielu algorytmów. Klienci mogą wybrać, w jaki sposób algorytmy będą oceniać zachowanie użytkowników, poprzez wybranie tych sektorów sieci, które uważane są za wymagające lepszych zabezpieczeń.

W zeszłym roku udostępniono to rozwiązanie klientom komercyjnym. To zbiór doświadczeń i umiejętności ewolucji zabezpieczeń opracowanych przez naszą firmę nabytych w latach, kiedy Raytheon bronił obszarów krytycznych dla bezpieczeństwa państwa przed atakami cybernetycznymi.

Dzielimy się także naszymi rozwiązaniami w ramach innych projektów. W przypadku ochrony chmury obliczeniowej, przy współpracy z dostawcami tych usług czy przy działaniach wykorzystujących środowisko sandbox. W ramach naszej pracy udało nam się stworzyć także zaporę sieciową nowej generacji, bazując na rozwiązaniach jednej z przejętych firm.

Dziękuję za rozmowę.