Piotr Konieczny, założyciel Niebezpiecznik.pl: Cyberbezpieczeństwo w erze pracy zdalnej
Panie Piotrze, wiele firm pracuje aktualnie w trybie home office. Czy pracownicy wykonujący swoją prace zdalnie są bardziej narażeni na cyberataki?
Póki co raczej nic na to nie wskazuje, ponieważ niezmiennie mamy do czynienia z tymi samymi technikami ataku jakimi posługiwano się przed masowym przejściem na pracę zdalną. Królują phishingi e-mailem albo SMS-em, na tzw. „dopłatę”. Teraz tylko częściej pretekstem dopłaty jest „dezynfekcja” niż przekroczenie wagi przesyłki. Zresztą nie ma się co dziwić – przy zamkniętych sklepach wszystko zamawiamy przez internet, więc niemalże stale czekamy na jakieś przesyłki. Innymi słowy, rządzi – i moim zdaniem jeszcze długo rządzić będzie – socjotechnika. Jedynym ułatwieniem dla atakujących jest obecnie to, że mogą się podszywać pod bliskich współpracowników ofiary. Dawniej po otrzymaniu „pilnego” (albo dziwnego) e-maila od kolegi z „biurka obok” najczęściej po prostu odpowiadało mu się twarzą w twarz. Teraz bliski współpracownik może znajdować się w zupełnie innej lokalizacji, a jedyna forma kontaktu z nim to właśnie kanał „elektroniczny”, w którym łatwiej jest się pod kogoś podszyć.
Jakie są najczęściej popełniane błędy, które prowadzą do wycieku danych z firmy?
Nie patrzyłbym na błędy, a na przyczyny takiego stanu rzeczy, w którym popełniający błąd pracownik doprowadza do wycieku. Te przyczyny zazwyczaj są dwie. Pośpiech i dziwnie rozumiana chęć oszczędności.
Obie prowadzą do braku odpowiednich procedur. Cokolwiek byśmy nie zrobili, musimy być świadomi tego, że zawsze znajdzie się pracownik, którego uda się podejść, ponieważ nie został odpowiednio przeszkolony, miał gorszy dzień, z pośpiechu coś przegapił, nie doczytał, nie zrozumiał. Ochrony przed wyciekiem nie można opierać tylko i wyłącznie na świadomości zagrożeń wśród szeregowych pracowników. To działy IT powinny tak skonfigurować sprzęt i oprogramowanie, aby kliknięcie w zainfekowany plik, nie spowodowało infekcji całej firmy, a przeoczenie literówki i podanie przestępcy loginu i hasła, nie umożliwiło wykorzystania tych danych do nieautoryzowanego dostępu. Da się to zrobić, ale wymaga to zatrudnienia osób, które mają odpowiednią wiedzę i zainwestowania w konkretne oprogramowanie oraz taki wybór (lub przebudowę) systemów, aby umożliwić silniejsze uwierzytelnianie pracowników w oparciu o tokeny U2F. Kluczową rolę w skutecznej strategii ochrony firmy przed zagrożeniami pełni też Zarząd, który musi zrozumieć, że bezpieczeństwo to po pierwsze nie koszt, a inwestycja, a po drugie, że bezpieczeństwo to proces, a nie produkt – nie można kupić 5 kilo bezpieczeństwa i zapomnieć o problemie na 3 lata.
Czy Pana zdaniem temat cyberbezpieczeństwa jest w Polsce nadal traktowany po macoszemu, a może mamy się czym pochwalić?
Jest taka podstawowa odpowiedź osób zajmujących się bezpieczeństwem – „to zależy”. Starałem się jej unikać w odpowiedzi na poprzednie pytania, ale tutaj już się nie uda 🙂 Z jednej strony mamy w Polsce jednych z najlepszych speców od bezpieczeństwa, z drugiej większość z nich nie pracuje dla polskich firm, tylko jest podkupowana przez zagraniczne spółki. Wiele zmieniło się w krajobrazie cyberbezpieczeństwa na przestrzeni ostatnich lat. Obserwuję nasz rodzimy rynek bezpieczeństwa IT od ponad piętnastu lat i moim zdaniem dziś już nikt nie lekceważy tematu cyberbezpieczeństwa. Jesteśmy świadomi tego, jak kluczowe jest to zagadnienie. Nie znaczy to jednak, że każdy podejmuje w tym obszarze takie działania, które podjąć powinien. Wydaje mi się jednak, że brak działań wynika nie z premedytacji, a ze względu na brak budżetów. To ryzykowna gra, która prędzej czy później zemści się na firmach idących na skróty. Jeśli ktoś korzysta z komputerów i internetu, to incydent bezpieczeństwa prędzej czy później go dotknie, a wtedy na działania prewencyjne będzie już za późno i pozostaną tylko działania reaktywne – nie zawsze skuteczne.
Jakie środki i procedury należy wprowadzić, aby ograniczyć możliwość cyberataku na firmę lub pracownika?
Przede wszystkim należy wyjść od analizy ryzyka. Firma musi zrozumieć co jest dla niej najważniejszym zasobem i przed kim ten zasób chce ochronić, a także kto jest najbardziej prawdopodobnym atakującym. Brutalna prawda jest taka, że ciężko jest zabezpieczyć wszystko przed wszystkimi. To nie tylko kosztowałoby fortunę, ale zapewne spowolniłoby pracę do tego stopnia, że konkurencyjność świadczonych usług spadłaby do zera. Trzeba być świadomym, co mamy najcenniejsze w organizacji i co od czego – na warstwie wymiany danych między systemami – zależy. Trochę inaczej chroni się np. dane, będące tajną recepturą jakiegoś napoju, a inaczej innowacyjny algorytm lub pieniądze na kontach klientów. Innych działań wymaga zapewnienie poufności danych, a jeszcze innych ochrona ich integralności lub zagwarantowanie dostępności systemu. Teraz powinniśmy się pochylić nad poszczególnymi scenariuszami, czy też – jak my to nazywamy – modelowaniem zagrożeń. Z tego tematu powstają kilkusetstronnicowe publikacje, które potem trzeba wzbogacić o kolejne kilkaset stron opisów technicznych każdego z proponowanych zabezpieczeń, więc chyba postawię tu kropkę.
Czy instytucje państwowe, które dysponują danymi każdego z nas, są dobrze zabezpieczone?
Tak. Nie. Nie wiem. Na miejscu każdego obywatela zakładałbym, że wszystkie dane, jakie przekazuje – nie ma znaczenia, czy państwowej czy niepaństwowej organizacji – prędzej czy później staną się publicznie dostępne. Dla każdego i na zawsze. Dane wyciekają (lub są wynoszone) od operatorów, organizacji rządowych, a nawet z systemów służb specjalnych. Każdy stara się zabezpieczyć swoje systemy, ale ta walka jest nierówna. Administrator musi pilnować setek różnych „punktów wejścia” do systemu, a atakującemu wystarczy, że nadużyje tylko jeden z nich. Tak więc prowadźmy swoje życie tak, aby ewentualne ujawnienie naszych danych osobowych, kontaktowych, informacji na temat naszej rodziny, nieruchomości czy też dochodu nie było dla nas problemem. Czy to jest dziś łatwe zadanie? Absolutnie nie. Czy można skutecznie ochronić swoją tożsamość? Wciąż są pewne możliwości. Niestety, wykorzystanie niektórych z nich to balansowanie na granicy prawa ponieważ paradoksalnie, do ochrony swoich danych trzeba wykorzystać luki logiczne w rządowych systemach i rejestrach. Uprzedzając pytanie – nie, zwykły obywatel nie da rady.
Czy cyfrowa transformacja administracji, a co za tym idzie możliwość „załatwienia” wielu spraw urzędowych on-line, niesie za sobą zagrożenia?
Fachowo nazywamy to w branży zwiększeniem powierzchni ataku – dla przykładu – zamiast okazać dowód „pani w okienku”, teraz machamy nim przed kamerą albo co gorsza wysyłamy jego skan online. Co z tym skanem się dalej stanie? Gdzie trafi? Na maila? Do jakiegoś „systemu”? Czy jak zostanie skasowany, to na pewno z każdego miejsca w którym się znalazł, w tym z „kosza” czy kopii bezpieczeństwa? W cyfrowym obiegu dokumentów jest więcej możliwości potknięcia się, ale sytuacja nie jest beznadziejna. Można przecież dopuścić wysyłanie skanu dokumentu oznakowanego np. danymi odbiorcy i informacją o celu jego przekazywania wraz z datą. Tak „uszkodzonego” skanu nikt nie wykorzysta do wzięcia kredytu, chociaż wciąż będzie mógł pozyskać niektóre z danych. Czy wszystkie te dane są podczas załatwiania sprawy on-line potrzebne? Jeśli nie, to może ich nie zbierać, prosząc o ich zamazanie na skanie? Tu oczywiście pojawia się kolejny problem, ponieważ cenzura elektronicznych dokumentów często jest przez ludzi realizowana tak, że po zamazaniu/przysłonięciu jakichś danych, wciąż wprawna osoba je odmaże i odsłoni. Potrzebujemy elektronicznych, bazujących na kryptografii asymetrycznej metod uwierzytelniania tożsamości. To jest jedyna poprawna droga potwierdzania, że ktoś jest tym za kogo się podaje przez internet. Machanie dokumentem przed kamerą to zderzenie dwóch światów – cyfrowego i analogowego. Bardzo groźne zderzenie..
Współpracuje Pan z wieloma firmami, przeprowadzając audyty bezpieczeństwa. Czy mógłby Pan powiedzieć, na czym polega Pana praca w tym zakresie?
Najogólniej mówiąc, mój zespół zajmuje się włamywaniem na serwery innych firm. Wykradamy z nich dane i pieniądze, korzystając z takich samych metod, narzędzi i ataków, jakimi posługują się prawdziwi cyberprzestępcy. Oczywiście my robimy to za zgodą naszych „ofiar”, w celu namierzenia błędów bezpieczeństwa w ich infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi włamywacze. To jest najfajniejsza praca w życiu. Kradniemy, manipulujemy, oszukujemy, atakujemy i nie dość, że nie idziemy za to do więzienia, to jeszcze nam płacą! Doświadczenia z internetowych włamań przekuwamy też na usługi szkoleniowe — zarówno dla administratorów i programistów, aby tworzyli bezpieczniejsze systemy, jak i dla zwykłych pracowników, by byli świadomi tego, co może ich spotkać i potrafili skutecznie temu przeciwdziałać. Dziś to jest obowiązkowa wiedza, dla każdego kto korzysta z komputera, smartfona i internetu. Część z naszych materiałów edukacyjnych jest darmowa, polecam zwłaszcza nasz wykład z TEDx https://niebezpiecznik.pl/tedx oraz demonstracje ataku phishingowego: https://niebezpiecznik.pl/elearning/ a na koniec godzinny webinar o tym, jak zabezpieczyć swoje internetowe konta przed hackerami: https://niebezpiecznik.pl/ochrona
Piotr Konieczny
Piotr Konieczny, ekspert ds. bezpieczeństwa, od 15 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu ich sieci oraz serwisów internetowych. Absolwent Glasgow Caledonian University. Wielokrotny zdobywca nagród za najlepsze prelekcje na największych polskich konferencjach poświęconych bezpieczeństwu IT, laureat prestiżowej nagrody Digital Shapers 2018 magazynów Forbes i Business Insider.
Założyciel Niebezpiecznik.pl, firmy doradczej konsultującej projekty informatyczne pod kątem bezpieczeństwa. W ramach Niebezpiecznik.pl Piotr zarządza zespołem wykonującym audyty i testy penetracyjne systemów teleinformatycznych oraz prowadzi szkolenia zarówno dla administratorów i programistów jak i zwykłych pracowników polskich firm, którzy w ramach swoich służbowych obowiązków korzystają z komputerów i internetu.
Last Updated on 11 maja, 2021 by Łukasz