Cyberterroryzm zagrożenia dla bezpieczeństwa informacji i danych osobowych

Transkrypt

1 Cyberterroryzm zagrożenia dla bezpieczeństwa informacji i danych osobowych Autor: Grzegorz KUTA - Ekspert KSOIN Czy codzienne doniesienia medialne informujące o incydentach dotyczących wycieku lub kradzieży danych, szpiegostwie gospodarczym, zagrożeniach dla sieci teleinformatycznych, czy też o kompromitacji systemów zabezpieczeń, działają na naszą wyobraźnię? Nie trudno się domyślić, że bezpieczeństwo informacji jest obecnie bardzo zagrożone, głównie za sprawą rozwoju komputerów oraz Internetu. Cyberrzeczywistość okazuje się bowiem nową przestrzenią, w której zorganizowane grupy przestępcze czy też pojedynczy ludzie walczą o pieniądze, strefę wpływów, przewagę nad konkurencją oraz władzę. W ujęciu encyklopedycznym cyberterroryzm to swoistego rodzaju neologizm opisujący dokonywanie aktów terroru przy pomocy zdobyczy technologii informacyjnej. Działanie takie polega zazwyczaj na celowym zakłóceniu elektronicznego obiegu informacji danego kraju lub organizacji i ma na celu wyrządzenie określonej szkody. Akty terroru dokonywane przy pomocy technologii informacyjnej mogą być dokonywane na podstawie różnych pobudek, zazwyczaj politycznych lub ideologicznych. Zupełnie inaczej definiowane jest natomiast pojęcie cyberprzestępczości. Definicją tą określa się przestępczość w zakresie czynów skierowanych przeciwko systemowi komputerowemu, przy wykorzystaniu właśnie komputera jako narzędzia. Według byłego specjalisty ds. przestępczości informatycznej przy Komendzie Głównej Policji Pana K. Jakubowskiego, pojęcie przestępczości komputerowej jest nieprecyzyjne i wieloznaczne. W szerokim rozumieniu, przestępczość ta obejmuje wszelkie zachowania przestępne związane z funkcjonowaniem elektronicznego przetwarzania danych, polegające zarówno na naruszaniu uprawnień do programu komputerowego, jak i godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz cały system połączeń komputerowych, a także w sam komputer. Należy tu zaznaczyć, iż będą to zarówno czyny popełniane przy użyciu elektronicznych systemów przetwarzania danych ( komputer jako narzędzie do popełnienia przestępstwa), jak i skierowane przeciwko takiemu systemowi.

2 Dlatego, w mojej opinii, pojęć cyberprzestępczość i cyberterroryzm nie wolno traktować jako swoistego rodzaju synonimy dla określanie działań przestępczych dokonywanych przy pomocy narzędzi informatycznych. Wysiłki podjęte w celu zdefiniowania przestępstw komputerowych pokazują że cyberprzestępstwo jest pojęciem tak szerokim, że nie może zostać użyte w konkretnych przypadkach, a służy jedynie do prowadzenia dyskusji ogólnych. To właśnie do kategorii cyberprzestępstw z rzeczywistym lub potencjalnym użyciem przemocy zaliczamy cyberterroryzm. Żeby móc odpowiedzieć na pytanie, na ile działania cyberprzestępcze stanowią zagrożenie dla bezpieczeństwa informacji i danych osobowych, należałoby poznać i zrozumieć motywy działania organizacji i osób, które sięgają po takie narzędzia. Nie trudno domyślić się, że celem podejmowanych działań cyberprzestępczych są cenne informacje z komputerów urzędów, ministerstw, firm czy nawet poszczególnych osób. Zagrożeniem dla bezpieczeństwa informacji są np. kradzieże numerów PIN kart kredytowych, włamania na konta bankowe, kradzieże tożsamości czy unieruchomienie określonej usługi świadczonej przez państwo jego obywatelowi. W obecnych czasach wyżej wymienione działania są czymś, o czym słyszymy niemal codziennie, ale każdy z nas odsuwa od siebie tą myśl, że poprzez kradzież informacji my sami możemy ponieść jakieś straty. I nawet jeśli utracimy dane na skutek cyberprzestępczych działań to bagatelizujemy problem, twierdząc że nie miały one poufnego charakteru zapominając, że atrybutem bezpieczeństwa informacji są także takie właściwości jak dostępność, integralność, autentyczność, rozliczalność, niezaprzeczalność, niezawodność informacji. Cyberprzestępcze działania, którymi możemy zostać dotknięci pośrednio lub bezpośrednio to przede wszystkim: - hacking, czyli uzyskanie nieautoryzowanego dostępu do zasobów systemu lub sieci teleinformatycznej poprzez ominięcie jego zabezpieczeń; - podsłuch, czyli nieuprawnione przechwycenie informacji; - sabotaż komputerowy, czyli paraliżowanie funkcjonowania systemów teleinformatycznych o kluczowym znaczeniu dla funkcjonowania państwa i jego obywateli; - szpiegostwo komputerowe, czyli nieuprawnione włączenie się do sieci teleinformatycznej w celu pozyskania wiadomości o charakterze chronionym;

3 - niszczenie informacji, czyli naruszenie integralności jej komputerowego zapisu; - fałszerstwo komputerowe, czyli przerabianie lub podrabianie dokumentów w formie elektronicznego zapisu; - oszustwo komputerowe, czyli osiąganie korzyści finansowej poprzez wpływ na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji; - kradzież programu komputerowego, czyli zabór cudzego utworu w celu przywłaszczenia; - oszustwo telekomunikacyjne, czyli nielegalne włączanie się do urządzenia telekomunikacyjnego i generowanie na czyjś koszt impulsów telefonicznych; - klonowanie numerów IMEI telefonów komórkowych, mające na celu użytkowanie skradzionego telefonu, mimo blokady dokonanej przez operatora; - podmiana zawartości stron WWW; - nieuprawniony dostęp do zawartości skrzynek pocztowych i wykorzystaniu ich w późniejszych działaniach przestępczych; - blokowanie usług sieciowych oraz komputerów poprzez przesyłanie setek tysięcy pakietów IP lub wiadomości ; - nielegalne rozpowszechnianie i sprzedaż za pośrednictwem Internetu utworów muzycznych, filmów i oprogramowania; - gry losowe i zakłady wzajemne prowadzone za pośrednictwem Internetu; - internetowy handel przedmiotami, których posiadanie jest zabronione lub które pochodzą z dokonanego przestępstwa oraz internetowe oszustwa aukcyjne. Wzrost przestępczości komputerowej związany jest przede wszystkim z rosnącą ilością użytkowników Internetu oraz wykorzystywania do działalności cyberprzestępczej: - wirusów i robaków internetowych, czyli szkodliwego oprogramowania, które bez wiedzy użytkownika może rozprzestrzeniać się na inne komputery powodując niszczenie danych, dostęp do informacji chronionych, a także wykorzystywać komputer ofiary do innych działań przestępczych; - trojany, eksploity i rootkity, czyli szkodliwe oprogramowanie umożliwiające dostęp do zainfekowanego komputera bez wiedzy użytkownika, a nawet jego przejęcie;

4 - spyware i malware, czyli oprogramowanie pozwalające uzyskać informacje o użytkowniku, jego hasłach, danych osobowych, numerach kart kredytowych, itp.; - spam, czyli rozsyłanie niezamówionej informacji handlowej i reklamowej. Żeby zrozumieć wymierne oddziaływanie działań cyberprzestępczych na bezpieczeństwo informacji warto sięgnąć do badań prowadzonych przez firmy konsultingowe i doradcze. Kluczowe obserwacje z tego zakresu zawierają m.in. ostatnie wyniki ankiety Globalny stan bezpieczeństwa informacji 2014 opublikowane przez firmę PwC. Wynika z nich że w ostatnich latach zagrożenia dla bezpieczeństwa informacji zmieniły się i stały się bardziej powszechne niż kiedykolwiek wcześniej. W takiej sytuacji klasyczne podejście do problematyki bezpieczeństwa informacyjnego, którego głównym celem jest tradycyjnie zaspokojenie wymagań, głównie regulacyjnych, nie jest już wystarczające. W polskich warunkach żadna, nawet najlepiej napisana ustawa czy doktryna dotykająca problematyki cyberprzestępczości, będzie zapewniać pozorne bezpieczeństwo tylko na papierze. Przykładowo rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych jest z roku. Biorąc pod uwagę tempo rozwoju technologii przetwarzania informacji, zdefiniowanie wymagań bezpieczeństwa dziesięć lat wstecz to przepaść nieprzystająca do rzeczywistości. Z drugiej strony, gdyby wszystkie instytucje przetwarzające dane osobowe skrupulatnie stosowały to co zawarto w wyżej wymienionym przepisie byłoby już optymistycznym faktem. Dlatego ważne są realne działania, bo jak pokazują badania z tego zakresu prowadzone z kolei przez firmę EY rośnie luka pomiędzy obecnym a wymaganym poziomem bezpieczeństwa informacji, mimo, że 43% organizacji zwiększyła w 2013 roku budżety w obszarze zabezpieczeń. Obecnie obserwuje się także, coraz powszechniejsze wykorzystywanie w działalności cyberprzestępców urządzeń mobilnych takich jak smartfony, tablety czy telefony VoIP. Dzisiaj wiele organizacji nadal opiera się na przestarzałych strategiach bezpieczeństwa i prowadzi raczej nieskuteczną walkę z doskonale wyszkolonymi i zmotywowanymi przeciwnikami, którzy posługują się tzw. technologią jutra.

5 Dlatego ponad 93% małych i średnich przedsiębiorstw w Europie utraciło powierzone im informacje wrażliwe, w tym dane osobowe, narażając na straty siebie i swoich klientów. Firmy zazwyczaj przywiązują dużą wagę do budowy systemu bezpieczeństwa opartego o technologię nie doceniając wagi szkoleń i kontrolowania pracowników mających dostęp do kluczowych danych. W drugiej połowie 2013 roku cyberprzestępcy przeprowadzili serię najbardziej szkodliwych ataków w historii. Jedno megawłamanie może być warte tyle, co 50 mniejszych ataków, twierdzi Symantec w swoim nowym raporcie Internet Security Threat Report ISTR. Autorzy raportu twierdzą, że da się zaobserwować istotną zmianę w zachowaniu cyberprzestępców, którzy coraz częściej rezygnują z przeprowadzania wielu, szybkich ataków na rzecz wielkich, planowanych miesiącami skoków. Symantec twierdzi wręcz, że weszliśmy w erę megawłamań. Obecnie na atak cyberprzestępcy narażony jest każdy firma komercyjna, prywatny użytkownik czy instytucja rządowa. Wyniki tegorocznego badania eurobarometru, projektu realizowanego na zlecenie Komisji Europejskiej, pokazują, że cyberprzestępców boi się zdecydowana większość polskich internautów. Wirusy, robaki, dialery, włamania do sieci, nielegalne kopiowanie oprogramowania, kradzież danych i informacji to przejawy cyberprzestępczości, które stały się dziś niemal powszechne. Powszechna dostępność Internetu daje nowe możliwości osobom, które nie mają skrupułów by to narzędzie wykorzystać przeciwko nam. Organizacje, firmy i Państwa tracą miliony dolarów w skutek cyberprzestępczych działań. A wszystko zaczyna się od zdobycia informacji lub dotyczy informacji. Warto pamiętać, że jeden człowiek może spowodować całkowitą kompromitację nawet najlepiej zorganizowanego systemu bezpieczeństwa informacji. Działania Edwarda Snowdena czy Bradleya Manninga są tego dobitnym przykładem. Administracja publiczna, służba zdrowia i branża farmaceutyczna oraz sektor usług finansowych to pierwsza trójka zestawienia przygotowanego w oparciu o analizę ataków cyberprzestępców przeprowadzonych w Europie w zeszłym roku. Pierwszą piątkę sektorów, które w ubiegłym roku najczęściej atakowali cyberprzestępcy zamykają energetyka i sektor utilities oraz branża usługowa. Na kolejnych miejscach rankingu przygotowanego przez specjalistów firmy FireEye znalazły się sektor telekomunikacji, branża chemiczna, produkcyjna i wydobywcza, sektor zaawansowanych technologii, branża FMCG, handel detaliczny oraz sektor szkolnictwa wyższego. Statystycznie w Europie jedna instytucja administracji

6 publicznej ma do czynienia z 15 precyzyjnie zaplanowanymi i przygotowanymi z myślą o obejściu typowych zabezpieczeń atakami miesięcznie. Wyciek informacji spowodowany przez osoby nieświadome ich wagi podyktowany jest najczęściej brakiem wyobraźni i łamaniem podstawowych zasad związanych z bezpieczeństwem informacji. Osoby, które nie zdają sobie sprawy, jak wielką wartość mogą przedstawiać informacje, które zostały im powierzone mają zmniejszoną motywację do przestrzegania wdrożonych zasad bezpieczeństwa. W czasach, gdy informacja stała się cennym towarem, biorąc pod uwagę rozwój technologii jej przetwarzania, stosowane od lat tradycyjne formy jej ochrony przestają być wystarczające. Czy jednak w tych działaniach jesteśmy bezsilni? Otóż nie! Podejmowanie działań mających na celu zapewnienie adekwatnej ochrony zasobów informacyjnych jest naszą powinnością i obowiązkiem. Niejednokrotnie oprócz zabezpieczeń fizycznych, technicznych i elektronicznych wystarczy czasami podejmowanie rozważnych zachowań w obszarze bezpieczeństwa informacji, pamiętając, że człowiek jest najsłabszym ogniwem całego systemu bezpieczeństwa. Należy pamiętać, że nawet najlepsze zasady bezpieczeństwa i wspierające je systemy kontroli są bezużyteczne, jeśli zabraknie nam świadomości, rozwagi i wyobraźni. O wadze kwestii świadomości bezpieczeństwa może świadczyć jedna z wypowiedzi Kevina Mitnicka, uznawanego za najsłynniejszego hakera świata, który stwierdził: łamałem ludzi, nie hasła. Dlatego najprostszym sposobem podniesienia poziomu bezpieczeństwa jest podejmowanie działań w obszarze budowy świadomości, pokazywanie czym jest ochrona informacji i danych osobowych, jaki ma wpływ na nasze codzienne funkcjonowanie oraz wskazywanie pożądanych wzorców zachowań.

7 Statystyka incydentów w roku 2013 z podziałem na kategorie Źródło: Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2013 roku,

8 Średnia liczba incydentów związanych z bezpieczeństwem Źródło: Wymagany a pożądany poziom bezpieczeństwa informacji Źródło: EY s Global Information Security Survey 2013 Skala cyberprzestępczości wobec konsumentów Źródło: go.symantec.com/norton-report-2013

9 Screen zaatakowanej strona premiera RP Źródło: Bibliografia: 1. Bezpieczne informacje bezpieczna przyszłość. Kluczowe obserwacje z wyników ankiety Globalny stan bezpieczeństwa informacji 2014 (The Global State of Information Security Survey 2014) Internet Security Threat Report, 3. Under cyber attack, EY s Global Information Security Survey 2013, 4. FireEye Advanced, Threat Report: 2013, 5. Debra Littlejohn Shinder, Ed Tittel, Cyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci. Wydawnictwo Helion, 2004 r.