Nie chcę generalizować, ponieważ wiele firm ma wdrożone procedury zarządzania incydentami bezpieczeństwa mającymi na celu zapewnienie ciągłości pracy i bezpieczeństwo danych zarówno firmowych, jak i osobowych swoich klientów. Oczywiście to, jakich procedur i jakich narzędzi użyjemy, zależy od złożoności systemów informatycznych jakie posiadamy, od tego czy znajdują się one fizycznie u nas w firmie, czy są to serwery naszego hostingodawcy.
Niebezpieczeństwo włamania i utraty danych dotyczy wszystkich – zarówno banków, dużych przedsiębiorstw, korporacji posiadających rozbudowaną infrastrukturę informatyczną, ale też małych firm mających jedynie witrynę lub sklep internetowy. W pełni bezpiecznie nie mogą czuć się również instytucje państwowe, czy jednostki samorządowe – korzystają one bowiem z oprogramowania i sieci Internet, a wszędzie pracują ludzie.
@@
Nie możemy jednak panikować – najważniejsze jest odpowiednie zaplanowanie jak będą przeprowadzone działania w sytuacji wystąpienia incydentu. Szybka reakcja na pojawiające się sygnały i możliwie szybkie ich wyeliminowanie to klucz do sukcesu. Aby taki scenariusz był realny do wykonania potrzeba czasu, wiedzy i środków, aby wcześniej się dobrze zabezpieczyć. Warto w tym momencie odpowiedzieć sobie na pytanie: Czy stać nas na utratę danych?
Zabezpiecz dostęp do danych
Zabezpieczenie danych leży w naszym interesie, a możliwości jest całkiem sporo i nie musimy liczyć jedynie na łut szczęścia, że akurat nam nic się nie przydarzy. Utratę ostatnio wydrukowanego dokumentu możemy przeboleć. Nawet jeśli miał wiele stron możemy go w prosty sposób odtworzyć, ale już utrata kilku lat pracy może stanowić poważny problem skutkujący nawet koniecznością zakończenia działalności lub w najlepszym wypadku ogromnymi kosztami odtworzenia zniszczonych informacji. Podobnie wygląda sytuacja w przypadku włamania przeprowadzonego przez hakerów lub skutków działania złośliwego oprogramowania. Zaatakowana strona internetowa, czy niedziałający sklep internetowy to utrata klientów i straty spowodowane brakiem możliwości prowadzenia sprzedaży.
Warto o tym pamiętać, chociażby z uwagi na fakt, że w ostatnich tygodniach nasiliły się ataki na polskie webserwery, spowodowane niestabilną sytuacją na Ukrainie. Są to zarówno ataki DdoS, jak i włamania mające na celu podmianę stron internetowych na komunikaty polityczne, instalację złośliwego oprogramowania, a także kradzież danych.
Ataki z pewnością nasilą się w najbliższych tygodniach z uwagi na wykrycie krytycznej dziury w popularnej bibliotece kryptograficznej OpenSSL, której używa ponad 60 proc. serwerów w Internecie (serwerowe dystrybucje Linuksa i systemy BSD) oraz wiele aplikacji webowych. Luka CVE-2014-0160 „The Heartbleed Bug” to bardzo poważny błąd, który może umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu realizowanego przez www, klientów poczty email, komunikatory internetowe, czy sieci VPN. W ten sposób można wykraść loginy, hasła, wiadomości i dokumenty, a na dodatek atak ten nie pozostawi żadnych śladów na serwerze ofiary. Mimo iż błąd znajdował się w kodzie OpenSSL od dwóch lat, został odkryty i podany do publicznej wiadomości kilka dni temu. Dostępna jest już aktualizacja usuwająca wykrytą podatność, jednak nie możemy wykluczać, że luka była znana w pewnych kręgach i ktoś nie wykradł już naszych danych.
Warto zatem rozważyć wymianę certyfikatu SSL i zmianę haseł, jeśli nasz serwer korzystał z biblioteki OpenSSL lub posiadamy konta m.in. w takich serwisach jak Facebook, Tumblr, Twitter, Apple, Google, Yahoo, Amazon, Dropbox, LastPass. Na dzień dzisiejszy nie ma oficjalnej informacji, czy systemy transakcyjne banków działających w naszym kraju były podatne na ataki.
koniec_str_1#
Podobna luka bezpieczeństwa, występująca w bibliotece obsługującej SSL/TLS, została odkryta kilka tygodni temu w oprogramowaniu Apple. Podobnie jak w przypadku błędu w OpenSSL pozwala ona na rozszyfrowanie połączenia typu HTTPS na wszystkich urządzeniach tego producenta. Korzystanie z aplikacji wykorzystujących połączenia szyfrowane, choćby bankowości elektronicznej, nie jest bezpieczne do czasu aktualizacji systemu.
Użytkownicy smartfonów pracujących pod kontrolą systemu Android także mogą być narażeni na kradzież danych, jednak tylko tych znajdujących się na urządzeniu i karcie SD. Co prawda odpowiednia poprawka bezpieczeństwa została już wydana, jednak aktualizacja urządzeń mobilnych stanowi większy problem i nadal ponad 70 proc. urządzeń może być narażonych na atak.
Zabezpiecz stronę internetową
Błędy w oprogramowaniu zdarzają się często – niezależnie czy jest to oprogramowanie typu Open Source, czy Closed Source. Podobnie wygląda sytuacja w przypadku systemów i skryptów wykorzystywanych masowo do tworzenia stron i sklepów internetowych. Zarówno systemy otwarte, jak również te dedykowane, autorskie i zarazem zamknięte mogą zawierać luki w zabezpieczeniach umożliwiające osobie atakującej dostęp do całego systemu, zawartości serwisu i danych klientów. W najlepszym wypadku witryna może zostać jedynie zainfekowana, stając się stroną atakującą innych użytkowników sieci lub rozsyłającą spam. Warto wówczas zwrócić uwagę, na jakim systemie mamy stworzoną stronę lub sklep, czy jest on aktualny, i czy jest dodatkowo zabezpieczony. Nie powinna być to wersja podstawowa, skonfigurowana w sposób standardowy.
Systemy otwarte mają w tym przypadku ogromną zaletę w stosunku do systemów autorskich, polegającą na dostępności wtyczek pozwalających skonfigurować dodatkowe zabezpieczenia i liczną grupę użytkowników mających wiedzę oraz doświadczenie na temat danego systemu i mogących pomóc zarówno w znalezieniu luk bezpieczeństwa, jak i w ich usunięciu. W przypadku systemów zamkniętych musimy wierzyć, że ich twórca zadba o nasze bezpieczeństwo, wydając na czas kolejną, uaktualnioną i lepiej zabezpieczoną wersję.
Zadbaj o sprzęt i oprogramowanie
Podstawową zasadą, jakiej powinniśmy przestrzegać, szczególnie używając oprogramowania komunikującego się poprzez Internet, jest używanie tylko aktualnego oprogramowania. Niestety nie każdy się do tego stosuje. Przykładem może być system ePFRON2, który przez długi czas zmuszał użytkowników do korzystania ze starej, podatnej na ataki wersji oprogramowania Java. Od marca 2014 roku aplikacja SODiR On-line umożliwia użycie najnowszej wersji Javy i jest bezpieczna.
Jednak zbyt zapobiegliwym także nie można być i nie należy instalować aktualizacji pochodzących z nieznanych źródeł. Przykładem może być niedawny atak skierowany na jednostki polskich samorządów terytorialnych, polegający na rozsyłaniu fałszywej aktualizacji systemu BeSTi@, którego celem było przejęcie danych dostępowych do kont bankowych tychże jednostek.
Twórz kopie zapasowe
Nie wyobrażamy sobie już pracy bez korzystania z Internetu. Jest on częścią naszej cywilizacji, podstawą komunikacji, a niejednokrotnie także źródłem naszego dochodu. Mimo że coraz częściej słychać o zagrożeniach, atakach i lukach w zabezpieczeniach wielu aplikacji, możemy starać się zabezpieczyć, pamiętając o instalacji aktualizacji bezpieczeństwa i stosowaniu silnych haseł podczas logowania do systemów bankowych, serwisów internetowych i poczty e-mail. Pamiętajmy też, aby nie korzystać z publicznych lub podejrzanych hot spotów podczas wykonywania transakcji bankowych.
Dodatkowo zadbajmy o to, aby w przypadku utraty danych posiadać ich kopie zapasowe. Tworzenie backupów nie musi być uciążliwe i czasochłonne. Wystarczy poprawna konfiguracja oprogramowania archiwizującego choćby wrażliwe dokumenty, i odpowiednie ich przechowywanie. Kopie zapasowe możemy tworzyć na płytach DVD, BRD, dyskach przenośnych, a także na serwerach zewnętrznych w tzw. chmurze, po uprzednim zaszyfrowaniu danych.
To, gdzie i w jakiej formie będziemy przechowywali dane jest kwestią wyboru i zależy od ilości i jakości tych danych oraz procedur bezpieczeństwa stosowanych w przedsiębiorstwie. Pamiętajmy jednak, że jeśli nie zabezpieczyliśmy w żaden sposób informacji, możemy stracić je wszystkie bezpowrotnie.
Niebezpieczeństwo włamania i utraty danych dotyczy wszystkich – zarówno banków, dużych przedsiębiorstw, korporacji posiadających rozbudowaną infrastrukturę informatyczną, ale też małych firm mających jedynie witrynę lub sklep internetowy. W pełni bezpiecznie nie mogą czuć się również instytucje państwowe, czy jednostki samorządowe – korzystają one bowiem z oprogramowania i sieci Internet, a wszędzie pracują ludzie.
@@
Nie możemy jednak panikować – najważniejsze jest odpowiednie zaplanowanie jak będą przeprowadzone działania w sytuacji wystąpienia incydentu. Szybka reakcja na pojawiające się sygnały i możliwie szybkie ich wyeliminowanie to klucz do sukcesu. Aby taki scenariusz był realny do wykonania potrzeba czasu, wiedzy i środków, aby wcześniej się dobrze zabezpieczyć. Warto w tym momencie odpowiedzieć sobie na pytanie: Czy stać nas na utratę danych?
Zabezpiecz dostęp do danych
Zabezpieczenie danych leży w naszym interesie, a możliwości jest całkiem sporo i nie musimy liczyć jedynie na łut szczęścia, że akurat nam nic się nie przydarzy. Utratę ostatnio wydrukowanego dokumentu możemy przeboleć. Nawet jeśli miał wiele stron możemy go w prosty sposób odtworzyć, ale już utrata kilku lat pracy może stanowić poważny problem skutkujący nawet koniecznością zakończenia działalności lub w najlepszym wypadku ogromnymi kosztami odtworzenia zniszczonych informacji. Podobnie wygląda sytuacja w przypadku włamania przeprowadzonego przez hakerów lub skutków działania złośliwego oprogramowania. Zaatakowana strona internetowa, czy niedziałający sklep internetowy to utrata klientów i straty spowodowane brakiem możliwości prowadzenia sprzedaży.
Warto o tym pamiętać, chociażby z uwagi na fakt, że w ostatnich tygodniach nasiliły się ataki na polskie webserwery, spowodowane niestabilną sytuacją na Ukrainie. Są to zarówno ataki DdoS, jak i włamania mające na celu podmianę stron internetowych na komunikaty polityczne, instalację złośliwego oprogramowania, a także kradzież danych.
Ataki z pewnością nasilą się w najbliższych tygodniach z uwagi na wykrycie krytycznej dziury w popularnej bibliotece kryptograficznej OpenSSL, której używa ponad 60 proc. serwerów w Internecie (serwerowe dystrybucje Linuksa i systemy BSD) oraz wiele aplikacji webowych. Luka CVE-2014-0160 „The Heartbleed Bug” to bardzo poważny błąd, który może umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu realizowanego przez www, klientów poczty email, komunikatory internetowe, czy sieci VPN. W ten sposób można wykraść loginy, hasła, wiadomości i dokumenty, a na dodatek atak ten nie pozostawi żadnych śladów na serwerze ofiary. Mimo iż błąd znajdował się w kodzie OpenSSL od dwóch lat, został odkryty i podany do publicznej wiadomości kilka dni temu. Dostępna jest już aktualizacja usuwająca wykrytą podatność, jednak nie możemy wykluczać, że luka była znana w pewnych kręgach i ktoś nie wykradł już naszych danych.
Warto zatem rozważyć wymianę certyfikatu SSL i zmianę haseł, jeśli nasz serwer korzystał z biblioteki OpenSSL lub posiadamy konta m.in. w takich serwisach jak Facebook, Tumblr, Twitter, Apple, Google, Yahoo, Amazon, Dropbox, LastPass. Na dzień dzisiejszy nie ma oficjalnej informacji, czy systemy transakcyjne banków działających w naszym kraju były podatne na ataki.
koniec_str_1#
Podobna luka bezpieczeństwa, występująca w bibliotece obsługującej SSL/TLS, została odkryta kilka tygodni temu w oprogramowaniu Apple. Podobnie jak w przypadku błędu w OpenSSL pozwala ona na rozszyfrowanie połączenia typu HTTPS na wszystkich urządzeniach tego producenta. Korzystanie z aplikacji wykorzystujących połączenia szyfrowane, choćby bankowości elektronicznej, nie jest bezpieczne do czasu aktualizacji systemu.
Użytkownicy smartfonów pracujących pod kontrolą systemu Android także mogą być narażeni na kradzież danych, jednak tylko tych znajdujących się na urządzeniu i karcie SD. Co prawda odpowiednia poprawka bezpieczeństwa została już wydana, jednak aktualizacja urządzeń mobilnych stanowi większy problem i nadal ponad 70 proc. urządzeń może być narażonych na atak.
Zabezpiecz stronę internetową
Błędy w oprogramowaniu zdarzają się często – niezależnie czy jest to oprogramowanie typu Open Source, czy Closed Source. Podobnie wygląda sytuacja w przypadku systemów i skryptów wykorzystywanych masowo do tworzenia stron i sklepów internetowych. Zarówno systemy otwarte, jak również te dedykowane, autorskie i zarazem zamknięte mogą zawierać luki w zabezpieczeniach umożliwiające osobie atakującej dostęp do całego systemu, zawartości serwisu i danych klientów. W najlepszym wypadku witryna może zostać jedynie zainfekowana, stając się stroną atakującą innych użytkowników sieci lub rozsyłającą spam. Warto wówczas zwrócić uwagę, na jakim systemie mamy stworzoną stronę lub sklep, czy jest on aktualny, i czy jest dodatkowo zabezpieczony. Nie powinna być to wersja podstawowa, skonfigurowana w sposób standardowy.
Systemy otwarte mają w tym przypadku ogromną zaletę w stosunku do systemów autorskich, polegającą na dostępności wtyczek pozwalających skonfigurować dodatkowe zabezpieczenia i liczną grupę użytkowników mających wiedzę oraz doświadczenie na temat danego systemu i mogących pomóc zarówno w znalezieniu luk bezpieczeństwa, jak i w ich usunięciu. W przypadku systemów zamkniętych musimy wierzyć, że ich twórca zadba o nasze bezpieczeństwo, wydając na czas kolejną, uaktualnioną i lepiej zabezpieczoną wersję.
Zadbaj o sprzęt i oprogramowanie
Podstawową zasadą, jakiej powinniśmy przestrzegać, szczególnie używając oprogramowania komunikującego się poprzez Internet, jest używanie tylko aktualnego oprogramowania. Niestety nie każdy się do tego stosuje. Przykładem może być system ePFRON2, który przez długi czas zmuszał użytkowników do korzystania ze starej, podatnej na ataki wersji oprogramowania Java. Od marca 2014 roku aplikacja SODiR On-line umożliwia użycie najnowszej wersji Javy i jest bezpieczna.
Jednak zbyt zapobiegliwym także nie można być i nie należy instalować aktualizacji pochodzących z nieznanych źródeł. Przykładem może być niedawny atak skierowany na jednostki polskich samorządów terytorialnych, polegający na rozsyłaniu fałszywej aktualizacji systemu BeSTi@, którego celem było przejęcie danych dostępowych do kont bankowych tychże jednostek.
Twórz kopie zapasowe
Nie wyobrażamy sobie już pracy bez korzystania z Internetu. Jest on częścią naszej cywilizacji, podstawą komunikacji, a niejednokrotnie także źródłem naszego dochodu. Mimo że coraz częściej słychać o zagrożeniach, atakach i lukach w zabezpieczeniach wielu aplikacji, możemy starać się zabezpieczyć, pamiętając o instalacji aktualizacji bezpieczeństwa i stosowaniu silnych haseł podczas logowania do systemów bankowych, serwisów internetowych i poczty e-mail. Pamiętajmy też, aby nie korzystać z publicznych lub podejrzanych hot spotów podczas wykonywania transakcji bankowych.
Dodatkowo zadbajmy o to, aby w przypadku utraty danych posiadać ich kopie zapasowe. Tworzenie backupów nie musi być uciążliwe i czasochłonne. Wystarczy poprawna konfiguracja oprogramowania archiwizującego choćby wrażliwe dokumenty, i odpowiednie ich przechowywanie. Kopie zapasowe możemy tworzyć na płytach DVD, BRD, dyskach przenośnych, a także na serwerach zewnętrznych w tzw. chmurze, po uprzednim zaszyfrowaniu danych.
To, gdzie i w jakiej formie będziemy przechowywali dane jest kwestią wyboru i zależy od ilości i jakości tych danych oraz procedur bezpieczeństwa stosowanych w przedsiębiorstwie. Pamiętajmy jednak, że jeśli nie zabezpieczyliśmy w żaden sposób informacji, możemy stracić je wszystkie bezpowrotnie.
Piotr Misztal
Trener Europejskiej Grupy Doradczej Sp. z o.o.
www.eurogrupa.pl
właściciel firmy Szkoleniami.pl