"Analiza zagroŝeń związanych z przepływem informacji w przedsiębiorstwach energetycznych oraz omówienie sposobów przeciwdziałania zdarzeniom związanym z bezpieczeństwem informacji" Autor: Piotr Dzik Jest oczywiste, Ŝe przed polską elektroenergetyką stają nowe wyzwania natury rynkowej. Istnieje co najmniej kilka czynników, które sprawią, Ŝe kluczowe umiejętności marketingowe, czyli utrzymanie obecnych i pozyskanie nowych klientów staną się niezwykle waŝne dla branŝy. Lipiec 2007 oznacza przełom - wprowadzenie zasady TPA dla ponad 13 milionów gospodarstw domowych.. Nowy krajobraz nowe wyzwania. Wobec tego przedsiębiorstwa energetyczne będą musiały wydawać więcej na działania marketingowe i obsługę klienta. Pierwszym, który podjął takie działania jest koncern Vattenfall wprowadzając na Śląsku kartę stałego klienta. Nie ulega wątpliwości, Ŝe prędzej czy później inne przedsiębiorstwa energetyczne będą musiały podjąć to wyzwanie. Oznacza to większe wydatki a to zagroŝenie dla zysków i niestety takŝe szansa dla oszustów i złodziei. Przedsiębiorstwa energetyczne naraŝone są głównie na trzy typy naduŝyć powiązanych z sieciami komputerowymi[1]: Klasyczne, takie jak: nieistniejący dostawcy fakturujący firmę, nieistniejący pracownicy pobierający wynagrodzenia, prawdziwe koszty, ale przekierowanie płatności na inne konta, ustawiane przetargi, prawdziwi dostawcy ale sfałszowane faktury (np. zbyt wysokie kwoty lub opłaty za niewykonane usługi. Obejmują one takŝe ataki na ludzkie Ŝycie przez np. manipulowanie systemami kontroli (czyli cyberterroryzm) Przestępstwa przeciw poufności, integralności i dostępności danych. Obejmują one między innymi: nielegalny dostęp do systemów przez hacking, podsłuch czy oszukiwanie uprawnionych uŝytkowników (powszechnie znany phishing ), szpiegostwo komputerowe (włączając trojany i inne techniki), sabotaŝ i wymuszenia komputerowe (wirusy, ataki DDoS, spam) Przestępstwa kontentowe (dotyczące zawartości). Ta kategoria obejmuje między innymi rozpowszechnianie fałszywych informacji np. czarny PR. Kluczowe w powyŝszej klasyfikacji jest określenie powiązane. Doświadczenia branŝowe, potwierdzone naszą praktyką zawodową wskazują, Ŝe prawie zawsze stosowna informacja o naduŝyciu, czyli dowód elektroniczny, znajduje się w systemach komputerowych. Reguła ta dotyczy takŝe przedsiębiorstw elektroenergetycznych działanie bez sieci komputerowych jest w tej branŝy po prostu niemoŝliwe. Jak się wydaje pierwsza grupa naduŝyć jest zauwaŝana w przedsiębiorstwach i lepiej lub gorzej zwalczana. Widzimy jednak, z naszego punktu widzenia, niezwykle istotną słabość powszechnie stosowanych procedur - bardzo rzadko zwalczanie naduŝyć powiązane jest z sięganiem do rozwiązań technicznych zaledwie w 50% dochodzeń firmy sięgają do specjalistów zewnętrznych, w tym w 9% firmy korzystają z porad specjalistów wykorzystujących technologie informatyczne! [2] Oznacza to, Ŝe dochodzenia wewnętrzne są przewaŝnie prowadzone ręcznie. Badane są dokumenty papierowe, czytane raporty ochrony, przesłuchuje się pracowników. Nie trzeba dodawać, Ŝe są to metody
kosztowne, czasochłonne, niszczące morale pracowników, jednak, do pewnych granic, skuteczne w przypadku pierwszej grupy naduŝyć. Drugiej i trzeciej grupie naduŝyć z natury nie sposób przeciwdziałać bez sięgania do narzędzi informatycznych. Powstaje jednak pytanie czy są to zagroŝenia na tyle powaŝne by uzasadniać szczególne inwestycje w bezpieczeństwo IT a zwłaszcza w narzędzia informatyki śledczej. Raporty światowe komercyjne (np. Deloitte) [3] i rządowe (np. FBI) [4] wskazują, Ŝe zagroŝenie jest powaŝne. W sektorze TMT (Technologia/Media/Telekomunikacja) powaŝne naruszenie bezpieczeństwa IT zdarza się w ciągu roku w 50% firm [5]. Drugim istotnym czynnikiem jest fakt, Ŝe 65-80% intencjonalnych naruszeń bezpieczeństwa jest winą pracowników (następuje z wewnątrz organizacji) [6]. W przypadku Polski trudno o pewne dane, jednak warto wskazać czynniki, które sprzyjać będą zachowaniom cyberprzestępczym w energetyce. Naszym zdaniem prawdopodobne (bo potwierdzone wcześniejszymi doświadczeniami innych krajów) są następujące działania: 1. KradzieŜe baz danych. Współczesny marketing jest bazodanowy. Systemy Customer Relationship Management (CRM) opierają się na szczegółowych informacjach o klientach. Jest dość oczywiste, Ŝe dla wchodzącego na rynek konkurenta informacja o wielkości zakupu energii, regulowaniu płatności, reakcjach na zmiany taryf, będzie niezwykle cenna. KradzieŜ takiej bazy w postaci cyfrowej moŝe być, w porównaniu do danych papierowych, bardzo łatwa. 2. KradzieŜ własności intelektualnej. Jest to kategoria bardzo szeroka. Obejmuje, oprócz rozwiązań technicznych, takŝe kradzieŝe strategii marketingowych, rozwiązań kreatywnych czy propozycji nowych produktów (usług) dla klientów. Zdobycie takich danych moŝe dać przewagę strategiczną firmie konkurencyjnej. 3. Phishing czyli przekierowanie klienta na fałszywą stronę internetową skąd oszuści zdobywają numery kart płatniczych, hasła dostępu do kont internetowych, itp. Na przykład w Niemczech hakerzy stworzyli plik, który, udając formularz pdf przedsiębiorstwa energetycznego, był w rzeczywistości programem szpiegowskim. 4. DDoS czy Dedicated Denial of Service. Atak typu DDoS polega na celowym i kierowanym (targetowanym) blokowaniu działania sieci informatycznej przedsiębiorstwa. W przypadku przedsiębiorstw energetycznych, działających w modelu 24/7, nawet kilkuminutowa zakłócenie działania tylko elektronicznego biura obsługi klienta (e-bok) moŝe mieć powaŝne konsekwencje biznesowe.[7] Nasze dość ułomne obserwacje rynku energii wskazują, Ŝe nie róŝni się on specjalnie od innych firm w Polsce. Praktyka (w duŝym skrócie) wygląda następująco: Prawie wszędzie dba się o prewencję instaluje firewalle, stosuje hasła i systemy kontroli dostępu, oprogramowanie antywirusowe jest powszechne; Reaguje się na incydenty, firmy zaczynają wdraŝać rozwiązania słuŝące reakcji na incydenty, rynek na systemy IDS/IPS (Intrusion Detection/Protection System) wykazuje oznaki wzrostu; W niewielkim stopniu prowadzi się wewnętrzne analizy informatyczne po wystąpieniu incydentu, czyli wykorzystuje się narzędzia informatyki śledczej.
W wielu firmach bezpieczeństwo IT nie jest uwaŝane za waŝny proces biznesowy a problem techniczny postrzega się go jako teren odpowiedzialności informatyków, bez angaŝowania zarządów [8] Praktyka analityczna Opisana wyŝej sytuacja jest dość dziwna. Systemy prewencyjne nie są i nie mogą być do końca skuteczne. Ochrona nastawiona jest na działanie w sposób perymetryczny (przed atakiem z zewnątrz). Inwestycje w IDS/IPS są zrozumiałe w przypadku elektroenergetyki jak najszybsze przywrócenie normalnego działania systemu jest Ŝyciowo waŝne. Jednak pełny proces zarządzania bezpieczeństwem IT jest (a przynajmniej powinien być) czteroetapowy. Prewencja detekcja-rekonstrukcja-analiza to stan idealny, zalecany między innymi przez, bardzo popularną, normę BS7799 (rozwijaną obecnie jako ISO serii 27000). Jak wspomniano wyŝej analizy jeśli są prowadzone to najczęściej ręcznie. Tymczasem z doświadczeń branŝowych, potwierdzonych takŝe naszą praktyką zawodową wynika, Ŝe przeciętne wewnętrzne śledztwo elektroniczne obejmuje obecnie ok. 10 milionów róŝnego rodzaju plików, za kilka lat ta liczba prawdopodobnie sięgnie 100 milionów. JuŜ sama ta liczba zasadniczo podwaŝa wartość analiz tradycyjnych. W ich trakcie albo zbiera się zbyt duŝo danych, co jest głównym źródłem niepotrzebnych kosztów, albo zbyt mało danych co jest głównym źródłem niepotrzebnego ryzyka. Metody tradycyjne oznaczają, Ŝe najpierw trzeba zgadnąć kogo i o co pytać, do jakich źródeł sięgnąć. A zgadywanie łagodnie mówiąc bywa zawodne.
UwaŜa się, Ŝe są dwie zasadnicze przyczyny takiego podejścia do wewnętrznych dochodzeń informatycznych a są nimi nieznajomość narzędzi oraz wątpliwości prawne. Tymczasem sam przedmiot informatyki śledczej ( Computer Forensic ) definiuje się jako zastosowanie wiedzy komputerowej by odpowiedzieć na pytania, które powstają w czasie procedur prawnych. Warto wskazać, Ŝe dalece nie kaŝdy rezultat dochodzenia wewnętrznego jest uŝywany w sądzie. Znowu według danych amerykańskich [9], zaledwie 9% naruszeń bezpieczeństwa IT jest komunikowanych organom ochrony prawa, resztę sytuacji nadzwyczajnych firmy rozwiązują wewnętrznie. Chodzi jednak o to, by rezultat takich dochodzeń i analiz nadawał się, w razie konieczności, do obrony w sądzie. Jednak sąd nie zaakceptuje kaŝdego pliku czy wydruku z komputera. Dowód elektroniczny musi być pozyskany, potwierdzony (poddany procesowi autentyfikacji), zabezpieczony i zanalizowany w sposób, który uniemoŝliwi obronie podniesienie zarzutu manipulacji dowodem czy fałszerstwa. Muszą w tym celu być zachowane stosowne procedury a takŝe zastosowane powszechnie akceptowane narzędzia sprzętowe i programowe. Tych procedur i tych narzędzi musi uŝywać doskonale przeszkolony i doświadczony personel. Wnioski Sytuację moŝna podsumować następująco: 1. ZagroŜenia bezpieczeństwa IT są w biznesie powszechne; 2. Energetyka jest jednym z sektorów szczególnie podatnych na ataki na bezpieczeństwo IT; 3. Czynnikiem dodatkowym są klasyczne czy teŝ tradycyjne przestępstwa przeciwko interesom firmy (kradzieŝe, defraudacje, oszustwa, korupcja); 4. W dbałości o bezpieczeństwo informacji sektor nie wykorzystuje wszystkich istniejących moŝliwości zadbania o własne interesy;
5. Jak się wydaje przyczyną tego stanu rzeczy jest nieznajomość narzędzi informatyki śledczej co prowadzi do nieadekwatnej oceny ich przydatności. Tymczasem skorzystanie z narzędzi informatyki śledczej jest jedynie kwestią decyzji finansowej i organizacyjnej. Istnieją standardowe, wielokrotnie sprawdzone i powszechnie stosowane narzędzia słuŝące przeszukiwaniu nośników, odzyskiwaniu danych oraz analizie i raportowaniu. Klasyczne softwarowe narzędzia informatyki śledczej są przeznaczone do pracy z jednym komputerem moŝna tu wymienić np. Forensic Toolkit firmy Access Data. Od kilku lat dostępne jest takŝe narzędzie słuŝące kontroli i analizie zdarzeń zachodzących w sieci firmowej czyli EnCase Enterprise stworzone przez GuidanceSoftware, z kolei Micro Systemation wprowadziła na rynek program.xry słuŝący do analiz zawartości pamięci telefonów komórkowych [10]. Ich przydatność została wielokrotnie dowiedziona a rezultaty dochodzeń z prawnego i ekonomicznego punktu widzenia są znaczące. Dla polepszenia bezpieczeństwa przedsiębiorstw energetycznych powinno nastąpić jak najszersze zintegrowanie narzędzi informatyki śledczej z procedurami zapewnienia bezpieczeństwa IT. Jest to działanie obecnie niezbędne poniewaŝ uwaŝa się, Ŝe bez narzędzi IT nie da się obecnie prowadzić Ŝadnej powaŝnej działalności gospodarczej, a tym samym ich bezpieczeństwo jest kluczowe dla całego biznesu. Odpowiednia polityka i procedury bezpieczeństwa IT wymagają współpracy audytorów, specjalistów zarządzania czy specjalistów ochrony fizycznej. Jednak tylko automatyczny monitoring i analiza pozwala na szybkie zidentyfikowanie anomalii w procesach biznesowych i podjęcie działań korekcyjnych. Piotr Dzik Dyrektor ds. marketingu firmy Mediarecovery. Mediarecovery dysponuje jednym z najlepszych laboratoriów informatyki śledczej w Polsce. W 2006 roku przeprowadziła około 800 ekspertyz, w tym w największych sprawach karnych i cywilnych. Zatrudnia biegłych sądowych w zakresie informatyki. Źródła i literatura [1] Typy cyberprzestępstw definiuje konwencja Rady Europy ETS 185 http://conventions.coe.int/treaty/en/treaties/html/185.htm [2] [3] Dane pochodzą z badania NaduŜycia gospodarcze w firmach wyniki sondaŝu 2006 przeprowadzonego przez firmę Deloitte http://www.deloitte.com/dtt/research/0,1015,sid%253d12144%2526cid%253d120425,00.html (pobranie wymaga rejestracji) [4] FBI Computer Crime Survey 2006 http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml;jsessionid=1r3rpomasswa4qsndlrckhscjunn2jvn (pobranie wymaga rejestracji) [5] Deloitte Protecting the digital assets http://www.deloitte.com/dtt/press_release/0,1014,sid%253d%2526cid%253d122024,00.html [6] Podsumowanie wyników zawiera: Bakshi, Sunil Internal Cyberforensics, Information Systems Control Journal vol 6, 2005 [7] Kompetentne omówienie ataku DDoS w ENISA Journal 06/2006, do pobrania z http://www.enisa.eu.int/pages/02_02.htm [8] 40% respondentów potwierdziło, Ŝe spotkania z zarządem oraz komitetami audytowymi mają miejsce rzadziej niŝ raz w roku lub nie odbywają się w ogóle. Ponadto, 44% respondentów potwierdziło równie rzadkie spotkania z departamentami prawnymi Ernst&Young, Światowe badanie bezpieczeństwa informacji 2005 http://www.ey.com/global/content.nsf/poland/tsrs_-_library_-_giss_2005 [9] por. np. FBI Computer Crime Survey 2005 [10] Szersze informacje na temat narzędzi informatyki śledczej np. na www.forensictools.pl