Bezpieczeństwo

Pojedynczy pracownik to najsilniejsze, ale i najsłabsze ogniwo. Historia Pawła Bułata

cyberbezpieczenstwo comarch

Współcześnie temat cyberbezpieczeństwa nie dotyczy jedynie organizacji, ale każdego użytkownika sieci z osobna. Dziś nawet pojedynczy pracownik może być jej zarówno najsłabszym, jak i najsilniejszym ogniwem. Pamiętajmy, że większość ataków ukierunkowana jest właśnie na nich – mówi Paweł Bułat, Dyrektor PLC cybersecurity w Comarch.

cyberbezpieczeństwo comarch

Czym jest cybersecurity? Jak można zdefiniować tą szybko rozwijającą się „gałąź” branży IT?

Dziś trudno jednoznacznie odpowiedzieć, gdzie zaczyna, a gdzie kończy się obszar cybersecurity. Grono potencjalnie narażonych obszarów, cały czas poszerzają urządzenia IoT, które bardzo często posiadają liczne luki bezpieczeństwa. Z definicji chodzi o ochronę cyberprzestrzeni przed atakami ukierunkowanymi na dane, procesy i infrastrukturę. Jednak granice, sposoby ataków oraz obszary zagrożeń zmieniają się nieustannie.

A jak to wygląda „wewnątrz” Comarch? Czy oprócz tego, że firma oferuje rozwiązania dla bezpieczeństwa w sieci, sama o to bezpieczeństwo dba?

Na tak postawione pytanie możliwa jest tylko jedna dobra odpowiedź – TAK. Firma jak większość organizacji, których zasoby dostępne są z zewnątrz choćby przez VPN bardzo dba o bezpieczeństwo. Najważniejszy jest świadomy użytkownik, dlatego Comarch po pierwsze stawia na szkolenia, skierowane do pracowników. Dalej mamy oczywiście stosowną infrastrukturę oraz działy bezpieczeństwa, których celem jest stały monitoring infrastruktury w poszukiwaniu zagrożeń i zachowań odbiegających od reguły. O większych detalach z racji krytycznej wagi tematu wspominać nie mogę.

Czy każda firma, niezależnie od wielkości i branży, może stać się celem cyberataku?

Dziś temat cyberbezpieczeństwa nie dotyczy jedynie organizacji, ale każdego użytkownika sieci z osobna, czego przykładem są ataki ukierunkowane na duże organizacji takie jak BEC (Bussines Email compromised). Idea ataku bazuje na cichym przejęciu kontroli nad skrzynkami pocztowymi czołowych pracowników organizacji, takich jak zarząd. Naturalnie w celu wyłudzenia pieniędzy. Dalej, pracownicy niższych szczebli otrzymują e-mail od dyrekcji z prośbą o zmianę numeru rachunku bankowego. Kto takiej prośbie się sprzeciwi?

Coraz większą popularność zyskuje także ransomware, którego celem jest zablokowanie dostępów do zasobów użytkownika np. poprzez szyfrowanie. Celem jest wyłudzenie okupu, a skala takich ataków w 2019 roku zwiększyła się o 118%. Ofiarami padły choćby organizacje takie jak Klinika Budzik. Co jest tylko dowodem na to, że w świecie wirtualnym nie ma miejsca na sentymenty.

Czy w takim razie „szeregowi” pracownicy również powinni przechodzić specjalne szkolenia? Jaki wpływ mają oni na cyberbezpieczeństwo firmy? Jakie ryzykowne działania zdarza się im podejmować?

Pojedynczy pracownik organizacji może być jej najsłabszym albo najsilniejszym ogniwem. Pamiętajmy, że większość ataków ukierunkowana jest właśnie na nich. Najszybszym sposobem na przejęcie dostępu do zasobów jest phishing, który może prowadzić do bardziej złożonej infekcji systemu. Kilka tygodni temu Citrix dowiedział się, że przez 6 miesięcy ktoś buszował po jego infrastrukturze. To dowód na to, że zagrożenie może dotyczyć nawet tych największych.

Ataki socjotechniczne dają niestety nadal bardzo dobre rezultaty. Wystarczy spojrzeć na skuteczność mailingu „Otrzymałeś negatywny komentarz od…” ze złośliwym linkiem. Czy malware komórkowy taki jak, Cerberus, który rozprzestrzeniał się za pośrednictwem złośliwej wiadomości SMS.

Pracownicy robią różne rzeczy, najprostszą z nich jest nadmierne zaufanie do wiadomości e-mail, a co gorsza załączników (np. zainfekowany PDF). Zgubna bywa także chęć sprawdzenia, jak działa znaleziony przed firmą pendrive, który może służyć właśnie do infekcji.

Załóżmy, że doszło do ataku. Łatwo go wykryć? Jak zareagować na incydent naruszenia bezpieczeństwa?

Jeśli chodzi o wykrywalność ataków, bywa bardzo różnie, przykładem niech będzie wspomniany wcześniej Citrix, do którego świadomość incydentu dotarła dopiero po 6 miesiącach. W bankowości również zdarzały się podobne naruszenia bezpieczeństwa. Wykrycie części z nich, podobnie jak wykrywanie podatności bywa bardzo trudne i wymaga olbrzymiej wiedzy i doświadczenia. Na incydent należy zareagować spokojnie, po to by dalsze kroki także były racjonalne i nie pogorszyły sytuacji.

Wewnątrz korporacji polegać można na działach bezpieczeństwa wewnętrznego, których celem jest obsługa krytycznych zdarzeń. Poza organizacją pomocy można szukać w Cert, bo ta organizacja z założenia ma pomagać poszkodowanym przez cyberataki. Niezmiernie ważne jednak jest, aby być przygotowanym do ataku i wprowadzić nawet w swoim codziennym życiu dobre praktyki minimalizujące skutki incydentów, jak backup danych na zewnętrznych nośnikach.

Czym są testy penetracyjne i jak mogą poprawić bezpieczeństwo w firmie?

Testy penetracyjne są ogniwem pomagającym w wychwyceniu nieprawidłowości na warstwie sprzętu, konfiguracji i oprogramowania. Ich waga jest trudna do przecenienia. Jednak pamiętać należy także o dogłębnej analizie ryzyka. W dużych organizacjach, przy rozległej infrastrukturze nie sposób zadbać o każdą napotkaną podatność. Trzeba wybierać te, które są potencjalnie niebezpieczne i łatwe do wykorzystania przez atakującego. Świadomość pozostałych zagrożeń, które wychodzą w „pentestach” jest także niezmiernie ważna, bo wytycza dalszą drogę dla usprawnień, jakie należy wprowadzić w organizacji.

Jakich ataków ofiarą możemy najczęściej paść w sieci? Nie jako pracownik, a raczej jako obywatel codziennie odwiedzający dziesiątki portali i korzystający z bankowości online.

Najbardziej powszechnym i łatwym do przeprowadzenia atakiem jest phishing. Zakażone linki mogą stać się bardzo szybką furtką dla atakującego do przejęcia naszych danych dostępowych czy instalacji złośliwego oprogramowania. Dalej mamy do czynienia z mechanizmem lawiny, wszystko dzieje się szybko, a zakres utraconej kontroli jedynie się zwiększa.

Zewsząd słychać, że ciągle brakuje specjalistów od bezpieczeństwa w sieci. Skąd takie braki? Wysoki próg wejścia, czy raczej zbyt mała świadomość branży?

Tematyka cyberbezpieczeństwa wymaga dużego zaangażowania, sporej wiedzy dziedzinowej i nieustannego rozwoju. Szybkość zmian w otaczającym nas świecie sprzyja także rozwojowi narzędzi służącym hakerom. Dziś ta branża jest bardzo dochodowa, a usługi crime-as-a-service sprawiają, że po drugiej stronie może siedzieć niemal każdy. Dziś atak można kupić po to, by stać się beneficjentem przestępstwa. Niestety od strony bezpieczeństwa jest trochę inaczej, tutaj nie każdy może się znaleźć, bo szukamy tych najlepszych.

W tym roku Comarch, wychodząc naprzeciw oczekiwaniom studentów uruchamia w ramach wakacyjnego stażu IT profil Cyber Security. Czego mogą spodziewać się studenci aplikujący na ten profil? Jakie zadania będą na nich czekały?

Studenci aplikując na ten profil mogą się spodziewać przede wszystkim bardzo dużych zawodowych wyzwań, ciekawych projektów związanych z bezpieczeństwem oraz możliwości współpracy z bardzo doświadczonym zespołem. Z mojej perspektywy już sama możliwość pracy w tak doświadczonym zespole bezpieczeństwa jest niesamowicie ekscytująca.

Tworzymy narzędzia dla potężnych organizacji, a w naszym portfolio można znaleźć naprawdę niesamowite rozwiązania od tych sprzętowych, jak tokeny kryptograficzne po rozwiązania mobilne służące do silnego uwierzytelniania użytkownika i autoryzacji transakcji.

Na koniec prośba o przygotowanie 5 zasad bezpieczeństwa, których powinien się trzymać każdy pracownik. Taki skrócony poradnik, czego nie robić, żeby nie być narażonym na ataki.

  1. Nie otwieraj podejrzanych linków.
  2. Nie pobieraj załączników z nieznanego źródła.
  3. Czytaj linki ze zrozumieniem.
  4. Dbaj o to, by na stacji roboczej znajdowało się tylko niezbędne oprogramowanie.
  5. Aktualizuj swój system operacyjny i oprogramowanie.

Paweł Bułat. Dyrektor PLC cybersecurity w Comarch. Od 13 lat związany zawodowo z działem bezpieczeństwa IT – sektora Finanse Comarch S.A. W ciągu ostatnich lat współtworzył szereg sprzętowych i programowych rozwiązań bezpieczeństwa dla bankowości korporacyjnej największych polskich i zagranicznych banków. Do najważniejszych przedsięwzięć w jakich brał udział zaliczyć można projekty sprzętowego i softwarowego tokena tPro, komponentów kryptograficznych dla bankowości korporacyjnej czy sensora monitorującego zdalne sesje użytkowników RDP, VDI, SSH dla sektora telekomunikacyjnego. Jest także autorem wielu artykułów o tematyce bezpieczeństwa publikowanych w kraju i za granicą.

Redaktor naczelny w Just Geek IT

Od pięciu lat rozwija jeden z największych polskich portali contentowych dot. branży IT. Jest autorem formatu devdebat, w którym zderza opinie kilku ekspertów na temat wybranego zagadnienia. Od 10 lat pracuje zdalnie.

Podobne artykuły

[wpdevart_facebook_comment curent_url="https://geek.justjoin.it/pojedynczy-pracownik-to-najsilniejsze-ale-i-najslabsze-ogniwo-historia-pawla-bulata/" order_type="social" width="100%" count_of_comments="8" ]