Strefa Samsung
Ekspert radzi, jak bezpiecznie gromadzić i przechowywać dane
Codziennie gromadzimy i przetwarzamy ogromne ilości danych. Na co powinien zwrócić uwagę każdy z nas, by uchronić się przed wyciekiem? Na jakie aspekty powinny szczególnie uważać osoby związane z bezpieczeństwem? W rozmowie z CyberDefence24 wskazówkami dzieli się Maciej Kamiński, dyrektor Samsung Memory w Polsce i regionie CEE.
Artykuł sponsorowany
Nikola Bochyńska, CyberDefence24: Każdy z nas korzysta na co dzień z technologii, z urządzeń podłączonych do sieci, przetwarza i zapisuje ogromne ilości danych, często wrażliwych. Jakie zagrożenia pan widzi, jeśli chodzi o gromadzenie i przechowywanie danych osobowych, danych związanych z naszym życiem prywatnym, ale i działalnością służbową?
Maciej Kamiński, dyrektor Samsung Memory w Polsce i regionie CEE: Jeżeli chodzi o agregowanie danych, to największym zagrożeniem jest ich utrata. To banalnie proste, ale wydaje mi się, że świadomość tego problemu cały czas jest niska wśród użytkowników komputerów, telefonów czy laptopów.
Mogą być różne przyczyny utraty danych: od najbardziej codziennych, czyli awarii sprzętu; po problemy techniczne np. z dostępem do sieci czy zewnętrznych zasobów, chociażby chmurowych.
Idąc dalej, zagrożeniem są oczywiście wszelkiego rodzaju ataki hakerskie, ataki na naszą prywatność czy infrastrukturę, podejmowane przez nieuprawnione osoby. Z takimi zagrożeniami spotykamy się na co dzień, zarówno jako użytkownicy prywatni, jak i profesjonalni.
Jeśli już jesteśmy przy atakach hakerskich. W takich przypadkach nie mamy często wpływu na fakt, że nasze dane wyciekły, bo korzystaliśmy z danej aplikacji, z danego systemu, który został zhakowany. Co w takiej sytuacji radziłby pan użytkownikom?
Ważna jest wiedza, że prędzej czy później będziemy ofiarą działań hakerów - świadomie lub nieświadomie. Mogą nas zaatakować na wiele sposobów, od tych najbardziej banalnych jak zainstalowanie złośliwego oprogramowania, śledzenie naszych poczynań w sieci; po bardziej wysublimowane: jak kradzież tożsamości, przejmowanie kont, dostępów. Bez względu na to, jaka jest natura ataku, to świadomość, że kiedyś może do niego dojść, będzie nas przygotowywała na incydent.
Najprościej „szykować” się w dwojaki sposób: robiąc backup swoich danych i zabezpieczając je, co zapewnia dostęp do nich w sytuacji krytycznej. Do zabezpieczenia należy użyć hasła, najlepiej skorzystać z programu szyfrującego, co dodatkowo będzie zwiększało bezpieczeństwo naszych danych wrażliwych w przypadku ataku. Możemy zaszyfrować hasłem praktycznie każdy plik - poczynając od dokumentu w Wordzie. To samo robimy z chmurą, która powinna pochodzić od zaufanych firm.
Ta zasada dotyczy też nośników zewnętrznych od autoryzowanych dostawców. W przypadku najlepszych, m.in. w dyskach Samsung, oferujemy szyfrowanie 256-bitowe, praktycznie nie do złamania, jeżeli chodzi o dzisiejsze zasoby kryptografii i łamania klucza.
Najsłabszym ogniwem będzie więc człowiek i sposób generowania haseł. Jeżeli wymyślimy hasło admin123, hasło123 albo 1245678, to sami narażamy się na jego złamanie.
Niestety to wciąż bardzo popularne hasła wśród użytkowników.
Właśnie. Musimy też pamiętać o bezpieczeństwie podczas korzystania z sieci Wi-Fi, z zasobów sieci poza granicami Polski, kiedy jesteśmy szczególnie narażeni na tego typu sytuacje.
Do tego dochodzi właściwe zabezpieczanie własnych sieci Wi-Fi odpowiednimi hasłami, aktualizowanie sprzętu i oprogramowania, a w przypadku nieobecności podczas wakacji czy w biurze – przechowywanie w bezpiecznym miejscu naszych nośników, naszych komputerów – najlepiej w sejfie, w kasie pancernej, w miejscu, które nie jest łatwe do sforsowania.
Czytaj też
Bezpieczne przechowywanie danych
Sam pan wspomniał, że często najsłabszym ogniwem jest człowiek, co też często jest powtarzane przez ekspertów cyberbezpieczeństwa. Jakie są najczęściej popełniane błędy przez użytkowników, jeśli chodzi o przechowywanie i gromadzenie danych?
Najprostszym i najczęstszym błędem jest tylko jedna kopia plików oraz trzymanie wszystkich wrażliwych danych na jednym nośniku, który może ulec awarii czy zgubieniu.
Początek to świadomość, że wystarczy jeden błąd i moje cenne zdjęcia, dokumenty mogą zniknąć, choć wiele rzeczy można też odtworzyć. To, czego bardzo często nie można odzyskać, to osobiste sprawy – mówimy tu o części dokumentów, zdjęciach czy filmach. Na koniec dnia aspekt emocjonalny też odgrywa dużą rolę.
Wybór nośnika danych nie może być przypadkowy i w tym zakresie staramy się edukować. Wybieranie producentów, którzy gwarantują jakość swoich urządzeń, chociażby przez wieloletnią gwarancję lub dostęp do profesjonalnego serwisu jest kluczowa, a w przypadku ich awarii może pomóc w odzyskaniu wszystkich lub części danych.
Jako Samsung jesteśmy dostawcą, który kontroluje wszystkie swoje procesy produkcyjne, wszystkie swoje komponenty; produkuje we własnych fabrykach, a także ma w swoich usługach wszystkie procesy R&D. Projektujemy w taki sposób, aby nie tylko produkt finalny był jak najlepszy, ale też cały proces korzystania z niego i wsparcia po zakupie umożliwiał zabezpieczenie użytkownika na wypadek niepożądanego zdarzenia, szczególnie jeśli chodzi o użytkowników „specjalnych”.
Na co w takim razie osoby pracujące w instytucjach państwowych, zajmujące krytyczne stanowiska ze względu na bezpieczeństwo państwa, powinny szczególnie zwrócić uwagę?
Jeżeli chodzi o organy państwa, to oczywiście mamy do czynienia z wieloma ich rodzajami, tak jak i wieloma typami przechowywanych danych. Tutaj jest wiele procedur bezpieczeństwa. Wskazałbym jednak na dwie kwestie: fizyczność człowieka – zwłaszcza w przypadku zapisu i przechowywania danych. Jeżeli jakiekolwiek dane powstają, są przenoszone i mogą mieć klauzulę tajności – dane wrażliwe, to oczywiście zabezpieczanie ich hasłem biometrycznym jest konieczne. Na rynku są obecne rozwiązania zarówno firmy Samsung, jak i konkurencji.
Jest jeszcze jeden aspekt, o którym rzadko się mówi: czy klasy bezpieczeństwa gwarantują ochronę przed ulotem elektromagnetycznym, przed odczytaniem treści, które są generowane przez przepływ danych na łączach zjawisko fizyczne zwane ulotem elektromagnetycznym ? Każde urządzenie elektroniczne emituje „chmurę elektromagnetyczną” wokół siebie, związaną z przepływem prądu i jego pracą. Jeżeli podłączymy się za pośrednictwem przewodu, to zachodzi jeszcze kilka dodatkowych procesów. To dodatkowy aspekt, na który nacisk powinny kłaść instytucje państwowe, która przetwarzają dane wrażliwe, poza tym, co już dzisiaj stosują.
Pamiętajmy również, że jedną kwestią są dane związane z pełnioną funkcją, a drugą - dane prywatne. Tu także należy zachować szczególną ostrożność.
Czytaj też
Rozdzielanie dostępów
W jaki sposób przechowywać dane i jak je odpowiednio zabezpieczać?
Dobrą praktyką w obszarze przechowywania danych jest rozdzielanie dostępów do wszelkiego rodzaju zasobów zewnętrznych. Chodzi o to, by nie zostawiać na urządzeniach żadnych plików czy haseł, które mogą umożliwiać dostęp do stron, do plików, do zasobów sieciowych na tym samym urządzeniu.
Nie wszystkie hasła będziemy przecież pamiętać. To także dywersyfikacja miejsc przechowywania danych i fizyczny do nich dostęp, czyli kontrola tego, gdzie znajdują się nasze nośniki, ich inwentaryzacja. To praktyki, które pozwalają – poza warstwą techniczną – zabezpieczać też fizyczny akces do nośników i urządzeń.
W przypadku podróży, przemieszczania się mówimy również o sytuacjach, gdzie te dane są przenoszone, przetwarzane. Moim zdaniem ważnym aspektem jest świadomość, aby w żaden sposób nie podłączać się do przypadkowych miejsc z dostępem do Internetu, oferujących słabe zabezpieczenia. Wiele urządzeń informuje nas, że jakość zabezpieczeń jest słaba. Warto zwracać na to uwagę.
Jeśli chodzi przechowywanie danych, potrzebna jest też świadomość tego, co dzieje się z nimi w przyszłości. Nawet jeśli nośniki zostały wyczyszczone, nie będą nikomu służyć, należy wdrażać procedury odpowiedniego ich niszczenia: począwszy od kart pamięci, dysków zewnętrznych oraz dysków wewnętrznych. Mówimy de facto o procesach czyszczenia i fizycznego niszczenia nośników, tak by nie mogły trafić w niepowołane ręce.
Są to dosyć skomplikowane procedury, ale zarówno wyspecjalizowane agendy aparatu państwa, jak i podmioty zewnętrzne potrafią przeprowadzać tego typu operacje. W modelu biznesowym Samsung współpracujemy z klientami, którzy potrzebują tego typu usług. Oferujemy odpowiednie niszczenie danych i nośników i w tym czasie przekazujemy inne urządzenia zastępcze na gwarancji. To dobre praktyki na co dzień zarówno dla użytkowników bardzo wrażliwych, jak i użytkowników indywidualnych.
Wszyscy korzystamy na co dzień z technologii, rozwiązań jest coraz więcej, także tych, które opierają się na sztucznej inteligencji. Na jakie rozwiązania pana zdaniem pracownicy organów państwowych nie mogą sobie pozwolić, właśnie ze względu na szczególną ostrożność?
W przypadku rozwoju aplikacji, danych i ataków, które mogą się pojawiać, na pewno muszą korzystać z tzw. zaufanego źródła. Bez względu na wszystko – to, co instalujemy, jest pierwszym „kluczem” do naszych telefonów, komputerów.
Po drugie, stosowanie pewnych ograniczeń infrastruktury i dostępu – filtrowanie, do czego ma dostęp i co może zrobić na urządzeniu dany użytkownik, tj. określanie profili i jasnych reguł, z jakich danych można korzystać. Tu warto wspomnieć o kontekście dyskusji, jaka toczy się w przypadku chińskich dostawców mediów społecznościowych – czy warto, czy można takie aplikacje instalować. Część instytucji publicznych w ogóle odradza instalację tego typu programów, choćby ze względu na profilowanie użytkownika.
Podejście instytucji do mediów społecznościowych zawsze stoi pod dużym znakiem zapytania: chodzi o to, kto profiluje, kto zbiera dane i w jaki sposób przypadkowy, statystyczny Kowalski może nas zmapować jako użytkownika. Sprawdzić, chociażby to, co nas interesuje, jakie mamy poglądy. To na pewno obszar, który powinien podlegać kontroli i regulacjom.
Jeżeli chodzi o komputery i telefony służbowe oraz dyski, wspominałem już o pełnym szyfrowaniu, czyli stosowaniu świadomej polityki szyfrowania, kluczy od zaufanego dostawcy, jakim jest Samsung. Zalecałbym jednak instytucjom państwa własne rozwiązania szyfrujące w obszarze kodowania na naszych produktach. Do tego dochodzi kwestia polityki niszczenia danych i dysków o której mówiliśmy, ale też polityka rozdzielania profili prywatnych od służbowych – kontenerowanie ich, możliwość pełnego, zdalnego zarządzania w każdej chwili, usuwania i zdalna blokada urządzeń. Czyli tu wkracza aspekt polityki dostępowej, która będzie dodatkowym atrybutem bezpieczeństwa.
Czytaj też
Ryzyko utraty danych
W branży eksperci powtarzają, że te rutynowe czynności, które mają nas uchronić przed wyciekiem, są bardzo ważne. Natomiast użytkownicy często argumentują, że kwestia zabezpieczenia konta „zajmuje czas”, że wymaga umiejętności, itd. Co by pan odpowiedział na takie argumenty?
Jeżeli weźmiemy pod uwagę ryzyko, jakie pojawia się w momencie ataku, zablokowania naszych komputerów, serwerów, wejścia do systemów i kradzieży zasobów naszych i klientów lub innych danych, które są naszą własnością – w przypadku chociażby szpiegostwa przemysłowego, to moim zdaniem nie da się tego porównać do kosztów zainwestowania w cyberbezpieczeństwo. Wystarczy pomyśleć o kosztach ponownego wytworzenia dobra intelektualnego, jaki często przechowujemy w postaci plików na naszych urządzeniach czy serwerach, co ma niewspółmierną cenę w porównaniu do kosztów prowadzenia szkoleń, wdrażania zabezpieczeń, procesów i czasu, który zajmuje np. ustawienie podwójnego uwierzytelnienia do logowania się do kluczowych systemów.
To jak higiena codzienna: prysznic, mycie zębów, czesanie się i wychodzenie do pracy. Tak jak powiedziałem wcześniej – utrata danych może być naprawdę katastrofalna dla użytkownika indywidualnego, ale może też doprowadzić – w przypadku biznesu – do braku możliwości funkcjonowania. Tak było przecież wiele razy, kiedy złośliwe oprogramowanie doprowadziło do zablokowania całej sieci sprzedaży dużych sieci retailowych i wielkich kosztów odtworzenia infrastruktury, odzyskania danych i de facto udrożnienia pracy całej organizacji.
Nie mówiąc nawet o zasobach krytycznych, do których mają dostęp określone komórki państwowe, czy chociażby państwo, lokalne samorządy.
Do tego dochodzi rozwój sztucznej inteligencji – psychomanipulacje, zagrożenie deepfake i kwestie związane z wizualnym przetwarzaniem obrazu i budowaniem w oparciu o to scenariuszy ataku.
To bardzo trudny aspekt. W tym przypadku szczególnie powinna działać polityka haseł i dostępów, szkolenia oraz podnoszenie świadomości, że możemy zostać złapani w pętlę manipulacji, która może mieć nawet kilkanaście, kilkadziesiąt kręgów. Kluczowe osoby powinny posiadać wiedzę, w jaki sposób zorientować się, że znajdują się w takim procesie, gdzie raportować taką sytuację, do kogo zgłaszać.
Kultura organizacji czy kultura pracy instytucji państwowych powinna wręcz zachęcać do tego, aby – nawet w przypadku wątpliwości – dzielić się nimi, co może pomóc w ochronie nas jako użytkowników i całej infrastruktury. Tym samym uchronimy naszą organizację przed wyciekiem danych, kradzieżą czy skutkiem innego rodzaju ataku.
Niewątpliwie sztuczna inteligencja sprawi, że zapotrzebowanie na ekspertów cyberbezpieczeństwa będzie zapotrzebowanie ciągle rosło. To prawda.
Dziękuję za rozmowę.