Debata IT Reseller Business Club – Bezpieczeństwo IT w firmach (cz. 1 z 4): Pejzaż podatności i ataków.
Debata IT Reseller Business Club – Bezpieczeństwo IT w firmach (cz. 1 z 4): Pejzaż podatności i ataków.
Internet i dane są dziś dla firm kluczowymi narzędziami w biznesie. Gdy nie ma dostępu do nich działalność ustaje. Mimo to firmy nie dbają o te zasoby i nawet te obracające grubymi milionami oszczędzają na bezpieczeństwie IT. Z drugiej strony ataki hakerskie są prowadzone fachowo – z coraz większą kompetencją wykorzystują wszelkie luki, by wykraść dane, czy zablokować dostęp do nich. Tak dalej być nie mogło. Dlatego legislator opracował przepisy GDPR/RODO, które pod surowymi sankcjami wymagają od firm ochrony zbiorów danych i monitorowania wszelkich w nie ingerencji.
W debacie udział wzięli:
- Bartłomiej Danek, v–ce president Beyond.pl,
- Grzegorz Łazęcki, członek zarządu i dyrektor ds. rozwoju produktów w iTSS,
- Mariusz Sawczuk, specialist systems engineer, F5 Networks North & East EMEA,
- Tomasz Sobol, dyrektor marketingu, Beyond.pl,
- Tomasz Stępski, prezes zarządu Polish Data Center Association,
- Sebastian Wąsik, country manager Baramundi Poland,
- Radosław Wesołowski, CEO at Grey Wizard i
- Jarosław Łuba, główny specjalista w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji
Z powodu ataków hakerskich firmy tracą na świecie setki mln USD rocznie. W odpowiednio mniejszej skali również firmy w Polsce doświadczają ataków i strat. Co zagraża zasobom teleinformatycznym firm?
Sawczuk: W 2015 r. rozpoczęła się ekspansja ransomware, zwłaszcza typu Cryptolocker/CryptoWall, choć sam ransomware, czyli szyfrujący malware domagający się „okupu” znany był już wcześniej. Latem tego roku ataki WannaCry i Petya miały już bardzo szeroki, globalny zasięg i doprowadziły do ogromnych strat.. Systemy operacyjne, przeglądarki, wtyczki, zainstalowane oprogramowanie posiadają znane i nieznane podatności, które można wykorzystać. To dlatego hakerzy wykradli i opublikowali zbiór exploitów NSA służących do szpiegowania i łamania systemów. Skompromitowali samą instytucję NSA, ale też dali cyberprzestępcom bogaty zasób exploitów i narzędzi do wykorzystania. Ten i inne ataki uzmysławiają nam globalizację zagrożeń IT, które przestają być lokalnymi incydentami, a stają się globalnymi zjawiskami i naraz unieruchamiają handel na Ukrainie, globalną firmę logistyczną Mersk, czy znanego w świecie dostawcę aut. W większości tych ataków oprócz exploitów, cyberprzestępcy posługują się socjotechniką, oszustwem, by uśpić czujność ofiary i ominąć zabezpieczenia. O wiele groźniejszym zjawiskiem są ataki z botnetów – ukierunkowane na aplikacje i dane. Dokonują one masowych, zautomatyzowanych ataków. Obecnie około 60% ruchu w sieci WWW pochodzi właśnie z botów. Produkty F5 oferują wiele narzędzi do walki z cyberatakami – Proactive Bot Defense, Device ID, CAPTCHA challenge czy Client-Side Integrity.
Wąsik: Źródła zagrożeń podzieliłbym na 3 kategorie. Pierwszą są sami ludzie, ich niedostateczne wyedukowanie, błędy i niefrasobliwość. Drugą kategorią są luki i podatności w systemach użytkowanych w firmie, szczególnie w oprogramowaniu. Rozwiązanie baramundi zajmuje się właśnie m. in. wykrywaniem i zamykaniem podatności na urządzeniach końcowych. Trzecim źródłem zagrożeń jest sama infrastruktura teleinformatyczna. W praktyce występują one łącznie. Rok 2016 jest uznawany za okres dominacji zagrożeń typu ransomware i rzeczywiście dane dotyczące tego rodzaju incydentów pokazują, że w ciągu roku dokonał się lawinowy, kilkukrotny wzrost liczby ataków, głównie na przedsiębiorstwa. Ta zła passa jest kontynuowana w 2017 r. prowadząc do strat – w USA są one mierzone już w setkach mln USD.
Stępski: Dane czy też informacje to dziś jeden z głównych zasobów firmy. Działalność gospodarcza opiera się na nieustannym korzystaniu z nich. Niestety większość firm nie zabezpiecza swoich danych, a żałuje tego dopiero, gdy nieprzewidziana katastrofa pozbawi ich tego zasobu. Globalne ataki ransomware wyrządzają ogromne szkody, ale też budzą z letargu – dowiadując się o szkodach, jakie inni ponieśli niejeden przedsiębiorca zaczyna się zastanawiać, czy jest bezpieczny. I to jest pozytywny skutek tych ataków – biznesmen podejmuje refleksję nad tym, czy nie utraci swoich danych, czy konkurencja nie wykradnie mu poufnych informacji produkcyjnych, technicznych, handlowych, czy wskutek ataku nie utraci ciągłości działania. To dobry moment, by się dowiedział, czy stosowane sposoby przechowywania danych i ich zabezpieczenia wystarczają, czy też są niedostateczne i w związku z tym firma działa ryzykownie. Dla współczesnych firm Internet i dane stają się kluczowymi narzędziami działania. Gdy firma zostanie pozbawiona dostępu do danych, zatrzymuje się.
Sawczuk: Przy czym ransomware to głównie atak na użytkownika, a mniej na system, bo następuje po tym, jak użytkownik odwiedzi jakąś stronę, otworzy mail z załącznikiem. O wiele groźniejsze są ataki skierowane na aplikacje i dane, m.in. ze wspomnianych botnetów, bo w nich – na ogół – użytkownik nie jest potrzebny jako ten niezbędny do otwarcia atakującemu bramy. Niepokojąca jest przede wszystkim skala tych ataków, o wiele większa i groźniejsza od ataków typu ransomware. Ostatni atak na amerykańskie biuro informacji kredytowej Equifax, obsługujące głównie klientów biznesowych, doprowadził do przejęcia przez wrażliwych danych (np. numerów ubezpieczeń społecznych, imion, nazwisk, numerów telefonu, adresów zamieszkania, numerów prawa jazdy czy kart kredytowych) dotyczących ok. 143 mln obywateli USA, Kanady, a także Wielkiej Brytanii. Atak był zainicjowany w maju/czerwcu, ale o jego skutkach poinformowano dopiero w I połowie września br. Bez wątpienia każda instytucja czy firma może być celem ataku cyberprzestępców, a na pewno jest w kręgu ich zainteresowania.
Jakie błędy trzeba popełnić, by stać się ofiarą hakerów? Jak się bronić?
Wesołowski: Trzeba rozgraniczyć odpowiedzialność twórców kodu od odpowiedzialności użytkowników. Programiści z różnych, najczęściej niezawinionych, przyczyn popełniają błędy. Statystycznie na 1 tys. linii kodu wprowadzone zostaje około 10 niezawinionych błędów (bugs), które mogą nie zostać wyeliminowane przed dostarczeniem aplikacji użytkownikom końcowym. Wtedy systemy zawierają podatności, powstałe nieumyślnie. Jak temu przeciwdziałać? Trzeba wypracować i wdrożyć procedury bezpieczeństwa, ciągle je weryfikować i sprawdzać przez testy bezpieczeństwa wykonywane automatycznie czy przez testerów. Procedury bezpieczeństwa potrzebne są najpierw w środowisku projektowania i tworzenia aplikacji. Niemniej ważne jest ciągłe weryfikowanie aplikacji już użytkowanej, ciągłe jej aktualizowanie (zwłaszcza zewnętrznych komponentów dostępnych na otwartych licencjach). Warto dodać, że przyczyną gigantycznego wycieku danych z Equifax był właśnie błąd ludzki, który polegał na zaniedbaniu aktualizowania użytkowanych systemów i łatania luk. W systemach Equifaksu odkryto istnienie dziur w popularnym frameworku Apache Struts. Według publicznie dostępnych informacji wiemy, że system był podatny na przynajmniej jedną z trzech znanych podatności. To był zwykły, szkolny błąd, który nie powinien już dziś przytrafiać się takiej instytucji jak Equifax. Skoro do takich incydentów dochodzi w USA to z pewnością nie brakuje i w Polsce instytucji równie podatnych na ataki. Z moich doświadczeń wynika, że u przedsiębiorców rośnie świadomość teleinformatycznych zagrożeń, ale ona nie przekłada się na inwestycje w bezpieczeństwo IT. W biznesie dominuje orientacja na sprzedaż i zysk. W naszej branży łatwiej jest tworzyć potrzebną aplikację i potem wprowadzić ją na rynek, do użytku. Istnieje presja, by trzymać się takiej kolejności postępowania. O wiele trudniej jest przyznać bezwzględny priorytet sprawie bezpieczeństwa i to od samego początku, od fazy projektu aplikacji, jej tworzenia, testowania. Efekt jest taki, że do użytku trafią produkty dobre, potrzebne, ale i zawierające różnego rodzaju podatności, które potem stają się źródłem ryzyka.
Debatę prowadził i opracował
Krzysztof Polak, Redaktor Naczelny Magazynu IT RESELLER