Autor: Piotr Dzik. Nowy krajobraz nowe wyzwania.



Podobne dokumenty
Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników. Jakub Bojanowski Partner

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

ZagroŜenia w sieciach komputerowych

MMI Group Sp z o.o. ul. Kamykowa Warszawa Tel/ fax. (22)

Warsztaty przygotowujące osoby bezrobotne do prowadzenia własnego

PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

epolska XX lat później Daniel Grabski Paweł Walczak

Administracja wobec wyzwań elektronicznej gospodarki

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a

Jak uchronić Twój biznes przed cyberprzestępczością

Bezpieczeństwo danych w sieciach elektroenergetycznych

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Ochrona biznesu w cyfrowej transformacji

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Polityka bezpieczeństwa

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

dr Beata Zbarachewicz

WYKŁAD III ŁADU KORPORACYJNEGO

Krzysztof Tomkiewicz Bydgoszcz, 26 października 2009 r.

BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI. Partner studiów:

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Maciej Stroiński stroins@man.poznan.pl

Technologie cyfrowe i użytkowanie internetu przez firmy kanadyjskie w 2012 r :36:34

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Analiza ataków na strony www podmiotów publicznych. skala zjawiska w latach

AGENT DS. CYBERPRZESTĘPCZOŚCI. Partner studiów:

bo od managera wymaga się perfekcji

Ustawa z dnia 27 sierpnia 2009 roku Przepisy wprowadzające ustawę o finansach publicznych (Dz.U. Nr 157, poz. 1241)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Polityka bezpieczeństwa informacji

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Sage ACT! Twój CRM! Zdobywaj, zarządzaj, zarabiaj! Zdobywaj nowych Klientów! Zarządzaj relacjami z Klientem! Zarabiaj więcej!

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Reforma ochrony danych osobowych RODO/GDPR

technologii informacyjnych kształtowanie , procesów informacyjnych kreowanie metod dostosowania odpowiednich do tego celu środków technicznych.

Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO Mariola Witek

Informatyka Śledcza dowód elektroniczny. Przemysław Krejza, EnCE

Szkolenie Ochrona Danych Osobowych ODO-01

Prowadzący Andrzej Kurek

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Narzędzia Informatyki Śledczej

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Zasada dotycząca bezpieczeństwa informacji, tajemnic handlowych i poufnych informacji

Organizacja środowiska pracy dla Administratora Bezpieczeństwa Informacji

Wykład 2 Rola otoczenia w procesie formułowania strategii organizacji

Ryzyko systemów informatycznych Fakty

Wartość audytu wewnętrznego dla organizacji. Warszawa,

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Polityka Bezpieczeństwa Informacji PIN BG AGH. (w wyborze)

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs.

Bezpieczna firma zabezpieczenia informatyczne i rozwiązania prawne

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Program ochrony cyberprzestrzeni RP założenia

Zarządzanie zmianą w przedsiębiorstwie lub zakładzie pracy

Dział/ Stanowisko Stażysty. Opis stanowiska, zakres obowiązków Stażysty Wymagania wobec Stażysty. Termin realizacji stażu czerwiec - sierpień 2015

Można rozpatrywać dwa sposoby zapewnienia obsługi informatycznej firmy:

2.4.2 Zdefiniowanie procesów krok 2

Raport CERT NASK za rok 1999

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Jak zaprojektować firmę aby mogła się skalować i odnosić trwałe sukcesy? Warszawa, 13 listopada 2018 r.

Społeczna odpowiedzialność w biznesie. Uniwersytet Ekonomiczny Poznań GraŜyna Bartkowiak

Sun Capital sp. zo.o. (71)

ASQ: ZALETY SYSTEMU IPS W NETASQ

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Kompleksowe Przygotowanie do Egzaminu CISMP

Załącznik Nr 1 do SIWZ Załącznik nr 3 do Umowy Szczegółowy Opis Przedmiotu Zamówienia

AUMS Digital. aums.asseco.com

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Procesowa specyfikacja systemów IT

GDPR Zmiany w prawie o ochronie danych osobowych

oceny kontroli zarządczej

Polityka bezpieczeństwa przetwarzania danych osobowych w Gminnym Ośrodku Pomocy Społecznej w Radomsku

Akademia Finansów i Biznesu Vistula we współpracy z Polskim Instytutem Kontroli Wewnętrznej organizuje. w dniu 12 stycznia 2016 r.

HARMONOGRAM SZKOLEŃ OTWARTYCH 2019

Narzędzia administracyjne Windows XP

Rola informatyki śledczej w rozwiązywaniu zagadek kryminalistycznych. Autor: Bernadetta Stachura-Terlecka

BEZPIECZEŃSTWO OBROTU GOSPODARCZEGO MODUŁY WARSZTATOWE

Polityka Prywatności Intact Group Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Jak moŝna chronić swój znak towarowy?

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

ZARZĄDZENIE NR 17/2014R. KIEROWNIKA GMINNEGO OŚRODKA POMOCY SPOŁECZNEJ W POSTOMINIE

Rynek IT w Polsce Prognozy rozwoju na lata

CRM w logistyce. Justyna Jakubowska. CRM7 Specjalista Marketingu

Regulamin korzystania z Platformy DEKRA echeck. Postanowienia ogólne. Warunki techniczne

SZKOLENIA POLSKIEGO INSTYTUTU KONTROLI WEWNĘTRZNEJ w roku 2017

KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic

Informatyzacja przedsiębiorstw WYKŁAD

Transkrypt:

"Analiza zagroŝeń związanych z przepływem informacji w przedsiębiorstwach energetycznych oraz omówienie sposobów przeciwdziałania zdarzeniom związanym z bezpieczeństwem informacji" Autor: Piotr Dzik Jest oczywiste, Ŝe przed polską elektroenergetyką stają nowe wyzwania natury rynkowej. Istnieje co najmniej kilka czynników, które sprawią, Ŝe kluczowe umiejętności marketingowe, czyli utrzymanie obecnych i pozyskanie nowych klientów staną się niezwykle waŝne dla branŝy. Lipiec 2007 oznacza przełom - wprowadzenie zasady TPA dla ponad 13 milionów gospodarstw domowych.. Nowy krajobraz nowe wyzwania. Wobec tego przedsiębiorstwa energetyczne będą musiały wydawać więcej na działania marketingowe i obsługę klienta. Pierwszym, który podjął takie działania jest koncern Vattenfall wprowadzając na Śląsku kartę stałego klienta. Nie ulega wątpliwości, Ŝe prędzej czy później inne przedsiębiorstwa energetyczne będą musiały podjąć to wyzwanie. Oznacza to większe wydatki a to zagroŝenie dla zysków i niestety takŝe szansa dla oszustów i złodziei. Przedsiębiorstwa energetyczne naraŝone są głównie na trzy typy naduŝyć powiązanych z sieciami komputerowymi[1]: Klasyczne, takie jak: nieistniejący dostawcy fakturujący firmę, nieistniejący pracownicy pobierający wynagrodzenia, prawdziwe koszty, ale przekierowanie płatności na inne konta, ustawiane przetargi, prawdziwi dostawcy ale sfałszowane faktury (np. zbyt wysokie kwoty lub opłaty za niewykonane usługi. Obejmują one takŝe ataki na ludzkie Ŝycie przez np. manipulowanie systemami kontroli (czyli cyberterroryzm) Przestępstwa przeciw poufności, integralności i dostępności danych. Obejmują one między innymi: nielegalny dostęp do systemów przez hacking, podsłuch czy oszukiwanie uprawnionych uŝytkowników (powszechnie znany phishing ), szpiegostwo komputerowe (włączając trojany i inne techniki), sabotaŝ i wymuszenia komputerowe (wirusy, ataki DDoS, spam) Przestępstwa kontentowe (dotyczące zawartości). Ta kategoria obejmuje między innymi rozpowszechnianie fałszywych informacji np. czarny PR. Kluczowe w powyŝszej klasyfikacji jest określenie powiązane. Doświadczenia branŝowe, potwierdzone naszą praktyką zawodową wskazują, Ŝe prawie zawsze stosowna informacja o naduŝyciu, czyli dowód elektroniczny, znajduje się w systemach komputerowych. Reguła ta dotyczy takŝe przedsiębiorstw elektroenergetycznych działanie bez sieci komputerowych jest w tej branŝy po prostu niemoŝliwe. Jak się wydaje pierwsza grupa naduŝyć jest zauwaŝana w przedsiębiorstwach i lepiej lub gorzej zwalczana. Widzimy jednak, z naszego punktu widzenia, niezwykle istotną słabość powszechnie stosowanych procedur - bardzo rzadko zwalczanie naduŝyć powiązane jest z sięganiem do rozwiązań technicznych zaledwie w 50% dochodzeń firmy sięgają do specjalistów zewnętrznych, w tym w 9% firmy korzystają z porad specjalistów wykorzystujących technologie informatyczne! [2] Oznacza to, Ŝe dochodzenia wewnętrzne są przewaŝnie prowadzone ręcznie. Badane są dokumenty papierowe, czytane raporty ochrony, przesłuchuje się pracowników. Nie trzeba dodawać, Ŝe są to metody

kosztowne, czasochłonne, niszczące morale pracowników, jednak, do pewnych granic, skuteczne w przypadku pierwszej grupy naduŝyć. Drugiej i trzeciej grupie naduŝyć z natury nie sposób przeciwdziałać bez sięgania do narzędzi informatycznych. Powstaje jednak pytanie czy są to zagroŝenia na tyle powaŝne by uzasadniać szczególne inwestycje w bezpieczeństwo IT a zwłaszcza w narzędzia informatyki śledczej. Raporty światowe komercyjne (np. Deloitte) [3] i rządowe (np. FBI) [4] wskazują, Ŝe zagroŝenie jest powaŝne. W sektorze TMT (Technologia/Media/Telekomunikacja) powaŝne naruszenie bezpieczeństwa IT zdarza się w ciągu roku w 50% firm [5]. Drugim istotnym czynnikiem jest fakt, Ŝe 65-80% intencjonalnych naruszeń bezpieczeństwa jest winą pracowników (następuje z wewnątrz organizacji) [6]. W przypadku Polski trudno o pewne dane, jednak warto wskazać czynniki, które sprzyjać będą zachowaniom cyberprzestępczym w energetyce. Naszym zdaniem prawdopodobne (bo potwierdzone wcześniejszymi doświadczeniami innych krajów) są następujące działania: 1. KradzieŜe baz danych. Współczesny marketing jest bazodanowy. Systemy Customer Relationship Management (CRM) opierają się na szczegółowych informacjach o klientach. Jest dość oczywiste, Ŝe dla wchodzącego na rynek konkurenta informacja o wielkości zakupu energii, regulowaniu płatności, reakcjach na zmiany taryf, będzie niezwykle cenna. KradzieŜ takiej bazy w postaci cyfrowej moŝe być, w porównaniu do danych papierowych, bardzo łatwa. 2. KradzieŜ własności intelektualnej. Jest to kategoria bardzo szeroka. Obejmuje, oprócz rozwiązań technicznych, takŝe kradzieŝe strategii marketingowych, rozwiązań kreatywnych czy propozycji nowych produktów (usług) dla klientów. Zdobycie takich danych moŝe dać przewagę strategiczną firmie konkurencyjnej. 3. Phishing czyli przekierowanie klienta na fałszywą stronę internetową skąd oszuści zdobywają numery kart płatniczych, hasła dostępu do kont internetowych, itp. Na przykład w Niemczech hakerzy stworzyli plik, który, udając formularz pdf przedsiębiorstwa energetycznego, był w rzeczywistości programem szpiegowskim. 4. DDoS czy Dedicated Denial of Service. Atak typu DDoS polega na celowym i kierowanym (targetowanym) blokowaniu działania sieci informatycznej przedsiębiorstwa. W przypadku przedsiębiorstw energetycznych, działających w modelu 24/7, nawet kilkuminutowa zakłócenie działania tylko elektronicznego biura obsługi klienta (e-bok) moŝe mieć powaŝne konsekwencje biznesowe.[7] Nasze dość ułomne obserwacje rynku energii wskazują, Ŝe nie róŝni się on specjalnie od innych firm w Polsce. Praktyka (w duŝym skrócie) wygląda następująco: Prawie wszędzie dba się o prewencję instaluje firewalle, stosuje hasła i systemy kontroli dostępu, oprogramowanie antywirusowe jest powszechne; Reaguje się na incydenty, firmy zaczynają wdraŝać rozwiązania słuŝące reakcji na incydenty, rynek na systemy IDS/IPS (Intrusion Detection/Protection System) wykazuje oznaki wzrostu; W niewielkim stopniu prowadzi się wewnętrzne analizy informatyczne po wystąpieniu incydentu, czyli wykorzystuje się narzędzia informatyki śledczej.

W wielu firmach bezpieczeństwo IT nie jest uwaŝane za waŝny proces biznesowy a problem techniczny postrzega się go jako teren odpowiedzialności informatyków, bez angaŝowania zarządów [8] Praktyka analityczna Opisana wyŝej sytuacja jest dość dziwna. Systemy prewencyjne nie są i nie mogą być do końca skuteczne. Ochrona nastawiona jest na działanie w sposób perymetryczny (przed atakiem z zewnątrz). Inwestycje w IDS/IPS są zrozumiałe w przypadku elektroenergetyki jak najszybsze przywrócenie normalnego działania systemu jest Ŝyciowo waŝne. Jednak pełny proces zarządzania bezpieczeństwem IT jest (a przynajmniej powinien być) czteroetapowy. Prewencja detekcja-rekonstrukcja-analiza to stan idealny, zalecany między innymi przez, bardzo popularną, normę BS7799 (rozwijaną obecnie jako ISO serii 27000). Jak wspomniano wyŝej analizy jeśli są prowadzone to najczęściej ręcznie. Tymczasem z doświadczeń branŝowych, potwierdzonych takŝe naszą praktyką zawodową wynika, Ŝe przeciętne wewnętrzne śledztwo elektroniczne obejmuje obecnie ok. 10 milionów róŝnego rodzaju plików, za kilka lat ta liczba prawdopodobnie sięgnie 100 milionów. JuŜ sama ta liczba zasadniczo podwaŝa wartość analiz tradycyjnych. W ich trakcie albo zbiera się zbyt duŝo danych, co jest głównym źródłem niepotrzebnych kosztów, albo zbyt mało danych co jest głównym źródłem niepotrzebnego ryzyka. Metody tradycyjne oznaczają, Ŝe najpierw trzeba zgadnąć kogo i o co pytać, do jakich źródeł sięgnąć. A zgadywanie łagodnie mówiąc bywa zawodne.

UwaŜa się, Ŝe są dwie zasadnicze przyczyny takiego podejścia do wewnętrznych dochodzeń informatycznych a są nimi nieznajomość narzędzi oraz wątpliwości prawne. Tymczasem sam przedmiot informatyki śledczej ( Computer Forensic ) definiuje się jako zastosowanie wiedzy komputerowej by odpowiedzieć na pytania, które powstają w czasie procedur prawnych. Warto wskazać, Ŝe dalece nie kaŝdy rezultat dochodzenia wewnętrznego jest uŝywany w sądzie. Znowu według danych amerykańskich [9], zaledwie 9% naruszeń bezpieczeństwa IT jest komunikowanych organom ochrony prawa, resztę sytuacji nadzwyczajnych firmy rozwiązują wewnętrznie. Chodzi jednak o to, by rezultat takich dochodzeń i analiz nadawał się, w razie konieczności, do obrony w sądzie. Jednak sąd nie zaakceptuje kaŝdego pliku czy wydruku z komputera. Dowód elektroniczny musi być pozyskany, potwierdzony (poddany procesowi autentyfikacji), zabezpieczony i zanalizowany w sposób, który uniemoŝliwi obronie podniesienie zarzutu manipulacji dowodem czy fałszerstwa. Muszą w tym celu być zachowane stosowne procedury a takŝe zastosowane powszechnie akceptowane narzędzia sprzętowe i programowe. Tych procedur i tych narzędzi musi uŝywać doskonale przeszkolony i doświadczony personel. Wnioski Sytuację moŝna podsumować następująco: 1. ZagroŜenia bezpieczeństwa IT są w biznesie powszechne; 2. Energetyka jest jednym z sektorów szczególnie podatnych na ataki na bezpieczeństwo IT; 3. Czynnikiem dodatkowym są klasyczne czy teŝ tradycyjne przestępstwa przeciwko interesom firmy (kradzieŝe, defraudacje, oszustwa, korupcja); 4. W dbałości o bezpieczeństwo informacji sektor nie wykorzystuje wszystkich istniejących moŝliwości zadbania o własne interesy;

5. Jak się wydaje przyczyną tego stanu rzeczy jest nieznajomość narzędzi informatyki śledczej co prowadzi do nieadekwatnej oceny ich przydatności. Tymczasem skorzystanie z narzędzi informatyki śledczej jest jedynie kwestią decyzji finansowej i organizacyjnej. Istnieją standardowe, wielokrotnie sprawdzone i powszechnie stosowane narzędzia słuŝące przeszukiwaniu nośników, odzyskiwaniu danych oraz analizie i raportowaniu. Klasyczne softwarowe narzędzia informatyki śledczej są przeznaczone do pracy z jednym komputerem moŝna tu wymienić np. Forensic Toolkit firmy Access Data. Od kilku lat dostępne jest takŝe narzędzie słuŝące kontroli i analizie zdarzeń zachodzących w sieci firmowej czyli EnCase Enterprise stworzone przez GuidanceSoftware, z kolei Micro Systemation wprowadziła na rynek program.xry słuŝący do analiz zawartości pamięci telefonów komórkowych [10]. Ich przydatność została wielokrotnie dowiedziona a rezultaty dochodzeń z prawnego i ekonomicznego punktu widzenia są znaczące. Dla polepszenia bezpieczeństwa przedsiębiorstw energetycznych powinno nastąpić jak najszersze zintegrowanie narzędzi informatyki śledczej z procedurami zapewnienia bezpieczeństwa IT. Jest to działanie obecnie niezbędne poniewaŝ uwaŝa się, Ŝe bez narzędzi IT nie da się obecnie prowadzić Ŝadnej powaŝnej działalności gospodarczej, a tym samym ich bezpieczeństwo jest kluczowe dla całego biznesu. Odpowiednia polityka i procedury bezpieczeństwa IT wymagają współpracy audytorów, specjalistów zarządzania czy specjalistów ochrony fizycznej. Jednak tylko automatyczny monitoring i analiza pozwala na szybkie zidentyfikowanie anomalii w procesach biznesowych i podjęcie działań korekcyjnych. Piotr Dzik Dyrektor ds. marketingu firmy Mediarecovery. Mediarecovery dysponuje jednym z najlepszych laboratoriów informatyki śledczej w Polsce. W 2006 roku przeprowadziła około 800 ekspertyz, w tym w największych sprawach karnych i cywilnych. Zatrudnia biegłych sądowych w zakresie informatyki. Źródła i literatura [1] Typy cyberprzestępstw definiuje konwencja Rady Europy ETS 185 http://conventions.coe.int/treaty/en/treaties/html/185.htm [2] [3] Dane pochodzą z badania NaduŜycia gospodarcze w firmach wyniki sondaŝu 2006 przeprowadzonego przez firmę Deloitte http://www.deloitte.com/dtt/research/0,1015,sid%253d12144%2526cid%253d120425,00.html (pobranie wymaga rejestracji) [4] FBI Computer Crime Survey 2006 http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml;jsessionid=1r3rpomasswa4qsndlrckhscjunn2jvn (pobranie wymaga rejestracji) [5] Deloitte Protecting the digital assets http://www.deloitte.com/dtt/press_release/0,1014,sid%253d%2526cid%253d122024,00.html [6] Podsumowanie wyników zawiera: Bakshi, Sunil Internal Cyberforensics, Information Systems Control Journal vol 6, 2005 [7] Kompetentne omówienie ataku DDoS w ENISA Journal 06/2006, do pobrania z http://www.enisa.eu.int/pages/02_02.htm [8] 40% respondentów potwierdziło, Ŝe spotkania z zarządem oraz komitetami audytowymi mają miejsce rzadziej niŝ raz w roku lub nie odbywają się w ogóle. Ponadto, 44% respondentów potwierdziło równie rzadkie spotkania z departamentami prawnymi Ernst&Young, Światowe badanie bezpieczeństwa informacji 2005 http://www.ey.com/global/content.nsf/poland/tsrs_-_library_-_giss_2005 [9] por. np. FBI Computer Crime Survey 2005 [10] Szersze informacje na temat narzędzi informatyki śledczej np. na www.forensictools.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres