Nawigacja

Topnews

Menu kategorii

Artykuły eksperckie 2016

Tworzymy cybertarczę

Wyzwania dla cyberbezpieczeństwa jeszcze nigdy nie były tak poważne. Łącznie w 2015 r. na całym świecie doszło do 8,2 mld cyberataków, o 73 proc. więcej niż rok wcześniej. Istotny wzrost nastąpił także w incydentach obsługiwanych przez działające w NASK Narodowe Centrum Cyberbezpieczeństwa (NC Cyber) w 2016 roku.

Systemy NC Cyber do automatycznej analizy malware zidentyfikowały 3344 prawdopodobnych adresów serwerów zarządzania botnetami na świecie. I wszystko wskazuje na to, że zagrożeń będzie przybywać. W zgodnej opinii specjalistów, jesteśmy świadkami raczej początkowej fazy rozwoju przestępczości internetowej. Jej dojrzałą postać ujrzymy dopiero za jakiś czas. Podobnie rzecz się ma z działalnością hakerską na usługach rządów państw oraz terrorystów. Powinniśmy więc równie dynamicznie rozwijać środki zaradcze - zgodnie z przyjętym planem strategicznym i wykorzystując sprawdzone już modele współpracy i koordynacji działań.

Istotnym źródłem zagrożeń jest gwałtownie rosnąca liczba urządzeń podłączonych do internetu i oferowanych za pomocą sieci usług. Użytkownicy, poza wąskim gronem specjalistów, przeważnie nie są w stanie na bieżąco śledzić wszystkich doniesień dotyczących zagrożeń ani w porę im przeciwdziałać. Sytuacja jest trudna także z tego powodu, że wiele firm i instytucji, również w kluczowych branżach (energetyka, ochrona zdrowia, usługi komunalne) jest technologicznie zapóźnionych. Muszą korzystać z nowych możliwości telekomunikacyjnych - poprawia to wydajność ich pracy. Jednak, podłączając się do sieci, wystawiają się na ryzyko, ponieważ nie są w stanie stawić oporu nowoczesnym metodom ataku. Z drugiej strony nowe urządzenia  również mogą być podatne na atak, jeśli w ich konstrukcji lub oprogramowaniu kryje się luka, przeoczona przez producenta. Dynamika rynku narzuca zawrotne tempo przy opracowywaniu i wprowadzaniu na rynek nowości elektronicznych. Czasem odbywa się to kosztem bezpieczeństwa. Projektując urządzenie, inżynierowie skupiają się na ułatwieniu obsługi i poszerzeniu oferty usług, dostępnych za jego pośrednictwem, a zabezpieczenia traktują jako dodatek, niekoniecznie priorytetowy. Takie działanie sprawiło, iż  kamery monitoringu stały się niedawno głośnym narzędziem ataków przeciążeniowych (DDoS), gdy wykorzystano je do stworzenia botneta MIRAI. To oczywiście tylko jeden z przykładów.

Nie intensywność, ale systematyczność

Podobnie jak w przypadku dbania o kondycję fizyczną, dbanie o cyberbezpieczeństwo wymaga bardziej systematyczności niż intensywności. Nie wystarczy raz kupić i zainstalować nawet najdroższe oprogramowanie antywirusowe, żeby mieć spokój raz na zawsze. Trzeba planować w każdym budżecie okresowe kontrole bezpieczeństwa, zlecane specjalistom. Poza tym warto zapewnić sobie możliwość  skorzystania z profesjonalnej pomocy i wsparcia. W takich sytuacjach, zwłaszcza w mniejszych firmach, sprawdza się model usług nazywany SAAS (security as a service). Koszt dla firmy jest wtedy mniejszy niż w przypadku utrzymywania własnych zasobów kadrowych i oprogramowania, bo wykorzystanie profesjonalnego wsparcia jest uzależnione od potrzeb.

Niestety, stuprocentowych zabezpieczeń nie ma. Producenci sprzętu, nauczeni smutnym doświadczeniem, coraz większą wagę przywiązują do kwestii bezpieczeństwa. Jednak nie wszyscy. Zresztą nawet ci, którzy troszczą się o zabezpieczenia, niekiedy popełniają błędy. W rezultacie technologie niezawodne są takimi tylko do chwili, kiedy ktoś odkryje lukę, czyniącą je podatnymi na atak. Wszystkie szanujące się firmy wytwarzające oprogramowanie, wypuszczają aktualizacje, stale poprawiając swoje produkty i usuwając błędy, których wcześniej nie zauważyli. Luki w oprogramowaniu, które mogą wykorzystać hakerzy, są zresztą przedmiotem handlu. Bywa że osoba, która odkryje lukę, zgłasza ją do producenta, często otrzymując w zamian nagrodę pieniężną. Ale może też przekazać informację o niej przestępcom, którzy prawdopodobnie zapłacą więcej. Organizacje przestępcze niekiedy wręcz zatrudniają etatowych analityków, poszukujących słabych punktów w zabezpieczeniach serwerów i innych urządzeń.

Obok zawodnych elementów technicznych są też błędy ludzkie. A czasem nie błędy, a zwyczajne zachowania, zwiększające zagrożenie. Należy szkolić pracowników i egzekwować procedury bezpieczeństwa. Ale nigdy nie ma gwarancji, że infekcja malwarem nie dostanie się do naszej sieci przez czyjś pendrive, dane pobierane z chmury lub prywatną pocztę, sprawdzaną przez pracownika na służbowym urządzeniu lub z pozornie zaufanej strony internetowej. Rezultat jest taki, że ataki występują powszechnie. W ubiegłym roku zespół CERT Polska (Computer Emergency Response Team), wchodzący w skład Narodowego Centrum Cyberbezpieczeństwa (NC Cyber) odnotował  7275 zgłoszeń o podejrzanych aktywnościach. W 1926  przypadkach okazało się, że stanowiły one faktyczne naruszenie bezpieczeństwa, w tym związane z kradzieżą danych, podszywaniem się pod cudzą tożsamość, infekowaniem złośliwym oprogramowaniem.

W zaufanej grupie bezpieczniej

Doświadczenia, nie tylko polskie, pokazują, że najskuteczniejszą obroną przed poważnymi atakami jest gromadzenie specjalistycznej wiedzy i wymienianie się nią w gronie potencjalnych ofiar. Jeśli jeden podmiot padnie ofiarą hakerów, może ostrzec innych, którzy w ten sam sposób zaatakować już się nie dadzą. Przykładem takiego działania jest historia niedawnego poważnego ataku na system bankowy, który został wykryty w Polsce. Eksperci NASK po otrzymaniu zgłoszenia i identyfikacji problemu, mogli natychmiast wesprzeć odpowiednie służby oraz samych zainteresowanych w odkryciu drogi ataku i przerwaniu go, a jednocześnie ochronie tych firm, które jeszcze się nie zainfekowały.

Następnie za pośrednictwem NC Cyber informacja o tej konkretnej formule działania przestępców została przekazana służbom w innych krajach. Dzięki ekspertyzie polskich specjalistów i szybkiemu powiadomieniu zagranicznych instytucji, udało się w kilku krajach uniknąć poważnego zagrożenia dla banków. W wielu innych przypadkach NC Cyber – poprzez działający w nim zespół CERT Polska - powiadamiany przez CERT-y z innych państw o występujących incydentach poza granicami naszego kraju, dzięki czemu możemy przygotować się na skuteczne zapobieganie potencjalnym atakom skierowanym na różne sektory działalności naszego państwa.

Ten rodzaj współpracy konieczny jest na każdym szczeblu. Powinniśmy dzielić się informacjami o zaistniałych oraz potencjalnych zagrożeniach w obrębie branż, na poziomie krajowym oraz w sieci międzynarodowej. Unia Europejska stymuluje taką współpracę. Ma temu służyć powołanie krajowych centrów koordynacyjnych we wszystkich państwach członkowskich, wymagane przez obowiązującą od ubiegłego roku dyrektywę NIS. Takim ośrodkiem w Polsce jest właśnie NC Cyber w NASK.

Nie łudzimy się, że współpraca na początku zawsze jest łatwa. Istnieje naturalny opór przed dzieleniem się informacjami o zagrożeniach. W szczególności firmy niechętnie przyznają, że padły ofiarą ataku. Ujawniając tak poważny problem innym przedsiębiorstwom, ryzykują zachwianie reputacji lub to, że konkurencja wykorzysta tę wiedzę jako oręż do walki rynkowej. Rozwiązaniem jest neutralny pośrednik - instytucja niezależna, która nie stanowi rynkowej konkurencji a zarazem dysponuje fachowym zapleczem, pozwalającym przeanalizować zagrożenie i przekazać ostrzeżenie innym w taki sposób, aby nie zaszkodzić rynkowej pozycji podmiotu zgłaszającego atak. Praktyka pokazuje, że  zgłaszanie niepokojących zdarzeń do NC Cyber daje dobre efekty w ochronie konkretnego podmiotu czy też całego sektora. Statystycznie na jedno zgłoszenie problemu, współpracujący z nami administrator sieci otrzymuje dziewięć ostrzeżeń co do możliwych innych zdarzeń. Ten system jest stale rozbudowywany i udoskonalany, również z wykorzystaniem doświadczeń naszych zagranicznych partnerów.

W tym momencie trwa walka między światem przestępczym a branżą cybersecurity. Arsenałem w tej walce są informacje. Pomysłowość hakerów przeciwstawiona jest zbiorowej czujności analityków bezpieczeństwa i ich umiejętności współpracy. W pojedynkę niewiele można zdziałać.

Wojciech Kamieniecki

Autor pełni funkcję Dyrektora instytutu badawczego NASK, w którym działa Narodowe Centrum Cyberbezpieczeństwa

Wywiad z Dyrektorem Wojciechem Kamienieckim ukazał się w Rzeczpospolitej Cyfrowej.

do góry