Tematyka bezpieczeństwa w przedsiębiorstwach oraz instytucjach użyteczności publicznej to złożony temat. Niejednokrotnie traktowany jest on zbyt powierzchownie lub jest po prostu pomijany, do czasu aż coś się wydarzy i staniemy się ofiarami włamania, kradzieży, czy też po prostu utraty danych na skutek uszkodzenia sprzętu. Nie chcę generalizować, ponieważ wiele firm ma wdrożone procedury zarządzania incydentami bezpieczeństwa mającymi na celu zapewnienie ciągłości pracy oraz bezpieczeństwo danych zarówno firmowych jak i osobowych swoich klientów.
Oczywiście to jakich procedur i jakich narzędzi użyjemy zależy od złożoności systemów informatycznych jakie posiadamy, od tego czy znajdują się one fizycznie u nas w firmie, czy są to serwery naszego hostingodawcy. Niebezpieczeństwo włamania i utraty danych dotyczy wszystkich, zarówno banków, dużych przedsiębiorstw, korporacji posiadających rozbudowaną infrastrukturę informatyczną, ale także i małych firm mających jedynie witrynę lub sklep internetowy. W pełni bezpiecznie nie mogą czuć się także instytucje państwowe, czy jednostki samorządowe, korzystają one bowiem z oprogramowania oraz sieci Internet, a wszędzie pracują ludzie.
Nie możemy jednak panikować, najważniejsze jest odpowiednie zaplanowanie jak będą przeprowadzone działania w sytuacji wystąpienia incydentu. Szybka reakcja na pojawiające się sygnały i możliwie szybkie ich wyeliminowanie to klucz do sukcesu. Aby taki scenariusz był realny do wykonania potrzeba czasu, wiedzy i środków, aby wcześniej się dobrze zabezpieczyć. Warto w tym momencie odpowiedzieć sobie na pytanie: Czy stać nas na utratę danych?
Zabezpiecz dostęp do danych
Zabezpieczenie danych leży w naszym interesie, a możliwości jest całkiem sporo i nie musimy liczyć jedynie na łut szczęścia, że akurat nam nic się nie przydarzy. Utratę ostatnio wydrukowanego dokumentu możemy przeboleć. Nawet jeśli miał wiele stron możemy go w prosty sposób odtworzyć, ale już utrata kilku lat pracy może stanowić poważny problem skutkujący nawet koniecznością zakończenia działalności lub w najlepszym wypadku ogromnymi kosztami odtworzenia zniszczonych informacji. Podobnie wygląda sytuacja w przypadku włamania przeprowadzonego przez hakerów lub skutków działania złośliwego oprogramowania. Zaatakowana strona internetowa, czy niedziałający sklep internetowy to utrata klientów oraz straty spowodowane brakiem możliwości prowadzenia sprzedaży.
Warto o tym pamiętać, chociażby z uwagi na fakt, że w ostatnich tygodniach nasiliły się ataki na polskie webserwery, spowodowane niestabilną sytuacją na Ukrainie. Są to zarówno ataki DDoS jak i włamania mające na celu podmianę stron internetowych na komunikaty polityczne, instalację złośliwego oprogramowania, a także kradzież danych.
Ataki z pewnością nasilą się w najbliższych tygodniach z uwagi na wykrycie krytycznej dziury w popularnej bibliotece kryptograficznej OpenSSL, której używa ponad 60% serwerów w Internecie (serwerowe dystrybucje Linuksa i systemy BSD) oraz wiele aplikacji webowych. Luka CVE-2014-0160 „The Heartbleed Bug” to bardzo poważny błąd, który może umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu realizowanego przez www, klientów poczty e mail, komunikatory internetowe, czy też sieci VPN. W ten sposób można wykraść loginy, hasła, wiadomości oraz dokumenty, a na dodatek atak ten nie pozostawi żadnych śladów na serwerze ofiary. Mimo, iż błąd znajdował się w kodzie OpenSSL od 2 lat, został odkryty i podany do publicznej wiadomości kilka dni temu. Dostępna jest już aktualizacja usuwająca wykrytą podatność, jednak nie możemy wykluczać, że luka była znana w pewnych kręgach i ktoś nie wykradł już naszych danych. Warto zatem rozważyć wymianę certyfikatu SSL oraz zmianę haseł jeśli nasz serwer korzystał z biblioteki OpenSSL lub posiadamy konta m.in. w takich serwisach jak: Facebook, Tumblr, Twitter, Apple, Google, Yahoo, Amazon, Dropbox, LastPass. Na dzień dzisiejszy nie ma oficjalnej informacji, czy systemy transakcyjne banków działających w naszym kraju były podatne na ataki.
Podobna luka bezpieczeństwa, występująca w bibliotece obsługującej SSL/TLS została odkrywa kilka tygodni temu w oprogramowaniu Apple. Podobnie jak w przypadku błędu w OpenSSL pozwala ona na rozszyfrowanie połączenia typu HTTPS na wszystkich urządzeniach tego producenta. Korzystanie z aplikacji wykorzystujących połączenia szyfrowane, chociażby bankowości elektronicznej, nie jest bezpieczne do czasu aktualizacji systemu.
Użytkownicy smartfonów pracujących pod kontrolą systemu Android również mogą być narażeni na kradzież danych, jednak tylko tych znajdujących się na urządzeniu i karcie SD. Co prawda odpowiednia poprawka bezpieczeństwa została już wydana, jednak aktualizacja urządzeń mobilnych stanowi większy problem i nadal ponad 70% urządzeń może być narażonych na atak.
Zabezpiecz stronę internetową
Błędy w oprogramowaniu zdarzają się bardzo często, niezależnie czy jest to oprogramowanie typu Open Source, czy Closed Source. Podobnie wygląda sytuacja w przypadku systemów i skryptów wykorzystywanych masowo do tworzenia stron i sklepów internetowych. Zarówno systemy otwarte jak i te dedykowane, autorskie i zarazem zamknięte systemy mogą zawierać luki w zabezpieczeniach umożliwiające osobie atakującej dostęp do całego systemu, zawartości serwisu oraz danych klientów. W najlepszym wypadku witryna może zostać jedynie zainfekowana, stając się stroną atakującą innych użytkowników sieci lub rozsyłającą spam. Warto w takim przypadku zwrócić uwagę, na jakim systemie mamy stworzoną stronę lub sklep, czy jest on aktualny, oraz czy jest dodatkowo zabezpieczony. Nie powinna być to wersja podstawowa, skonfigurowana w sposób standardowy.
Systemy otwarte mają w tym przypadku ogromną zaletę w stosunku do systemów autorskich, polegającą na dostępności wtyczek pozwalających skonfigurować dodatkowe zabezpieczenia oraz liczną grupę użytkowników mających wiedzę oraz doświadczenie na temat danego systemu i mogących pomóc zarówno w znalezieniu luk bezpieczeństwa jak i w ich usunięciu. W przypadku systemów zamkniętych musimy wierzyć, że ich twórca zadba o nasze bezpieczeństwo wydając na czas kolejną, uaktualnioną i lepiej zabezpieczoną wersję.
Zadbaj o sprzęt i oprogramowanie
Podstawową zasadą jakiej powinniśmy przestrzegać, szczególnie używając oprogramowania komunikującego się poprzez Internet jest używanie tylko aktualnego oprogramowania. Niestety nie każdy do tego się stosuje, przykładem może być system e-PFRON2, który przez długi czas zmuszał użytkowników do korzystania ze starej, podatnej na ataki wersji oprogramowania Java. Na szczęście od marca b.r. aplikacja SODiR On-line umożliwia już użycie najnowszej wersji Javy i jest bezpieczna.
Jednak zbyt zapobiegliwym też nie można być i nie należy instalować aktualizacji pochodzących z nieznanych źródeł. Przykładem może być niedawny atak skierowany na jednostki polskich samorządów terytorialnych polegający na rozsyłaniu fałszywej aktualizacji systemu BeSTi@, którego celem było przejęcie danych dostępowych do kont bankowych tychże jednostek.
Twórz kopie zapasowe
Nie wyobrażamy sobie już pracy bez korzystania z sieci Internet. Jest on częścią naszej cywilizacji, podstawą komunikacji, a niejednokrotnie także źródłem naszego dochodu. Mimo, że coraz częściej słychać o zagrożeniach, atakach i lukach w zabezpieczeniach wielu aplikacji, możemy starać się zabezpieczyć, pamiętając o instalacji aktualizacji bezpieczeństwa oraz stosowaniu silnych haseł podczas logowania do systemów bankowych, serwisów internetowych oraz poczty e-mail. Pamiętajmy też, aby nie korzystać z publicznych lub podejrzanych hot spotów podczas wykonywania transakcji bankowych.
Dodatkowo zadbajmy o to, aby w przypadku utraty danych posiadać ich kopie zapasowe. Tworzenie backupów nie musi być uciążliwe i czasochłonne. Wystarczy poprawna konfiguracja oprogramowania archiwizującego chociażby wrażliwe dokumenty, oraz odpowiednie ich przechowywanie. Kopie zapasowe możemy tworzyć na płytach DVD, BRD, dyskach przenośnych, a także na serwerach zewnętrznych w tzw. chmurze, po uprzednim zaszyfrowaniu danych.
To, gdzie i w jakiej formie będziemy przechowywali dane jest kwestią wyboru i zależy od ilości i jakości tych danych oraz procedur bezpieczeństwa stosowanych w przedsiębiorstwie. Pamiętajmy jednak, że jeśli nie zabezpieczyliśmy w żaden sposób informacji, możemy stracić je wszystkie bezpowrotnie.
Artykuł opublikowałem na nf.pl oraz w magazynach ‘Wiedza i Praktyka’, ‘Zachodniopomorski Przedsiębiorca’
poinformuj znajomych
subskrybuj RSS