Zabawa w kotka i myszkę. Rozmowa z Piotrem Koniecznym

„Porzućcie wszelką nadzieję, którzy tu wchodzicie”. W 2020 roku słowami wprost ze średniowiecznego poematu mógłby witać internet, który dla nieświadomych jego zagrożeń, może okazać się piekielnie groźny. Bo czy obecnie w kontekście funkcjonowania w sieci w ogóle możemy mówić o „bezpieczeństwie”? Czy raczej o tym, co możemy zrobić, by zminimalizować ryzyko ataku?

Po ciemnych zaułkach internetu oprowadza nas Piotr Konieczny – ekspert ds. bezpieczeństwa sieciowego, założyciel Niebezpiecznik.pl, firmy szkoleniowej i doradczej konsultującej projekty informatyczne pod kątem bezpieczeństwa, wykonującej audyty i testy penetracyjne systemów teleinformatycznych.

 
Jak bardzo źle jest z bezpieczeństwem cyfrowym polskich firm?
Odpowiem przewrotnie. Tak samo źle jak z bezpieczeństwem firm zagranicznych. Każdemu przytrafiają się ataki. W ostatnich latach widzieliśmy udane włamania zarówno do dużych i małych firm z Polski, jak i dużych, i małych firm zagranicznych. Internet zresztą nie ma granic. Dość dobitnie pokazał to przypadek robaka WannaCry* i później NotPetya**. Oba zagrożenia zaczęły się poza Polską, ale po kilkunastu minutach padły też komputery w niektórych miejscach w naszym kraju. Zwłaszcza NotPetya pokazał, że atak jednego państwa (Rosji) na drugie (Ukraina) może spowodować szkody poza granicami kraju-ofiary. Wiele polskich firm mających odnogi w Ukrainie zostało wtedy zainfekowanych, bo – mówiąc obrazowo – komputery w Polsce widziały te ukraińskie tak samo jak te z pokoju zza ściany.
 

Złośliwe oprogramowanie nie potrzebuje wiz i paszportów, i porusza się szybciej niż jumbo jet.

 
O tym, w jakich obszarach firmy mają największe problemy, dowiadujecie się przeprowadzając na zlecenie tych firm testy penetracyjne, symulujące prawdziwe ataki. Z Waszego doświadczenia – jakie są najpopularniejsze luki w zabezpieczeniach polskich firm?
Każda firma ma dwa grzechy. Pierwszy, to dług technologiczny i brak regularnego czuwania nad infrastrukturą. Drugi, to zapominanie, że nawet najlepiej zabezpieczone oprogramowanie i najnowszy sprzęt nic nie dadzą, jeśli nie uświadomi się pracowników, o co chodzi w tym całym bezpieczeństwie i na co, dlaczego oraz jak należy reagować.
Na styku tych dwóch grzechów od lat rozwija się tzw. ransomware, czyli złośliwe oprogramowanie, które – jeśli nieprzeszkolony pracownik kliknie nie tam, gdzie powinien – rozpocznie szyfrowanie plików na jego komputerze. I byłoby to nieistotne zdarzenie, bo przywracamy kopie bezpieczeństwa i po 3 godzinach wszystko wraca do normy, ale… dług technologiczny powoduje, że zasoby sieciowe, do których podpięty był zaatakowany komputer, nie były odpowiednio skonfigurowane i tam też utracono dane. W dodatku, sieć nie była posegmentowana, a najnowsze urządzenia kupione za dziesiątki tysięcy złotych nie zostały poprawnie skonfigurowane i ransomware rozprzestrzenił się po całej firmie, a często także po systemach podwykonawców. To już jest tragedia.
W Polsce mamy mniej „dużych” firm działających na międzynarodową skalę. Dlatego ataki ransomware’em na nasze spółki na razie nie powodują tak dużych strat jak np. w USA czy Skandynawii (przypadek Norsk Hydro***), gdzie straty idą w setki milionów dolarów.
Czego przedsiębiorcy mogą obawiać się najbardziej? Jakie są podatności stanowiące największe zagrożenie dla małych firm?
Przedsiębiorcy powinni zrozumieć, że bezpieczeństwo to proces, a nie produkt. Ono kosztuje, ale nie da się kupić magicznego pudełka za 50 tysięcy złotych i mieć spokój na kilka lat. Bezpieczeństwo trzeba zaplanować, ale przede wszystkim dopasować do danej firmy. To jest najtrudniejsze i o tym wielu zapomina. Nie ma jednej uniwersalnej rady, która pozwoli „zabezpieczyć przedsiębiorcę”. Wszystko zależy od tego, na czym polega dany biznes, gdzie ma kluczowe zasoby, których utrata spowoduje znaczne straty lub konieczność ogłoszenia upadłości. Trzeba wiedzieć, co może się zdarzyć i jakie motywy mogą mieć atakujący. Jedne będą mniej, drugie bardziej prawdopodobne.
 

Podstawą dobrze wdrożonego bezpieczeństwa jest zrobienie tzw. analizy ryzyka.

 
Do tego potrzeba dobrze przeszkolonych ludzi i czasu. I warto w tę analizę ryzyka zainwestować, aby nie wydawać setek tysięcy złotych rocznie na minimalizowanie ryzyk, które nie są najbardziej prawdopodobnym czarnym scenariuszem dla danej firmy.
Podsumowując, przedsiębiorcy najbardziej powinni obawiać się swojej niewiedzy w temacie bezpieczeństwa. I pamiętać, że nie ma nic gorszego niż fałszywe poczucie bezpieczeństwa – to, że coś w tym temacie się robi, nie oznacza, że robi się to, co powinno się robić.
Od czego zależy zatem poziom zabezpieczenia firmy? Od wiedzy – to jedno, a poza nią? Od pieniędzy, uwarunkowań prawnych, jakim podlegają? Czy firmy prywatne są mniej zabezpieczone od państwowych? Czy małe firmy, które nie mają działów IT, są na straconej pozycji?
Skalpel to narzędzie, które każdy z nas może kupić w aptece. Ale pewnie nie bylibyśmy w stanie przy jego pomocy od razu wyciąć komuś wyrostka robaczkowego tak dobrze, jak zrobi to wykwalifikowany chirurg. I podobnie jest z bezpieczeństwem. Narzędzia są powszechnie dostępne i często darmowe. Zarówno mali, jak i duzi mogą z powodzeniem korzystać z tych samych rozwiązań, zwłaszcza jeśli są dostępne w modelu SaaS, w „chmurze”. Gorzej jest właśnie z wiedzą na temat tego, jak je poprawnie skonfigurować i kiedy których z nich użyć. Brakuje wykwalifikowanej kadry, bo – w przeciwieństwie do chirurgów – nie uczymy w Polsce ludzi na specjalistów do spraw bezpieczeństwa. Dopiero teraz zaczęły się pojawiać jakieś kierunki studiów w tym obszarze. Długo za późno. Mamy samouków,i to genialnych!, ale jest ich skończona liczba.
To jak bardzo brakuje wiedzy w tym obszarze, widzę po nas samych – mamy klientów, którzy zapisują się na nasze usługi testów bezpieczeństwa z datą realizacji za pół roku, bo to pierwszy możliwy termin. Brakuje rąk do pracy. Staramy się z tym walczyć także poprzez edukację – jeśli firma ma administratora sieci, może go do nas wysłać na trzy dni praktycznych do bólu warsztatów. I zaraz po nich ten administrator będzie w stanie samodzielnie znaleźć i wyeliminować większość najczęściej spotykanych błędów w firmowej sieci, tych od których zaczynają włamywacze. Co więcej, takie przekwalifikowanie przez szkolenie to też spora oszczędność dla firmy – zamiast wydawać kilkadziesiąt tysięcy na testy penetracyjne, firma wydaje kilka na szkolenie i „leczy się sama”, a potem jest w stanie zamówić profesjonalistów tylko do bardziej zaawansowanych usług bezpieczeństwa.
Powiedziałeś, że nie ma jednej złotej rady, która działałaby jak parasol ochronny. Ale czy można wskazać jakieś filary bezpieczeństwa? Czy cyberprzestępcy zawsze będą jednak krok do przodu?
To jak zabawa w kotka i myszkę. Jak tylko pojawi się nowe zabezpieczenie, pojawia się też sposób na jego obejście. A potem zabezpieczenie na ten sposób obejścia i obejście zabezpieczenia. Ciągła walka. Zwłaszcza w obszarze ataków socjotechnicznych, czyli tych, które bazują na oszukiwaniu czynnika ludzkiego.
Dobra wiadomość jest taka, że jeśli poświęcimy odrobinę czasu i poprawnie wdrożymy kilka prostych rad, to przestępcy będzie zdecydowanie trudniej nas podejść. I jeśli tylko wybitnie nie chodzi mu konkretnie o nas, to pójdzie sobie szukać innej ofiary. W branży nazywamy to „zwiększaniem kosztu ataku”. Atakujący umie liczyć, a czas to pieniądz. Nikomu nie opłaca się obchodzić dziesiątek zabezpieczeń, bo to zajmuje czas, w którym można z powodzeniem uderzyć w kilka innych, mniej zabezpieczonych ofiar i zarobić.
Cały szkopuł tkwi w tym, którą radę i kiedy faktycznie warto zastosować i od czego to zależy. Można ustawić sobie dwuetapowe uwierzytelnienie do Facebooka i dalej dać się zhackować, jeśli nie zrobi się tego umiejętnie. Właśnie temu, jak zrobić to umiejętnie i w minimalnym zakresie dającym maksimum ochrony poświęcamy nasz 3-godzinny wykład „Jak nie dać się zhackować”****. Prelekcja jest przeznaczona dla każdego, nawet osób nietechnicznych. Przystępnym językiem na przykładach pokazujemy, co i gdzie ustawić, aby ataki wycelowane w nas w sieci się nie powiodły. Na marginesie, to największy projekt edukacyjny z zakresu cyberbezpieczeństwa w Polsce, mamy za sobą już ok. 30 wykładów, w ramach których w 15 różnych miastach przeszkoliliśmy ponad 10 000 osób.
A co z powszechnym przekonaniem, że program antywirusowy i kopie zapasowe danych załatwiają sprawę. Czy to wystarczy, by ochronić się przed atakami zewnętrznymi?
Zdecydowanie nie. Każdego antywirusa da się obejść, co zresztą regularnie robimy podczas naszych testów bezpieczeństwa. Lepiej nauczyć się tego, kiedy i od czego może zacząć się infekcja złośliwym oprogramowaniem. Wtedy nawet te wirusy, których nie wykryłby antywirus nie zostaną przez nas wpuszczone do naszego systemu. A co do kopii bezpieczeństwa to zdecydowanie warto je mieć. Ale trzeba je robić umiejętnie. Kopiowanie ważnych dokumentów na zewnętrzny dysk, który jest cały czas podłączony do naszego komputera (kablem lub przez sieć), może spowodować, że złośliwe oprogramowanie skasuje lub zaszyfruje nie tylko pliki na naszym komputerze, ale także w naszej kopii bezpieczeństwa i zostaniemy z niczym…
Jesteśmy coraz bardziej mobilni, dużo danych mamy w smartfonach, laptopach, które zawsze mamy pod ręką, pracujemy na nich, podróżując. Jak możemy je zabezpieczyć przed wzrokiem ciekawskich lub na wypadek kradzieży?
Pełna odpowiedź na takie pytanie to 3-godzinny wykład. Jest tak dużo do zrobienia, bo smartfon to urządzenie, w którym mamy wszystko, nawet więcej niż na naszym komputerze. Dlatego większość porad dotyczących bezpieczeństwa komputerów będzie miała zastosowanie i przy smartfonach: regularna aktualizacja oprogramowania i czujność podczas instalacji nowych aplikacji.
 

Warto też umiejętnie zabezpieczyć dostęp do naszego telefonu.

 
Odblokowywanie 6-cyfrowym PIN-em czy obecnie nawet własnym kciukiem to nie jest najlepszy sposób ochrony danych przed obcymi. Można też włączyć zdalną lokalizację naszego telefonu przez chmurę, ale trzeba pamiętać o ryzyku z tym związanym i mieć świadomość, że nawet po kradzieży urządzenia informacja o tym, że ono się znalazło, może być… atakiem.*****
Co w takim razie, jeśli ten atak będzie skuteczny? Co może zrobić firma, kiedy zorientuje się, że padła jego ofiarą, a dane dotyczące klientów czy jej zasobów wyciekły? Czy zawsze to już jest game over?
Nie zawsze jest to gwóźdź do trumny, ale przyznam, że jak patrzę na to, jak rodzime firmy radzą sobie z obsługą incydentów, to robi mi się słabo. Nie wiem, kto im doradza, ale czasem zarówno komunikatami, jak i reakcjami, firma wręcz podcina gałąź, na której siedzi i, co grosza, dostarcza amunicji prawnikom poszkodowanych. Radę miałbym więc jedną: Jeśli ktoś Cię zhackuje, jak najszybciej odezwij się do ekspertów. Sam nie poradzisz sobie ani z aspektami technicznymi, ani PR-owymi. Źle wypowiedziane słowa po włamaniu mogą być nie mniej groźne niż ataki komputerowe…
Dziękuję za rozmowę.
 
 
* https://www.youtube.com/watch?v=X7S2jfaaeDw
** https://niebezpiecznik.pl/post/kolejny-grozny-globalny-atak-tym-razem-ransomware-petya-ofiary-sa-takze-w-polsce/
*** https://niebezpiecznik.pl/post/to-ransomware-uderzyl-w-potentata-aluminium-norsk-hydro/
**** https://niebezpiecznik.pl/wyklad
***** https://niebezpiecznik.pl/post/sprytny-sposob-na-wyludzenia-hasla-do-kradzionego-iphona/