W jaki sposób wyciekają dane?



To na pewno wiesz – wrażliwe dane przetwarzane przez firmy w systemach informatycznych są łakomym kąskiem dla hakerów. Ale czy na pewno zdajesz sobie sprawę, co sprawia, że hakerzy mogą się do nich łatwo dobrać? Analizując metody ujawnionych publicznie głośnych ataków hakerskich związanych z kradzieżą danych, i bazując na naszych doświadczeniach w audytowaniu bezpieczeństwa, w dużym uproszczeniu możemy wskazać jeden zasadniczy powód wycieku danych – błąd ludzki. Oto pięć jego rodzajów, które są najczęściej wykorzystywane podczas ataków.

Po pierwsze – socjotechnika

 

To zdecydowanie najbardziej efektywna metoda przeprowadzanych obecnie ataków. Można śmiało przyjąć, że nawet 90% z nich bazuje bezpośrednio lub pośrednio na socjotechnice. Fałszywe wiadomości email pochodzące rzekomo od operatorów telefonicznych, firm windykacyjnych, banków, firm ubezpieczeniowych, dostawców mediów czy kancelarii prawnych mają nakłonić odbiorcę do pobrania i otworzenia zainfekowanego załącznika lub też zalogowania się po kliknięciu w spreparowany link. Fałszywy email może udawać także wiadomość otrzymaną od znajomego, kolegi z pracy, szefa czy firmowego działu HR, co często wykorzystywane jest w atakach celowanych. Przed tego rodzaju atakami bronić się jest najtrudniej, bo w zasadzie pole manewru jest tu niczym nieograniczone – tak jak inwencja i pomysłowość atakującego. Nie łudźmy się, że rozpoznamy fałszywą wiadomość po błędach w języku polskim lub po niepoprawnej składni – czasy takich wiadomości pochodzących zza granicy odeszły już do lamusa. Dzisiaj mamy sprawnie działających hakerów na własnym podwórku, którzy są na tyle zdeterminowani, że robią wszystko, by fałszywa wiadomość wyglądała jak prawdziwa. Jedynym skutecznym przeciwdziałaniem tego typu atakom jest odpowiednie uświadamianie pracowników i przeprowadzanie symulowanych ataków – wszak najlepiej uczyć się na własnych błędach, aby odpowiednio zareagować w przypadku faktycznego zagrożenia.

 

Po drugie – brak świadomości

 

Obserwujemy to niestety bardzo często podczas rozmów z potencjalnymi klientami i dziwimy się, że choć tak wiele słyszy się w mediach o zagrożeniach związanych z atakami hakerskimi lub wyciekami danych, to nadal wiele firm podchodzi do tego zagadnienia zbyt lekceważąco. Kilka przykładowych komentarzy: „mam przecież swój dział IT i za coś im płacę”, „kto by tam chciał atakować taką firmę jak nasza”, „nawet jeśli wykradną nam nasze dane, to prawnie będziemy kryci”, „zamawiamy aplikację za wielkie pieniądze u znanego producenta, więc na pewno nie ma w niej żadnych dziur”. Smutne, ale niestety prawdziwe. Stąd też cały czas stawiamy przed sobą wyzwanie „ewangelizacji” w zakresie bezpieczeństwa danych i systemów informatycznych.

 

Po trzecie – zaniedbanie

 

Jeżeli firma wykazuje jednak pewien poziom świadomości w temacie zagrożeń, to nadal może być zagrożona zaniedbaniami ze strony pracowników IT. Najczęstszym przykładem jest brak aktualizacji systemów operacyjnych, oprogramowania czy firmware’u urządzeń IT. Pół biedy, jeśli firma świadomie godzi się na takie ryzyko (i ma inne sposoby, aby je ograniczyć), bo wprowadzenie aktualizacji mogłoby zdestabilizować działalność biznesową. Często jednak znajdujemy podczas naszych audytów jakieś pojedyncze zapomniane maszyny pracujące na Windows XP, otwarte zasoby SMB lub anonimowe FTP z dostępem do naprawdę intersujących plików czy też panele administracyjne kluczowych urządzeń IT dostępne dla każdego, także z zewnątrz. Trzeba sobie zdawać sprawę z tego, że prezenty w rodzaju starego nieaktualizowanego oprogramowania, bogatego w ogólnie znane już podatności i dziury, są wykorzystywane nawet przez domorosłych hakerów, często w sposób automatyczny. Dlatego nie jest ważne, jak duża jest Twoja firma – jeżeli Twój stary system widać z sieci, to na pewno ktoś prędzej czy później złoży nieplanowaną wizytę na Twoim serwerze.

 

Po czwarte – błędy programistów i architektów

 

O tym problemie też można by napisać wiele. Czasami wynika z braku świadomości, czasami z zaniedbania, a czasami po prostu z braku czasu – bo przecież aplikację trzeba „dowieźć” na sygnale na umówiony z klientem termin. Nie ma chyba firmy na świecie, która odważyłaby się zagwarantować, że wytworzone przez nią oprogramowanie jest w 100% bezpieczne. Powinniśmy o tym z pokorą pamiętać i co jakiś czas próbować sprawdzać poziom bezpieczeństwa w oparciu o zaktualizowaną wiedzę i środki techniczne. Nawet jeżeli nasz system informatyczny lub aplikacja zostały przetestowane wewnętrznie przez producenta, to nie oznacza, że nie powinny być sprawdzone także przez specjalistów z firmy zewnętrznej. Najczęstsze błędy w aplikacjach web (SQL injection i XSS) są na tyle poważne, że mogą prowadzić bezpośrednio do manipulacji danymi w bazie lub do przechwytywania sesji zalogowanych użytkowników. Zaś nawet najbardziej bezpieczny, certyfikowany system IT może zostać zaimplementowany w sposób niezgodny z zaleceniami producenta i tym samym stać się bramą do ataków hakerskich na pozostałe zasoby IT w firmie. I nie ma innej możliwości na zweryfikowanie takich podatności, jak tylko regularne audyty bezpieczeństwa i testy penetracyjne. Trzeba jednak zawczasu uwzględnić je w planach, bo…

 

Po piąte – brak środków na audyty

 

No właśnie – to chyba najbardziej znany problem w światku firm zajmujących się bezpieczeństwem IT. Bierze się on pośrednio z braku odpowiedniej świadomości zarządów firm i wynikającą z niego niechęcią do inwestowania w „coś, co w żaden sposób nie przekłada się na zysk”. O ile jeszcze znajdują się jakieś środki na inwestycję w IT, bo przecież wszyscy chcemy pracować „lepiej, szybciej i efektywniej”, to już na „bezpieczniej i bez ryzyka” jakoś zazwyczaj tych środków nie starcza. Tylko odpowiednia analiza ryzyka biznesowego związanego z bezpieczeństwem danych przetwarzanych przez firmę, utrzymaniem ciągłości działania i przywróceniem do pełnej wydajności po wystąpieniu ewentualnych problemów pozwala ocenić jak bardzo istotne jest uwzględnienie bezpieczeństwa w inwestycjach dokonywanych przez firmę. Zakup firewalla i programów antywirusowych nie zabezpieczy firmy w sposób wystarczający – inwestycje w wybrane systemy bezpieczeństwa, regularne audyty i testy penetracyjne czy nawet szkolenia lub testy socjotechniczne powinny należeć do podstawowych zadań szanującej siebie i swoich klientów firmy. I – szczerze mówiąc – jest to jedyna droga do wyeliminowania wszystkich błędów opisanych w niniejszym artykule.

 

 

Autor: Adam Wódz – Od ponad 20 lat związany z branżą informatyczną, a w szczególności z zagadnieniami compliance oraz bezpieczeństwa aplikacji i danych.

Współtworzył polski oddział firmy Symantec, w którym kierował kilkoma działami konsultantów, m.in. w zakresie zabezpieczeń antypirackich oraz analizy bezpieczeństwa oprogramowania. Obecnie jest liderem domeny Secure Connectivity w firmie Cybercom Poland i menadżerem zespołu bezpieczeństwa IT, specjalizującego się w świadczeniu usług z zakresu bezpieczeństwa aplikacji i infrastruktury IT, testów penetracyjnych, audytów bezpieczeństwa, compliance i testów socjotechnicznych.

W latach 2010 -2012 członek zarządu ISSA Polska. Pełnił również rolę szefa grup bezpiecznych płatności mobilnych oraz bezpieczeństwa klientów usług bankowych na Forum Technologii Bankowych przy Związku Banków Polskich. Współpracuje z Dziennikiem Gazeta Prawna, jest autorem serii artykułów dotyczących bezpieczeństwa w Kancelariach Prawniczych.

 

Czytaj też:

Rozporządzenie UE o ochronie danych osobowych – zmiany

Jak segmentacja sieci firmy wpływa na Twoje bezpieczeństwo?