Ty też zostałeś powołany do cyberwojska!

Niniejszy artykuł jest kontynuacją wpisu 'Zostałem powołany do cyberwojska' tego samego autora. Zapraszamy do przeczytania części II, w której Piotr koncentruje się na tym, jak firmy mogą ustrzec się cyberataków przede wszystkim dzięki edukacji swoich pracowników.

Autor: Piotr Nasiłowski, IT Vulnerability Manager, ProData Consult

Pierwsza linia obrony

Ty i Twoi pracownicy jesteście pierwszą i – chyba nie przesadzę, jeżeli powiem, że najważniejszą – linią obrony przed cyberatakami. Bowiem jedną z najczęściej wykorzystywanych i najskuteczniejszych metod dostania się do korporacyjnych systemów IT przez nieuprawnione osoby jest branie na cel jej pracowników. Zatem jak najlepiej przeciwdziałać cyberatakom oraz jak kształtować świadomość, wiedzę i umiejętności pracowników w korporacjach pod względem bezpieczeństwa w sieci?

Security Awareness jest jedną z dziedzin cyberbezpieczeństwa, która właśnie tym się zajmuje. Specjaliści z branży tworzą programy szkoleniowe, które mają na celu zwiększenie „czujności” pracowników oraz ustanowienie wysokiego poziomu świadomości cyberzagrożeń. Bycie świadomym zagrożeń oznacza posiadanie wiedzy o potencjalnych atakach – o tym, że istnieją ludzie, którzy mają na celu kradzież, uszkodzenie lub nadużycie danych przechowywanych w zasobach firmy. Mogą to być zarówno poufne dane o produktach czy pracownikach, ale też dane osobowe klientów czy partnerów biznesowych lub inne dane wrażliwe, których ochrona regulowana jest przez instytucje państwowe lub międzynarodowe (na przykład GDPR, czyli znane nam wszystkim RODO). Bycie „security aware” w kontekście cyberbezpieczeństwa to nie tylko zachowywanie ostrożności, ale też pewnego rodzaju poczucie powinności, wewnętrznego obowiązku zapobiegania wyciekowi informacji poza infrastrukturę informatyczną firmy.

Z niniejszego artykułu dowiecie się jakie błędy najczęściej popełniają użytkownicy oraz jak im zapobiegać, a także jakie obowiązki związane z utrzymywaniem bezpieczeństwa znajdują się po stronie pracodawcy.

pobrane

Cyberzbiry wiedzą, że pracownicy są najsłabszym ogniwem bezpieczeństwa organizacji. Bedą brać na celownik właśnie ich oraz używać wszelkich środków by przez tę właśnie furtkę dostać się do systemów informatycznych oraz danych na nich przechowywanych. 

Żołnierski ekwipunek

Najczęściej popełnianym przez pracowników błędem jest „złapanie się” na phishing, czyli otwarcie niebezpiecznej korespondencji mailowej oraz ściągnięcie z niej złośliwego oprogramowania, nierzadko przez przypadek. Szerzej o phishingu pisałem już w moim poprzednim artykule. Poruszałem w nim między innymi kwestię tego, jak łatwo przeoczyć jakiś szczegół w mailu, który pozwoliłby nam go sklasyfikować jako niebezpieczny. Przejrzałem setki takich maili i – uwierzcie – bywają łudząco podobne do standardowej korespondencji (jeden z nich stał się nawet inspiracją do napisania tej serii artykułów). Aby się uchronić przed tego typu pomyłką, warto zawsze rzucić okiem na nadawcę i zastanowić się, czy na pewno chcemy zaspokoić naszą ciekawość przez kliknięcie w link nie do końca wiadomego pochodzenia.

Zdarza się, że w pracy potrzebujemy poradzić się „wujka Google” w jakiejś palącej sprawie. Natrafiamy na jakiś świetny wzór dokumentu, rozszerzenie pliku się zgadza, ściągamy plik na pulpit… i okazuje się, że nasza stacja robocza została zainfekowana, ponieważ umieszczenie takiego pliku na lokalnym dysku umożliwiło hakerowi wykonanie dalszych działań, np. umieszczenie na dysku malware lub ransomware. Są to wyjątkowo niebezpieczne narzędzia hackerskie – wiele firm, również tych znanych i renomowanych, było ofiarami takiego ataku. Nierzadko za takimi zdarzeniami stoją całe gangi hackerów, które wymuszają na przedsiębiorcach zapłacenie niebotycznych sum pieniędzy za odszyfrowanie plików. Warto zauważyć, że te firmy, które korzystają z komputerowego sterowania produkcją są w takim przypadku całkowicie sparaliżowane i poza okupem muszą liczyć też straty za każdy dzień przestoju.

Wszyscy (jak sądzę) wiemy, że podłączanie się do sieci publicznej, np. w galerii handlowej jest niebezpieczne. Ale dlaczego? Otóż jednym z popularniejszych rodzajów ataków hackerskich jest tzw. Man in the Middle, który polega na podłączeniu się osoby trzeciej do sesji użytkownika. Taka osoba trzecia może wtedy poznać nasz login i hasło, które właśnie wpisujemy na Facebooka lub Instagrama, ale też dane logowania do banku czy jakiejkolwiek innej aplikacji. Dlatego przestrzegam przed korzystaniem z publicznego Wi-Fi, zwłaszcza w zatłoczonych, popularnych miejscach. Użytkownik nie zorientuje się nawet, że coś się dzieje, że robi coś nie tak – a może właśnie wpisuje swoje hasło na stronę podstawioną przez hakera. I z konta znikają pieniądze.

Niemniej skuteczny może być też atak zwany Brute-force. Polega on na zalewaniu witryny setkami tysięcy haseł, a nawet milionami, w celu odgadnięcia tego prawidłowego. Rachunek prawdopodobieństwa sukcesu takiego ataku to osobny temat; powiem tylko, że to naprawdę może się udać. Posiadając czyjś login lub adres e-mail można już podejmować próby. W sieci krąży także coś takiego, jak lista 10 milionów najpopularniejszych haseł, wśród których są takie cuda, jak „123456”, „qwerty”, „password” czy „iloveyou”. Możemy być pewni, że od tej właśnie listy zaczną atakujący. Dlatego zawsze powtarzam do znudzenia: hasło powinno być długie, zawierać znaki specjalne, duże i małe litery i nie być związane bezpośrednio z czymkolwiek z twojego życia – imieniem partnera, datą urodzenia, fragmentem numeru telefonu itd.

Sytuacja może być jeszcze bardziej niebezpieczna, gdy cyberprzestępca wykona tzw. biały wywiad – uzyska o użytkowniku informacje, które są dostępne publicznie w sieci. Mogą to być na przykład dane firmy, którą prowadzisz, twoje imię i nazwisko, data urodzenia, a nawet członkowie rodziny, przyjaciele, współpracownicy (thank you Facebook!). Niekiedy można nawet zbudować całą strukturę oddziału firmy przeglądając listę twoich znajomych – przecież niejedna osoba udostępnia nazwę swojego miejsca pracy. Posiadając takie dane można np. spreparować e-mail od współpracownika i wstawić do niego złośliwy link. Albo umieścić w wiadomości złośliwe oprogramowanie – możliwości jest wiele.

Pamiętajmy też, że korzystając ze stacji roboczej zapewnionej przez pracodawcę nasza nieuwaga, błąd przez nas popełniony może mieć naprawdę fatalne skutki finansowe oraz PR-owe dla firmy.

Prodata Consult

Oficerski obowiązek

A co może zapewnić pracodawca w celu utrzymywania bezpiecznego środowiska IT w przedsiębiorstwie? Wiemy już, na co powinien uważać użytkownik, zajmijmy się zatem tymi czynnościami, które leżą po stronie pracodawcy.

Jeżeli pracujesz tak jak ja w dużej, międzynarodowej korporacji, to na pewno wiesz, że każda taka firma posiada osobny dział IT zajmujący się utrzymywaniem całej infrastruktury informatycznej. W takim dziale znajdują się też osoby odpowiedzialne za cyberbezpieczeństwo i to właśnie ta część IT ma za zadanie implementowanie rozwiązań technologicznych poprawiających poziom bezpieczeństwa w firmie. Wśród oprogramowania, jakie taki dział powinien wdrożyć dla serwerów i stacji roboczych, ale także dla pulpitów zdalnych, można znaleźć zapory firewall, które blokują niechciany ruch sieciowy. Firewall jest niezwykle skutecznym narzędziem zapobiegania włamaniom, niemniej jednak zdarzenia i incydenty „odbijające się” od zapory zawsze muszą być dogłębnie analizowane. Niekiedy bowiem zdarza się, że ruch sieciowy jest jak najbardziej poprawny – np. skaner podatności próbuje dostać się do serwera – a taka zapora go blokuje.

Innym rodzajem oprogramowania, które dział IT powinien zaimplementować dosłownie na każdym elemencie konfiguracji w infrastrukturze jest program antywirusowy. Takie oprogramowanie nie tylko zabezpiecza komputer przed uruchomieniem złośliwego oprogramowania, lecz także blokuje znane wektory ataków hakerskich. Nie przesadzę, gdy powiem, że jest to absolutna podstawa. Inną czynnością związaną z utrzymywaniem bezpieczeństwa jest ustalanie polityki uprawnień: zwróć uwagę na to, że na swojej stacji roboczej nie możesz sam zainstalować wybranego przez siebie oprogramowania. Co więcej – jeżeli zgłosisz zapotrzebowanie na dane narzędzie, musi ono znajdować się na tzw. białej liście (Whitelist) oprogramowania uznanego za bezpieczne. Analogicznie w firmach powinna istnieć także czarna lista (Blacklist) oprogramowania, które do bezpiecznego nie należy.

Pracodawca, a raczej dział IT w firmie, winien wystosować także odpowiednią politykę haseł, czyli ustalać poziom skomplikowania haseł stosowanych w firmie oraz częstotliwość ich zmiany. Przeciętnie powinno się zmieniać hasło co około trzy miesiące. Dobrą praktyką jest też wymaganie przez pracodawcę uwierzytelniania dwuskładnikowego, czyli na przykład potwierdzania na innym urządzeniu (np. smartfonie), że osobą logującą się do systemu jest na pewno osoba do tego uprawniona. Świetnym rozwiązaniem jest także stosowanie tzw. tokenów, czyli niewielkich urządzeń generujących w sposób losowy ciąg cyfr, który po pojawieniu się na urządzeniu jest ważny tylko przez kilkadziesiąt sekund. W ten sposób mamy coś w rodzaju jednorazowego hasła, które za minutę będzie już nieważne i nawet gdy zostanie podejrzane przez nieuprawnioną osobę, nie będzie szans na to, by zostało przez nią wykorzystane.

images

Ciekawostka: gdy kilka razy wprowadzisz błędne hasło do jakiegoś narzędzia, osoba z działu cyberbezpieczeństwa otrzyma odpowiedni alert i zajmie się analizą takiego zdarzenia. Gdy zalogujesz się ze stacji roboczej na jakąś stronę niezwiązaną z pracą – taki alert także zostanie wygenerowany. Takie zdarzenia nazywa się User Behaviour Anomaly (UBA), czyli niestandardowe zachowania użytkowników. Najczęściej są to niewinne sytuacje, niemniej jednak analitycy bezpieczeństwa muszą każdy taki incydent obejrzeć i ocenić czy nie jest to objaw ataku typu Brute-force.

Niesłychanie ważnym elementem utrzymywania bezpieczeństwa w firmie są też filtry antyspamowe. Jeżeli otrzymujemy złośliwy e-mail, ale w ogóle nie ląduje on na naszej skrzynce pocztowej, jesteśmy bezpieczni. Jeżeli taki e-mail dotrze do naszej skrzynki, ale znajdzie się w folderze wiadomości-śmieci – również jesteśmy relatywnie bezpieczni. Niemniej jednak zawsze wtedy istnieje szansa, że ktoś z ciekawości będzie przeglądał taki folder i przypadkowo kliknie w złośliwy link. Najgorszą sytuacją jest, gdy taka korespondencja znajdzie się bezpośrednio w naszej skrzynce odbiorczej – tutaj muszą zadziałać nasze zmysły i podpowiedzieć nam, że z taką wiadomością należy obchodzić się niesłychanie ostrożnie. W takiej sytuacji należy niezwłocznie skontaktować się z działem cyberbezpieczeństwa i ustalić dalsze kroki postępowania.

Informatycy mają za zadanie także kontrolować dostępy oraz uprawnienia użytkowników. Istnieje takie pojęcie jak tzw. toxic combination, a oznacza ono, że jedna z osób w firmie posiada taką kombinację uprawnień do systemów i narzędzi, że mogłaby, gdyby miała takie intencje, wyrządzić znaczne szkody w infrastrukturze IT. Zatem jeżeli ubiegasz się dostęp do jakiegoś narzędzia lub o uprawnienia administratora, a nie otrzymasz ich, to prawdopodobnie dzieje się tak ze względów bezpieczeństwa.

Utrzymywanie aktualnych wersji oprogramowania oraz przeprowadzanie cyklicznych testów penetracyjnych należy również do standardów cyberbezpieczeństwa. Dzięki utrzymywaniu wersji up-to-date jesteśmy pewni, że nowo odkryte tzw. podatności na systemach, czyli pewnego rodzaju słabości, dzięki którym nieuprawniona osoba mogłaby dostać się do systemu, są „łatane” (ang. patch – łata; brzmi znajomo?). Wdrażanie poprawek do systemów jest częścią procesu zarządzania podatnościami, który jest tematem na osobny artykuł. Testy penetracyjne polegają natomiast na kontrolowanych próbach włamania się do systemów korporacyjnych – raporty z takich testów są niesłychanie cenne, chociaż same testy są niezwykle pracochłonne. Najczęściej wykonuje się je na tych elementach konfiguracji, które są najważniejsze dla funkcjonowania biznesu (tzw. critical systems lub crown jewels), ponieważ zabrakłoby czasu na przetestowanie wszystkich systemów.

Akademia wojskowa

No dobrze. Omówiliśmy już najgorętsze zagadnienia. Ale jak efektywnie zbudować program Security Awareness w firmie? Chyba nie ma na to jednoznacznej odpowiedzi, niemniej jednak moje obserwacje i doświadczenia podpowiadają mi kilka ciekawych spostrzeżeń na ten temat. Po pierwsze, warto jest zbadać poziom świadomości pracowników w zakresie cyberbezpieczeństwa przed podjęciem jakichkolwiek dalszych działań. Można to zrobić na przykład przeprowadzając symulację popularnych ataków phishingowych, czy też przeprowadzając ankiety badające podatność użytkowników na rozmaite socjotechniki. Rezultatem takich praktyk powinien być raport, na podstawie którego można zacząć budować strategię oraz konkretną treść szkolenia Security Awareness dla firmy.

Aby program Security Awareness przynosił efekty, powinien być zgodny z politykami compliance firmy, ale też z obowiązującymi obecnie regulacjami prawnymi, zarówno tymi krajowymi, jak i międzynarodowymi. Musi także podlegać cyklicznym audytom oraz ciągłemu monitoringowi. Niestety bez tego ani rusz. Taki program powinien także być budowany oraz wspierany przez wyższy management – obecność przełożonych zawsze podnosi prestiż oraz zwiększa motywację pracowników do wzięcia udziału w szkoleniu.

cybersecurity-assessments-for-deltav-systems

Ludzie uczą się na przykładach, więc taki przykład należy im dawać na co dzień. Jeżeli wyższy management będzie zaniedbywał zasady bezpieczeństwa, jego pracownicy również będą je lekcewazyć.

Szkolenie z tego zakresu, jak i z każdego innego powinno dostarczać wiedzę efektywnie oraz być dostosowane do różnego typu odbiorców z poszczególnych działów firmy. Dzięki temu każdy odbiorca otrzyma porcję wiadomości dostosowaną do niego i nie będzie musiał samodzielnie selekcjonować informacji. Co jakiś czas należy także sprawdzać poziom świadomości pracowników na bieżąco przez organizację testowych kampanii phishingowych, kampanii socjotechnicznych i tym podobnych. Stan idealny otrzymujemy, gdy żaden z pracowników „nie połknie przynęty”. Nie muszę chyba dodawać, że program Security Awareness powinien być przyjemny w odbiorze, z ciekawie skomponowanym kontentem, w taki sposób, aby skupić uwagę odbiorcy i zaciekawić go – tak jak ten artykuł 🙂

 

Na koniec – oto podstawowe zagadnienia, o których każdy pracownik powinien pamiętać:

  • Znajomość natury materiałów, danych wrażliwych, z którymi ma na co dzień kontakt – np. tajemnice handlowe, dane osobowe lub inne informacje niejawne.
  • Znajomość szczegółowych obowiązków pracowników i partnerów biznesowych w zakresie dostępu do poufnych, wrażliwych danych – najlepiej spisane w formie NDA (Non Dosclosure Agreement).
  • Wymagania dotyczące prawidłowego obchodzenia się z materiałami o charakterze poufnym, takie jak np. stosowne oznaczenia, sposoby przesyłania, przechowywania i usuwania danych (także należące do NDA).
  • Metody ochrony poufnych informacji w systemach komputerowych, takie jak np. polityka haseł, uwierzytelnianie dwuskładnikowe i tym podobne.
  • Metody wyłudzania, kopiowania, niszczenia, szyfrowania danych przez osoby do tego nieuprawnione (np. malware, phishing) oraz sposoby przeciwdziałania takim atakom.
  • Bezpieczeństwo w miejscu pracy, czyli dostęp do budynku, identyfikatory pracowników, zgłaszanie incydentów, polityka przedmiotów zabronionych w miejscu pracy.
  • Potencjalne konsekwencje nieodpowiedniej ochrony informacji, takie jak utrata zatrudnienia, konsekwencje ekonomiczne dotykające firmę, szkody osób trzecich, których poufne dane zostały skompromitowane, a także konsekwencje cywilnoprawne a nawet karne.

 

 

---- z żołnierskim pozdrowieniem,

Piotr Nasiłowski

Prodata Consult

O autorze:

Piotr Nasiłowski

Z ProData Consult związany od ponad roku. Ekspert i pasjonat cyberbezpieczeństwa. Tematem na drodze zawodowej zajmuje się od 2014 r. Obecnie student studiów doktoranckich Szkoły Głównej Handlowej w Warszawie.

Chcesz pracować jako niezależny konsultant IT?

Daj się połączyć z najlepszymi projektami na rynku!