SHARE
X

Etyczny hacking czyli jak ochronić najcenniejsze zasoby organizacji

Rozmówca: Andrzej Nowodworski, Kierownik ds. Zarządzania Incydentami Bezpieczeństwa STM Solutions
Źródło: Jakość, Magazyn TÜV Rheinland Polska 1/2015

Rozwój technologii powoduje, że to co jeszcze kilka lat temu wydawało się niemożliwe teraz staje się rzeczywistością. Wraz ze wzrostem liczby urządzeń ze stałym dostępem do sieci oraz stopniem wykorzystania ich w codziennej pracy, wzrasta ryzyko narażenia siebie i organizacji na utratę cennych danych. Cyberprzestępczość, jak dowodzą liczne przykłady, staje się realnym zagrożeniem. Hackerzy są coraz bardziej pomysłowi, dlatego też do walki z nimi stają eksperci w dziedzinie tzw. etycznego hackingu. Do rozmowy na ten temat zaprosiliśmy Andrzeja Nowodworskiego, Kierownika ds. Zarządzania Incydentami Bezpieczeństwa z firmy STM Solutions, specjalizującej się w obszarze ochrony informacji.

Co według Pana jest najcenniejszym zasobem organizacji? W jaki sposób można wpłynąć na jego bezpieczeństwo?

Dla różnych organizacji najcenniejszym zasobem może być zupełnie coś innego. W jednym przypadku, mogą to być systemy teleinformatyczne zapewniające dostępność danej usługi w Internecie, w innym systemy automatyki przemysłowej, a w jeszcze innym receptura danego produktu. Niezależnie jednak od tego, co jest tym najcenniejszym zasobem musimy jasno określić listę kluczowych aktywów, aby w następnych krokach móc oszacować ryzyko dla każdego z nich i opracować mechanizmy i procedury służące podniesieniu poziomu ich ochrony. Należy przy tym pamiętać, że zapewnienie bezpieczeństwa kluczowym aktywom to proces ciągły, a wspomniane przeze mnie trzy kroki należy wykonywać cyklicznie, aby nasze procedury i mechanizmy zabezpieczające uwzględniały bieżące zmiany zarówno w kontekście nowo pojawiających się podatności, jak i zmian w otaczającym nas ekosystemie prawnym i biznesowym.

Jakie organizacje są najbardziej narażone na cyberataki i na czym mogą one polegać?

Cyberprzestępcy mają dwa główne motywy swoich działań. Pierwszy to oczywiście motyw finansowy, drugi to bardzo popularny ostatnio haktywizm. W kontekście działań cyberprzestępczych o motywie finansowym możemy stwierdzić, że najbardziej narażone są instytucje finansowe, bo dają cyberprzestępcom niemal bezpośredni dostęp do gotówki. Jednak i inne sektory gospodarki są narażone na ataki, bądź to z uwagi na swoją strategiczną rolę albo po prostu stają się ofiarami zaawansowanego szpiegostwa przemysłowego. Haktywiści to ludzie działający dla jakiejś, w ich przekonaniu, wyższej idei, a nie dla wymiernego zysku finansowego. Dlatego są grupą wyjątkowo niebezpieczną, o czym przekonało się już kilka międzynarodowych koncernów, czy rządów różnych państw. W Polsce najbardziej jaskrawym przykładem był ten ze stycznia 2012 roku, kiedy to społeczności internetowej nie spodobało się zapowiedziane podpisanie ACTA (Anti-Counterfeiting Trade Agreement), co poskutkowało zablokowaniem między innymi stron ABW, Kancelarii Premiera, Sejmu, Senatu i Prezydenta RP. W sumie zaatakowano około dwadzieścia serwisów administracji państwowej.

Jeżeli chodzi natomiast o typy tych ataków, to najpopularniejszym jak dotąd sposobem na wykradanie pieniędzy jest nadal infekowanie komputerów klientów złośliwym oprogramowaniem, dzięki czemu taki komputer jest całkowicie we władaniu cyberprzestępców. Podobny scenariusz, choć bardziej wyrafinowany stosowany jest w atakach na korporacje, tam też de facto chodzi o przejęcie komputerów w sieci wewnętrznej, jednak uzyskuje się to przez tzw. atak profilowany, czyli skrojony pod konkretną organizację. Bardzo często wykorzystywana jest socjotechnika, gdyż od zawsze najbardziej podatnym ogniwem w całym łańcuchu zabezpieczeń jest człowiek. Haktywiści z kolei najbardziej upodobali sobie ataki DDOS, czyli ataki, które mają na celu przeciążenie i de facto wyłączenie atakowanej usługi. Najczęściej takimi usługami są strony internetowe atakowanej organizacji. W niektórych przypadkach haktywiści stosują także wspomniany przeze mnie atak profilowany, wtedy ich celem jest najczęściej wykradzenie jakichś danych lub dokumentów.

Na początku roku głośno było o Urzędzie Miejskim w Jaworznie, który padł ofiarą konia trojańskiego i stracił prawie milion złotych z konta gminy. Co według Pana powinna zrobić organizacja aby ustrzec się takich sytuacji w przyszłości?

Z dostępnych publicznie informacji wynika właśnie, że komputer z którego wykonywano przelewy w tym urzędzie, faktycznie był zainfekowany złośliwym oprogramowaniem. Wygląda więc na to, że stacja ta, oprócz tego, że służyła do wykonywania przelewów, była także zwyczajną stacją biurową, na której bez przeszkód można było surfować po Internecie. Wtedy właśnie nastąpiła najprawdopodobniej infekcja tego komputera.

Istnieje kilka mechanizmów, które mogłyby zapobiec takim sytuacjom w przyszłości. Po pierwsze są systemy typu IDS/IPS czy systemy typu APT. Systemy IDS/IPS - Intrusion Detection System i Intrusion Prevention System - Systemy IDS/IPS są to urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym. Odpowiednie umiejscowienie któregoś z nich, najprawdopodobniej pozwoliłoby na wykrycie lub zablokowanie infekcji komputera. Po drugie stacje wykonujące kluczowe funkcje w organizacji powinny mieć mocno ograniczone uprawnienia, ograniczony do niezbędnego minimum zestaw oprogramowania i ograniczony dostęp do Internetu. To wszystko w znaczny sposób zminimalizowałoby ryzyko infekcji. Po trzecie umiejętne i świadome wykorzystywanie mechanizmów dostarczanych przez banki. Chociażby rozdzielenie ról wprowadzającego od akceptującego przelewy, prawdopodobnie pozwoliłoby na wychwycenie faktu podmiany numeru rachunku na etapie wprowadzania przelewu do systemu bankowego.

Zasoby organizacji to jednak nie tylko środki na koncie czy bazy danych, ale także własność intelektualna . W tym zakresie polskie prawo nie jest doskonałe. Przedsiębiorcy często nie mają świadomości zagrożenia, przez co nie zapobiegają temu zjawisku w wystarczający sposób. Czy Państwa doświadczenia to potwierdzają?

Faktycznie problem własności intelektualnej, jest problemem żywym, z którym dość często się spotykamy. Polskie prawo w tym zakresie nie jest ujednolicone, a przepisy służące ochronie własności intelektualnej możemy znaleźć zarówno w Kodeksie Cywilnym, jak i w przepisach Ustawy o Zwalczaniu Nieuczciwej Konkurencji, czy przepisach Ustawy o Ochronie Własności Przemysłowej. Mamy także ustawę o Prawie Autorskim i Prawach Pokrewnych. Ta mnogość przepisów powoduje, że często osoby zarządzające w firmach nie są w stanie dokładnie określić, co de facto jest ich własnością intelektualną, a co za tym idzie nie mają świadomości, czy i w jaki sposób należy tę własność chronić.

Czy może Pan podać przykłady mechanizmów chroniących własność intelektualną, polecanych przez ekspertów STM Solutions?

Jak już wcześniej wspomniałem podstawową sprawą jest zakwalifikowanie danej własności intelektualnej do kluczowych aktywów organizacji, które chcemy chronić. To pozwoli nam na oszacowanie ryzyka i dostosowanie zabezpieczeń do tego konkretnego przypadku. Z naszych doświadczeń wynika, że najczęstszym sposobem jest wprowadzenie klauzul dla danych i dokumentów wraz z regulacjami opisującymi sposób ich przechowywania i przetwarzania. Istotne są w tym przypadku, także kwestie związane z zarządzaniem incydentami bezpieczeństwa informacji tak, aby organizacja posiadała kompetencje i narzędzia do ich wczesnego wykrywania. Pomocne w tym zakresie może okazać się wdrożenie systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001.

STM Solutions posiada system zarządzania bezpieczeństwem informacji wg ISO 27001 certyfikowany przez TÜV Rheinland Polska. Jako firma zajmująca się zapewnieniem ochrony danych, dysponują Państwo zapewne narzędziami, które pozwalają zapobiegać wszelkim nieprawidłowościom. Skąd w takim razie decyzja o wdrożeniu i certyfikacji systemu wg ISO?

Wdrożenie systemu zarządzania bezpieczeństwem informacji według normy ISO 27001 było w naszym przypadku naturalną koleją rzeczy. Nasi eksperci zajmują się bezpieczeństwem systemów teleinformatycznych na co dzień i często przetwarzają informacje kluczowe dla naszych klientów. Zawsze przykładaliśmy szczególną uwagę do bezpieczeństwa tych informacji, stosowaliśmy odpowiednie zabezpieczenia techniczne i, co okazało się już na etapie wdrożenia systemu, organizacyjne. Wdrożenie to pozwoliło nam ponadto na spisanie, ustrukturyzowanie i doszlifowanie wewnętrznych praktyk i regulacji. Dodatkowo, będąc w zgodzie z normą, prowadzimy audyty wewnętrzne, mamy uregulowaną kwestię zarządzania incydentami bezpieczeństwa informacji, co pozwala nam na ciągłe doskonalenie i dostosowywanie naszego systemu do zmieniających się warunków technicznych i organizacyjnych.

Certyfikacja przeprowadzona w TÜV Rheinland Polska jest dodatkowym gwarantem dla naszych klientów, że sprawy związane z bezpieczeństwem informacji są w naszej firmie traktowane z należytą powagą i starannością.

Andrzej Nowodworski to wieloletni inżynier w dziedzinie bezpieczeństwa IT. Pasjonat zagadnień bezpieczeństwa IT oraz zagadnień związanych z wykrywaniem i zapobieganiem fraudom. Na swoim koncie posiada liczne prestiżowe certyfikaty. W firmie STM Solutions Sp. z o.o. Sp.k. pracuje na stanowisku Kierownik ds. Zarządzania Incydentami Bezpieczeństwa, gdzie łączy pasję z zawodem.