Czy można się skutecznie uchronić przed cyberatakami?

Na ile w obecnej chwili jesteśmy w stanie się uchronić przed przestępczością w sieci i jakie obszary warto i trzeba bronić, a które nie są warte wysiłku i pieniędzy?

Mamy już świadomość tego, że trzeba chronić swoje zasoby w firmach, instytucjach, prywatnych komputerach. To dobrze, ale mam też złą wiadomość - nie ma możliwości 100-proc. ochrony i bezpieczeństwa. Zagrożenia i niebezpieczeństwa istnieją. Dlatego chciałbym podkreślić, że teraz musimy położyć nacisk przede wszystkim na budowanie świadomości, między innymi właśnie dzięki takim spotkaniom i publicznym dyskusjom. Mają one na celu jedno: edukację. A każdy przejaw edukacji, na każdym poziomie buduje świadomość zagrożeń istniejących w cyberprzestrzeni. Działa tu prosta zasada: tam, gdzie wiemy, że może spotkać nas coś złego, jesteśmy bardziej ostrożni, pilnujemy się.

Zatem wiedza przede wszystkim. A jak przebiega klasyczne włamanie, jak rozpoznać taki incydent?

Wszystko zaczyna się od prób zdobycia informacji o obiekcie ataku - o jego strukturze organizacyjnej, danych teleadresowych i teleinformatycznych takich, jak: adres IP, hasła dostępu, rodzaj rutera, rodzaj zabezpieczenia sieci wi-fi itp. Następny krok cyberprzestępcy polega na wykorzystaniu narzędzi informatycznych i zastosowaniu inżynierii społecznej i dzięki niej przejęciu konta użytkownika systemu i wyszukiwaniu luk zabezpieczenia. W końcowym etapie następuje przejęcie konta administratora i atak na zasoby atakowanego sytemu lub inny system komputerowy.

Zgadzam się z moim przedmówcą co do tezy, że na pierwszym miejscu użytkownicy powinni dbać o bezpieczeństwo. I dodam, że aby ostrożność była nawykiem, musimy wiedzieć, gdzie powinniśmy być ostrożni. Ostrożność to tylko jeden aspekt obrony przed cyberzagrożeniami. Zwykłą ostrożność, np. przy otwieraniu e-maili, można nazwać bierną ochroną i ona jest bardzo ważna. Ale jeszcze ważniejsza jest aktywna obrona przed zagrożeniami, zwłaszcza w firmach i z tym jest jeszcze bardzo różnie. Na ogół nie najlepiej.

Co to oznacza, co muszą zrobić firmy, żeby było lepiej? Korporacje muszą określić swoje cele, czyli co chcą przede wszystkim chronić?

Właśnie tak. Musimy wiedzieć, jakimi zasobami IT, tj. danymi, sprzętem itp. dysponujemy, a potem zdefiniować, co z tych zasobów chcemy chronić i jaka jest skala ryzyka ataku.

Skąd pochodzi największe zagrożenie dla użytkowników cyberprzestrzeni? Gdzie czai się największe niebezpieczeństwo?

Niebezpieczeństwa? Nie ma geografii niebezpieczeństw. Może je stwarzać każda zdeterminowana osoba, która ma dostęp do sieci i posiada odpowiednie narzędzia np. w postaci złośliwego oprogramowania. Nie nastawiamy się do zagrożeń w ten sposób, że większe jest zagrożenie dla nas w Polsce ze Wschodu niż z Zachodu. Mowa oczywiście o cyberataku. A niezależnie od tego, skąd będą zagrożenia pochodziły, kluczem do ich zwalczania, nie będę tu oryginalny, jest edukacja. Edukacja praktycznie każdego użytkownika sieci, niezależnie czy jest to korporacja, ministerstwo, szpital czy redakcja gazety.

Jeśli chodzi o branże, które są najczęstszym obiektem ataku, to według naszych statystyk z sierpnia 2016 r., dotyczących całego świata, czołowe miejsca zajmują: budownictwo, górnictwo i handel. A następnie przemysł i usługi. Jeśli chodzi o wielkość najczęściej atakowanych firm, to są to podmioty zatrudniające od 1 tys. do 1,5 tys. pracowników.

Do listy źródeł zagrożeń dla systemów IT w firmie dodałbym też, poza wspomnianymi zdeterminowanymi szkodnikami, także sfrustrowanych pracowników, którzy zostali pominięci przy podwyżkach płac. To oznacza, że nikomu nie wolno ufać, a największe zagrożenia znajdują się wewnątrz firmy czy instytucji.

Proszę powiedzieć ile może kosztować cyberbezpieczeństwo w firmie? Czy można je wycenić w postaci konkretnej kwoty i od czego ona zależy?

Największą świadomość i wiedzę, ile takie bezpieczeństwo kosztuje, ma w każdej firmie dyrektor IT, ale członkowie zarządów już takiej świadomości nie mają lub jest ona niedostateczna. Na przykład nie wszyscy zdają sobie sprawę, że przedmiotem kradzieży mogą być oryginalne plany technologiczne czy patenty należące do firmy, a istniejące jako zasoby cyfrowe na serwerach. Podkreślam: kadra zarządcza ma mniejszą świadomość kosztów i zakresu ochrony zasobów cyfrowych firmy niż dedykowani pracownicy działu IT.

Czyli menedżerowie są trochę z tyłu! Ale naturalne jest to, że szefowie IT w firmie i jej księgowy to często dwa bieguny... Chyba najbardziej motywujące do zwiększenia wydatków powinny być artykuły w prasie, że dana firma poniosła straty z tytułu braku należytej ochrony zasobów informatycznych?

Tak. Najgorsze, co może się przydarzyć to wyjście na jaw skąpstwa firmy.

Koszty incydentu polegającego na kradzieży danych itp. trudno jest określić czy dokładnie oszacować. To zależy od wielu składowych. Według danych firmy Kaspersky z października 2015 r. straty z tytułu incydentu w małej firmie wynoszą średnio 15 tys. dol. W dużym przedsiębiorstwie są to już kwoty znacznie wyższe, średnio obliczane są na 800 tys. dol. Dodam jeszcze, że co roku 71 proc. firm na świecie przyznaje, że było ofiarą cyberataku. Łączne koszty tych ataków, jakie ponosi biznes, można szacować na 400 mld dol., a w 2020 r. będą to 2 bln dol. Ale zasadniczo duże firmy, na przykład banki, są nieporównywalnie lepiej chronione przed incydentami związanymi z informatyką niż małe czy nawet średniej wielkości firmy. Ta ochrona jest w nich naprawdę na wysokim poziomie. Ważne jest to, co dzieje się w małych podmiotach, bo tych na rynku jest najwięcej i jak powiedziałam wcześniej, mają znacznie gorszą ochronę swoich zasobów IT.

Dodałbym do tego, że dobra ochrona to jedno, ale problemem jest to, że nawet wielkie firmy często nie wiedzą, co chronić! Teraz według prawa unijnego istnieje obowiązek określenia, sprecyzowania, co firma che chronić. Firma bez zabezpieczeń, na przykład danych osobowych, musi się liczyć z tym, że zapłaci do 10 mln euro kary.

Poza tym istnieje kwestia priorytetów w firmach. O ile szefowie IT ochronę danych stawiają w czołówce wymogów, jakie musi firma spełniać, o tyle menedżerowie zabezpieczenia przed cyberatakiem stawiają na dalszym miejscu. To jest niepokojące i świadczy o ich braku świadomości, o którym mówiliśmy na początku naszej dyskusji.

Jest stare powiedzenie: kto broni wszystkiego, ten nie broni niczego. Wracam więc do kwestii określenia priorytetów w ochronie sfery IT w firmie bądź instytucji.

Przede wszystkim musimy określić, co chcemy chronić. To jest najważniejsze i pierwsze zadanie osób czy komórek odpowiedzialnych za cyberbezpieczeństwo instytucji czy korporacji.

Jest sprawą oczywistą, że dla każdego co innego jest ważne, odmienne priorytety ma biznes, obywatele, odmienne instytucje państwowe. Kradzież o wartości 100 zł jest dla emeryta z 1 tys. zł świadczenia zdarzeniem krytycznym, a dla milionera pozostaje bez znaczenia. I tak jest z ochroną własności w cyberprzestrzeni.

Patrząc z poziomu ministerstwa, chcę powiedzieć, że musimy - jako państwo - dokonać klasyfikacji zasobów IT. Następnie określić, które są kluczowe dla funkcjonowania państwa i jego najważniejszych instytucji. A dodam, że tych kluczowych i ważnych stale przybywa.

Mając już zinwentaryzowane te zasoby i sklasyfikowane w hierarchii od najważniejszych po mniej istotne, musimy dokonać szacunku ryzyk, na jakie te zasoby są narażone. I robi się to wielopoziomowo.

Kolejny krok to określenie obszarów, w których trzeba działać aktywnie, wyprzedzająco wobec zagrożeń atakiem. Zasadniczo można powiedzieć, że aktywnie ochroną może zajmować się państwo, mając do tego narzędzia i instytucje takie, jak policja czy Narodowe Centrum Bezpieczeństwa (NCB). Biznes może jedynie biernie chronić swoje zasoby.

I tak Narodowe Centrum Bezpieczeństwa musi stworzyć system aktywnej ochrony cyberprzestrzeni, godząc interesy państwa, biznesu i zwykłych obywateli. Będzie on skuteczny, kiedy zasoby we wszystkich tych obszarach będą niezagrożone. Ale takiego systemu, dającego 100-proc. bezpieczeństwo, nie ma, doskonale wiedzą o tym fachowcy. Możemy jedynie cały czas pracować nad tym, by taki stan bezpieczeństwa osiągnąć.

Ale już teraz, dzięki instytucjom państwowym, m.in. wspomnianemu NCB, możemy się bronić. Służby państwowe mają narzędzia do ochrony. Mogą na przykład monitorować grupy przestępcze i tymi informacjami dzielić się z biznesem.

Kiedy jest to skuteczne?

System ochrony jest skuteczny wtedy, kiedy czas od wykrycia cyberwłamania do jego likwidacji wynosi zero. W praktyce nigdy tak nie będzie, dobrze, jeśli ten czas, jaki upływa między zdarzeniem a jego neutralizacją, sięgnie paru minut.

Jak to osiągnąć? Chcemy na przykład, by w NCB istniał cyberposterunek, gdzie każdy mógłby zgłaszać cyberkradzież. A dalej włączałaby się w to policja, prokuratura, sądy. Powtarzam, kluczem do coraz lepszego bezpieczeństwa w sieci jest maksymalne skrócenie czasu od momentu wykrycia zdarzenia do jego neutralizacji.

Ustaliliśmy, że ważna jest "mapa drogowa", jak skutecznie działać, by chronić nasze zasoby IT. Wiemy, że ważną rolę odgrywać powinno w tym państwo. Ale jak postępować w ramach firmy, co jest kluczowe, by czuć się w firmie bezpiecznie, jeśli chodzi o aktywa cyfrowe?

Po pierwsze, doszliśmy do wspólnej konkluzji, że należy chronić najważniejsze zasoby w firmie. Następny krok to pytanie, jak to robić, jakimi środkami i siłami ludzkimi, fachowcami. Otóż moim zdaniem niezmiernie ważne są środki pieniężne na odpowiednich pracowników, to jest takich, którzy będą mieli dobre pomysły na ochronę naszej firmowej własności. Truizm - dobry informatyk jest na wagę złota. Ale to są koszty. Dlatego w firmach powinien się znaleźć kompromis między potrzebami a możliwościami ich zaspokojenia. Mówię o stronie finansowej zatrudniania fachowców.

Chciałbym, aby firmy wiedziały, że poza siłami własnymi mają do pomocy policję i że warto z nią współpracować. My nic nie ujawniamy prasie.

Na pytanie, jak postępować w firmie, by skutecznie bronić się przed cyberatakami, nie ma dobrej odpowiedzi. Ale jedno jest pewne - najważniejsze są odpowiednie środki. Z drugiej strony wymówka, że na coś nie ma pieniędzy, to zwyczajne pójście na łatwiznę. Ważne jest, by maksymalnie i umiejętnie wykorzystywać to, co obecnie posiadamy, to jest procedury i infrastrukturę. Kolejna rzecz to zachowanie pracowników. Nie do przecenienia jest znajomość przez nich dokumentów bezpieczeństwa i zwartych w nich procedur postępowania w razie zagrożenia lub nawet tylko przypuszczenia niebezpieczeństwa. Ważna jest liczba pracowników, którzy takowe dokumenty przeczytali, ale jeszcze ważniejsze jest to, ilu z nich je zrozumiało!

Jak to ma wyglądać w praktyce?

W praktyce? Proszę bardzo, konkretny przykład. Pytam w pewnej firmie: co pan by zrobił, gdyby otrzymał podejrzany, być może zainfekowany e-mail? I co się okazuje? Że człowiek nie ma pojęcia, bo nie zna wewnętrznych procedur bezpieczeństwa. Dokumentów, o których mówiliśmy wcześniej. Chcę powiedzieć, że trzeba zaczynać od działań najprostszych. Pójście jedynie w drogie i skomplikowane technologie zabezpieczające jest działaniem spektakularnym, widowiskowym, ale w praktyce często o znaczeniu drugorzędnym. To powinien być spójny system, w którym ważna jest dobra technologia i świadomi, przeszkoleni użytkownicy. Doradzam więc jak najwięcej uświadamiania pracowników co do istniejących zagrożeń, szkoleń praktycznych, wewnętrznych firmowych treningów. To nie kosztuje zbyt wiele.

Zgadzam się z moim przedmówcą, ale pragnę dodać, że dyscyplina co do postępowania zgodnie z procedurami powinna być powszechna w firmie. Przykład idzie z góry. I tak, jeśli mój szef łamie na co dzień procedury, to i ja, i większość jego podwładnych z pewnością będzie robić podobnie. Dobry przykład ze strony szefów, od prezesa poczynając, a na brygadziście kończąc, jest kluczem, by procedury bezpieczeństwa były przestrzegane przez wszystkich pracowników. Nie może być tak, że szef ignoruje codzienne odbijanie karty wejścia, korzysta w nieuprawniony sposób z wewnętrznych newralgicznych pomieszczeń czy nawet nie "zamyka" swojego komputera, wychodząc ze swojego gabinetu.

Wierzę, że w Polsce możemy dla cyberbezpieczeństwa zrobić coś dobrego, współdziałając na linii państwo-biznes-obywatele. Kluczowe jest działanie sektora prywatnego, który generuje największy ruch w sieciach informatycznych, a zatem jest też najbardziej narażony na cyberataki. Wydaje mi się, że korporacje zdają sobie z tego sprawę i chętnie i dobrze współpracują z policją.

Z dotychczasowej dyskusji wnioskuję, że ważne są aspekty prawne ochrony zasobów IT, współpraca państwa z biznesem oraz posiadanie przez firmy odpowiednich procedur. Jak to wszystko połączyć, wdrażać w życie, w praktykę?

Nie chodzi o to, jakie mamy procedury, tylko jak są w praktyce wdrożone, co mają chronić. Otóż według mnie powinny być to takie procedury, które chronią to, co nazywamy klejnotami koronnymi firmy. A to w praktyce oznacza, że powinniśmy opisać odpowiednimi i wyczerpującymi procedurami ujętymi w jeden dokument, co chcemy chronić. Na przykład każde wejście do firmowej serwerowi powinno być odnotowane, tego powinny wymagać procedury firmowe. I tu przechodzimy do kwestii wdrażania procedur. Powinno się ono zacząć od edukacji pracowników, każdy z nich powinien wiedzieć, że każde wejście do wrażliwych pomieszczeń firmy musi być odnotowane. Każdy pracownik powinien wiedzieć, co mu wolno, a czego nie.

Trzeba cały czas się uczyć. I to uczyć przez praktykę. Uczyć się na podstawie kolejnych cyberincydentów i wyciągać odpowiednie wnioski.

Musimy pamiętać, że w firmie chronimy przede wszystkim zasoby cyfrowe, a nie pomieszczenia, w którym się one znajdują. Co to oznacza? Mianowicie to, że ważna jest nie serwerownia jako pomieszczenie, ale przechowywane w niej dane. Nie słyszałem, by ktoś fizycznie próbował się włamać do serwerowi, ale do systemu owszem. I można to zrobić z miejsc najsłabiej chronionych, typu sekretariat firmy, księgowość, dział BHP. To jest realny problem.

Ciekawe jest, jak wygląda typowe włamanie do systemu teleinformatycznego firmy. Nader zwyczajnie. Wirus wykorzystany przez sprawcę zaimplementowany jest zwykle w różnych aplikach typu cracks, dokumenty tekstowe, pliki muzyczne i umieszczany na różnych stronach internetowych, np. Chomikuj.pl, YouTube, fora internetowe.

Miałem na przykład do czynienia z przypadkiem, kiedy zainfekowanie komputera służbowego należącego do banku nastąpiło poprzez ściągnięcie przez pracownika cracka do gry GTA ze strony internetowej. Crack pozwalał przestępcy na przejęcie pełnej kontroli nad zainfekowanym komputerem, tj. pełnego dostępu do plików komputera, pulpitu użytkownika oraz kamery internetowej i mikrofonu, a także wciśniętych klawiszy.

Jeszcze prostszy jest atak poprzez pocztę. W przypadku kampanii e-mail ofiara otrzymuje wiadomość pocztową zawierającą informacje odnośnie do zaległych opłat, windykacji komorniczej lub o nieodebranej przesyłce pocztowej.

Bezpieczeństwo w cyberprzestrzeni nie jest stanem raz na zawsze osiągniętym, lecz procesem, który cały czas się dzieje, stanem, do którego dążymy. A jak to robić? Poprzez nieustanny trening pracowników, testy systemu, wyrabianie nawyków zachowań w konkretnych przypadkach. Na przykład zgubiliśmy telefon, który może być źródłem incydentu informatycznego, co wtedy?

Ważne jest też, żeby pracownicy korporacji wiedzieli, co komu wolno, a czego nie. Ludzie cały czas powinni w tym zakresie zdobywać doświadczenie.

I na koniec dodam, że przy obecnym postępie, kiedy z sieciami IT połączone są już lodówki czy auta, ochrona zasobów, w tym prywatnych użytkowników sieci, staje się oraz trudniejsza. Czemu? Otóż software zainstalowany np. w inteligentnej lodówce jest na tyle skromny, że nie ma tam żadnych zabezpieczeń antywirusowych i antywłamaniowych. Zatem jest to jedno z najbardziej podatnych miejsc na atak. A w 2015 roku mieliśmy na świecie już 4,9 mld urządzeń AGD itp. z dostępem do sieci. W 2020 będzie ich już 20,8 mld. To stawia przed nami olbrzymie wyzwanie.

@RY1@i02/2016/213/i02.2016.213.01600020a.802.jpg@RY2@

Krzysztof Bączkiewicz członek ISO WG-21, współautor normy ISO/IEC 19770-1

Zwykłą ostrożność, np. przy otwieraniu e-maili, można nazwać bierną ochroną i ona jest bardzo ważna. Ale jeszcze ważniejsza jest aktywna obrona przed zagrożeniami, zwłaszcza w firmach

@RY1@i02/2016/213/i02.2016.213.01600020a.803.jpg@RY2@

Dominik Rozdziałowski pełnomocnik Komendy Głównej Policji ds. utworzenia Biura dw. z Cyberprzestępczością

Nie ma geografii niebezpieczeństw. Może je stwarzać każda zdeterminowana osoba, która ma dostęp do sieci i posiada odpowiednie narzędzia np. w postaci złośliwego oprogramowania

@RY1@i02/2016/213/i02.2016.213.01600020a.804.jpg@RY2@

Piotr Januszewicz zastępca dyrektora Departamentu Cyberbezpieczeństwa, Ministerstwo Cyfryzacji

Musimy jako państwo dokonać klasyfikacji zasobów IT. Następnie określić, które są kluczowe dla funkcjonowania państwa i jego najważniejszych instytucji. A dodam, że tych kluczowych i ważnych stale przybywa

@RY1@i02/2016/213/i02.2016.213.01600020a.805.jpg@RY2@

Roman Skrzypczyński ekspert PwC

Do listy źródeł zagrożeń dla systemów IT w firmie należy dołączyć sfrustrowanych pracowników. To oznacza, że nikomu nie wolno ufać, a największe zagrożenia znajdują się wewnątrz firmy czy instytucji

@RY1@i02/2016/213/i02.2016.213.01600020a.806.jpg@RY2@

Marja Laitinen senior attorney, Digital Crimes Unit, Microsoft Central & Eastern Europe

Według danych firmy Kaspersky z października 2015 r. straty z tytułu incydentu w małej firmie wynoszą średnio 15 tys. dol. W dużej firmie są to już kwoty znacznie wyższe, średnio 800 tys. dol.

@RY1@i02/2016/213/i02.2016.213.01600020a.807.jpg@RY2@

Ryszard Piotrowski naczelnik Wydziału dw. z Cyberprzestępczością, Komenda Wojewódzka Policji we Wrocławiu

Działa prosta zasada: tam, gdzie wiemy, że może coś nas złego spotkać, jesteśmy bardziej ostrożni, pilnujemy się

@RY1@i02/2016/213/i02.2016.213.01600020a.808.jpg@RY2@

Zoltán Précsényi director government affairs EMEA, Symantec

Bezpieczeństwo w cyberprzestrzeni nie jest stanem raz na zawsze osiągniętym, lecz procesem, który cały czas się dzieje, stanem, do którego dążymy

@RY1@i02/2016/213/i02.2016.213.01600020a.801.jpg@RY2@

Debatę prowadził

Marek Tejchman,

zastępca redaktora naczelnego DGP

Relację przygotował

Dariusz Styczek