Polityka bezpieczeństwa IT w firmie

Transkrypt

1 26 BEZPIECZEŃSTWO IT Polityka bezpieczeństwa IT w firmie Ponad 80 proc. dyrektorów odpowiedzialnych za bezpieczeństwo informatyczne zaobserwowało wzrost poziomu zagrożenia zewnętrznego w ostatnich trzech latach, a 60 proc. deklaruje, że ataki są bardziej wyrafinowane niż systemy obrony wynika z badania CISO Assessment, przeprowadzonego przez IBM Center for Applied Insights. Leszek Bareja Jak wskazuje analiza, szczególne wyzwanie stanowi zapobieganie wyciekom informacji, przetwarzanie danych w chmurze obliczeniowej oraz bezpieczeństwo aplikacji mobilnych W związku z tym działania mające na celu zabezpieczenie poufności dokumentów, zwłaszcza tych drukowanych, należy skoncentrować na zdefiniowaniu procedur bezpieczeństwa, ich ścisłym przestrzeganiu, edukacji pracowników oraz zapewnieniu odpowiedniego wsparcia technologicznego dla wdrażanych procesów. Tworzenie kopii danych Podstawowym rozwiązaniem, które poprawia poziom bezpieczeństwa danych, jest tworzenie ich kopii. Regularny, automatyczny backup czy zapasowe centrum danych pozwalają na skuteczną ochronę w tym zakresie. Dotyczy to nie tylko informacji znajdujących się na komputerach i urządzeniach bezpośrednio w siedzibie firmy, ale również tych, które przechowywane są na tabletach, smartfonach i laptopach. Indywidualne klucze dostępu Aspekt ten staje się szczególnie ważny wobec coraz bardziej popularnego trendu BYOD (ang. Bring Your Own Device), związanego z wykorzystywaniem przez pracowników swoich własnych urządzeń w celach służbowych. Ostatnie badania przeprowadzone przez Tech Pro Research wykazały, że 74 proc. przedsiębiorstw pozwala lub planuje zezwolić swoim pracownikom na wykorzystywanie własnych smartfonów i tabletów w pracy. Wychodząc naprzeciw temu zjawisku, największym wyzwaniem dla pracodawców będzie z jednej strony zapewnienie swobodnego dostępu do danych z różnych urządzeń, z drugiej natomiast dbanie o procedury bezpieczeństwa. Często stosowanym w tych wypadkach rozwiązaniem jest używanie indywidualnych kluczy dostępu, które umożliwiają wgląd do określonych informacji tylko osobom do tego upoważnionym. Ochrona plików w chmurach Ważna jest również ochrona plików przechowywanych w tzw. chmurach. Z najnowszego badania KPMG s 2014 Cloud Survey Report: Elevating Business in the Cloud wynika, że według 53 proc. respondentów ryzyko utraty danych oraz wycieku danych są największymi wyzwaniami przy zastosowaniu przetwarzania w chmurze. Połowa badanych firm wskazuje również obawy związane z ryzykiem kradzieży własności intelektualnych oraz z koniecznością zmian w organizacji służb i procesów IT wynikających z zastosowania chmur obliczeniowych. Istnieją systemy, które pozwalają na zabezpieczenie obiegu informacji otrzymywanych i przesyłanych do urządzenia. Mikrodruk Odrębnym zagadnieniem jest zapewnienie integralności drukowanych danych i podwyższenie ich odporności na nieautoryzowane zmiany. Dobrym rozwiązaniem jest wykorzystanie najnowszych technologii dynamicznych zabezpieczeń. Należy do nich m.in. mikrodruk, który utrudnia kopiowanie pozyskanych dokumentów. Wykorzystanie go pozwala na automatyzację procesu weryfikacji danych z wykorzystaniem typowych skanerów i oprogramowania. Autor pracuje jako product manager w Xerox Polska

2 WSZYSTKIE PRAWA DO TEKSTÓW ZASTRZEŻONE. Zabronione jest kopiowanie tekstu w części lub całości przez inne redakcje, serwisy internetowe oraz firmy monitorujące media bez zgody redakcji pod groźbą kary i może być ścigane prawnie.

3 28 BEZPIECZEŃSTWO IT Chmura podbija świat Globalne biznesy centralizują pozycję klienta. To wokół niego skupione są różnorodne usługi, dostępne w dowolnym czasie, z dowolnego narzędzia, tu i teraz. Absolutną normą stał się natychmiastowy wgląd w narzędzia finansowe: bankowość i płatności mobilne czy polisy ubezpieczeniowe. Działania te powodują wzrost wykorzystania chmury, gdyż skuteczna sprzedaż opiera się obecnie na zapewniających spójną informację o kliencie rozbudowanych narzędziach CRM. Jan Zalewski i Magdalena Czubaszek Wg Cisco Global Cloud Index, do 2017 r. ruch danych związany z chmurą obliczeniową stanowić będzie prawie 70 proc. globalnego ruchu w centrach danych. W latach wzrośnie ponad czterokrotnie. Na rynku obecny jest cały szereg rodzajów rozwiązań cloud. Należą do nich chmury umieszczone w internecie, np. Amazon czy Microsoft, Oracle lub Salesforce. Są też rozwiązania, których dane umieszczone są w ściśle ustalonym miejscu u konkretnego dostawcy hostingu. Gwarantują one, że dane nie wydostają się poza tę fizyczną lokalizację. Wybór zależny jest od rodzaju biznesu, np. globalne linie lotnicze mogą preferować rozwiązania chmurowe oparte o globalnych dostawców, podczas gdy sieć franczyzowa sklepików operująca w danym mieście może preferować rozwiązanie hostowane w lokalnego dostawcy. Warto zaufać specjalistom Wirusy, robaki, trojany oraz działania hakerów, a obok tego wszystkiego nasi pracownicy, którzy nie zdają sobie sprawy, jak ich działania negatywnie wpływają na bezpieczeństwo naszego IT. Jak sobie z tym wszystkim radzić? Magdalena Urbańska Słysząc hasło zagrożenia IT z czym je utożsamiasz? Zapewne przed twoimi oczami pojawia się obraz zmasowanego ataku hakerów na twój system oraz wszechobecne wirusy, robaki, trojany i inne twory współczesnej cyberprzestępczości. Jednak, czy na pewno to jest największym zagrożeniem dla twojej firmy? Jak pokazują ostatnie badania Cisco, przeprowadzone wśród 1000 polskich pracowników, to sposób zachowania pracowników firm jest jednym z dwóch (obok ataków zewnętrznych) największych zagrożeń dla bezpieczeństwa IT organizacji. Co gorsze, ponad 30 proc. z nich nie zdaje sobie sprawy, jak ich działania wpływają na obowiązującą w firmie politykę bezpieczeństwa. Popularne zagrożenia zewnętrzne Codziennie na firmowe skrzynki pracowników przychodzi kilkadziesiąt i, część z nich jest zwykłym spamem, zaś inna część zawiera ważne, poufne dane. Aby ustrzec się przed ich utratą, organizacje wdrażają zaawansowane rozwiązania filtrujące pocztę przychodzącą, eliminujące spam oraz szkodliwe oprogramowanie, zanim dotrze ono do sieci wewnętrznej i stanie się zagrożeniem dla użytkowników. Obecnie na rynku jest wiele rozwiązań, które pozwalają chronić firmową pocztę przed spamem, wirusami oraz oprogramowaniem szpiegowskim. Dodatkowo mogą one pomóc w ograniczeniu zużycia energii i przestrzeni zajmowanej w centrach danych. Do popularnych zagrożeń należą też ataki DoS (ang. Denial of Service) oraz DDoS (ang. Distributed Denial of Service). Pierwsze z nich mają na celu uniemożliwić działanie systemu komputerowego lub usługi, zaś drugie uniemożliwiają działanie wszystkich wolnych zasobów firmy, poprzez przeprowadzenie tzw. ataku zombie jednoczesnego ataku z wielu zainfekowanych komputerów. Jak odczuwa to firma? Początkowo następuje odczuwalne spowolnienie w dostępie do internetu, zaczynają występować kilkuminutowe przerwy w dostępie do sieci, by ostatecznie całkowicie stracić do niej dostęp. Jednak, jest to zwykle tylko odwrócenie uwagi administratorów sieci od właściwego ataku, który odbywa się w wewnętrznych zasobach firmy. Jednym z rozwiązań jest wdrożenie modelu Kill Chain, opartego na koncepcji wielowarstwowej ochrony (Defense in Depth), która zakłada stosowanie wielu mechanizmów zabezpieczeń. Kluczem w tym modelu jest brak statystyczności i dostosowywanie się do zmieniających się warunków. BYOD nie pomaga 57 proc. dużych, polskich firm utraciło lub obawia się utraty danych klientów w wyniku korzystania przez pracowników z prywatnych urządzeń mobilnych donoszą ostatnie badania Samsunga przeprowadzone w 2014 r. Z kolei podczas Gartner Symposiom ITxpo 2013 analitycy przewidzieli, że do 2020 r. nie tylko biznes, ale też administracja publiczna może mieć problem ze skuteczną ochroną aż 75 proc. danych. Powodem jest m.in. popularyzacja trendu BYOD (ang. Bring Your Own Niższe koszty zabezpieczenia danych W przypadku wielu chmur istnieje możliwość określenia, w którym rejonie świata (np. Stany Zjednoczone Ameryki, Europa etc.) dane będą przechowywane. Dostawca może także zagwarantować, że nie będą one rozproszone poza obszarami dopuszczalnymi z punktu widzenia prawa i potrzeb biznesowych. Na przykład do końca 2015 r. powstaną trzy europejskie centra danych Salesforce. Już teraz, przechowywanie danych w Europie jest łatwe do wynegocjowania. Chmura to również większe bezpieczeństwo biznesowe. Awaria serwerowni lub zamach nie sparaliżują pracy przedsiębiorstwa, gdyż wystarczy jakiekolwiek pomieszczenie z dostępem do internetu, aby można było w pełni realizować procesy biznesowe. Cloud Computing to także platforma wspomagająca kopie zapasowe i mechanizmy archiwizacji danych zarówno systemów opartych o cloud, jak i on-premise. Upraszcza to zarządzanie tzw. ciągłością działania, zmniejszając środki przeznaczane na ochronę serwerowni i danych w niej zawartych. Tendencja pozbywania się ciężkiej (tzn. wymagającej zatrudniania specjalistów informatyków i inwestowania pokaźnych środków w infrastrukturę i oprogramowanie) informatyki jest powszechna. Firmy rezygnują z systemów napisanych specjalnie na ich potrzeby na rzecz rozwiązań z półki. Zaczynają także traktować usługi informatyczne jako element realizacji strategii i dobierają usługi uzasadnione biznesową koniecznością. Chmura sprawdza się także, gdy firma nie posiada kosztownej serwerowni i dużego zespołu informatyków o określonych kompetencjach do utrzymania systemu. Rozwiązania te są przejrzyste, dobrze udokumentowane i opisane. Są także elastyczne przenoszenie zasobów informacyjnych do innego dostawcy oferującego korzystniejsze lub też bardziej funkcjonalne rozwiązania jest prostsze. Device), polegającego na używaniu przez pracowników własnych urządzeń mobilnych. Stanowi on zagrożenie dla firmy na dwa sposoby: poprzez zainfekowanie sieci firmowej złośliwym oprogramowaniem pochodzącym z prywatnych urządzeń oraz poprzez wyciek danych bezpośrednio z urządzeń łączących się z nieodpowiednio zabezpieczonymi sieciami. Aby przeciwdziałać negatywnym skutkom BYOD firmy muszą wdrożyć dobrą politykę bezpieczeństwa, a dopiero później wybrać odpowiednie narzędzia do jej realizacji. Przykładami takich narzędzi jest oprogramowanie MDM (ang. Mobile Device Management) do zarządzania flotą urządzeń mobilnych. Bierność kosztuje Utrata dobrego wizerunku, danych naszych klientów oraz przerwa w działaniu systemów i rosnąca nerwowość pracowników działów IT to tylko niektóre ze strat, jakie ponosi firma, gdy nieproszony gość naruszy jej bezpieczeństwo. Według badania Cost of Data Breach Study: Global Analysis, przeprowadzonego w 2014 r. przez Ponemon Institute, kradzież przynajmniej jednego rekordu danych oznacza dla amerykańskich firm stratę w wysokości 195 dol. O tym, jak wielkie są to koszty, przekonała się firma Sony, która w ubiegłym roku w wyniku działania hakerów, straciła terabajty danych z nazwami użytkowników popularnej gry Playstation. W efekcie każdy z pracowników musiał zmienić swoje dane uwierzytelniające, zaś firma ponieść koszty związane m.in. z odtworzeniem systemów komputerowych, zatrudnieniem ekspertów od informatyki śledczej oraz ekspertów od wizerunku. Według szacunków Macquarie Research firma mogła ponieść wydatek ok. 83 mln dol. Autorka jest menedżerem ds. marketingu i PR w firmie Atende SA Nie bójmy się chmury Wiele instytucji finansowych i banków odczuwa silne obawy przed przeniesieniem części danych klientów do chmury. Temat bezpieczeństwa jest biznesowo istotny i oceniany jest w relacji do możliwości prowadzenia działalności w wysoce konkurencyjnym świecie. Oznacza potrzebę wyważenia innowacyjności przedsiębiorstwa względem przyjęcia określonego poziomu zabezpieczeń. Bezpieczne Maciej Grotyński Na przestrzeni ostatnich lat istotnie zmieniły się wyzwania stojące przed systemami IT w obszarze zabezpieczania i archiwizowania danych. Coraz więcej istotnych informacji przechowujemy w plikach, które wraz z pojawieniem się użytkowników mobilnych, zostały wprawione w ruch. Widać znaczny popyt na rozwiązania, które nie tylko zapewnią ochronę danych, ale także dostęp do nich z poziomu urządzeń mobilnych, możliwość współdzielenia plików między użytkownikami w obrębie firmy. Coraz częściej użytkownicy systemów IT oczekują łatwego, samoobsługowego procesu odtwarzania danych bez konieczności angażowania działu administracji IT, który zwykle obciążony jest prowadzeniem projektów informatycznych. Mobilność wprowadza także nowy typów zagrożeń dla bezpieczeństwa danych jak utrata urządzenia czy połączenia za pomocą niezabezpieczonych sieci. W związku z powyższym, klienci coraz częściej decydują się na rozwiązania szyfrujące dane czy systemy pozwalające zdalnie skasować dane krytyczne. Wirtualizacja Kolejne wyzwanie w zakresie zabezpieczania danych wynika z wszechobecnej już wirtualizacji środowisk IT. Obecnie w dobie rozwoju kolejnych e-usług i aplikacji mobilnych środowisko wirtualne stało się nieodzownym elementem infrastruktury IT. W związku z tym najbardziej pożądane są systemy, które potrafią kompleksowo zabezpieczyć tego typu środowiska, zarówno na poziomie

4 BEZPIECZEŃSTWO IT 29 Większość systemów przetwarzania danych (bazy danych) umożliwia ich szyfrowanie. Wdrożenie rozwiązań chmurowych nie oznacza automatycznie rezygnacji z jakichkolwiek zabezpieczeń. Wymaga natomiast pojedynczego pliku, jak i całych wirtualnychśrodowisk iknp. dla zadań ńdeweloperskich. Lawinowy wzrost liczby danych Rzeczą oczywistą jest lawinowy wzrost ilości danych. Ma on wpływ na obciążenie systemów IT, koszty przechowywania i archiwizowania danych oraz trudność w ich zabezpieczaniu. Warto w związku z tym sprawdzić strukturę posiadanych danych cyfrowych. Audyty wykonywane u klientów pokazują, że jedynie ok. 25 proc. danych to dane istotne i wykorzystywane. Resztę stanowią powielone dane lub takie, z których się nie korzysta. Traktowanie ich jako krytyczne zasoby w przypadku rozwiązań Disaster Recovery znacząco wydłuża wymagany czas do uruchomienia istotnych dla biznesu systemów IT. Dlatego standardem staje się backup z wykorzystaniem wydajnych mechanizmów deduplikacji oraz archiwizacja, która z jednej strony pozwala na długoterminowe składowanie danych, a z drugiej strony redukuje koszty przechowywania danych dzięki inteligentnym narzędziom przesuwającym takie konieczności innego spojrzenia na informatykę uważnego wglądu w istotę przedmiotu ochrony i jakości procedur. Chęć zastosowania chmury wymusza wyraźne określenie oczekiwań i strategii. Dane zatem przetwarzane są w sposób bardziej uświadomiony. Współczesne, wiodące narzędzia cloud computing gwarantują bezpieczeństwo przetwarzania danych i zgodne są z wymaganiami ISO oraz wytycznymi GIODO. W przypadku Microsoft, rozwiązania chmurowe firmy uzyskały akredytację organów regulacyjnych Unii Europejskiej w zakresie zobowiązań dotyczących bezpieczeństwa i ochrony danych. Oznacza to, że klienci mogą mieć pewność, że jakikolwiek globalny przepływ danych w ramach usług chmurowych spełnia unijne standardy ochrony danych, które są jednocześnie jednymi z najbardziej restrykcyjnych na świecie. Wszystkie dane w chmurze Microsoft są także szyfrowane, a zarządzanie nimi i infrastrukturą realizują oddzielne komórki. Przedsiębiorstwa przyszłości opierać się będą na solidnym fundamencie lepiej skomunikowanych zespołów obsługi tworzących pozytywne, oparte na personalnym kontakcie z klientem, relacje. Innowacyjne firmy muszą dokonać transformacji wejść w sferę cyfrową przy zachowaniu najwyższego standardu bezpieczeństwa danych. Jan Zalewski jest dyrektorem departamentu AM w Outbox Group Magdalena Czubaszek pracuje jako business development director w Outbox Group archiwizowanie danych danych z drogich i wydajnych dysków na tań- sze nośniki danych jak taśmy LTO. Warto rozważyć także technologię, która pozwali na integrację backupu i archiwizacji w ramach jednego procesu, dzięki czemu okno backupowe zostaje drastycznie skrócone, a czas dostępu do informacji ulega kilku- krotnemu skróceniu. Wielooddziałowość Struktura rozporoszona to codzienność dużych przedsiębiorstw. Takie instytucje mają zazwyczaj kilka kilkanaście oddziałów, dużą liczbę pra- cowników mobilnych, środowisko fizyczne i wirtualne, dużą liczbę aplikacji i baz danych. Potrzebują wykorzystywać mechanizmy deduplikacji. Zazwyczaj oznacza to wdrożenie rozwiązania złożonego z kilku produktów, które niejednokrotnie posiadają własne systemy zarządzania, różną konfigurację systemu, oddzielne wparcie itd. Warto pomyśleć w sytuacji tego typu środowiska o systemie, który w ramach jednej platformy potrafi poradzić sobie z wszystkimi wymienionymi wyzwaniami.warto też sprawdzić, czy taka platforma pozwoli zrealizować cel nadrzędny, którym nie jest wbrew pozorom backup i archiwizacja danych. Jest nią dostęp do informacji, który musi być szybki i co najważniejsze możliwy. Czasem niestety zdarza się, iż w ferworze wdrożenia systemów zabezpieczających dane, ten nadrzędny cel wymyka się uwadze i wraca na pierwszy plan w sytuacji krytycznej, jaką jest utrata danych lub konieczność sprawnego sięgnięcia do cyfrowego archiwum. Autor jest szefem Pionu Commvault, Nutanix, Quantum w firmie S4E Ostrożności nigdy za wiele Phishing jest atakiem wymierzonym przeciwko użytkownikom i wykorzystującym ich łatwowierność lub niewiedzę. Głównym celem jest pozyskanie danych m.in. loginów, haseł, danych osobowych, historii transakcji, listy znajomych itp. Artur Kalinowski Najczęściej spotykaną formą ataku jest przesłanie wiadomości łudząco przypominającej oryginalną wiadomość z banku, portalu lub serwisu, w której użytkownik proszony jest o podanie danych osobowych, bądź zalogowanie się do serwisu za pomocą wskazanego w wiadomości linka. W innych przypadkach wykorzystywany może być błąd na stronie serwisu umożliwiający przekierowanie przeglądarki na fałszywą stronę, bądź wyświetlenie dodatkowego okienka lub formularza z prośbą o zalogowanie. Użytkownik, będąc przekonanym, że ma do czynienia z oryginalnym portalem, w rzeczywistości nieświadomie przekazuje swoje dane atakującemu. Czujność przy niestandardowym działaniu Najprostsze ataki phishingowe wymagają jedynie dobrego pomysłu, jak umieszczenie informacji o wycieku haseł z jakiegoś portalu i możliwości sprawdzenia na podanej stronie, czy hasła użytkownika nie ma na liście. Użytkownik chcąc sprawdzić, czy jego hasło nie zostało upublicznione, sam je zdradza, wpisując w polu wyszukiwania. Fałszywe strony, zwłaszcza bankowe, często proszą o dodatkowe, niestandardowe uwierzytelnienie się np. poprzez podanie kodu autoryzacyjnego ze zdrapki, który wymagany jest zwykle dopiero przy realizacji zlecenia, bądź podanie kilku takich kodów np. w celu realizacji pojedynczego przelewu. Wszelkie niestandardowe zachowania serwisu powinny wzbudzić naszą czujność. Proste nawet dla początkujących włamywaczy Jest wiele darmowych i publicznie dostępnych narzędzi ułatwiających przeprowadzenie ataków phishingowych. Przykładowe stworzenie strony, np. kopii serwisu transakcyjnego jakiegoś banku, zajmuje najwyżej kilka minut i w zasadzie sprowadza się do wybrania kopiowanej witryny oraz opcji ataku z menu programu. Potem pozostaje tylko przechwycenie ruchu w sieci, wykorzystanie jakiegoś błędu lub przesłanie linka do fałszywej strony em. Możliwości jest mnóstwo, a atak dość łatwy do przeprowadzenia, nawet dla początkujących włamywaczy. Obecne przeglądarki mają wbudowane zabezpieczenia przed phishingiem, jednak pomimo tego, warto stosować się do zasady ograniczonego zaufania i weryfikować źródła otrzymywanych informacji. Rozważne użytkowanie Jeżeli nie spodziewamy się jakiejś wiadomości np. faktury, ponaglenia z serwisu aukcyjnego czy informacji z banku, wówczas powinniśmy zachować szczególną ostrożność. Nie można ufać ani linkom, ani załącznikom w wiadomościach. Banki i popularne serwisy z reguły nie podają w ach linków do stron logowania, ani nie wymagają podawania żadnych danych personalnych, w szczególności numerów PIN, tokenów itp. Widoczne linki na stronach, jak i w ach, mogą wskazywać na zupełnie inne miejsca, aniżeli te, do których w rzeczywistości prowadzą. W związku z tym po najechaniu na dany link należy sprawdzić, czy na dole okna, w pasku statusu widoczny jest identyczny adres. Należy zwrócić również uwagę na podobieństwo znaków np. I i l, co jest wykorzystywane przy generowaniu adresów, które wizualnie wyglądają niemal identycznie jak znane strony. Nie ulegać iluzji Istotne jest również unikanie dzielenia się wrażliwymi danymi ze stronami WWW, które dostępne są poprzez nieszyfrowane połączenie, czyli takich których adres rozpoczyna się od a nie od Warto zwrócić uwagę na fakt, że szyfrowane połączenie nie zawsze chroni nas przed phishingiem, gdyż atakujący może wygenerować fałszywą stronę dostępną poprzez połączenie szyfrowane. Konieczna jest więc weryfikacja certyfikatów poprzez sprawdzenie, kto go wystawił oraz czy odcisk kryptograficzny jest prawidłowy. Bieżącą wartość odcisku kryptograficznego można uzyskać np. na infolinii, a weryfikacja jest wówczas dokonywana z użyciem innego medium komunikacyjnego, co podnosi bezpieczeństwo. Odpowiednio skonfi gurowany system, wraz z aktualizacjami, fi rewallem oraz ochroną antywirusową i antymalware może ograniczyć ryzyko ataków phishingowych, jednak najistotniejsze jest, by nie ulegać iluzji i nie kierować się wyłącznie szatą graficzną ani nazwą, jako jedynym czynnikiem zaufania do danej strony. Phishing również przez telefon Należy pamiętać, że ataki phishingowe mogą być przeprowadzone nie tylko z użyciem komputera, ale też np. przez telefon, użytkownik może być poproszony o podanie danych np. celem odbioru zaproszenia. Podanie samej daty urodzenia może ułatwić atakującemu uzyskanie dostępu do konta użytkownika np. dzięki mechanizmowi zapomnianych haseł, a następnie pozyskanie danych osobowych, oraz dostępu do portali, w których użyto danego adresu podczas rejestracji. Reakcja po ataku Co zrobić po fakcie? Przede wszystkim poinformować zainteresowane strony np. portal, bank i podać okoliczności, w jakich doszło do ataku. Niezwłocznie należy też zablokować narzędzia używane do płatności, takie jak karty kodów, karty kredytowe, a także zmienić hasło oraz zweryfikować dane powiązane z kontem, sprawdzając, czy atakujący nie podmienił a lub numeru telefonu, dzięki któremu będzie mógł odzyskać dostęp w przypadku zmiany hasła. Dobrze jest także zmienić pytanie i odpowiedź, które są wykorzystywane w przypadku odzyskiwania dostępu do konta. Autor jest inżynierem bezpieczeństwa, pracuje w LogicalTrust

5 30 BEZPIECZEŃSTWO IT Człowiek najsłabsze ogniwo w systemie bezpieczeństwa firmy Ciepły marcowy poranek w jednej ze stołecznych dzielnic biurowych. Do recepcji firmy wchodzi mężczyzna w średnim wieku, ubrany w garnitur, z plikiem papierów pod ręką oraz zbolałą mina. Podchodzi do blatu biurka i witając się z asystentką, kładzie na nim zalane kawą dokumenty oraz pendrive. Dominik Lewandowski Byłem umówiony w dniu dzisiejszym na rozmowę o pracę, niestety zalałem kawą swoje CV. Bardzo zależy mi, aby dobrze wypaść na rozmowie, a taka sytuacja raczej nie zwiększy moich szans, wie pani jak to jest; nie można drugi raz zrobić dobrego pierwszego wrażenia Mężczyzna uśmiecha się delikatnie, a jego mina przybiera błagalny wyraz. Czy mogłaby pani mi pomóc i wydrukować moje CV z pliku pdf na tym pendrivie? Podaje kobiecie stick USB i wskazuje na drukarkę wielofunkcyjną ustawioną pod oknem. Widząc wahanie na twarzy recepcjonistki, kontynuuje: To może być moja jedyna szansa na otrzymanie tej pracy, ludzie powinni przecież sobie pomagać. Prawda? W rezultacie ludzki odruch decyduje o spełnieniu prośby i pendrive z plikiem zostaje umiejscowiony w porcie USB służbowego komputera, by następnie połączyć się sesją zdalną z komputerem atakującego, który siedzi wygodnie w zupełnie innym miejscu. Zanim asystentka zadzwoni do działu HR w celu zaanonsowania przemiłego człowieka w garniturze na rozmowę o pracę, ten stwierdzi, że zostawił telefon w samochodzie i opuści siedzibę firmy. Wykorzystywanie sieci do celów prywatnych Najsłabszym ogniwem każdego systemu teleinformatycznego jest człowiek, czyli jego użytkownik. Atakujący natomiast nie będzie wybierał żmudnej drogi pokonywania naszych zabezpieczeń, jeżeli ma alternatywę w postaci uzyskania dostępu do konta systemowego, wykorzystując do tego chociażby przytoczoną powyżej sztuczkę socjotechniczną lub wysyłając maila z zainfekowanym załącznikiem. Dlatego też coraz większą rolę odgrywa świadomość pracowników oraz egzekwowanie wewnętrznych polityk bezpieczeństwa firmy. Aż 83 proc. przebadanych pracowników przyznaje się do korzystania z firmowego internetu w celach prywatnych, gdzie ponad 43 proc. deklaruje korzystanie z prywatnej poczty oraz portali społecznościowych (na podstawie badań Cisco 2015). Nikt nie musi przekonywać pracodawcy, na jakie ryzyko takie podejście wystawia dane firmowe oraz bezpieczeństwo struktury IT organizacji. Niewielkie zainteresowanie bezpieczeństwem Prywatne pamięci przenośnie, ładowanie prywatnego, nierzadko zainfekowanego telefonu Dominik Smajek To 15-proc. wzrost w porównaniu z rokiem poprzednim. Sam rynek IT odpowiedział stworzeniem nowych mechanizmów obronnych, których większość ma za zadanie wspomóc najsłabsze ogniwo całego łańcucha czyli użytkownika. Najczęściej nie posiada on żadnej wiedzy w tym zakresie, bądź nie stosuje się do ogólnych zasad ochrony. Eksperci zajmujący się IT w organizacjach są zgodni, że najczęściej, bo aż w ponad 80 proc. przypadków, do utraty lub wycieku danych dochodzi właśnie z powodu ludzkiego błędu lub zamierzonego działania. Dlatego obecnie wprowadzenie odpowiedniego zarządzania aplikacjami mobilnymi jest konieczne, by w skuteczny sposób chronić flotę urządzeń firmowych. Strategia i praktyka bezpieczeństwa W związku z tym w ramach działań mających na celu zbudowanie hermetycznej architektury mobilnej należy skoncentrować się nie tylko na zdefiniowaniu procedur bezpieczeństwa czy edukacji pracowników, ale przede wszystkim na zabezpieczeniu systemu przez port USB firmowego komputera czy inne nośniki danych użytkowane na firmowych stacjach roboczych niosą za sobą bardzo poważne zagrożenie zainfekowaniem całej sieci firmowej. Zaledwie 26 proc. badanych zna i przestrzega polityki bezpieczeństwa swojej organizacji, 38 proc. wie o jej istnieniu, ale nigdy się z nią nie zapoznała, a 32 proc. uważa, że polityka bezpieczeństwa ogranicza ich w wykonywaniu codziennych obowiązków, a co za tym idzie omija jej zasady, kiedy wydaje im się to uzasadnione. Hasła, wordlisty, personalizacja kont Czynnikiem, który bezwzględnie powinien znaleźć się w polityce bezpieczeństwa każdej firmy jest zarządzanie hasłami. Jeżeli nie posiadamy systemu, który wymusza na użytkowniku zmianę hasła po upływie danego okresu czasu oraz nie forsuje jego odpowiedniej złożoności (wielkie oraz małe litery, znaki specjalne, cyfry i minimalna liczba znaków), to zalecane jest, aby odpowiednie wytyczne Hermetyczna architektura mobilna Kwestie odpowiedniego poziomu bezpieczeństwa IT zaczynają odgrywać coraz większą rolę w procesie funkcjonowania całego przedsiębiorstwa. Znaczący wzrost rynku zastosowań mobilnych dla biznesu zaowocował pojawieniem się nowych zagrożeń z zakresu ochrony danych. Według raportu PwC Zarządzanie ryzykiem w cyberprzestrzeni w 2014 r. zaledwie 60 proc. respondentów z Polski potwierdziło, że wdrożyło strategię bezpieczeństwa dla urządzeń przenośnych. poprzez odpowiednią konfigurację dostępu. Odbywa się ona na kilku poziomach jedocześnie od urządzeń mobilnych (najczęściej smartfonów), poprzez aplikacje, a kończąc na systemach, które ją obsługują. Właśnie dlatego ważne jest wprowadzenie centralnej polityki bezpieczeństwa IT, która będzie w stanie zabezpieczyć pozostałe urządzenia funkcjonujące w ramach struktury firmy oraz wymusi stosowanie metod ograniczających dostęp do jej zasobów. Dla samego pracownika może oznaczać to m.in. konieczność wprowadzenia odpowiednich haseł, na przykład w celu odpowiedniego skonfigurowania klienta poczty. Wprowadzenie takich procedur pozwala zwiększyć świadomość poszczególnych pracowników w tym obszarze, co w dalszej perspektywie pozwoli korzystać z urządzeń mobilnych w sposób bardziej produktywny. znalazły odzwierciedlenie w naszej polityce bezpieczeństwa. Metody profilowania haseł użytkowników, dostępne w sieci tak zwane wordlisty (listy najczęściej używanych haseł) oraz rosnąca moc obliczeniowa komputerów pozwalają na efektywne i relatywnie mało czasochłonne łamanie prostych metod uwierzytelniania. Do dobrych praktyk biznesowych należy również personalizacja kont pracowników (każdy użytkownik systemu posiada własny login oraz hasło, którym nie wolno dzielić się z innymi użytkownikami), pozwala to nie tylko na łatwą identyfikację odpowiedzialności osoby wykonującej operacje w systemie, ale także znacząco zmniejsza ryzyko wystąpienia incydentu bezpieczeństwa spowodowanego wyciekiem lub złamaniem hasła. Rozdzielenie obowiązków i szyfrowanie Efektywnym sposobem na zarządzanie kontami jest także tak zwane rozdzielenie obowiązków zalecane między innymi przez ISC2 (wystawcę certyfikatu CISSP). Technika ta polega na rozbiciu zakresu uprawnień oraz wykonywanych czynności na dwóch lub więcej pracowników, tak aby każda decyzja lub akcja (na przykład wykonanie przelewu lub nadanie uprawnień) musiała być zatwierdzona przez inna osobę. Szyfrowanie danych oraz bezpieczne kanały komunikacji stanowią podstawę bezpiecznego przepływu informacji. Jako standard firmowy powinniśmy przyjąć ograniczenie nieszyfrowanej korespondencji mailowej do absolutnego minimum. Techniki polegające na bardzo często używanym hasłowaniu przesyłanego pliku załącznika niestety nie spełniają praktycznie żadnej normy ochrony, którą moglibyśmy uznać za zadowalającą. Dział bezpieczeństwa IT powinien dążyć do eliminacji jak największej ilości czynników błędu ludzkiego, starając się jednocześnie zapewnić jak najszerszy i najefektywniejszy dostęp do zasobów IT firmy dla pracowników. Autor pracuje jako IT onsite engineer/security protection administrator w firmie Sitel Integracja to podstawa W celu zachowania odpowiedniej integralności infrastruktury IT firmy, oprócz restrykcyjnego stosowania się do ustalonych procedur bezpieczeństwa, ważne jest aby aplikacje mobilne były w odpowiedni sposób zintegrowane z funkcjonującym już systemem. Korzyści wynikające ze stosowania zintegrowanych systemów ochrony architektury mobilnej powodują, że przedsiębiorstwa wprowadzają bardziej skomplikowane zabezpieczenia. Należą do nich m.in. procesy wieloetapowego uwierzytelniania oraz zmienne klawiatury, które uniemożliwiają zdalne odczytanie haseł. Jednak niezwykle szybki rozwój rozwiązań oraz narzędzi stosowanych w branży IT sprawia, że skomplikowane struktury informatyczne powinny być nieustannie kontrolowane. W tym celu przeprowadza się testy bezpieczeństwa realizowane m.in. poprzez kontrolowane atakowanie systemu teleinformatycznego. Działania te mają na celu jego realną ocenę oraz ewentualne wykrycie luk w systemach zabezpieczających. Autor jest kierownikiem projektów mobilnych w MakoLab