Zapraszamy do zapoznania się z podsumowaniem tematyki wykładów wygłoszonych na konferencji „Bezpieczeństwo danych w sektorze publicznym”.
Przemysław Jatkiewicz przedstawił wyniki badania stanu zabezpieczeń serwisów samorządowych. Wynika z niego, że 53% kontrolowanych jednostek nie przeprowadziło inwentaryzacji aktywów teleinformatycznych, a 16% posiada nieaktualną inwentaryzację. Jeśli chodzi o rejestr incydentów, to 46% skontrolowanych instytucji w ogóle go nie prowadzi, a w 39% jednostek rejestry są puste. Ataki na systemy samorządowe zdarzają się jednak stosunkowo często – aż 13% samorządów spotkało się z atakiem tak poważnym, że zgłosiło go do ABW lub prokuratury. Politykę bezpieczeństwa informacji ma przygotowaną większość instytucji samorządowych, ale w 88% jednostek jest ona nieaktualna. Raport Przemysława Jatkiewicza został wydany w Biblioteczce Rzeczoznawców PTI; można go pobrać z naszej strony.
Tomasz Klasa mówił w swoim wystąpieniu o konieczności wypracowania kompleksowego podejścia do bezpieczeństwa. Oprócz bezpieczeństwa informacji należy zwrócić uwagę na bezpieczeństwo prawne i środowiskowe (np. na to, w jakiej temperaturze i wilgotności pracuje sprzęt informatyczny). Konieczne jest monitorowanie nie tylko infrastruktury teleinformatycznej, ale także procedur, wiedzy i kompetencji. Utracenie tych ostatnich może być równie groźne, jak strata danych z systemu informatycznego.
Adam Mizerski przytaczając zagrożenia, na które narażone są publiczne instytucje w sieci, powołał się na raport NIK pt. „Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych”. Wynika z niego, że działania podmiotów publicznych ukierunkowane na zapewnienie bezpieczeństwa systemom teleinformatycznym i ochronę danych były prowadzone w sposób rozproszony i bez odgórnie narzuconego planu. Prelegent podkreślił, że skuteczne zarządzanie bezpieczeństwem wymaga min. monitorowania incydentów zagrażających, identyfikowania ich źródeł i na tej podstawie należy za każdym razem podejmować działania poprawiające poziom bezpieczeństwa. Istotne jest także zadbanie o bezpieczeństwo wszystkich elementów sieci teleinformatycznej, także tych uważanych powszechnie za mało istotne. Na przykład atak na serwer uwierzytelniania może spowodować brak możliwości korzystania z systemu. Wszechstronną strategię bezpieczeństwa można zbudować min. w oparciu o standard COBIT, który opisuje nie tylko zabezpieczenia infrastruktury teleinformatycznej, ale także zalecany ład korporacyjny.
Andrzej Niemiec przedstawił tezę mówiącą o tym, że bezpieczeństwo zależy w dużym stopniu od jakości kodu oprogramowania. Wraz ze wzrostem funkcjonalności i połączeń między urządzeniami, wzrasta długość kodu w poszczególnych aplikacjach. Pierwsza wersja systemu UNIX, wydana w 1976 r. miała 20 tys. linii kodu, a Google Chrom ma ich już ok. 6 milionów. Statystycznie przyjmuje się, że na każde 100 linijek kodu przypada od 10-15 błędów. W bardzo złożonych aplikacjach liczba błędów jest wiec ogromna, tym bardziej, że oprogramowanie obecnie nie jest tworzone przez jednego programistę, czy kilkuosobowy zespół, ale często konglomerat wielu firm. Rozwiązaniem może być stosowanie normy ISO 15504, która pozwala na ocenę poziomu każdego procesu wchodzącego w cykl życia oprogramowania lub systemu: procesów organizacyjnych, technicznych, uzgodnień, zarządzania przedsięwzięciem oraz tworzenia oprogramowania. Norma ta jest stosowana wszędzie tam, gdzie jakość i niezawodność ma krytyczne znaczenie – np. w systemach przeznaczonych dla medycyny lub wojskowości. Izba Rzeczoznawców Polskiego Towarzystwa Informatycznego ma w swoim gronie audytorów normy ISO 15504.
Janusz Żmudziński przedstawił najbardziej spektakularne ataki hakerskie, które miały miejsce w ostatnich latach, oraz ich konsekwencje ekonomiczne. Prelegent przedstawił ataki na firmy Sony i Diginotar a także ataki gangu Carbanak i kradzież 81 mln dolarów z Centralnego Banku Bangladeszu. Wspomniał o zwiększające się ostatnio aktywności grup atakujących za pomocą złośliwego oprogramowaniem typu ransomware. Za odblokowanie zaszyfrowanych dysków żądają niekiedy wielomilionowych okupów, które ofiary są zmuszone zapłacić. Kiedyś, żeby popełnić przestępstwo w sieci trzeba było mieć odpowiednie umiejętności. Obecnie coraz popularniejsze staje się usługa „Crime as a Service”, niektóre grupy oferują nawet darmową usługę próbną.
Artur Maciąg opowiedział o Inicjatywie „Kultura Bezpieczeństwa”, która dzięki zastosowaniu konwencji zabawy i gry poprzez swojego bloga promuje skuteczną strategię edukacji w zakresie unikania zagrożeń w sieci. Podstawowe zasady zachowania bezpieczeństwa powinny być znane każdemu, a dopiero do nich można dodać zasady panujące w danej instytucji i proces zarządzania incydentami.
Adrian Kapczyński zaprezentował zagrożenia związane z portalami społecznościowymi i urządzeniami mobilnymi. W przypadku tych ostatnich najczęstszym „grzechem” użytkowników jest brak blokady i aktualizacji systemu oraz uruchamianie zawartości o wątpliwej reputacji. Może to doprowadzić do sytuacji, w której dane służbowe (np. ze skrzynki mailowej przeglądanej na telefonie) będą narażone na przejęcie. Jeśli chodzi o portale społecznościowe to wciąż, mimo wielu ostrzeżeń użytkownicy publikują na nich zdjęcia dowodów osobistych i kart kredytowych. Takie serwisy umożliwiają również pozyskanie bardziej prozaicznych informacji wykorzystywanych do ataku typu spear phishing. Cyberprzestępcy za pomocą mediów społecznych rozpowszechniają również złośliwe oprogramowanie, tworzą fałszywe profile lub przejmują kontrolę nad kontami innych użytkowników.
Piotr Biela przedstawił tezę Jasona Dovera, który stwierdził, że zagrożenia ze strony sieci są w równej mierze ryzykowne dla infrastruktur chmurowych jak i tych utrzymywanych lokalnie. Najczęstsze i najniebezpieczniejsze ataki na infrastrukturę informatyczną przedsiębiorstw skierowane są nie bezpośrednio na luki w kodzie, ale przechodzą przez najsłabsze ogniwo – czyli człowieka. Dlatego tak istotna jest opracowanie odpowiednich procedur, co leży po stronie klienta, a nie dostawcy usług w chmurze.
Tomasz Koprowski wygłosił ostatnią prelekcję i w błyskotliwy sposób przedstawił różne dylematy związane z bezpieczeństwem: problem wyboru i aktualizacji odpowiedniego standardu, procedur, systemu zgodności oraz metodologii zarządzania projektem. Kluczowy jest także wybór metody autoryzacji oraz sposób szyfrowania, ale wciąż najsłabszym ogniwem pozostaje człowiek. Dlatego tak istotne jest ustalenie odpowiednich procedur i ich bieżące testowanie. Należy także pamiętać o tym, że system zabezpieczeń nie może ograniczyć dostępności usługi.
Prezentacje prelegentów oraz galerię zdjęć można znaleźć na stronie konferencji - http://www.bdwsp.pl/.
Prezentacje prelegentów można znaleźć na stronie konferencji - http://www.bdwsp.pl/.
Wkrótce opublikujemy fotorelację z wydarzenia.