„Jeśli nie wpłacisz określonej kwoty, Twoja usługa przestanie działać”. To jeszcze normalna wiadomość od dostawcy telewizji lub internetu, czy już cyberatak? Trudno powiedzieć, bo metody cyberprzestępców cały czas ewoluują. Liczba ataków na firmy i zwykłych użytkowników cały czas rośnie. Jak wygląda obecnie krajobraz cyberbezpieczeństwa i jak się chronić? Odpowiada ekspert Eryk Trybulski, Dyrektor Bezpieczeństwa Informacji w home.pl.
Rozwój internetu a jego bezpieczeństwo
Andrzej Kochański, specjalista ds. komunikacji i contentu w home.pl: Jesteś CSO, Dyrektorem Bezpieczeństwa Informacji w home.pl, firmie, która współtworzy polski internet praktycznie od jego samego komercyjnego początku. Czy Twoim zdaniem sieć stawała się z biegiem lat bezpieczniejsza, czy wręcz przeciwnie?
Eryk Trybulski, CSO home.pl: Pierwsze zagrożenia w sieci wiązały się głównie z niedostępnością serwisu w wyniku ataku DoS, później DDoS (podczas ataku DDoS cel atakowany jest z wielu źródeł, a w przypadku DoS atak odbywa się z jednego komputera). Mieliśmy także do czynienia z podmianą treści na stronach www czy infekowaniem szkodliwym kodem w przypadku pobierania plików na komputer użytkownika. Z czasem zaczęły powstawać pierwsze sklepy internetowe, aż ostatecznie do świata cyfrowego swoje usługi zaczęły przenosić banki. Cyberprzestępcy dostrzegli nowe możliwości – nie tylko kradzieży informacji, ale przede wszystkim środków finansowych. Fizyczny napad na bank niósł za sobą wiele ryzyk dla samego przestępcy. Natomiast w świecie wirtualnym taki napad można przeprowadzić o każdej porze i często zawłaszczyć dużo większe środki finansowe niż udałoby się wykraść z fizycznego banku. I nie trzeba napadać na bank, wystarczy wysłać specjalnie spreparowaną wiadomość do kogoś, kto trzyma w nim pieniądze.
Przestępstwa cyfrowe stały się dużo bardziej intratne i komfortowe dla złodziei w porównaniu na przykład z handlem narkotykami, stąd ich rosnąca liczba. Cyberprzestępca może siedzieć sobie na własnym jachcie, popijając drinka, a jego jedyną bronią są metody socjotechniczne i komputer z dostępem do internetu. W tym miejscu trzeba też wspomnieć o znaczeniu ewolucji infrastruktury i sprzętu. Dziś internet to już zwykle nie komputer przyłączony kablami do sieci. To także mobilne laptopy, tablety, smartfony czy zegarki, a nawet lodówki połączone bezprzewodowo z siecią. Wszystko to sprawia, że obrona przed cyberatakami staje się coraz trudniejsza i kosztowniejsza.
Okazja czyni złodzieja, a ilość okazji rośnie. To powoduje, że cyberataków jest coraz więcej?
Zagrożeń w cyfrowym świecie jest wiele. Warto wiedzieć, że znaczna ilość przestępstw tak naprawdę nie wymaga zaawansowanej wiedzy informatycznej. Mam tu na myśli tzw. socjotechnikę, nazywaną inżynierią czynnika ludzkiego, skupiającą się na metodach manipulacji ludzkimi uczuciami tak, aby ofiara współpracowała z przestępcą, wykonując jego polecenia, nieświadoma samego faktu przestępstwa. Stąd niestety takie powodzenie ataków skutkujących udostępnieniem przestępcom dostępu do naszych kont bankowych.
Z drugiej strony takie podmioty jak podmioty jak wojsko, banki, duże korporacje zaczęły inwestować w rozwój odpowiednich komórek bezpieczeństwa wyposażonych w zaawansowane technologie mające na celu powstrzymanie zagrożeń. Owszem, wciąż łamane są zabezpieczenia takich instytucji, ale często wymaga to wielomiesięcznych przygotowań. Stąd zainteresowanie cyberprzestępców przeniosło się na nas, prywatnych użytkowników internetu, niemogących pozwolić sobie na zaawansowaną ochronę.
Internet nadal ewoluuje i mówiąc o zagrożeniach, nie możemy myśleć wyłącznie o wirusach, phishingu, ransomware, atakach DDoS. Dziś internet to także zagrożenia społeczne, takie jak eksplozja treści pornograficznych, szczególnie w drastycznej postaci. To także stalking czy seksting będące wynikiem rozwoju platform społecznościowych i niestety zbyt dużej ufności w stosunku do osób, których nawet nie znamy. W skali globalnej to także możliwość manipulacji całymi grupami społecznymi, co pokazała chociażby wojna na Ukrainie, gdzie dezinformacja, fake newsy odgrywają znaczną rolę.
Wojna na Ukrainie i jej wpływ na bezpieczeństwo internetu
Jaka część wojny rosyjsko-ukraińskiej toczy się poza tradycyjnym polem walki?
Znaczna jej część ma miejsce w sieci, której używa się do dezinformowania wroga za pośrednictwem portali społecznościowych, ataków DDoS, wipeware (odmiana ransomware, której celem jest zniszczenie danych), kradzieży informacji czy blokowania komunikacji wojskowej. Wojna w cyberprzestrzeni to pojęcie dyskusyjne, bo choć dochodzi do walki, to jednak mamy do czynienia z dużą anonimowością. Każda ze stron konfliktu zabezpiecza swoją obecność i widoczność. Liczba cyberataków związanych z wojną rosyjsko-ukraińską stale rośnie. Zdaniem ekspertów cyberbezpieczeństwa, jak i wojskowych ten największy cyberatak jeszcze nie nastąpił.
Czy działania za wschodnią granicą mają wpływ na polski internet i resztę świata?
Jak już historia pokazała na przykładzie ransomware NotPetya z 2017 roku, mimo że atak był wymierzony w Ukrainę, docelowo sparaliżował firmy i agencje rządowe na całym świecie. Ucierpiały ukraińskie ministerstwa, banki, systemy metra oraz przedsiębiorstwa państwowe. Z drugiej strony NotPetya sparaliżował też system IT komercyjnej firmy Maersk. W Polsce atak dotknął podmioty z sektora usług, handlu i logistyki.
Musimy pamiętać, że w cyberprzestrzeni nie ma granic i wszelkie działania mogą wymknąć się spod kontroli i w rezultacie nasza infrastruktura docelowo również może zostać skompromitowana, czyli jej zabezpieczenia mogą zostać przełamane. Z tego między innymi względu, z troski o polską infrastrukturę krytyczną, obowiązuje stan alarmowy Charlie CRP ogłoszony przez polskiego premiera.
Jak firmy z sektora MŚP powinny zabezpieczać swoje dane
Skoro musimy mieć się na baczności, to w jaki sposób firmy, szczególnie małe, mikro i średnie, powinny zabezpieczać swoją infrastrukturę i dane w 2022 r.? Jest jakiś zbiór podstawowych praw?
Jeśli chodzi o bezpieczeństwo biznesu musimy postawić sobie pytanie – jakie usługi bądź informacje są dla mnie kluczowe i jak chcę je chronić? Musimy też pamiętać o obowiązujących naszą działalność regulacjach prawnych, poczynając od ochrony danych osobowych, czyli tak zwanego RODO.
Sam zawsze zaczynam od zidentyfikowania kluczowych zasobów. Mam tu na myśli zarówno informacje w dowolnej postaci, jak i przetwarzające je systemy. Następnie przeprowadzam szacowanie ryzyka dla tych aktywów. Takie podejście pozwala mi znaleźć odpowiedź, co tak naprawdę powinienem chronić i jakie środki zainwestować. Dlaczego to tak ważne? Może się okazać, że zakup określonego rozwiązania bezpieczeństwa tak naprawdę jest niepotrzebny, bo w przypadku ataku ewentualne szkody dla chronionego aktywu będą znikome, a koszt zakupu przekracza wysokość ewentualnych kar. Nie ma wtedy wystarczających korzyści z wdrożenia ochrony. Często popełnianym błędem jest inwestowanie w modne rozwiązania bez wcześniejszego rozpoznania, czy właśnie ich nam potrzeba.
Jeśli chodzi o firmy to często mogą one korzystać z ram czy standardów bezpieczeństwa opracowanych dla określonych sektorów i branż. Takie wytyczne są stosowane na przykład w obszarze bankowości czy telekomunikacji, a ostatnio także w przemyśle samochodowym. Nie można zapomnieć także, że rozporządzenie o ochronie danych osobowych, tzw. RODO, nakłada obowiązek ochrony danych na podmioty, które je przetwarzają. Za nieprzestrzeganie grożą wysokie kary. Oczywiście, wskazane powyżej regulacje i zalecenia, z wyjątkiem RODO, w 99% nie dotyczą małych, często kilkuosobowych firm, ale i tutaj można wskazać dobre praktyki, które powinny zostać wdrożone. Najogólniej będą to świadome zarządzanie ryzykiem, zarządzanie dostępami i uprawnieniami, reakcja na incydenty bezpieczeństwa, dbałość o aktualność oprogramowania, zarządzanie zmianą i posiadanie planów ciągłości działania. Nie można zapomnieć o najważniejszym filarze, budowaniu kultury bezpieczeństwa i edukacji w zakresie bezpieczeństwa.
Jak zabezpieczyć niewielką firmę? Wszystko to zależy od typu działalności, rodzaju przetwarzanych informacji, jak i od przeprowadzonej analizy ryzyka. Inne zabezpieczenia zaoferujemy właścicielowi salonu piękności korzystającemu wyłącznie z systemu rezerwacji, inne małemu producentowi podzespołów elektronicznych niezbędnych do procesu produkcji samochodów. Ten drugi korzysta nie tylko z systemu zamówień, ale i wsparcia projektów inżynierskich, które są jego know-how.
Czy firmy są bezpieczne? Podsumuję słowami „tam gdzie rodzą się wątpliwości, nie ma bezpieczeństwa”, a dowodzi tego wiele raportów dotyczących bezpieczeństwa.
Na co powinni zwracać uwagę użytkownicy prywatni
Bezpieczeństwo firm to jedno, a co z użytkownikami prywatnymi?
Jeśli rozmawiamy o użytkownikach indywidualnych, to najczęstsze zagrożenia wiążące się z korzystaniem z usług internetowych to – oprócz szkodliwego kodu, spamu, kradzieży danych dostępowych, phishingu we wszelkich jego postaciach, a także ransomware – przede wszystkim ataki socjotechniczne. Oszuści tak kreują treść wiadomości, by bazować na naszych emocjach – stąd poczucie strachu bądź obawy, np. gdy dostajemy wiadomość „zapłać, bo inaczej odetniemy usługę”. Biorą na warsztat także naszą litość i współczucie i próbują nas wciągnąć w fałszywe akcje charytatywne i zbiórki pieniędzy. Mogą też bazować na czymś, co jest naturalne dla człowieka, czyli na ciekawości i podsuwać fake newsy.
Jeśli mówimy o użytkownikach indywidualnych, duże znaczenie mają finanse osobiste – o ile jesteśmy w stanie wydać nawet parę tysięcy na komputer z najnowszą kartą graficzną, to już szkoda nam zakupić oprogramowanie antywirusowe za ułamek tej ceny. Co robimy? Ściągamy pirackie oprogramowanie, które samo w sobie może zawierać szkodliwy kod. Jeszcze do niedawna wielu użytkowników korzystało z nielegalnych dystrybucji systemu Windows. I na takim niepewnym systemie przetwarzamy prywatne pisma i logujemy się do systemów bankowości, otwierając drogę przestępcom i ufając „chrzczonemu” oprogramowaniu.
A nasze zdjęcia z wakacji lub pierwsze kroki naszego dziecka utrwalone na wideo? Gdzie je przechowujemy? Oczywiście na dysku komputera, no może czasem na dwóch, choć połączonych trwale z jednym komputerem. Czy jesteśmy bezpieczni? Tak, powiedzą co niektórzy – mam przecież kopię na drugim dysku. Postawię więc pytanie retoryczne – a co w przypadku kiedy Twój komputer zostanie zainfekowany szkodliwym oprogramowaniem typu ransomware i zaszyfruje dane na obu dyskach? W świecie IT krąży powiedzenie „użytkownicy dzielą się na dwa typy – tych co robią backupy i tych, co zaczną je robić”. Zdrowy rozsądek powinien podpowiadać, że ten backup powinien być sporządzany zgodnie z zasadą 3-2-1, czyli wszystkie istotne dla nas dane powinny być przechowywane w trzech egzemplarzach (3). Po drugie: informacje, o których mowa, trzymać powinniśmy na dwóch różnych nośnikach (2). Po trzecie: jeden z nośników (1) znajdować powinien się w zupełnie innym miejscu od pozostałych, np. w chmurze.
Ludzie czasami nie dbają o bezpieczeństwo, ponieważ nie widzą szerszej perspektywy. Po co zwykły obywatel ma znać podstawy bezpieczeństwa informacji? Czy przyda mu się to w życiu bardziej niż wzory chemiczne czy twierdzenie Pitagorasa? Tak czy inaczej ani dzieci, ani młodzież, ani nawet dorośli nie poznają podstaw bezpieczeństwa informacji w systematyczny sposób. Spójrzmy na programy nauczania szkolnego, czy ktoś może tam wskazać punkty dotyczące bezpieczeństwa? Stąd cieszę się, że w home.pl szerzymy wiedzę o cyberbezpieczeństwie w formie webinarów i treści zamieszczanych na naszym blogu.
Na co zwracać uwagę? Jakie są podstawowe zasady bezpieczeństwa w internecie?
Zacznijmy od tego, że tak jak na drodze, tak samo w internecie powinniśmy kierować się zasadą ograniczonego zaufania. Zanim odwiedzimy jakąkolwiek stronę bądź prowadzący do niej link, zachowajmy podstawowe zasady ostrożności.
Omijajmy strony, które nie używają protokołu https i zbierają informacje od użytkownika, na przykład dane kart płatniczych albo dane osobowe i logowania. Może nam pomóc konfiguracja niektórych przeglądarek wymuszająca połączenie z użyciem bezpiecznego protokołu. Jeśli go nie będzie, użytkownik dostanie ostrzeżenie. Zresztą przeglądarki już ostrzegają przed stronami niezabezpieczonymi protokołem https, czyli witrynami bez certyfikatu SSL. Jako użytkownicy zwracajmy na to uwagę.
W większości przypadków użytkownik indywidualny przegląda internet, korzystając z konta w systemie o bardzo wysokich uprawnieniach, pozwalającego zainstalować dowolną aplikację, uruchomić skrypt. Nie ignorujmy ostrzeżeń z programów antywirusowych, które alarmują przed instalacją oprogramowania ściąganego z przypadkowych witryn z programami. Rekomenduję też utworzenie na komputerze dwóch kont – administratora, które wykorzystujemy np. do instalowania (wyłącznie legalnego i sprawdzonego) oprogramowania, oraz konta o niskich uprawnieniach służącego do przeglądania zasobów internetu.
Niemal wszyscy korzystamy z Wi-Fi. Jak to jest z bezpieczeństwem sieci bezprzewodowych?
Pamiętajmy, że często w hotelach czy restauracjach korzystamy z tej samej sieci wraz z innymi osobami, wśród których mogą znaleźć się osoby o złych zamiarach i w rezultacie nasze cyberbezpieczeństwo jest zagrożone. Co tutaj mógłbym doradzić? Oczywiście korzystanie z VPN, czy to na komputerze, czy na telefonie.
Mamy też i drugą stronę medalu, kiedy sami udostępniamy internet. Na przykład gdy znajdujemy się w miejscu publicznym i udostępniamy sieć bezprzewodowo z naszego smartfonu, aby móc łączyć się z komputera. Jeśli nasze hasła są słabej jakości albo korzystamy z przestarzałych protokołów wówczas pod naszą sieć może podpiąć się osoba o złych zamiarach. Proszę sobie wyobrazić sytuację, że jedziemy pociągiem Pendolino, w którym do niedawna nie była dostępna sieć WiFi. Jeden z pasażerów, wykorzystując internet mobilny, stworzył w pociągu sieć Wi-Fi i nazwał ją „Pendolino Free Wi-Fi”. Połączenie było jednak zablokowane za pomocą hasła. Według jego relacji, o której przeczytałem parę lat temu w internecie, pozostali współpasażerowie, kiedy zorientowali się, że taka sieć istnieje, zaczęli skarżyć się obsłudze konduktorskiej, że nie mogą z niej skorzystać. Sytuacja stała się na tyle poważna, że podobno skargi trafiły do władz spółki, co wywołało dużą konsternację – gdyż w ówczesnym czasie na pokładzie pociągu nawet nie zamontowano jeszcze żadnego urządzenia. Cała ta sprawa pokazuje jak łatwo oszukać ludzi i ściągnąć ich do fałszywej sieci. Dlatego koniecznie korzystajmy z oprogramowania pomagającego strzec nas przed fałszywymi sieciami. Może być to na przykład VPN.
A co z naszymi hasłami do banków, poczty e-mail i mediów społecznościowych?
Jedni powiedzą, że hasło musi składać się z minimum 8 znaków, w tym cyfry, liter, w tym przynajmniej jednej dużej, i znaku specjalnego. Najlepsze praktyki branżowe pokazują jednak, że złożoność hasła – w przypadku ataku brute force, polegającego na próbie łamania haseł metodą sprawdzania wszystkich możliwych kombinacji – ma mniejsze znaczenie niż jego długość. Hasło „hj6$Lat0” jest zdecydowanie łatwiej złamać niż „AlamaKotaAKotmabzika”. Z prostego powodu – w przypadku pierwszego hasła automat musi przeprowadzić kolejne iteracje tylko dla 8 znaków, a w przypadku drugiego porównania aż dla 20 znaków. Gdybyśmy chcieli złamać to hasło na zwykłym komputerze, złamanie pierwszego zajmie około 4 miesięcy, a drugiego 300 trylionów lat. Oczywiście nie są to dokładne wyliczenia, tylko z użyciem internetowych kalkulatorów, których algorytmów nie znam – ale osoby wnikliwe mogą same policzyć liczbę permutacji.
Jeśli miałbym coś zarekomendować to minimum 12 znakowe frazy, składając się z dużych i małych liter, cyfr i znaków specjalnych np. „L!tw00jczyzn0m0ja” skonstruowane zostało wedle prostego schematu do zapamiętania – pierwsza litera jest duża, potem znak specjalny i każde wystąpienie litery „o” zamieniamy na cyfrę 0 (zero). To tylko jedna z nieskończonej liczby możliwych fraz, a kombinacja powinna być znana tylko właścicielowi.
Co w przypadku, kiedy mamy wiele stron, do których się logujemy? Wszędzie jedno hasło? A może wiele? Ale jak je wtedy spamiętać?
Jeśli korzystamy aktywnie z zasobów i tym samym wiele stron wymaga logowania, na pewno nie rekomenduję stosowania jednego hasła. Jak więc nad nimi zapanować? Jak zapisywać? Pomóc w tym mogą programy z grupy menedżerów haseł i wówczas kluczowe jest dla nas zapamiętanie tylko jednego hasła udzielającego dostępu do haseł zapisanych w bezpiecznych kontenerach. Nie powinniśmy ich zapisywać w przeglądarkach czy plikach tekstowych zapisanych na dysku. W takim przypadku, gdyby przestępca dostał się do naszego systemu, uzyska też dostęp do haseł – to jakby powiedzieć mu, że klucz do drzwi znajdzie pod wycieraczką.
Istnieje sposób znacznie utrudniający przestępcom uzyskanie dostępu do naszych zasobów mimo złamania hasła. To uwierzytelnianie wieloskładnikowe, czyli metoda polegająca na tym, że dostęp zostanie udzielony nie tylko po podaniu prawidłowego identyfikatora użytkownika i hasła, ale także po potwierdzeniu naszej tożsamości za pomocą dodatkowych środków. Takim dodatkowymi rozwiązaniami są wszelkiego rodzaju aplikacje jak np. Google Authentificator czy fizyczne klucze YubiKey. Bez tego dodatkowego mechanizmu zabezpieczeń przestępca nie spenetruje naszych zasobów, bo będzie miał kolejną barierę.
Jakie kroki podjąć w celu zwiększenia bezpieczeństwa w sieci w przyszłości
Jaka jest przyszłość cyberbezpieczeństwa? Co jest do zrobienia „na już”, a co w perspektywie najbliższych lat?
Cyberbezpieczeństwo staje się, a przynajmniej powinno stać się jednym z celów strategii każdej organizacji. Do niedawna rozumiano to jako inwestycje w oprogramowanie antywirusowe czy urządzenia typu firewall. Niestety analiza wektorów ataku i ich stale wzrastająca skala potwierdziły, że cyberbezpieczeństwo wymaga bardziej kompleksowego podejścia do zabezpieczenia naszych aktywów – od zdefiniowania procesów, polityk, struktur organizacyjnych, aż po rozwiązania techniczne.
Nie wystarczy wydawać coraz więcej pieniędzy i angażować kolejnych zasobów w celu poprawienia poziomu bezpieczeństwa. Kluczem do sukcesu są ludzie i każdy z nas ma tu swoją rolę do odegrania. Dlatego właśnie stworzenie kultury bezpieczeństwa w miejscu pracy jest szczególnie ważne. Mimo że nie jest to zadanie ani proste, ani łatwe, cel ten można szybko osiągnąć, stosując odpowiednie procedury i rozwiązania. Silna, dobrze przemyślana strategia, w połączeniu z szybką zdolnością zidentyfikowania chwili, kiedy systemy zostały spenetrowane, a w efekcie niezwłoczne podjęcie niezbędnych działań, takich jak odizolowanie ataku, są kluczowym czynnikiem skuteczności strategii cyberbezpieczeństwa.
Pamiętajmy, że nawet wdrożenie rozwiązań kosztujących miliony nie spełni swojej funkcji, jeśli korzystający z nich nie będą przestrzegali obowiązujących reguł i zasad bezpieczeństwa. Efektywne bezpieczeństwo cybernetyczne wymaga pełnego zaangażowania wszystkich osób, a osiągnąć to można poprzez budowanie odpowiedniej świadomości cyfrowej każdego pracownika czy nawet obywatela – i o to powinniśmy zadbać w pierwszej kolejności. Wysoka kultura bezpieczeństwa charakteryzuje poczucie odpowiedzialności każdego pracownika za sprawy cyberbezpieczeństwa, a przejawia się to w codziennej pracy.
Uwzględnić musimy to, że stale pojawiają się nowe produkty i usługi, o których do niedawna nikt nie myślał. Zobaczmy, jak świat szybko zaadaptował się do urządzeń typu IoT, jakiego znaczenia nabierają przetwarzanie w chmurze czy kryptowaluty. Podsumowując, można użyć słów byłego prezydenta USA, Abrahama Lincolna – ‘najlepszy sposób na przewidywanie przyszłości to stworzenie jej’.
