Polskie Forum Bezpieczeństwa

Wiedza, Niezależność

07 grudnia 2014

Cyfrowy Armagedon (??) albo pięć zasad NET-survivalu

„Technika nie dokonuje zmian, ona je tylko umożliwia”

Paul Saffo

Dyrektor Instytutu Przyszłości w Menlo Park – Kalifornia

 

 

 

Dynamiczny rozwój Internetu, a zwłaszcza powstanie portali społecznościowych umożliwiających anonimową krytykę, na zawsze zmienił klasyczne, dotychczas stosowane metody zapewnienia bezpieczeństwa w sieci. Wyposażenie pracowników w laptopy, smartfony, czy tablety wraz z nieograniczonym zakresem uprawnień w krótkim czasie spowodowało brutalną weryfikację tych – niefrasobliwych w mojej ocenie – zachowań. Wobec „kreatywnych” rozwiązań informatycznych wiele lat wcześniej powinniśmy tworzyć równoległe portale oceniające możliwości powstania zagrożeń i do prac tych zapraszać możliwie szerokie grono kompetentnych ekspertów. Być może działania takie poddające krytycznej analizie rodzaje ataków, czy po prostu przestępstw sieciowych stałyby się przeciwwagą dla meto IT pustoszących globalną siec. Dopuszczenie nieuprawnionych osób z ogólnoświatowej populacji do wewnętrznych systemów aplikacyjnych korporacji uważam za wielce nieodpowiedzialne. Należy zatem przypuszczać, że wyobraźnia i wiedza kadry menażerskiej, co do zagrożeń istniejących w cyberprzestrzeni pozostaje nadal wielce dyskusyjna. Zabezpieczenia struktur „inteligentnych” instytucji  i przedsiębiorstw powinny być stale rozwijane, ponieważ metody zadawania strat w cyberprzestrzeni ciągle są ulepszane. Technologia informacyjna IT jest jedną z dziedzin informatyki, która stara się połączyć (z różnym skutkiem) wielkie narzędzia związane z pozyskiwaniem informacji, jej przesyłem, przetwarzaniem, zabezpieczaniem i zarządzaniem nią. Proces ten realizowany jest przy wykorzystaniu różnego rodzaju stacji roboczych (komputerów) i interfejsców (integratorów) operacyjno-koordynujących oraz aplikacji (oprogramowania). Im wyższa świadomość odpowiedzialności poszczególnych użytkowników w systemie tym większa szansa na ograniczenie przesłanek do nieuprawnionego dostępu do zgromadzonych zasobów. Paradygmat przeciwdziałania atakom praktycznie zalecany przez potężnych mocodawców (rządowych) musi koncentrować się na ściśle określonych założeniach systemowych. W naszych (polskich) warunkach w szczególności polecałbym uwadze decydentów konieczność bezzwłocznego uchwalenia ustawy regulującej zachowania biznesu w aspekcie nowych zagrożeń hakerskich. Skutki ostatnich zaniedbań w sferze administracji państwowej i automatyki przemysłowej (sterowanie w transporcie kolejowym) – szeroko komentowane w mediach – nie mogą tylko budzić oburzenia. Winny one spowodować zmianę mentalności. Wdrożenie nowej technologii to trudny i uciążliwy proces poprzedzony analizą zdarzeń, symulacjami i testami. Wyciek informacji natomiast, w dłuższej perspektywie, prowadzi do chaosu, utraty wiarygodności i zdolności do efektywnego zarządzania, a w rezultacie – w sytuacji skrajnej – nawet do wrogiego przejęcia firmy. W przypadku państwa rezultatem może zaś być długotrwała niestabilność.

                Gwałtowny rozwój technologii informacyjnych (z uwagi na potrzeby militarne) jest – moim zdaniem – najbardziej zauważalny w systemach aplikacji internetowych. Próby sprytnego wyręczenia nas w selekcjonowaniu informacji mają prowadzić do uzależnienia użytkownika od danej usługi, spowodować powstanie przeświadczenia o konieczności stosowania właśnie takiego rozwiązania, czy też metody. Wśród uwarunkowań zewnętrznych determinujących zakres stosowanych zabezpieczeń odniosę się do zasady oszczędnego gospodarowania zasobami. Proces przemian w gospodarce uzależnionej od wymiany informacji powoduje potrzebę sięgania przez kadry kierownicze po coraz bardziej innowacyjne narzędzia do analizy sieciowej. Zaliczyłbym do nich:

·         QUORA – rodzaj forum typu „zadaj pytanie, otrzymasz odpowiedź”, lubiany przez użytkowników popierających nieograniczony przepływ informacji,

·         YouTube – umożliwia wyszukiwanie wywiadów na temat kluczowych użytkowników w danej firmie,

·         iSinage – strona umożliwiająca analizę reklam, co pozwala uzyskać informacje na temat prowadzonych kampanii reklamowych,

·         AMAZON – internetowa sieć handlu wysyłkowego, producent oprogramowania, umożliwia po wielokrotnym zakupie budowanie profilu konsumenta,

·         Glassdoor – portal umożliwiający ocenę zleceniodawców oraz przegląd ich opinii na tematy związane z daną branżą,

·         VIWARE – twórca oprogramowania do wirtualizacji (na bazie jednego serwera tworzy się wirtualne),

·         Slide Shore – strona umożliwiające bezpośredni dostęp do prezentacji wykonanych w programie Microsoft Power Point, co pozwala na weryfikację szczegółów tworzonych projektów,

·         TarkLoker – aplikacja pozwalająca przejąć zarządzanie interfajsem danego urządzenia, co może spowodować zablokowanie dostępu do powiadomień i programów.

Można zatem pokusić się o analizę matematyczną odnoszącą się do „teorii gier wielokrotnych”, świetnie zilustrowanej i wytłumaczonej przez jej twórców, noblistów Roberta Aumanna i Johna Nesha. Przewidywalność ujawnia się na wielu poziomach i może być podstawą do prac nad rozstrzygnięciem problemu czym jest bezpieczeństwo. Zwielokrotnienie w ostatnich latach ataków w cyberprzestrzeni za pomocą złośliwych oprogramowań infekcyjnych uderzających w konkretne struktury sieciowe (robaki „Flame”, „Stuxnet”, „Shellsmcc”) unaocznia zagrożenia generowane przez – tak zwane – „ataku ukierunkowane” wymierzonych w systemy o znaczeniu strategicznym.

Zarysowana sytuacja jest – w mojej ocenie – o tyle niekorzystna, że w Europie nie można dostrzec bezpośredniego i efektywnego wsparcia czy to UE, czy poszczególnych rządów państwa narodowych w walce z przestępczością w cyberprzestzreni. Apele o otwarcie na współpracę międzynarodową w oparciu o dyrektywę NIS (o bezpieczeństwie sieci i informacji) nadal nie wywołują pożądanych reakcji. Wywołuje to bierność korporacji dbających z większym pietyzmem o zachowanie – tak zwanego – „ładu” i kształtowanie dominacji marki poprzez sprawdzone metody, takie jak konfekcjonowanie zysków, niż o tworzenie „inteligentnych” struktur zarządzania. Małe i średnie przedsiębiorstwa, często rodzinne, koncentrują się natomiast na zachowaniu płynności finansowej lekceważąc stosowanie procedur bezpieczeństwa i zaawansowanych technologii ochronnych. Tymczasem według danych Europolu przychody z przestępczości internetowej to około 290 bilionów euro rocznie. Kradzież tożsamości, danych do logowania się w bankowości internetowej, kradzież kont i pranie pieniędzy, to z jednej strony smutna codzienność, zaś z drugiej potwierdzenie tezy, że „świat on-line” jest wyjątkowo podatny na cyberatak.

Przechodząc do sygnalizowanych w tytule „pięciu zasad NET-survivalu” pragnę zastrzec, że są to wyłącznie moje przemyślenia. Konkretne rozwiązania muszą zależeć od precyzyjnie zdefiniowanych zagrożeń sieciowych danego środowiska i zyskać wsparcie struktur zarządczych. Nowoczesne systemy IT winny się zatem spierać na następujących „filarach”:

·         doborze kompetentnych i innowacyjnych kadr,

·         dostępności informacji,

·         poufności informacji,

·         integralności systemu (stosowaniu szyfrowania),

·         stosowaniu testowania penetracyjnego struktury powiązanego ze szkoleniami.

Tworzenie podstaw firmy w oparciu o zespół przetwarzania danych, którego członkowie być może certyfikują się dyplomami, ale nie rozumieją relacji między wiedzą teoretyczną, a jej praktycznymi zastosowaniami będzie stanowiło istotny problem w komunikacji werbalnej. Wyższa kadra menadżerska powinna w sposób szczególny rozumieć potrzebę oraz zasadność zastosowania i wdrożeń niezbędnych technologii, jak również narzędzi. Brak rozumienia takich pojęć jak: „cyfryzacja”, „kompresja danych”, „przepływność”, „synchronizacja”, „zwielokrotnienie sygnałów” będzie powodować frustrację i niechęć na różnych poziomach struktury organizacyjnej.

Dostęp do informacji powinien być powiązany z umiejętnością zapewnienia bezpieczeństwa. Niekodowane informacji powinny być ukryte za „ścianami ogniowymi” firmy. Pamiętać przy tym należy, iż integralność systemu najczęściej ulega zachwianiu z powodu elementarnych zagrożeń uaktywniających się na skutek niefrasobliwości personelu lub działań hakerskich (nieautoryzowane próby deaktywacji zabezpieczeń lub ich obejścia). Poufność informacji to nic innego jak zapewnienie właściwej kontroli dostępu. Najczęściej występujące błędy i uchybienia umożliwiające atak to przeglądanie danych przez administratora w rzeczywistym czasie pracy systemu, brak właściwej konfiguracji, czy nadmierne skomplikowanie systemu skłaniająca personel do tworzenia nieautoryzowanych „obejść”. Problemy powyższe mogą zostać skomplikowane przez fakt, że najczęściej serwisem kont i projektów aplikacji zajmują się osoby zatrudnione w oparciu o umowy zlecenia. Są ona – na ogół – nie związane emocjonalnie z firmą i jej strategią rozwojową, nie posiadają żadnych gwarancji socjalnych, ale popełniające błędy nie ponosząc odpowiedzialności. Pamiętając o powyższych uwarunkowaniach i zagrożeniach przyswoić należy sobie prawdę, że poziom bezpieczeństwa danego podmiotu gospodarczego nie zależy wyłącznie od niego samego. Sprawne i wszechstronne współdziałanie rozmaitych organizacji i agend, zarówno wewnątrz kraju, jak i w przestrzeni międzynarodowej może znacząco ograniczyć skalę zagrożeń występujących w cyberprzestrzenie. Na razie jest to jednak – niestety – pieśń przyszłości…

 

„Jeżeli coś wygląda jak królik, pachnie jak królik i skacze jak królik, to do diabła musi być to królik, … prawda?”

Tom Clancy, Przestępcza sieć.