Bezpieczny przedsiębiorca

Czy taki przedsiębiorca w ogóle istnieje? Może powinniśmy nazwać go przedsiębiorcą świadomym albo rozważnym? Co robi rozważny, jak zachowuje się świadomy? Aby odpowiedzieć na te pytania, warto sprawdzić, jak wygląda dziś wirtualny świat po wszystkich stronach barykady. Zapraszam na spacer. Krok po kroku spróbuję wyjaśnić: co, gdzie i dlaczego.

Świadomie bądź nie przeprowadził ją każdy nadal aktywny przedsiębiorca wykonując poważne zestawienia zagrożeń, prawdopodobieństwo ich wystąpienia i skutek, jaki mogą mieć na jego biznes. Inni być może rozpoczęli działalność w myśl idei: byle wyjść na „zero”, później się zobaczy... Wątpię, czy nadal należą do grona obecnych na swoim rynku.
Zastanawiam się, ilu z tych bardziej świadomych przedsiębiorców dokonało analizy ryzyka pod kątem zagrożeń obecnych w tzw. „sieci”, a ilu dodatkowo zastanowiło się, jak cenne posiada dane, zarówno w swojej ocenie i osób które pragną je zdobyć.

Statystyki
Skalę ataków można rozpatrywać z kilku punktów widzenia. Inaczej wygląda natężenie ataków ze względu na cel, motywację i wektor. Najnowsze statystyki opisujące spektrum zagrożeń cybernetycznych podają, że:
•    41% procent ataków było wycelowanych w duże przedsiębiorstwa (2500+ pracowników);
•    25% w średnie (251-2500 pracowników);
•    34% w małe (1-250 pracowników).
Najbardziej niepokojące wydają się być motywy ataków cyberprzestępców. Od wielu lat obserwujemy wprawdzie tylko 4 kategorie motywów i to pozostaje bez zmian. Jednak już zmiany udziałów procentowych w każdym z nich powinny dać nam do myślenia.  
Czerwiec 2017 nie różnił się od innych, poprzedzających go miesięcy tego roku. Nadal prym wiodły przestępstwa cybernetyczne i atrakcyjne finansowo zlecenia, które stanowiły dla nich wyzwalacz. 68,8% to zacny wynik. Nasuwają się automatycznie pytania: kto, komu, ile?
Sytuacja zmieniła się w grudniu ubiegłego już, 2017 roku. Cyber przestępstwa osiągnęły najwyższy w historii udział 84,6% motywów badanych ataków.
Cyber wojny niemal zniknęły, haktywizm zmniejszył się o połowę, cyber szpiegostwo spadło o ponad 30% w stosunku do czerwca. Natomiast cyber przestępstwa osiągnęły najwyższy wynik w 2017 roku.
Od wielu lat liderem wśród ataków hackerskich jest socjotechnika, czyli inteligentna forma wywierania wpływu na ludzkie zachowanie. Ponadczasowe stały się słowa słynnego hackera Kevina Mitnicka który „łamał ludzi a nie hasła”. Posługując się socjotechniką przestępcy wykorzystują cenne umiejętności psychologiczne wymuszając określoną reakcję ofiary. Sprowadza się to zazwyczaj do wysłania fałszywej wiadomości  e-mail. Nieświadomy użytkownik klikając w link umieszczony w treści wiadomości lub otwierając zainfekowany załącznik „oddaje” swój komputer w ręce przestępców. W innym przypadku będzie to miła pogawędka na portalu społecznościowym, której celem będzie uśpienie naszej czujności i pozyskanie cennych informacji z naszego życia codziennego. To nierzadko pozwala np. na złamanie hasła dostępu do naszego komputera. Dlatego tak ważne jest, aby wyrobić sobie zdolność oceny wartości informacji i nawet w gorącej sytuacji zachować chłodny umysł. Musimy pamiętać, że złośliwy socjotechnik dysponuje wyrafinowanymi zdolnościami, przed którymi naprawdę ciężko się obronić.
To tylko, a czasem aż, preludium do dalszych działań. Oprócz socjotechniki hackerzy często wykorzystują słabości systemów teleinformatycznych wcześniej dokonując tzw. skanowania tych systemów. Działanie to można porównać do wizyty u lekarza, z tą jednak różnicą, że celem diagnozy lekarskiej nie byłoby wyleczenie pacjenta, a raczej jego uśmiercenie dzięki wykorzystaniu wykrytych chorób (podatności).  

„Cyber celebryci”
Nie ulega wątpliwości, że cyberprzestępczość rośnie na całym świecie i uderza we wszystkie gałęzie przemysłu. Podczas gdy postęp do technologii zwiększył produktywność i wydajność przedsiębiorstw, jednocześnie wzrosła podatność na ataki cybernetyczne, na które dzisiaj żadna organizacja nie jest całkowicie odporna.

Według statystyk, 5 obszarów, które są na szczycie listy cyberprzestępców to:
•    Przemysł medyczny (w tym opieka zdrowotna)
Średnio każdy skradziony rekord każdego pacjenta to wartość około 650 pln, która obejmuje naruszenie danych osobowych, przestój w działalności, szkody wizerunkowe, spory sądowe i straty biznesowe. Natomiast koszt udaremnienia takiego cyberataku to około 23 pln za rekord pacjenta. Te wartości przekonują, że zwiększenie ochrony się opłaca.

•    Usługi finansowe
Niespodzianka! Sektor finansowy już nie jest numerem jeden na celowniku agresywnie usposobionych operatorów Kali-Linux. Sytuacja zmieniła się mniej więcej od 2015 r. po serii spektakularnych ataków na tę branżę. Od tego czasu inwestycje w zabezpieczenia stały się numerem jeden w większości budżetów instytucji finansowych. Dzięki temu obecnie coraz więcej ataków jest udaremnianych już na wczesnym etapie tzw. sieciowego rekonesansu.

•    Produkcja i wytwarzanie
Przemysł wytwórczy stale rozwija listę branż o podwyższonym ryzyku cyberprzestępczości. Hakerzy zdają sobie sprawę z atrakcyjności, wartości i wrażliwości sektora produkcyjnego. Sektor ten jest bardziej podatny na cyberprzestępstwa, ponieważ firmy produkcyjne nie do końca zdają sobie sprawę z wagi bezpieczeństwa cybernetycznego. Nie są w pełni gotowe i wyposażone, aby poradzić sobie z nimi. Przestępcy wiedzą doskonale, jaką wartość przedstawiają informacje nt. patentów, tajemnic handlowych i własności intelektualnej.

•    Instytucje rządowe (oraz wspierający je usługodawcy)
To kolejny gorący cel cyberprzestępców. Informacje płynące z mediów często sygnalizują, iż za atakami na instytucje rządowe stoją konkurujące ze sobą mocarstwa, których celem jest skomplikowanie sytuacji politycznej prowadzącej do poważnych konfliktów. W obliczu takich zagrożeń instytucje rządowe niczym nie powinny różnić się od przedsiębiorców – najlepszą drogą jest wdrażania programów bezpieczeństwa cybernetycznego i jednoczenie sił.

•    Sektor prawny
Sektor prawny jest nadal łatwym celem cyberprzestępców. Hakerzy zdali sobie sprawę ze znaczenia firm prawniczych oraz krytycznych danych i informacji, które posiadają o swoich klientach, od małych do dużych organizacji. Nie ulega wątpliwości, że firmy prawnicze przechowują poufne informacje na temat swoich klientów, takie jak informacje o patentach i sporach sądowych, dane finansowe oraz dokumenty dotyczące fuzji i przejęć.
Niestety, w większości firm prawniczych brakuje solidnego zabezpieczenia cybernetycznego. Cyberprzestępcy czerpią z tego korzyści. Dlatego, gdy system bezpieczeństwa firmy powstrzyma atak przeprowadzany przez hakerów, przestępcy w kolejnym kroku skierują swoją uwagę na firmę prawniczą obsługującą danego przedsiębiorcę. Hakerzy wiedzą, że pozyskanie informacji, których szukają będzie łatwiejsze od firmy prawniczej, która obsługuje ich firmę docelową, a przy tym nie tracą cennego czasu na przełamywanie silnych zabezpieczeń technologicznych…


Najlepszą obroną jest – zdrowy rozsądek
Panuje powszechne przekonanie że na ataki hackerskie narażone są duże koncerny i instytucje finansowe, które są właścicielami cennych aktywów. Osobiście rozszerzyłbym ten zakres, bo… na takie ataki narażeni są wszyscy – począwszy od gigantycznych korporacji, a na przysłowiowym Kowalskim kończąc. Zagrożenia i metody ataku są identyczne we wszystkich przypadkach, różnią się jedynie skalą i skutkami. W przypadku użytkowników domowych będzie to np. bezpowrotna utrata danych zgromadzonych na dysku komputera, czy kradzież tożsamości elektronicznej. Natomiast w przypadku przedsiębiorstw musimy się liczyć z potencjalną stratą w postaci kradzieży własności intelektualnej, przestoju linii produkcyjnej i straty finansowej, skończywszy na utracie wizerunku biznesowego.
Ciężko jest podać receptę na skuteczną obronę przed zagrożeniami cybernetycznymi. Każdy przypadek należałoby rozpatrywać indywidualnie. Są przedsiębiorstwa, które kładą większy nacisk na podnoszenie świadomości wśród użytkowników, bo w nich upatrują największą słabość swoich systemów, ale są też tacy, którzy uważają, że użytkownik zawsze zawiedzie i największy nacisk kładą na zabezpieczenie infrastruktury. Osobiście uważam, że nawet inwestycja w jedno i drugie nie pozwoli nam zabezpieczyć się w 100%, ale na pewno wysoce wzmocni naszą odporność na atak. Niestety mam też złą informację: każdego można złamać – to tylko kwestia czasu. Czasu przeznaczonego na socjotechnikę i prace ręczne (mam na myśli czas spędzony przy klawiaturze i terminalu).
Uważam, że najskuteczniejszą formą ochrony jest wzmacnianie najsłabszego ogniwa w łańcuchu zabezpieczeń. Uświadamianie pracowników to proces konieczny na drodze podnoszenia poziomu bezpieczeństwa przedsiębiorstwa, dlatego powinien być przeprowadzany cyklicznie. Forma szkoleń jest dowolna, ale musi być dobrana adekwatnie do ról, które pełnią pracownicy. W konsekwencji pracownicy biurowi, którzy mają styczność z komputerem, powinni być przeszkoleni z zagrożeń, z którymi mogą spotkać się na co dzień obsługując pocztę, przeglądarki internetowe, czy pamięci zewnętrzne. Szkolenia te powinny w sposób przejrzysty obrazować zagrożenia i ich konsekwencje również dla „nietechnicznego” użytkownika. Dodatkowym punktem szkolenia powinny być aspekty prawne dotyczące informacji przetwarzanych w systemach informatycznych. Przedsiębiorca może takie szkolenia przeprowadzić własnymi siłami dedykując do tego zdania np. IOD (RODO) oraz przedstawiciela IT.
Inaczej wygląda kwestia szkoleń dla pracowników technicznych. W tym obszarze doskonalenie umiejętności jest niezbędne nie tylko ze względu na bezpieczeństwo, ale przede wszystkim z uwagi na konieczność sprawnej obsługi zasobów IT. Szkolenia te z reguły nie należą do tanich, dlatego wielu pracodawców preferuje samokształcenie swoich administratorów m.in. obawiając się odejścia  inżyniera do innego pracodawcy po wcześniejszym solidnym wyszkoleniu. Myślę, że te kwestie można uregulować z pracownikiem stosownymi umowami, a następnie inwestować w jego wiedzę, gdyż to właśnie dzięki IT funkcjonuje obecnie większość przedsiębiorstw...  
Wspaniałomyślność pracodawcy byłaby tym większa, jeśli zainwestowałby w budowę środowiska testowego czy laboratorium, w którym można by ugruntować wiedzę zdobytą na szkoleniach a jednocześnie testować własne optymalizacje i poprawki zanim zostaną zaimplementowane w systemach produkcyjnych.
Chcemy, czy nie, jednak najsłabszym ogniwem wciąż pozostaje człowiek ze swoimi słabościami i przyzwyczajeniami. Niezwykle istotne jest, aby mu pomóc poprzez definiowanie sprawdzonych i skutecznych wzorów zachowań w postaci polityk bezpieczeństwa. Można to zrobić m.in. przez zapewnienie dokumentacji zawierającej metodykę postepowania w określonych sytuacjach. Dokumentacja taka może być opracowana na podstawie własnych sprawdzonych praktyk lub zlecona specjalistom, którzy na podstawie swojego doświadczenia dostosują sprawdzone standardy do każdej organizacji i wdrożą je zachowując ergonomię pracy. Jest to bardzo istotne, ponieważ bezpieczeństwo często kojarzone jest ze sporymi ograniczeniami i brakiem elastyczności.
Kolejnym krokiem na drodze do budowy filarów bezpieczeństwa jest wdrożenie odpowiednich zabezpieczeń technologicznych wyposażonych w mechanizmy stałego monitoringu ruchu w sieci teleinformatycznej oraz procesów produkcyjnych. Obecnie w większości firm, w których występują linie produkcyjne, są one sterowane numerycznie, co zwiększa ryzyko ataku hackerskiego.
Wysoka świadomość ludzka i odpowiednie zabezpieczenia technologiczne to warunki konieczne, ale nie wystarczające. Jednak jak w każdym zegarku, aby mechanizm pracował bez zarzutu, potrzebna jest jego regularna konserwacja. W przypadku zagrożeń cybernetycznych konserwacja sprowadza się do kilku form doskonalenia. Przede wszystkim wdrożenie odpowiednich technologii nie kończy się na jednorazowym zabiegu. Z godziny na godzinę przybywa nowych zagrożeń. W związku z czym systemy muszą być regularnie „tunningowane”. W tym celu przeprowadza się okresowe kontrole ich poziomu bezpieczeństwa zwane potocznie pentestami. Polegają one na kontrolowanej formie ataku, w konsekwencji którego właściciel sytemu dowiaduje się, co należy zrobić, aby utrzymać wysoki poziom zabezpieczeń. Inną forma doskonalenia jest przeprowadzanie regularnych szkoleń pracowniczych również w formie kampanii antyphishinogwych, na których pracownicy poznają aktualne metody ataków oraz otrzymują wskazówki, jakich błędów należy unikać.
Budując cybernetyczną twierdzę nie możemy zapomnieć o danych osobowych. Wprawdzie są przetwarzane głównie w systemach informatycznych, jednak spora ich część znajduje się poza nimi. Do stworzenia rekomendacji w tym obszarze z pewnością pomocny będzie specjalistyczny audyt przeprowadzony w ramach szeroko pojętego compliance, w tym bezpieczeństwa systemów informatycznych. Skupiając się na audycie infrastruktury informatycznej, która przetwarza dane osobowe, chciałbym podkreślić, że należy je przeprowadzać cyklicznie, a na pewno po każdej znaczącej zmianie w systemach informatycznych. Jaka zmiana jest znacząca, na to pytanie każdy z nas powinien sam odpowiedzieć przy sporządzaniu cyklicznej analizy ryzyka systemów informatycznych. Sam proces audytu, niezależnie przez którą stronę jest wykonywany, powinien wynikać z wdrożonej w przedsiębiorstwie polityki bezpieczeństwa.
W obszarze zgodności z polskim prawem administrator danych osobowych powinien mieć pewność, że dane, których jest właścicielem oraz te, które na podstawie umowy powierzył przetwarzaniu, są przetwarzane zgodnie z Ustawą o Ochronie Danych Osobowych, a niebawem z  Europejskim Rozporządzeniem o Ochronie Danych Osobowych (RODO).
Zabezpieczenia to jednak nie tylko szkolenia uświadamiające użytkowników i zakup specjalistycznych narzędzi. To ciężka praca związana z prawidłowym wdrożeniem i utrzymaniem środowiska, które zbudujemy. Ciągły monitoring i sprawdzone procedury reagowania na zagrożenia to „połowa” sukcesu. Pozostaje jeszcze konieczność wymiany informacji o zagrożeniach z innymi instytucjami oraz oczywiście trochę szczęścia.

2020
W niedalekiej przyszłości również użytkownicy domowi doświadczą ataków cybernetycznych na urządzeniach codziennego użytku, czyli tzw. Internecie rzeczy (z ang. Internet of Things: IoT). Już teraz spotykamy urządzenia wyposażone w zaawansowaną elektronikę, którą można zarządzać przez Internet (lodówki, kuchenki, telewizory). Atak wymuszający ich przesterowanie skutkujące np. trwałym wyłączeniem to kwestia czasu. Internet rzeczy to również urządzenia wykorzystywane w medycynie. Są to wszelkiego rodzaju automaty dozujące lekarstwa, czy podtrzymujące procesy życiowe. Atak na te urządzenia mógłby być poważnym zagrożeniem i jednocześnie wyzwaniem dla producentów implementujących dedykowane zabezpieczenia.
Sektor przemysłowy na pewno powinien obawiać się ataku na swoje linie produkcyjne i nadzorujące je systemy SCADA. W momencie ataku na elektrownię w takim przypadku konsekwencje byłyby odczuwalne nie tylko dla samego producenta, ale również dla jego klientów czy odbiorców.
Znane są przypadki, w których Stuxnet (robak komputerowy), dedykowany dla konkretnych sterowników urządzeń, spowodował wielogodzinne przerwy w dostawie prądu. Jego działanie jest niebezpieczne, ponieważ jest w stanie tak przesterować pracę urządzeń, że doprowadza do ich fizycznego uszkodzenia.

To nie jest pesymistyczna wizja. To chłodna i realistyczna ocena obecnej sytuacji oraz najbliższej przyszłości. Taka jest też cena (r)ewolucji technologicznej, bez której dziś już ciężko nam sobie wyobrazić nasze życie i pracę.
Oczywiście coraz większa świadomość przedsiębiorców przekłada się na rosnącą liczbę chętnych do skorzystania z pomocy w przypadku uszkodzenia i zniszczenia danych, utraty ciągłości działania, czy strat wizerunkowych. O tym, że z pomocą mogą im przyjść towarzystwa ubezpieczeń, czy inżynierowie oceny ryzyka, wie też już coraz więcej brokerów i ich klientów. Praca u podstaw trwa – jej celem jest przede wszystkim uświadomienie, że również w obszarze ubezpieczeń możemy i powinniśmy szukać realnego zabezpieczenia przed wirtualnym atakiem.

Autor: Dariusz Włodarczyk, ekspert ds. Cyberbezpieczeństwa Hestii Loss Control