Nowy etap cyfrowej transformacji

Bezpieczeństwo IT stało się kwestią krytyczną dla każdego podmiotu prowadzącego działalność gospodarczą. Statystycznie firma lub organizacja jest zagrożona cyberatakiem co niespełna siedem minut. Ogromna liczba zagrożeń pochodzi z „furtek” w firmowej sieci, przez które hakerzy i cyberprzestępcze organizacje dostają się do środka, by kraść dane, dokonywać nieautoryzowanych operacji czy szyfrować pliki i twarde dyski w celu wymuszenia okupów. Takimi „furtkami” dla przestępców są nielegalne kopie oprogramowania, nieautoryzowane urządzenia podłączone do sieci, niezaktualizowane programy operacyjne oraz omijanie procedur bezpieczeństwa IT. Wiele firm przypomina więc fabrykę ogrodzoną siatką, w której jest ogromna liczba dziur zrobionych przez samych pracowników po to, aby łatwiej im było wchodzić na jej teren.

Pierwszym krokiem w stronę bezpieczeństwa jest więc zrobienie przeglądu tej siatki, znalezienie dziur i zadbanie o to, by więcej się nie pojawiały. Temu właśnie problemowi poświęcona była zorganizowana przez BSA i Dziennik Gazetę Prawną trzecia edycja konferencji „Zarządzanie zasobami IT a cyberbezpieczeństwo”.

Legalnie znaczy bezpieczniej

- 16 lat temu, gdy Business Software Alliance tworzył swój oddział w Polsce, byliśmy w innym świecie – stwierdził na początku konferencji przedstawiciel BSA w Polsce, Bartłomiej Witucki. Technologia cloud dopiero raczkowała, nie było mediów społecznościowych. Dziś to właśnie rozwiązania chmurowe, social media, urządzenia mobilne i zbiory danych Big Data tworzą środowisko IT, w którym odbywa się coraz większa część działalności gospodarczej. Jedno się jednak nie zmieniło – bardzo silna korelacja pomiędzy korzystaniem z legalnego oprogramowania a cyberbezpieczeństwem.

Liczba cyberataków rośnie z miesiąca na miesiąc. Przestępcy coraz skuteczniej wykorzystują bałagan w sieciach IT firm, by dostać się do ich najcenniejszych aktywów. Profesjonalne zarządzanie zasobami informatycznymi staje się więc pierwszą linią obrony przed zagrożeniami. Zaproszeni na konferencję eksperci pokazali ten problem z kilku stron.

10 mld dol. strat przez jeden komputer

Analizę skutków globalnych cyberataków przedstawił Adam Haertle, redaktor naczelny portalu Zaufana Trzecia Strona. Jako przykład podał atak ransomware NotPetya z połowy 2017 r., kiedy to w celu wymuszenia okupów zaszyfrowanych zostało kilkaset tysięcy twardych dysków na całym świecie. Wielka spedycyjna firma Maersk straciła wówczas kilkadziesiąt tysięcy komputerów sterujących jej operacjami w skali globalnej. Na dwa tygodnie musiała przejść na kontakt e-mailowy i telefoniczny z klientami, podczas gdy kolejki TIR-ów i pociągów do terminali w portach ciągnęły się kilometrami.

Straty, które obliczono na 300 mln dol., zaczęły się od… jednego zainfekowanego komputera w filii Maersk na Ukrainie. Złośliwe oprogramowanie znalazło się w nim najprawdopodobniej jako element cyberwojny toczonej z tym krajem przez Rosję. Co dziesiąty biznesowy komputer na Ukrainie został zaszyfrowany, ale poprzez sieci globalnych firm infekcja rozszerzyła się na cały świat. Na 180 serwerów Maersk w różnych krajach zapasowa kopia systemu Active Directory zachowała się tylko na jednym – w Ghanie – i tylko dlatego, że gdy trwał cyberatak, w tamtejszym biurze nie było prądu. To umożliwiło Maersk „postawienie” sieci na nowo.

Spedytor nie był jedyną ofiarą – straty wywołane przez NotPetya wyceniono na 10 mld dol. Ataku wywołanego przez złośliwe oprogramowanie trudno było uniknąć – „rosyjski trop” wskazuje, że został on przygotowany przez wysokiej klasy specjalistów. Można jednak było ograniczyć skalę strat, gdyby ujednolicono wcześniej oprogramowanie w komputerach firmy i pozbyto się pełnych luk, starszych wersji programów operacyjnych.

Ucieczka w chmurę

Symulację ataku hakerskiego typu ransomware przedstawił Zbigniew Kukowski, Co-Founder at Cyber Armadillo Inc. Uruchamiając zainfekowany załącznik z e-maila, w ciągu kilku sekund zaszyfrował wszystkie pliki na swoim komputerze. Pokazał też sposoby radzenia sobie z takimi zagrożeniami. Jednym z nich jest przechowywanie zasobów w chmurze – to właśnie w ten sposób ocaliła część swoich danych przed NotPetya firma Intercars, początkowo niechętna takim rozwiązaniom. Zdaniem Kukowskiego przenoszenie danych do chmury jest dobrą odpowiedzią na obecne zagrożenia, ponieważ żadna sieć, nawet najlepiej zabezpieczona, nie jest dziś całkowicie odporna na cyberatak.

„Sieci budujemy jak domy w Ameryce – pancerne drzwi i ściany z dykty” – mówił ekspert, dodając, że przy wciąż rosnącej liczbie wektorów cyberataków już niedługo żadnej firmy nie będzie stać na tworzenie własnej „cyberpolicji”, zdolnej zidentyfikować i odeprzeć różne rodzaje zagrożeń. Firmy oferujące rozwiązania cloud mogą więc zapewnić poziom cyberbezpieczeństwa nieosiągalny dla innych organizacji, ponieważ bezpieczeństwo IT nie jest w ich wypadku jedynie dodatkiem do innego biznesu, ale samą jego istotą.

Drugim zabezpieczeniem przed cyberatakami mogą być dziś rozwiązania implementowane w programie operacyjnym Windows 10. Zdaniem Kukowskiego mają one tę przewagę nad innymi programami antymalware, że powiązane są z samym jądrem systemu i reagują na incydenty niewykrywalne dla programów zewnętrznych. Potwierdzeniem tego ma być fakt, że atak NotPetya nie był skuteczny na komputerach z Windows 10, a kolejny, Bad Rabbit, został wykryty i zatrzymany w ciągu 14 minut dzięki nowym narzędziom Microsoft, umożliwiającym analizę danych telemetrycznych w czasie rzeczywistym.

Światowa policja?

Prawne problemy walki z cyberprzestępczością przedstawił mł. insp. Ryszard Piotrowski z KWP we Wrocławiu, będący też biegłym sądowym w tej dziedzinie. Według niego poważnym problemem jest fakt, że chociaż nawet 80 proc. przestępstw gospodarczych jest obecnie popełnianych w sieci, to w prawie wciąż brakuje precyzyjnej definicji cyberprzestępczości. Brakuje też ośrodka integrującego działania służb z różnych krajów, chociaż cyberprzestępczość ma z natury charakter transgraniczny.

„Przepisy są w Polsce dobre, uprawnienia policji wystarczające, życzyć sobie należy tylko, by sprawca działał w granicach Polski”– mówił Piotrowski. Najczęściej tak jednak nie jest i tu zaczynają się problemy.

Wystarczy, że haker mieszka przy granicy i loguje się do sieci poprzez maszt GSM po niemieckiej stronie, by polska policja miała problem z zebraniem dowodów przestępstwa. Dane w Polsce przechowuje się 12 miesięcy, w Niemczech czasem jedynie siedem dni, więc jeśli nie zostanie szybko złożony wniosek o międzynarodową pomoc prawną, dowody znikają.

Walkę z cyberprzestępcością w skali transgranicznej ułatwiają takie dokumenty, jak Konwencja budapesztańska, której zapisy mówią wprost o ujawnianiu i zabezpieczaniu danych z sieci. W Polsce weszła ona w życie trzy lata temu i znacznie ułatwia policji występowanie o europejski nakaz dochodzeniowy, jednak to nie wystarcza. Zdaniem Piotrowskiego nieuniknione jest stworzenie w niedalekiej przyszłości światowej instytucji koordynującej walkę z cyberprzestępczością, ponieważ to właśnie bezkarność powoduje, że w 2017 r. odnotowano aż 82 tys. cyberincydentów o zasięgu globalnym, czyli 225 dziennie lub ponad dziewięć na godzinę.

Koszty grają rolę

Na rzadko podnoszony na tego rodzaju konferencjach aspekt cyberbezpieczeństwa zwrócił uwagę Łukasz Ślęzak z Cyber Security Team firmy PricewaterhouseCoopers. Jest nim konieczność tworzenia takiej strategii, by cyberbezpieczeństwo nie zagroziło funkcjonalności i nie generowało coraz większych kosztów. Rozwiązania powinny mieć więc charakter probiznesowy, co wymaga zupełnie nowego spojrzenia na IT ze strony kierownictwa firmy.

Dotychczasowa koncentracja na prewencji, czyli pochłaniającym większość kosztów tworzeniu kolejnych „płotów” przeciw hakerom, już nie wystarczy. Przy obecnej liczbie cyberataków i coraz bardziej wyrafinowanym malware potrzebne jest zwrócenie większej uwagi na dwa kolejne etapy walki z cyberzagrożeniem – detekcję i reakcję. Zdaniem Ślęzaka należy dziś z góry założyć, że cyberprzestępcy będą zdolni przełamać wszystkie nasze firewalle i inne zabezpieczenia, przez długi czas rozpoznawać architekturę systemu, znaleźć jego słabe elementy, a następnie zainstalować w nich złośliwy kod, który może zostać aktywowany nawet po pół roku. Jednym słowem na każdy system IT należy patrzeć tak, jak gdyby był już zainfekowany.

Sposobem na cyberzagrożenia, oprócz przeniesienia do chmury części „klejnotów koronnych” firmy, powinno być uporządkowanie systemu i jego stałe „patrolowanie” oraz raportowanie według określonych procedur. Należy też zidentyfikować miejsca najbardziej zagrożone, takie jak np. działy rekrutacji, do których mogą być wysyłane duże ilości plików zawierających oprócz CV także złośliwy kod.

Czy wiemy, co instalujemy?

„Nie łamałem systemów, łamałem ludzi” – tym cytatem słynnego hakera, Kevina Mitnicka, rozpoczął swoje wystąpienie Krzysztof Bączkiewicz. Jego zdaniem to właśnie procedury i zabezpieczenia organizacyjne są tym, co oprócz technologii w największym stopniu może pomóc firmom i organizacjom w walce z cyberzagrożeniami. Bączkiewicz, członek zespołu WG21 przy ISO i współautor normy ISI/IEC 19770-1 dotyczącej m.in. zarządzania oprogramowaniem, zwrócił uwagę na konieczność przypisywania ludziom odpowiedzialnym za bezpieczeństwo IT konkretnych zadań oraz ich egzekwowania.

Jego zdaniem elementem strategii cyberbezpieczeństwa może być np. przyjęcie w firmie zwyczaju, że kto po pracy nie zablokuje komputera, ten kupuje wszystkim pączki. Konieczne jest uświadamianie, szczególnie nowo przyjętym pracownikom, że nikt nie ma prawa instalować na firmowych komputerach oprogramowania, które nie zostało zatwierdzone przez dział IT. Niezbędne jest także stworzenie procedur postępowania ze sprzętem i oprogramowaniem, które zostają usunięte z firmowej sieci.

Kluczową i sprawą, i podstawą SAM (Software Asset Management), czyli zarządzania oprogramowaniem, powinna być wiedza, co jest instalowane w firmowej sieci, przez kogo i w jakim celu. Bez tego walka z cyberzagrożeniami będzie cały czas wymyślaniem koła od nowa i nie przyniesie efektu.

Zrób to SAM

Sprawy związane z wprowadzaniem SAM jako narzędzia do walki z cyberzagrożeniami podsumował Warren Weertman, przedstawiciel BSA w Londynie. Zaprezentował on prowadzony przez organizację kurs SAM Advantage obejmujący m.in. zarządzanie zmianami, danymi, licencjami i bezpieczeństwem sieci i zasobów. Według Weertmana nowy stardard ISI/IEC 19770-1 (trzecia edycja) łączy SAM z innymi systemami. Jest też bardziej przyjazny i mniej sformalizowany niż poprzednia norma, co ułatwia jego wdrażanie z firmach.

Jest też technologicznie neutralny, może być wdrażany przez organizacje różnej wielkości, a w przypadku korzystania z usług w chmurze umożliwia jasny podział odpowiedzialności za cyberbezpieczeństwo pomiędzy klientem a usługodawcą. Zdaniem Weertmana wszelkie działania związane z SAM można streścić w czterech słowach: plan-do-check-act – planuj-wykonaj-sprawdź-działaj.