Bezpieczeństwo 2015: nowe sytuacje

O konieczności nowego podejścia oraz lekcjach odrobionych i nieodrobionych w zakresie zarządzania bezpieczeństwem teleinformatycznym mówi Tomasz Matuła, dyrektor Infrastruktury IT i Bezpieczeństwa Teleinformatycznego w Orange Polska.

Najczęściej pojawiające się w opisie dzisiejszych zagadnień bezpieczeństwa teleinformatycznego stwierdzenia to: nieprzewidywalność, zmienność, dynamika zjawisk. Czy mapa zjawisk bezpieczeństwa jest obecnie możliwa do odtworzenia?

Należy spróbować taki opis stworzyć, przyjmując nowe zmienne i założenia. Często nie zdajemy sobie sprawy z generalnej zmiany, jaka się dokonała. Nie wyciągamy wniosków, nie działamy w odpowiedzi na nie. Jeszcze 15 lat temu o posiadaniu komputera i możliwości korzystania z internetu wielu mogło tylko pomarzyć. Dziś rolę komputera pełni smartfon. Każdy serwer, komputer czy smartfon po podłączeniu do internetu to potencjalna ofiara przestępców, którzy nieustannie przeczesują sieć w poszukiwaniu podatnych na włamanie urządzeń. Kradzież tego typu danych może być bolesna i spowodować nie tylko uszczuplenie zawartości kont bankowych, ale doprowadzić do utraty reputacji czy stać się narzędziem szantażu. Dotyczy to zarówno użytkowników prywatnych, jak i wielkich przedsiębiorstw, ponieważ dziś największą wartością, którą należy chronić, jest informacja.

Zobacz również:

Coraz większa popularność przetwarzania informacji w chmurze to dodatkowe wyzwanie dla działów odpowiedzialnych za bezpieczeństwo. Dane przetwarzane przez farmy serwerów, których lokalizacja nie ma znaczenia, ich dostępność dla wielu użytkowników w jednym czasie, zapewnienie separacji uprawnień dostępu – to standardowe wymagania klientów. Ich skuteczne zabezpieczenie to odpowiedzialna praca, wymagająca ciągłego zaangażowania wielu ekspertów i wykorzystania zaawansowanych technologii.

Udanie przeprowadzony atak, skutkujący wyciekiem wrażliwych informacji, może nadszarpnąć reputację podmiotu, który świadczy usługi przetwarzania w chmurze. W ostatnim czasie mamy też do czynienia z nowym rodzajem ataków hakerskich. Dziś to dochodowy biznes, który może przynosić zyski porównywalne z osiąganymi przez handlarzy narkotyków. Ataki nierzadko koordynowane są przez zorganizowane, „profesjonalne” grupy przestępcze. Atakujący kierują się innymi pobudkami niż kilka lat temu. Pojawiło się pojęcie „haktywizmu”, internet stał się dodatkowym polem bitwy w konfliktach wojennych.

Wszystkie zagrożenia wymagają nowego podejścia do strategii działań związanych z bezpieczeństwem. Zmienia charakter cyberprzestępczości na bardziej „przemysłowy” i „korporacyjny”.

Jaka dzisiaj jest cyberprzestępczość?

Stoją za nią świetnie wykształceni, doświadczeni ludzie. Są pragmatyczni, wytrwali i motywowani zyskiem. Często działają jak sprzedawcy, oferując katalog usług, gwarantując ich dostarczenie lub zwrot pieniędzy. Mogą wykraść istotne dane, zagrozić reputacji firmy lub zniszczyć jej wizerunek.

Część tych działań to jednak de facto biały wywiad, zakładam, że większość zagrożeń utraty danych wynika z niskiej świadomości użytkowników.

Tak, duża dawka socjotechniki i logiczne połączenie ogólnie dostępnych danych ułatwiają proceder. Jednak przestępcy poza miękkimi środkami dysponują też stale doskonaloną technologią i rozwiązaniami. Ze względu na swoją zmienność i masową skalę zastosowania ataki są skuteczne.

Kiedyś przedstawiano ekspozycję firmy na cyberzagrożenia jako grę czynników zewnętrznych i wewnętrznych. Wynikało z niej, że więcej szkody mogą zrobić jej pracownicy niż „czynniki zewnętrzne”. To także się zmieniło?

Tak. Biznes cyberprzestępczy działa prężnie, w sposób zorganizowany, jest dość zleceń i pieniędzy, aby pracownicy tego „sektora” mogli zająć się tylko podstawową działalnością. Odsetek ludzi nielojalnych rekrutujący się z firm jest już bardzo niski, to się w ciągu 3–4 lat bardzo zmieniło. Niemniej należy poważnie traktować ryzyko związane z czynnikiem określanym mianem „wrogi pracownik”. Musimy pamiętać, że pracownicy najczęściej doskonale wiedzą, co może najskuteczniej zakłócić działanie organizacji.

Dobra wiadomość?

Nie jestem pewien, bo lepszy jest wróg znany. Branża narkotykowa jest lepiej oszacowana i opisana niż cyberprzestępczość. Sposoby produkcji, dystrybucji i handlu się nie zmieniły. Cyberprzestępczość to zupełnie inny świat, bez granic. W Polsce statystyki szacują, że 30–33% komputerów prywatnych w sieci jest zarażonych botnetami. Spory odsetek stanowią również firmowe serwery. Dotyczy to w takim samym stopniu marek znanych i mniej rozpoznawalnych. To, że mówimy: nie jesteśmy zainfekowani, może oznaczać, że nie wiemy, iż coś się złego dzieje. Jeszcze pięć lat temu walka z cyberzagrożeniami była inna, mieliśmy do czynienia z mniej zaawansowanymi atakami. Dynamika zmian w technologii IT i metodach zabezpieczeń jest ogromna.

Zatem przegrywamy wyścig sami z sobą, a nie z cyberprzestępcami.

Paradoksalnie, tak. Nowe technologie i rozwiązania zawierają nowe luki i podatności. Ich złożoność jest wprost proporcjonalna do atrakcyjności rozwiązań. Cyberprzestępcy starają się dotrzymać kroku rozwojowi technologii, dlatego z reguły szybko przenoszą swoje zainteresowanie na nowsze produkty i rozwiązania. My w tym czasie mamy szansę usunąć ewentualne podatności. Kluczowa jest profilaktyka, wykrycie i zapobieganie skutkom. To taktyka przyjęta przez największych. Obecnie w Polsce powszechne stały się ataki typu phishing czy DDoS. Nie powstrzymamy tego zjawiska, ale możemy je neutralizować.

Zmieniło się zatem i podejście do ochrony?

Wojna w cyberprzestrzeni jest faktem. Mamy dokument o cyberbezpieczeństwie wskazujący strategiczne kierunki działań „Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej” opublikowany niedawno przez BBN. To powinien być punkt wyjścia do platformy wiedzy z udziałem firm, operatorów, podmiotów odpowiedzialnych za infrastrukturę krytyczną, jednostek rządowych i publicznych.

Tak, i do bezpieczeństwa. W naszym przypadku konsekwentnie rozwijamy ten obszar. Kluczowa jest całościowa metoda zabezpieczenia wszystkich warstw systemów i uwzględnienie bezpieczeństwa w całym cyklu życia produktów IT, platform usługowych i sieci. To wymóg. Tu sprawdzają się nasze centra kompetencji, czyli laboratoria technologii bezpieczeństwa, testujące i dobierające rozwiązania do zastosowań wewnętrznych i komercyjnych, a także Computer Emergency Response Team (CERT), całodobowe centrum reagowania na incydenty bezpieczeństwa teleinformatycznego, dotyczące usług świadczonych przez Orange Polska, oraz Security Operations Center (SOC) – zespół, który w trybie całodobowym podejmuje działania identyfikujące i minimalizujące zagrożenia wewnątrz organizacji.

Wieloletnie doświadczenie w budowie i zapewnianiu bezpieczeństwa w Orange Polska pozwoliło oprócz skutecznej ochrony nas samych oraz naszych klientów na wykreowanie kolejnych usług. Dzięki temu świadczymy usługi bezpieczeństwa dla klientów komercyjnych nie tylko w Polsce, ale również poza jej granicami. To dobra alternatywa dla podmiotów, które ze względów optymalizacyjnych i efektywnościowych wolą przekazać odpowiedzialność za identyfikację i minimalizację zagrożeń do Orange Polska.

Dynamika zagrożeń wymaga innego czasu reagowania. Dlatego tak ważne jest wdrażanie szeregu technologii zabezpieczeń, w tym zero-day-malware-detection, które działają na zasadzie sondy wykrywającej nietypowy ruch w sieci, ekstrahują go do odrębnego wirtualnego środowiska i obserwują. Podobnie jak w badaniu próbek biologicznych, kiedy w laboratorium są one szybko sztucznie namnażane, aby ustalić, czy w organizmie są drobnoustroje chorobotwórcze.

Dzisiaj to nie heurystyka jest przewodnią metodą zabezpieczania, jak do niedawna. Dla operatora telekomunikacyjnego stosowanie rozwiązań typu zero-day-malware-detection stało się nie tyle wyróżnikiem, ile wymogiem i sposobem ochrony własnej oraz klientów.

Nie zmieniły się trzy elementy na poziomie meta. Technologie, które się stale rozwijają, np. narzędzie do testowania kodu nowych aplikacji. Drugi to wiedza, doświadczenie, kompetencje oraz współpraca – wymiana doświadczeń z podobnymi jednostkami na świecie. Kolejny to uświadamianie na co dzień, dotyczące zachowań w przestrzeni zawodowej i prywatnej. Te elementy się nie zmieniły, choć wypełniają się codziennie nową treścią.

Wspomniał Pan o testowaniu nowych aplikacji, czy dotyczy to całej produkcji IT?

Testowanie powinno obejmować całość powstającego oprogramowania, w naszym przypadku nie tylko aplikacji IT, ale i platform usługowych czy elementów sieci. Niezależnie od wielkości oprogramowania czy producenta wykrywanych dziur podatności jest mnóstwo i już na etapie pisania oprogramowania można wprowadzić poprawki. Nasze narzędzia testowaliśmy kilka miesięcy temu na czterech niedużych, pisanych przez partnerów zewnętrznych aplikacjach. Pamiętam pierwsze użycie. Wykryliśmy ok. 1600 podatności. Większość nie była poważna, ale około 40 miało istotny charakter.

Bezpieczeństwo musi być wbudowane w proces tworzenia oprogramowania, rozbudowy sieci, proces projektowy. Powinno być brane pod uwagę w procesie twórczym już od momentu koncepcji aplikacji, systemu czy serwisu. Wymaga to jednak odpowiednich umiejętności i takiej zmiany procesów, aby znacząco nie spowolnić tworzenia rozwiązań.

Wiemy, co w dużej mierze odpowiada za szybko rosnący popyt na sieć i na aplikację: wspomniany na początku burzliwy rozwój smartfonów.

Bezpieczeństwo musi być wbudowane w proces tworzenia oprogramowania, rozbudowy sieci, proces projektowy. Powinno być brane pod uwagę w procesie twórczym już od momentu koncepcji aplikacji, systemu czy serwisu. Wymaga to odpowiednich umiejętności i zmiany procesów.

Specyfika systemu Android i wynikająca z niej otwartość to raj dla hakerów. Zwłaszcza gdy mówimy o smartfonach z zielonym robotem wykorzystywanych do celów służbowych. Dynamika powoduje wzrost znaczenia czasu dostępu do informacji, a tym samym mobilności pracowników. Organizacje w coraz większym stopniu wiążą pracownika, powodując przenikanie się życia biznesowego i prywatnego, proponując taką zależność w używanych przez nich rozwiązaniach. Od mobilności czy od modelu BYOD zastosowanego w większym lub mniejszym stopniu nie uciekniemy. Niemniej jak w każdym z trendów rynkowych, tak i w tym przypadku należy zachować rozsądek. Słabe aplikacje mobilne powodują, że przez system tak podatny jak Android łatwo dostać się do danych firmowych. Dlatego obok bezpieczeństwa ważna jest jakość aplikacji.

Kreślony tutaj obraz niesie dla jednych dobrą, a dla drugich mniej dobrą wiadomość: bezpieczeństwo w coraz większym stopniu trzeba kupować, bo na samodzielny wysoki poziom ochrony i obrony stać tylko nielicznych.

Wielu firm małych i średnich nie stać na utrzymanie kompetencji oraz technologii. Ale także największe podmioty orientują się, że samodzielnie trudno podołać tak złożonemu wyzwaniu. Coraz częściej oznacza to, że bezpieczeństwo jest kupowane jako usługa. Obserwujemy dzisiaj np. outsourcing monitorowania sieci i wczesnego ostrzegania przed zagrożeniami czy ochrony przed atakami typu DDoS. Realizujemy taką usługę dla kilkunastu instytucji, głównie z sektora finansowego.

Mamy możliwości i obowiązek zapewnić jak najlepsze bezpieczeństwo klientom naszej sieci. W strukturach firmy od 1996 r. działa jednostka CERT, a od 2010 r. Centrum Operacji Bezpieczeństwa (SOC). Mamy duże doświadczenie w zapewnianiu bezpieczeństwa teleinformatycznego.

Na pytanie, dla kogo jest to dobry stan rzeczy, dla kogo mniej, należy odpowiadać, mierząc efekty, czyli poziom bezpieczeństwa firmy w takim modelu. To realny przelicznik wydatków na bezpieczeństwo do potencjalnych strat. Część firm próbuje robić wiele rzeczy w IT samodzielnie, stąd mniejsza adaptacja rozwiązań Cloud Computing czy w modelu outsourcingu. Tymczasem właśnie bezpieczeństwo okazuje się szybciej akceptowane i zrozumiałe w formie usługi. Decyduje korzystny stosunek ceny do jakości i pewności rozwiązania.

Jeśli bezpieczeństwo idzie drogą innych usług outsourcowanych, to warto przypomnieć, jak wąską i stromą ścieżką ten model wchodził do Polski ze względu na nie najlepsze doświadczenia: przestrzelone kontrakty, niedostarczanie jakości, pozbawianie się kompetencji, zatrzymywanie rozwoju technologicznego firmy...

Ja także nie byłem zwolennikiem outsourcingu za wszelką cenę i zawsze. Dziś w przypadku bezpieczeństwa widać, że firmy mają już doświadczenia i lepiej potrafią określać oczekiwania. To pomaga wspólnie konstruować dostosowane usługi, definiować ich poziom, zapewniać aktualność i adekwatność. Patrząc, jak rynek bezpieczeństwa IT rozwija się w Polsce, trudno nie dostrzec, że znajdujemy się w fazie jego formowania. Rynek w Europie Zachodniej jest nieco bardziej dojrzały, co ma odzwierciedlenie w naszym SOC. Dziś obsługujemy najbardziej zaawansowane funkcje monitorowania dla podmiotów technologicznych z tej części Europy, a ich działalność jest rozproszona po wielu kontynentach. Ze względu na historyczne uwarunkowania Polacy sceptycznie podchodzą do takiego modelu. Widzimy jednak, że to się zmienia.

Czy poza sytuacją, w której zagadnienie bezpieczeństwa ma swojego lidera, a ten bilateralnie wymienia informacje z klientami, ta kompozycja rynkowa nie powinna zmierzać w stronę organizacji sieciowej? Kiedy wspólnie broni się duży, ale rozproszony organizm?

Podoba mi się przykład przytoczony na kongresie przez prezesa Marcina Olszewskiego z Fujitsu: kiedy spłonie fabryka w Japonii, jej ludzie idą pracować do zakładu konkurenta do czasu odbudowy zakładu, nie wynoszą know-how, sektor się stabilizuje po incydencie... A to wszystko bez formalnych umów – gentlemen’s agreement.

Słabe aplikacje mobilne powodują, że przez system tak podatny jak Android łatwo dostać się do danych firmowych. Dlatego obok bezpieczeństwa ważna jest jakość aplikacji.

Orange Polska oprócz działań zabezpieczających i minimalizujących zagrożenia prowadzi na szeroką skalę tzw. security awareness, czyli podnoszenie świadomości o zagrożeniach wśród użytkowników. Działania realizowane są nie tylko wewnątrz Orange Polska. Na stronach cert.orange.pl oraz w czwartkowych artykułach na blog.orange.pl publikujemy informacje dostępne dla wszystkich użytkowników internetu o nowych zagrożeniach i sposobach ich minimalizacji. Pod koniec lutego zostanie opublikowany „Raport CERT Orange Polska”, w którym przedstawimy zaobserwowane przez nas zagrożenia, statystyki ich wystąpień, szczegółowe analizy wybranych podatności czy oprogramowania złośliwego, które zostały ujawnione w 2014 r. Około 40% ruchu „polskiego” internetu przechodzi przez sieć Orange Polska, nasze działania mają więc realny wpływ na poziom budowania świadomości zagrożeń i na poziom bezpieczeństwa teleinformatycznego.

Kolejnym ważnym aspektem jest bezpieczeństwo w wymiarze całego państwa, nie tylko branży. W raporcie z ćwiczeń „CyberExe 2014” organizowanych przez Rządowe Centrum Bezpieczeństwa przy współpracy z Deloitte oraz Fundacją Bezpieczna Cyberprzestrzeń – braliśmy w nich udział – zostaliśmy wyróżnieni jako operator, który dzięki funkcjonowaniu jednostek CERT oraz SOC skutecznie przeciwdziałał zagrożeniom przewidzianym w scenariuszu symulowanego ataku. Twierdzę, że bezpieczeństwo wymaga od firm, instytucji państwowych i publicznych chęci do dzielenia się wiedzą, doświadczeniem i kompetencjami. Chęci jednak nie wystarczą, muszą zostać stworzone warunki, by można było mówić o ekosystemie cyberbezpieczeństwa na poziomie narodowym.

Współpraca w zakresie wymiany bezpieczeństwa powinna być państwowo zadekretowana?

Uważam, że powinna powstać sformalizowana, obligatoryjna platforma pod egidą instytucji centralnych, która odpowiadałaby za wymianę praktyk i wiedzy o bezpieczeństwie oraz za koordynację działań w przypadku zagrożeń bezpieczeństwa obywateli w cyberprzestrzeni.

Wojna w cyberprzestrzeni jest faktem. Mamy dokument o cyberbezpieczeństwie wskazujący strategiczne kierunki działań „Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej” opublikowany niedawno przez BBN. To powinien być punkt wyjścia do, być może ustawowo skoordynowanej, platformy wiedzy z udziałem firm, operatorów, podmiotów odpowiedzialnych za infrastrukturę krytyczną, jednostek rządowych i publicznych. Na to zwraca nam uwagę przykład ataków wymierzonych np. w Estonię. W najbardziej ogólnym, ale całkowicie realnym wymiarze to kwestia paląca, bo dotyczy nas wszystkich. Cyberbezpieczeństwo Polski wymaga działania tu i teraz.

Orange Polska zawsze jest otwarty na współpracę. Członkostwo w międzynarodowych organizacjach FIRST i Trusted Introducer umożliwia nam udział w zamkniętych forach, wymianę doświadczeń oraz dostęp do unikatowej bazy wiedzy z zakresu bezpieczeństwa kilkuset podobnych nam podmiotów. Na polu lokalnym istnieje kilka nieformalnych platform wymiany informacji o zagrożeniach, m.in. List-PLNOG czy Abuse Forum. Jedną z rekomendacji podsumowujących raport z przeprowadzonych w ub. r. ćwiczeń „CyberEXE 2014” jest stworzenie takiej właśnie formalnej platformy pod auspicjami jednej z instytucji państwowych. Na ten rok przewidziany jest cykl spotkań operatorów oraz m.in. UKE i MAiC, które być może zaowocują uruchomieniem forum wymiany informacji.