"Technologie i przepisy dla bezpieczeństwa, zagrożone wybory parlamentarne". Cyberprognoza na 2017 rok

2 stycznia 2017, 11:02
Fot. Łukasz Olejnik
Fot. Bundesregierung/Kugler.
CyberDefence24
CyberDefence24

W roku 2017 prawdopodobnie odbędą się kolejne ataki na systemy wyborcze, tym razem we Francji i w Niemczech. Będzie rosło również zagrożenie związane z internetem rzeczy. Jednocześnie jednak zwiększona ochrona danych oraz rosnąca popularność uwierzytelniania dwuskładnikowego może poprawić cyberbezpieczeństwo – prognozuje dr Łukasz Olejnik z University College London.

Trudno jest przewidywać, co zdarzy się w kolejnym roku. Większość tego typu analiz ma ograniczony sens lub jest wyostrzaniem pewnych kierunków, które wydawały się nowe bądź głośne w roku ubiegłym. Jestem sceptyczny wobec takich list i podsumowań. Chętnie zwrócę jednak uwagę na pewne wybrane trendy,  moim zdaniem ciekawe, którym do tej pory nie poświęcono wiele uwagi.

W 2017 roku będziemy mieli do czynienia z kolejną falą ataków na systemy internetu rzeczy (ang. Internet of Things). Nie będzie to jednak niczym odkrywczym, ponieważ sam fakt udostępniania urządzeń w sieci czyni je podatnymi na ataki – zwłaszcza, gdy urządzenia te są zaprojektowane w sposób niedbały, wystawiający bezpieczeństwo i prywatność na ryzyko.

Ciekawym trendem jest powolne, jednak stale wzrastające tempo adopcji uwierzytelniania dwuskładnikowego (ang. two-factor authentication). Chodzi o systemy, w których przy logowaniu trzeba podać nie tylko hasło, ale także inny składnik, np. token otrzymany SMS-em. Obecnie obserwuje się już ataki na tego typu rozwiązania – chociażby poprzez metodę phishing. Z uwagi na fakt, że uwierzytelnianie dwuskładnikowe będzie zyskiwało na popularności, ataki na drugi składnik uwierzytelniania ­– próbujące “przejąć” zarówno hasło, jak i drugi składnik (np. token SMS) – mogą stać się częstsze. Może być to proces powolny, niekoniecznie spektakularny. Dlatego tym bardziej zwracam na niego uwagę.

W 2016 roku cały świat doświadczył, w jaki sposób cyberoperacje mogą mieć wpływ na systemy polityczne, społeczne oraz – wybory, co obserwowaliśmy na przykładzie Stanów Zjednoczonych. Chodzi tutaj o uzyskiwanie dostępu i wykradanie danych z sieci rządowych, a także ataki ukierunkowane na partie polityczne, polityków, dyplomatów, działaczy organizacji pozarządowych, instytucji naukowych i innych. Celem stały się szeroko rozumiane systemy wyborcze. To, co kiedyś było stosowane na małą skalę w pewnych, względnie zamkniętych środowiskach, obecnie przeszło do mainstreamu i stanowi pełnoprawne narzędzie wywiadowcze. Właściwie, metody te stosowane są od dawna, teraz jednak zaczyna się o nich mówić szeroko, same są też "głośne". Nowość można zauważyć też w innym miejscu: stosowaniu technik umożliwiających celowy wyciek danych – w tym przypadku m.in. masowe wykradanie i ujawnianie zawartości całych skrzynek pocztowych, co stało się narzędziem walki. Te operacje są planowane i wykonywane w sposób bardzo dobrze przemyślany, mający osiągnąć określony cel, wywrzeć odpowiedni wpływ.

2017 jest rokiem wyborczym w ważnych krajach Europy. Obecnie zwraca się uwagę na pewne zdarzenia. Swój niepokój publicznie wyrażają politycy zajmujący wysokie stanowiska, szefowie wywiadu. Po pierwsze takie operacje mogą mieć potencjał destabilizacyjny. W jaki sposób zarządzać tym ryzykiem? Czy można to robić aktywnie? Po drugie nie jest jasne, co robić z informacjami o tego typu operacjach. Czy i kiedy odpowiedzieć na atak? Co robić, gdy sytuacje takie mają dość niejasne uregulowania w prawie międzynarodowym, a ustalenie źródeł ataków jest stosunkowo trudne?

W 2017 roku dużą zmianą będzie kompleksowe podejście organizacji (publicznych, firm itp.) do prywatności i ochrony danych. Spowoduje to unijna Ogólna Regulacja Ochrony Danych (ang. General Data Protection Regulation, GDPR), w Polsce znana pod nazwą Regulacji Ochrony Danych Osobowych. Wprowadza ona wiele wymogów ochrony prywatności i danych, a dostosowanie się do jej zapisów jest dużym wyzwaniem dla firm i organizacji. Organizacje m.in. będą zmuszone wdrożyć procesy ochrony prywatności i danych we wszystkich projektach (tzw. Privacy by Design) od fazy projektowania po implementację, wdrażanie i utrzymanie. Sam fakt poziomu ochrony stanie się mierzalny (za pomocą mechanizmu szacowania wpływu projektu na prywatność/ochronę danych) i będzie to wymogiem. Jest to trend pozytywny, ponieważ buduje duży potencjał polepszenia poziomu bezpieczeństwa i prywatności w systemach i produktach. Regulacja wprowadza też wysokie kary finansowe (nawet do 20 mln euro). Spowoduje to, że organizacje będą musiały przemyśleć ryzyko związane z bezpieczeństwem i prywatnością. Staną przed decyzją: stworzyć wewnętrzne zespoły, czy może zaangażować zewnętrznych współpracowników?

W 2016 dużo znaczących krajów upubliczniło lub uaktualniło strategie cyberbezpieczeństwa. W wielu przypadkach były to bardzo dobrze sporządzone dokumenty. W 2017 rozpocznie się wdrażanie tych koncepcji, które obejmują sprawy rządowo-cywilne, wojskowe, a także systemy szkolnictwa, infrastruktur krytycznych i innych. Powstają też nowe struktury odpowiedzialne za cyberbezpieczeństwo zarówno w warstwie operacyjnej, jak i analitycznej. Jednym z ośrodków, o którym warto wspomnieć, jest Narodowe Centrum Cyberbezpieczeństwa Wielkiej Brytanii; inny, zajmujący się kwestiami wojny informacyjnej, hybrydowej i dezinformacją – powstał w Czechach. Należy zwrócić uwagę na ten fakt wzmocnienia instytucji analitycznych z zakresu tzw. walki informacyjnej.

W Polsce obecnie zauważa się brak kompleksowego podejścia do cyberbezpieczeństwa.

dr Łukasz Olejnik - konsultant bezpieczeństwa i prywatności. Badacz na University College London. Jego polskojęzyczne teksty można znaleźć pod adresem: https://prywatnik.pl. Anglojęzyczną stronę Autora natomiast pod adresem: http://lukaszolejnik.com  

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.