Cyfrowi czarodzieje kontra biznes

Jest 23 grudnia 2015 r., tuż za wschodnią granicą Polski. Dzieje się coś nietypowego. Tuż przed godz. 16 jeden z pracowników Prykarpattyaoblenergo, lokalnej firmy dystrybuującej energię elektryczną na zachodniej Ukrainie, zauważył, że kursor myszy na jego komputerze sam się porusza.

Energetyk chwycił za mysz, ale nic to nie dało: ktoś przejął zdalnie kontrolę nad jego komputerem. Operator systemu dystrybucyjnego mógł tylko bezradnie patrzeć, jak nieznany włamywacz wyłącza jedną po drugiej podstacje systemu dystrybucyjnego. Tego dnia dostęp do energii elektrycznej na kilka godzin straciło około 230 tys. ludzi - połowa klientów firmy.

W opinii ekspertów od bezpieczeństwa atak był doskonale zorganizowany. Wymagał świetnej znajomości nie tylko zabezpieczeń i infrastruktury IT Prykarpattyaoblenergo, lecz również biegłej obsługi oprogramowania wykorzystywanego przez firmę do zarządzania siecią dystrybucyjną. W końcu każdy haker może spróbować przejąć zdalną kontrolę nad komputerem, ale nie każdy będzie wiedział, jak obsługiwać system nadzorujący przesył energii elektrycznej. W tym przypadku nie było mowy o amatorce - włamywacze doskonale wiedzieli, czego szukają, i świetnie orientowali się w tajnikach obsługi programu, który był ich celem.

Wrogie przejęcie kontroli

Ubiegłoroczny atak na Ukrainie jest pierwszym, potwierdzonym przypadkiem wrogiego przejęcia kontroli i wyłączenia sieci elektroenergetycznej na świecie. Do dzisiaj wśród ekspertów nie ma zgody co do tego, czy za atakiem stała grupa hakerów finansowana przez jakieś państwo, czy była to "prywatna inicjatywa" zwykłych cyberprzestępców. Z punktu widzenia potencjalnych poszkodowanych nie odgrywa to jednak większej roli. Duże kompetencje mają hakerzy i z jednej, i z drugiej grupy. Poza tym cyfrowi złoczyńcy mogą swobodnie przepływać między nimi, a nawet równolegle prowadzić działalność na własną rękę w sytuacji, kiedy pracują dla jakiejś rządowej agencji.

Możliwości siania zamętu przez cyberkryminalistów jest wiele, bo ułatwia im to postęp technologiczny i fakt, że elektronika jest obecna w coraz większej liczbie urządzeń. W 2016 r. dwaj badacze zajmujący się bezpieczeństwem IT udowodnili, że możliwe jest przejęcie zdalnej kontroli nad poruszającym się pojazdem. Aby uzmysłowić zagrożenie przemysłowi motoryzacyjnemu, eksperci z domu włączyli w samochodzie radio i wycieraczki, a następnie wyłączyli silnik jeepa poruszającego się po autostradzie, kierowanego przez dziennikarza amerykańskiego magazynu "Wired". W efekcie Chrysler zadecydował o przeprowadzeniu akcji serwisowej dla 1,4 mln samochodów marki Jeep, które dotknięte były słabością.

Jak utalentowani i przebiegli mogą być hakerzy, pokazała także sprawa wirusa Stuxnet, który zainfekował sieć irańskiego ośrodka odpowiedzialnego za rozwój krajowego programu atomowego. Oprogramowanie, którego przez wzgląd na stopień komplikacji i zaawansowane szyfrowanie nie udało się w pełni zbadać do dzisiaj, nie tylko zainfekowało komputery, lecz było również w stanie niepostrzeżenie zmienić parametry działania służących do wzbogacania uranu wirówek marki Siemens. Znaczy to tyle, że włamywacze nie tylko doskonale orientowali się w infrastrukturze IT irańskiego programu atomowego, ale też udało im się zdobyć wiedzę dotyczącą budowy i funkcjonowania elektroniki kontrolującej kluczowe dla jego powodzenia urządzeń. Pracujący nad wzbogacaniem technicy bowiem przez ponad rok nie zorientowali się, że urządzenia pracują w nieprawidłowy sposób; włamywacze nie tylko przejęli kontrolę nad elektroniką sterującą wirówkami, ale też nad systemami informowania o parametrach pracy.

Gra czasem bywa polityczna

Ostatnim głośnym przykładem włamania jest atak na serwery zarządu amerykańskiej Partii Demokratycznej, do którego doszło w samym środku wyborczego sezonu. Chociaż złoczyńcy włamali się na partyjne komputery jeszcze w 2015 r., fakt ten wyszedł na jaw dopiero po opublikowaniu korespondencji kierownictwa ugrupowania na kilka dni przed jego krajowym zjazdem, na którym nominację na oficjalnego kandydata w wyścigu prezydenckim miała otrzymać Hillary Clinton. Chociaż opublikowana korespondencja elektroniczna nie zawierała żadnych kompromitujących treści, to wyciek doprowadził do dymisji przewodniczącej zarządu partii Debbie Wasserman Schultz.

Luki będą, ważne są reakcje

Wyżej wymienione przykłady ataków dobitnie świadczą o typie przeciwnika, z jakim muszą zmierzyć się osoby odpowiedzialne za bezpieczeństwo IT. Cyberkryminaliści nie tylko są doskonałymi specjalistami w swoich dziedzinach, lecz również potrafią bezwzględnie wykorzystywać nawet najmniej znane słabości w infrastrukturze IT. A tych jest wiele; na przykładu dopiero w lipcu 2016 r. Microsoft załatał istniejącą od 20 lat dziurę w module łączenia z podpiętą do lokalnej sieci drukarką znajdującym się w systemie Windows. Ilu złoczyńcom pozwoliło to na włamanie się do firmowych sieci? Nie wiadomo.

Skuteczna ochrona przed włamaniami polega więc nie tylko na zatrudnieniu odpowiednich ludzi na stanowiskach związanych z bezpieczeństwem IT, lecz również na wdrożeniu odpowiednich procedur, które ułatwią zarządzanie infrastrukturą informatyczną. Nie bez powodu czasami wśród specjalistów zadanie to określane jest jako "wypas kotów" (z ang. cat herding), czyli coś tak chaotycznego, że nie sposób nad tym zapanować.

Żeby atak się nie powiódł

- Bezpieczeństwo informacji opiera się na przeciwdziałaniu zagrożeniom. Tak więc aby móc prawidłowo zarządzać bezpieczeństwem informacji, musimy określić punkty powstawania zagrożeń. To oznacza, że musimy prześledzić drogę, jaką informacje przebywają w firmie. W każdym z takich punktów powstaje potencjalne niebezpieczeństwo - mówi Krzysztof Bączkiewicz, członek 21. grupy roboczej w Międzynarodowej Organizacji Normalizacyjnej (ISO) oraz współautor normy ISO/IEC 19770-1 dotyczącej zarządzania zasobami informatycznymi (z ang. SAM, czyli Software Asset Management).

Dlatego pierwszym krokiem do zabezpieczenia przedsiębiorstwa przed potencjalnym atakiem jest zgromadzenie dokładnej wiedzy odnośnie zasobów informatycznych. Zadanie to nie jest łatwe, bowiem przez każdą firmę przebiega wiele różnych typów informacji, które są przesyłane przez wielu nadawców i trafiają do wielu odbiorców. Na każdym etapie może dojść do utraty tych danych, zafałszowania ich lub przecieku na zewnątrz. To właśnie zapanowaniu nad tych chaosem poświęcona jest dziedzina zarządzania aktywami oprogramowania.

- Nie jesteśmy w stanie określić dokładnie tych punktów przepływu, jeśli nie mamy dokładnej informacji o oprogramowaniu i infrastrukturze wykorzystywanej w przedsiębiorstwie. Norma ISO/IEC 19770-1 to nic innego jak lista mechanizów, które pozwalają zapanować nad setkami, tysiącami, a nawet setkami tysięcy punktów, w których powstają zagrożenia - podkreśla Bączkiewicz.

Jednym z mechanizmów SAM jest na przykład unifikacja oprogramowania. Jeśli bowiem dział IT ma do dyspozycji kilkaset komputerów wyposażonych w ten sam system operacyjny, to często jest w stanie wdrożyć dane zabezpieczenie przy pomocy jednego kliknięcia.

Jedyną w Europie firmą, która zdecydowała się na wdrożenie skomplikowanej normy ISO/IEC 19770-1, jest na razie Totalizator Sportowy. Z ramienia państwowego monopolu loteryjnego proces nadzorował Tomasz Byjoś.

- Procedury SAM-owe ułatwiają na przykład wychwyt i eliminację oprogramowania, które straciło wsparcie swojego producenta. Tak niedawno stało się z aplikacją umożliwiającą otwieranie filmów w formacie Quick Time na komputerach z systemem Windows. Producent, firma Apple, przestała rozwijać i wspierać tę aplikację. Dzięki procesom SAM-owym wiemy, że aplikacja znajduje się na firmowych komputerach, bo została dopuszczona do użytku i w momencie, kiedy została porzucona i określona jako dziurawa oraz niebezpieczna, wycofujemy ją z nich. W ramach tych procedur na firmowe komputery nie trafia również oprogramowanie, które nie zostało wcześniej przez nas przetestowane, a użytkownicy nie mają możliwości samodzielnej instalacji - tłumaczy Byjoś.

Jak wskazuje, procedury SAM wpływają nie tylko na cyberbezpieczeństwo, lecz również na bezpieczeństwo wizerunkowe i finansowe.

- Dzięki naszemu procesowi SAM-owemu biznes może być spokojny, że wszystko, co dzieje się w firmie, jest zgodne z przepisami oraz warunkami licencyjnymi zawartymi w umowach, jak również tego, że spółka nie jest narażona na sankcje ze strony państwa lub kontrahentów - mówi menedżer.

@RY1@i02/2016/213/i02.2016.213.016000100.801.jpg@RY2@

Jakub Kapiszewski

jakub.kapiszewski@infor.pl