Rzeczpospolita Publicystyka

Bezpieczeństwo teleinformatyczne na pierwszym planie

Już po raz 21. odbędzie się w Warszawie konferencja SECURE na temat bezpieczeństwa teleinformatycznego. Wydarzenie adresowane jest do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny.

Publikacja: 16.10.2017 20:17

Konferencja SECURE stanowi wyjątkową okazję, aby posłuchać czołowych ekspertów z dziedziny bezpiecze

Konferencja SECURE stanowi wyjątkową okazję, aby posłuchać czołowych ekspertów z dziedziny bezpieczeństwa z Polski i całego świata

Foto: materiały prasowe

rp.pl

Od pierwszej edycji konferencji w 1996 roku wiele się zmieniło na świecie, z każdym rokiem pojawiają się nowe trendy zagrożeń i nowe sposoby przeciwdziałania im, ale bezpieczeństwo teleinformatyczne niezmiennie pozostaje wspólnym mianownikiem wszystkich edycji wydarzenia.

W ocenie organizatorów i specjalistów branżowych, konferencja SECURE stanowi wyjątkową okazję, aby posłuchać czołowych ekspertów z dziedziny bezpieczeństwa z Polski i całego świata. Konferencja to także dostęp do najnowszej wiedzy o zagrożeniach i aktualnych trendach w bezpieczeństwie, a także forum wymiany doświadczeń.

W tym roku swój udział w roli prelegentów zapowiedzieli m.in. Inbar Raz, Colin O'Flynn, Eyal Ronen, Amihai Neiderman, Eireann Leverett, Paul Vixie oraz eksperci z CERT Polska.

Debaty i warsztaty podczas tegorocznej konferencji dotyczyć będą m.in. problematyki bezpieczeństwa urządzeń online, e-handlu, świadomości przedsiębiorstw wobec cyberbezpieczeństwa i najnowszych trendów w cyberatakach.

Urządzenie nie jest już tylko urządzeniem

Internet of Things dokonuje błyskawicznej ekspansji na rynek w prawie wszystkich branżach.

Koncepcja zdalnego sterowania, monitorowania i kontroli zwykłych przedmiotów staje się naturalną konsekwencją rozwoju elektroniki i telekomunikacji. Za tę wygodę trzeba płacić.

Odpowiedzi na pytanie o to, czy te procesy będą postępować kosztem naszego bezpieczeństwa poszukiwać będą eksperci z Polski i ze świata podczas organizowanej przez NASK konferencji SECURE 2017.

Niebezpieczne zabawki online

Wiele osób, myśląc o swoich domowych smart sprzętach, widzi przede wszystkim ich tradycyjne funkcje – automatu otwierającego bramę, timera w kuchence, elektronicznej niani czy regulacji rolet okiennych. Tymczasem fakt, że sterowanie tymi urządzeniami i pozyskiwanie z nich danych możliwe jest przez internet, może istotnie wpływać na nasze bezpieczeństwo.

Wyobraźmy sobie, że nasz telewizor rozpoznaje twarze domowników. Każdego wita po imieniu i automatycznie uruchamia ulubiony kanał telewizyjny lub odtwarza nagrany wcześniej film. Taka funkcja to wygoda i dodatkowa rozrywka dla dzieci i dorosłych.

Ale przecież rysy twarzy to bardzo wrażliwe dane biometryczne. Rzadko, niestety, zastanawiamy się nad tym, gdzie nasze dane trafiają i kto nimi zarządza. Nie myślimy też o ich bezpieczeństwie.

Tymczasem taka refleksja jest kluczowa dla indywidualnego i zbiorowego bezpieczeństwa. Dane o rysach twarzy są używane do identyfikacji w wielu różnych sytuacjach, np. w paszportach lub nowoczesnych dowodach osobistych. Z pewnością ich rola w poświadczaniu tożsamości będzie wzrastała. Jeśli przechowywane w chmurze dane biometryczne wyciekną, mogą np. umożliwić poszukiwanemu przestępcy przekroczenie granicy lub złodziejowi wzięcie kredytu na inną osobę.

Nawet takie urządzenia jak zabawki z dostępem do sieci niosą tego typu zagrożenia.

– W NASK prowadzimy obecnie badania nad użytkowaniem zabawek typu smart. Stają się one coraz bardziej popularne. Ich istotną funkcją jest nawiązywanie relacji z dzieckiem, np. poprzez prowadzenie rozmów, co może wiązać się z gromadzeniem, przetwarzaniem bardzo osobistych danych, w tym nagrywaniem dźwięków i obrazów w mieszkaniu – mówi Przemek Jaroszewski, kierownik zespołu CERT Polska w NASK.

– Znane są już przypadki wycofania takich zabawek z rynku z tego powodu, że umożliwiały one obcym osobom dostęp do nagrań z udziałem dzieci. Jak wynika z naszych badań, większość rodziców ankietowanych w pilotażowej fazie badań w ogóle nie podejmuje tematu bezpieczeństwa w rozmowach z dziećmi lub nie poświęca temu zagadnieniu uwagi – podkreśla kierownik CERT Polska.

Cyberatak możliwy w każdej sytuacji

Gdy mowa jest o groźnych cyberatakach na przedmioty codziennego użytku najczęściej jako przykład podaje się hakowanie jadącego samochodu lub aktywnego rozrusznika serca. W takich sytuacjach udane włamanie może sprowadzić na kogoś bezpośrednie ryzyko śmierci.

Jednak przejęcie kontroli nad pozornie nieszkodliwym przedmiotem – kamerką internetową – nie jest wcale niegroźne. Zwłaszcza jeśli takich kamerek są setki tysięcy.

W ten sposób – z wykorzystaniem tzw. Botnetu Mirai – w ubiegłym roku dokonano rekordowych ataków przeciążeniowych (DDoS), m.in. na firmy świadczące usługi internetowe dla innych podmiotów. Sparaliżowana lub utrudniona została działalność jednocześnie kilku globalnych usług.

Można sobie wyobrazić taki atak wymierzony w serwery instytucji państwowych, armii, kontroli ruchu lotniczego lub kolejowego.

Bezpieczeństwo nie stało się jeszcze priorytetem

Zapewnienie stuprocentowego bezpieczeństwa urządzeniom IoT nie jest możliwe. Jednak dziś eksperci zgodnie oceniają, że poziom ryzyka jest zbyt wysoki. Składa się na to kilka czynników.

Po pierwsze, zagrożenie wynika w dużym stopniu z mentalności użytkowników, którzy dopiero zaczynają dokładniej się zapoznawać ze specyfiką funkcjonowania urządzeń z dostępem do sieci.

– Większość osób nie dba o przestrzeganie zasad bezpieczeństwa, np. nie zmienia fabrycznych haseł lub pozwala urządzeniom na zbyt szeroki dostęp do danych – mówi Przemek Jaroszewski.

Po drugie, producenci na razie również nie zawsze traktują bezpieczeństwo priorytetowo. Na wbudowanych zabezpieczeniach można oszczędzić czas i energię (sprzęty, zwłaszcza bezprzewodowe, powinny zużywać jej jak najmniej).

Specjaliści w dziedzinie cybersecurity niemal jednogłośnie postulują wprowadzenie regulacji prawnych, które nakładałyby na producentów sprzętu obowiązek zabezpieczania go według określonych standardów. W ocenie ekspertów NASK instrukcja dla użytkownika również powinna zawierać rzetelną i przejrzystą informację o tym, jakie dane zbiera urządzenie, komu je przekazuje i jak można ograniczyć ryzyko ich niewłaściwego wykorzystania.

Automatyzacja przemysłu to także pole do cyberataków

Szczególnej uwagi w przeciwdziałaniu cyberzagrożeniom wymagają także rozwiązania typu IIoT (Industrial Internet of Things), pozwalające na zdalne monitorowanie lub kontrolowanie elementów automatyki przemysłowej za pośrednictwem internetu. Takie połączenia coraz częściej są wykorzystywane i przewiduje się, że wiele branż, np. energetyczna czy paliwowa, będzie rozwijało się w tym kierunku.

Przy czym analitycy prognozujący zagrożenia zwracają uwagę, że właśnie sektory strategiczne będą w najbliższych latach szczególnie narażone na ataki.

Dobór i rozbudowa technologii zabezpieczeń i rozwijanie kompetencji personelu to kluczowy element w tym obszarze. Nie można zapominać przy tym o pracownikach, którzy nie są bezpośrednio odpowiedzialni za bezpieczeństwo.

Niestety, wiele udanych ataków opartych jest o socjotechniki, a wektorem jest zwykły e-mail lub nawet telefon. Jeśli cyberprzestępca przejmie kontrolę nad profilem pracownika z szerokimi uprawnieniami dostępu, to niewielkim wysiłkiem może poczynić duże szkody w całym systemie.

Problematyka bezpieczeństwa urządzeń z dostępem do internetu będzie podejmowana podczas tegorocznej konferencji SECURE 2017. Będzie także tematem debaty w redakcji „Rzeczpospolitej", z której relacja znajdzie się w kolejnej „Rzeczpospolitej cyfrowej".

Bezpieczeństwo w Przemyśle 4.0

Narodowe Centrum Cyberbezpieczeństwa w NASK przypomina, że system bezpieczeństwa w firmie musi opierać się na całej strukturze, począwszy od strategicznych decyzji właściciela i zarządu, a skończywszy na rutynowym postępowaniu szeregowych pracowników.

Działania na rzecz cyberbezpieczeństwa muszą obejmować swoim zasięgiem fizyczną budowę infrastruktury sieci, jej odpowiednią konfigurację (zwłaszcza na styku sieci korporacyjnej i przemysłowej), oprogramowanie i eksploatację. Niezbędny jest system wsparcia pracowników, w tym niedopuszczanie w codziennej praktyce do ryzykownych zachowań.

Statystyki pokazują, że prozaiczne błędy i niedopatrzenia często są przyczyną bardzo poważnych problemów. Ponad połowę incydentów, które obsługiwał CERT Polska w 2016 r., stanowił phishing, czyli próba wyłudzenia danych od nieświadomych zagrożenia lub niezachowujących ostrożności użytkowników.

Dbając o cyberbezpieczeństwo, należy zapewnić również zbieranie kompletnych informacji o incydentach bezpieczeństwa, zwłaszcza że wkrótce przedsiębiorstwa z kluczowych branż na mocy polskich przepisów prawa, wdrażających w Polsce dyrektywę NIS, będą przekazywać takie informacje na bieżąco do Narodowego Centrum Cyberbezpieczeństwa. Obecnie już 68 firm oraz instytucji podpisało umowy i porozumienia o współpracy na rzecz cyberbezpieczeństwa.

Pamiętać o aktualizacjach – i sprawdzać ich pochodzenie

Malware Petya, który w czerwcu 2017 doprowadził m.in. do przerw w dostawie prądu oraz zakłóceń w wielu innych sektorach gospodarki na Ukrainie, dystrybuował się w sieci, podszywając się pod aktualizację oprogramowania dla księgowości. Był w stanie infekować komputery i niszczyć znajdujące się na ich dyskach pliki, wykorzystując lukę w systemie Windows, nazywaną EternalBlue. Producent systemu był od pewnego czasu świadom istnienia tej luki i w marcu 2017 r. udostępnił łatkę zabezpieczającą nowsze wersje systemu. Później, po atakach ransomware WannaCry w maju 2017 r., wypuścił aktualizację dla starszych wersji. Jednak, jak się okazało, w wielu ukraińskich przedsiębiorstwach wciąż były wykorzystywane starsze, niezaktualizowane wersje systemu operacyjnego.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Od pierwszej edycji konferencji w 1996 roku wiele się zmieniło na świecie, z każdym rokiem pojawiają się nowe trendy zagrożeń i nowe sposoby przeciwdziałania im, ale bezpieczeństwo teleinformatyczne niezmiennie pozostaje wspólnym mianownikiem wszystkich edycji wydarzenia.

W ocenie organizatorów i specjalistów branżowych, konferencja SECURE stanowi wyjątkową okazję, aby posłuchać czołowych ekspertów z dziedziny bezpieczeństwa z Polski i całego świata. Konferencja to także dostęp do najnowszej wiedzy o zagrożeniach i aktualnych trendach w bezpieczeństwie, a także forum wymiany doświadczeń.

Pozostało 93% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Witold M. Orłowski: Gospodarka wciąż w strefie cienia
Opinie Ekonomiczne
Witold M. Orłowski: Gospodarka wciąż w strefie cienia
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Advertisement
Piotr Skwirowski: Nie czarne, ale już ciemne chmury nad kredytobiorcami
Opinie Ekonomiczne
Piotr Skwirowski: Nie czarne, ale już ciemne chmury nad kredytobiorcami
Marek Ratajczak: Czy trzeba umoralnić człowieka ekonomicznego
Ekonomia
Marek Ratajczak: Czy trzeba umoralnić człowieka ekonomicznego
Krzysztof Adam Kowalczyk: Klęska władz monetarnych
Opinie Ekonomiczne
Krzysztof Adam Kowalczyk: Klęska władz monetarnych
Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.
Materiał Promocyjny
Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.
Andrzej Sławiński: Przepis na stagnację
Opinie Ekonomiczne
Andrzej Sławiński: Przepis na stagnację
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Materiał Promocyjny
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Advertisement
e-Wydanie