Obecnie praktycznie każdy człowiek posiada konto w banku, do którego loguje się za pomocą sieci. W internetowych systemach organizacji rządowych przechowywane są informacje ważne z puntu widzenia bezpieczeństwa kraju. Czy jesteśmy świadomi wszystkich zagrożeń… i umiemy się przed nimi obronić? Zapraszamy do przeczytania naszej rozmowy z Rafałem Gołębiowskim, Security Officerem z Banku BGŻ BNP Paribas S.A
Dlaczego działania w zakresie cyberbezpieczeństwa są tak ważne?
Wyobraźmy sobie sytuacje, że w domu przechowujemy bardzo drogocenne przedmioty oraz wszystkie dokumenty. Oczywistym wydaje się, aby w takiej sytuacji mieć odpowiednio zabezpieczony dom, czyli dobre zamki w drzwiach, system antywłamaniowy oraz ewentualnie system alarmowy. W ten sposób chronimy nasz majątek przed zniszczeniem lub trafieniem w niepowołane ręce.
Podobnie działa to w sferze cyberbezpieczeństwa, choć tutaj bardzo dużą wartość ma informacja. Straty wynikające z włamania do systemów informatycznych mogą okazać jest wszelakie – począwszy od wizerunkowych, a skończywszy na finansowych. Bardzo często ze strat wizerunkowych wynikają straty finansowe, ponieważ klienci i inwestorzy, mówiąc kolokwialnie, uciekają od organizacji, która nie będzie w stanie ochronić ich dóbr.
Jak ocenia Pan świadomość zagrożenia cyberprzestępczością?
Uważam, że zarówno w Polsce jak i na świecie taka świadomość to wciąż spory obszar do doskonalenia. Niemniej jednak na tle innych krajów Polska wypada całkiem przyzwoicie. Poza sama świadomością, duża role odgrywają także czynniki psychologiczne. Polacy zdają się być raczej nieufni, jeśli ktoś prosi o podanie informacji wrażliwych, takich jak hasło czy numer PESEL.
Co jest w tej chwili największym zagrożeniem, jeśli chodzi o cyberprzestrzeń?
Tych zagrożeń jest tak wiele, ze ciężko jest wskazać największe. Doszliśmy do momentu, ze zinformatyzowanie naszego życia jest bardzo duże. Teraz mechanizmy informatyczne, które hakerzy mogą wykorzystać, obecne są wszędzie – począwszy od urządzeń mobilnych, urządzeń RTV, AGD przez organizacje finansowe, elektrownie, a skończywszy na systemach w samochodach czy samolotach. Udane ataki hakerskie, a takie już były, na samochody czy samoloty, to bezpośrednie zagrożenie życia pasażerów. Dodatkowo bardzo dużym zagrożeniem, zwłaszcza w czasie wojny, są elektrownie. Nie tak dawno miał miejsce udany atak na elektrownie na Ukrainie, gdzie hakerzy odcięli od prądu kilka lub kilkanaście miejscowości.
Jakie są najsłabsze ogniwa cyberbezpieczeństwa w Pana opinii?
Oczywiście człowiek. W trakcie robienia testów penetracyjnych, jeśli aplikacje WWW, aplikacje mobilne i infrastruktura są odpowiednio zabezpieczone, to ostatnia deska ratunku, która praktycznie zawsze się sprawdza, jest tzw. phishing. W uproszczeniu jest to atak polegający na podszywaniu się pod inną osobę lub instytucję w celu wykradzenia pewnych informacji lub nakłonienia ofiary do wykonania danej akcji.
Oczywiście oszust najpierw wyszukuje ofiarę poprzez różnego rodzaju serwisy społecznościowe (LinkedIn, Facebook), sporządza jej profil, a następnie atakuje.
Dla przykładu, jeśli oszust widzi, ze dana osoba na LinkedIn szuka pracy, wówczas może podszyć się pod rekrutera, który ma „specjalną” ofertę. Następnie wysyła dokument z profilem stanowiska, które oferuje. W związku z tym, że jest to specjalnie przygotowana oferta, to należy wpisać hasło (uruchamiające makro zaszyte w pliku), które powinna znać tylko osoba, do której jest skierowana. Po wpisaniu hasła przez ofiarę jej komputer zostaje zainfekowany złośliwym oprogramowaniem.
Jakie są trzy proste zasady, których powinniśmy przestrzegać, żeby nie narażać się na nieprzyjemne konsekwencje braku ostrożności i czujności w sieci?
Nie ufać obcym – proste, ale jednak trudne. Nie należy otwierać poczty, załączników czy klikać w linki od nieznajomych adresatów. Powinniśmy nieufnie podchodzić do emalii w językach obcych, napisanych niegramatycznie lub nakłaniających nas na wykonanie akcji takich jak np. podanie i zresetowanie hasła (o ile sami nie chcieliśmy go zresetować faktycznie), informowanie o innych danych personalnych lub wrażliwych. Również należy zwracać uwagę, z jakiej domeny przyszła do nas dana wiadomość.
Warto posiadać oprogramowanie antywirusowe – człowiek w trakcie codziennych obowiązków i zabiegania nie jest w stanie być tak uważnym i skoncentrowanym, aby bazować jedynie na naszej wiedzy i świadomości. Warto wspomóc się także oprogramowaniem antywirusowym. Trzeba jednak pamiętać, że antywirusy to jedynie uzupełnienie, a nie narzędzie, które będzie za nas dbało o bezpieczeństwo.
Nie polecam ujawniać za wiele informacji o sobie w sieci – w mojej ocenie to bardzo duży problem. Brak ochrony prywatności w internecie ma olbrzymią wartość dla atakującego, tym bardziej, że zdobycie danych prywatnych użytkowników poprzez portale społecznościowe takie jak Facebook jest bardzo łatwe i nie wymaga socjotechniki i wykradania ich. Początkowo faza ataku jest rekonesans, czyli wyszukiwanie wszystkich możliwych informacji, które mogą pomoc w przeprowadzeniu udanego ataku. Niestety w tym kontekście prawdziwym jest stwierdzenie – po co kraść dane? Znajda się ludzie, którzy sami je dadzą. Przy kampaniach phishingowych portale społecznościowe maja nieoceniona wartość dla oszusta podczas wyznaczaniu sposobu ataku.
W jaki sposób można się bronić przed cyberprzestępcami?
Warunkiem koniecznym, ale niestety niewystarczającym, jest świadomość zagrożeń. Siłą rzeczy jednak człowiek nie jest w stanie być świadomy ich wszystkich, zwłaszcza, jeśli nie jest specjalista ds. bezpieczeństwa informatycznego. Warto także posiadać oprogramowanie antywirusowe, dodatki do przeglądarki o dobrej reputacji oraz takie, które blokują wyskakiwanie reklam (pop-up). Niedocenianym zagrożeniem jest także nadmierne ujawnianie informacji o sobie na portalach społecznościowych, dlatego tez nie należy ich nadmiernie publikować.
Co zrobić, kiedy podejrzewamy, że padliśmy ofiarą cyberprzestępcy?
Należy oczywiście przerwać atak, jeśli on nadal trwa lub ograniczyć jego straty. Dla przykładu, jeśli atakującemu udało się zainstalować na naszym komputerze malware, to powinniśmy poza przeskanowaniem oprogramowaniem antywirusowym także zmienić nasze hasło do bankowości, poczty i innych podobnych usług. Zmienić hasła należy oczywiście po „odwirusowaniu” komputera,
Kto jest najbardziej zagrożony cyberprzestępczością? Organizacje rządowe, firmy prywatne czy zwykli użytkownicy?
To zależy od bardzo wielu czynników, dlatego też bardzo trudnym jest wskazanie, kto najbardziej. Generalnie rzecz biorąc, atakujący rachuje wartość potencjalnej zdobyczy oraz jej potencjalną siłę zabezpieczeń, a następnie dokonuje najbardziej korzystnego dla niego wyboru. Najciekawszym targetem i najbardziej wartościowym w mojej ocenie są organizacje rządowe, jednak szanse wykrycia ataku i prawdopodobieństwo wykrycia sprawcy jest nieporównywalnie większe niż w przypadku ataku na zwykłego użytkownika. Z punktu widzenia defensywy organizacje również dostosowują zabezpieczenie do danego zasobu. W organizacjach obowiązuje zasada, że wdraża się zabezpieczenie tylko w przypadku, gdy jego koszt jest niższy niż koszt potencjalnej straty wynikającej z braku tego zabezpieczenia. Dlatego tez im mniejsza wartość zasobu, tym słabsze zabezpieczenie lub jego brak.
Warto również nadmienić, ze ataków na organizacje rządowe czy korporacje dokonuje przeważnie bardzo dobrze zorganizowana grupa hakerów.
Uważam, że o bezpieczeństwo powinni w równym stopniu dbać zarówno zwykły użytkownik jak też firmy prywatne i organizacje rządowe, ponieważ bezpieczeństwo naszej organizacji (jednoosobowej również) zaczyna się już od nas.
Co jest najważniejsze dla specjalistów zajmujących się cyberbezpieczeństwem?
Tych rzeczy jest wiele, ale warto wspomnieć o aktualizacji wiedzy. Niestety osoby odpowiedzialne za defensywne aspekty bezpieczeństwa zawsze są w tyle w stosunku do atakujących, bo to oni dają wyzwania, którym muszą sprostać tzw. bezpieczniki. To, co uchodziło za całkowicie bezpieczne rok temu, teraz może już stanowić zagrożenie.
Dziękujemy za rozmowę.
IT-Leaders.pl to pierwsza na rynku platforma łącząca Specjalistów IT bezpośrednio z pracodawcami. Anonimowy, techniczny profil i konkretnie określone oczekiwania finansowe to tylko niektóre z cech wyróżniających platformę. Zarejestruj się i zobacz jak Cię widzi pracodawca.