Na Międzynarodowym Salonie Przemysłu Obronnego w Kielcach T-Mobile Polska zorganizowała warsztaty „Cyberbezpieczeństwo i wsparcie w zarządzaniu kryzysowym”. Druga prezentacja zatytułowana „Cyberbezpieczeństwo jako elementy obronności” została przedstawiona przez Filipa Rejcha – starszego specjalistę ds. bezpieczeństwa technologicznego.
Mottem przewodnim prezentacji była myśl Salmana Rushdie’ego: „Nie ma czegoś takiego jak pełne bezpieczeństwo, są jedynie różne poziomy zagrożenia”.
W pierwszej części prezentacji Rejch przedstawił zagrożenia dla użytkowników i biznesu, podkreślając, że ciągle ulegają one zmianie. Wśród wielu przykładów wycieków danych, które przedstawił, warto wymienić następujące:
- Wyciek danych z HBO w tym nieemitowanych odcinków Gry o Tron. Z jednej strony może się to wydawać błahostką, ale HBO poniosło znaczne straty wizerunkowe;
- RSA – kompromitacja tokenów bezpieczeństwa;
- SONY – ujawniono emaile, dane osobowe pracowników, listy płac i nieemitowane filmy. Wiele wiadomości poczty elektronicznej zawierało obraźliwe uwagi na temat innych pracowników;
- Apple – wyciek zdjęć celebrytów z iCliud;
- Wycieki danych karty kredytowych: Staples, CitiBank;
- Wycieki danych osobowych/klientów z firmy matrymonialnej Ashely Maddison czy Netia, InPost, RedisBad, Plusbank;
- Wycieki haseł: DropBox, Linkedin;
Starszy specjalista z firmy T-Mobile zwrócił również uwagę na popularność wirusów ransomware.
W dalszej części prezentacji skupił się na omówieniu zagrożeń dla infrastruktury krytycznej. Wymienił on ransomware WannaCry. W wyniku rozpowszechnienia się tej infekcji, doszło do czasowego paraliżowi brytyjskiej służby zdrowia. Wystarczyło tylko otwarcie jednego maila, żeby doszło do katastrofy.
Następnie, ekspert omówił NotPetya. W wyniku infekcji tym złośliwym oprogramowaniem doszło do zniszczenia danych. Atak skierowano przede wszystkim na Ukrainę. Właśnie tam zaatakowano największą liczbę celów. Operacja była ukierunkowana na zniszczenie danych, ponieważ bardzo szybko utracono możliwość ich odzyskania. Biorąc pod uwagę bliskość geograficzną, w Polskę uderzono rykoszetem. Straty nie były jedna wielkie, ponieważ WannaCry przygotował nas na użycie tych samych narzędzi.
W dalszej części prezentacji wspomniano o Stuxnecie (OT, PLC, elektrownie) i botnecie Mirai, który posłużył do przeprowadzenia zmasowanych ataków DDoS wykorzystując zainfekowane oprogramowanie.
Ostatnim zaprezentowanym przykładem był ukraiński blackout. Elektrownie potrzebowały miesięcy, żeby odzyskać po nim pełną sprawność. Scenariusz takich ataków jest bardzo niebezpieczny, ponieważ w ich wyniku mogą występować czasowe niedobory energii elektrycznej.
Ekspert T-Mobile mówił również o zagrożeniach bezpieczeństwa narodowego i międzynarodowego podając jako przykład dwukrotny atak na NSA. Raz jego sprawcą była grupa Shadow-Brokers, a drugi przykład to Edward Snowden i tzw. atak insiderski. Inne operacje o których wspomniano to ataki hakerskie na Estonię w 2007 roku czy włamanie do kancelarii prawniczej, które stało się potem źródłem przecieku danych w ramach Panama Papers.
W drugiej części prezentacji ekspert skupił się na sposobach ochrony i zapewnienia bezpieczeństwa. Wspomniał m.in. o systemie Data Leakage Protection, który wdrożył T-Mobile. Posłużył on do monitorowania danych w firmie, co pozwala na zapobiegnięcie kradzieży informacji przez pracowników firmy. Taką samą rolę na urządzeniach mobilnych spełnia system Mobile Defence Management.
Czytaj też: Generał Nowak: Cyberprzestępcy stają się coraz sprytniejsi
Ekspert T-Mobile omówił również mechanizm Kill-Chain, który przedstawia sposób działania hakerów. Najpierw następuje rozpoznanie sieci i systemów, potem uzbrojenie programu, następnie jego dostarczenie. Kolejnym etapem jest instalacja, która poprzedza eksploatację. Na samym końcu następuje realizacja celów.
Następnie zademonstrowano w jaki sposób można temu przeciwdziałać. Pierwszym etapem jest zapobieganie, które jest idealną opcją, ponieważ nie następuję infekcja. Jeżeli jednak zawiedzie konieczna jest detekcja zagrożenia, a następnie reakcja na nie.
W dalszej części prezentacji podkreślono, że cyberprzestępcy posiadają nielimitowane fundusze, czas oraz dostęp do zasobów. Ponadto mają elastyczny wybór technologii, ogromną liczbę scenariuszu ataku oraz bardzo dużo czasu na przygotowanie do takich operacji.
Dział bezpieczeństwa, który ma zapobiec działaniu cyberprzestępców dysponuje ograniczonym budżetem, a pracownicy spędzą w pracy 8 godzin.
T-Mobile może zwiększyć cyberbezpieczeństwo poprzez następujące działania:
- monitoring;
- threat intelligence;
- skanowanie podatności;
- testy penetracyjne;
- bezpieczeństwo IoT;
- analiza malware;
- odpowiedź na incydenty;
- szkolenie;
- audyty i doradztwo;
- ochrona przez atakami DDoS.