Bezpieczeństwo organizacji w kontekście pandemii COVID-19

W najnowszym  Magazynie Ludzi Biznesu Przedsiębiorcy.eu ukaże się tekst jednego z naszych członków, Piotra Słupczyńskiego na temat bezpieczeństwa organizacji w czasach epidemii. Zachęcamy do zapoznania się.

Pierwsze półrocze 2020 roku zmieniło nasze życie zawodowe, prywatne oraz społeczne. Podczas świętowania nowego roku w Polsce, w Chinach narastało nowe zagrożenie, które w krótkim czasie dotarło do nas. Mało osób umiało to przewidzieć, większość odrzucała myśli, że wydarzenia gdzieś daleko na świecie będą miały tak wpływ na biznes i gospodarkę światową. Dużo firm stanęło przed pytaniem, – co dalej? Nikt nie wiedział na ile zatrzyma się normalność i będziemy zmuszeni przenieść nasze życie do cyberprzestrzeni. Czy firmy i pracownicy byli na to przygotowani? Co z tajemnicami prawnie chronionymi, tajemnicą przedsiębiorstwa – czy nadal są bezpieczne? A jest co chronić! W Polsce jest ponad 60 rodzajów tajemnic prawie chronionych.

W niektórych organizacjach praca zdalna była codzienną praktyką, jednak dla większości to nowy temat. Firmy w krótkim czasie musiały przejść na pracę on-line często bez wcześniejszych testów. To nowe i trudne wyzwanie dla organizacji. Czym jest cyberbezpieczeństwo i co się na nie składa:

  1. Software i hardware – czyli antywirusy i firewalle oraz rożne inne rozwiązania tego typu, których jest wiele.
  2. Dostęp do sieci – czyli bezpieczne i stabilne połączenie z firmą. Jeśli z Internetu, z którego korzysta cała rodzina, każdy z domowników uruchomi swój komputer z oprogramowaniem do komunikacji – przepustowość zwykłego Internetu może nie wystarczyć.
  3. Edukacja, – Szkolić, szkolić, szkolić! Można korzystać z antywirusa i innych zabezpieczeń, jednak człowiek to najsłabsze ogniwo bezpieczeństwa. Jest podatny na określone reakcje. Jeśli wyśle Państwu wiadomość z informacją, że została wynaleziona szczepionka na COVID-19 i będzie testowana, zapewne część odbiorców kliknie w link, który tam zamieszczę ze złośliwym oprogramowaniem.
  4. „Polityka Bezpieczeństwa”, „Zasady Bezpieczeństwa”, „Regulamin Pracy Zdalnej” czy „dobre praktyki”. Dokumentacja to bardzo ważny element bezpieczeństwa. Dobrze napisane dokumenty z analizą ryzyka zapewniają określenie właściwego poziomu ryzyka wraz z dobraniem odpowiednich środków bezpieczeństwa. Eliminuje to złe nawyki użytkowników. Dookreślić można w dokumentacji m.in. kwestie incydentu lub postępowanie w przypadku utraty dostępu do dedykowanego kanału komunikacji w firmie.
  5. Regularne audyty – dzięki nim firma dostaje informacje zwrotną o swoich lukach w bezpieczeństwie. Audyt to świadoma decyzja zarządu, czasem bolesna, lecz zawsze kończy się zaleceniami, które warto wdrożyć.
  6. Regulacje Prawne – ustawy i akty wykonawcze np.  ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Tarcza 4.0 i wiele innych w zależności od profilu działalności przedsiębiorstwa.

Zagrożenie w świecie cyfrowym może sparaliżować funkcjonowanie organizacji podobnie jak Covid-19. Kto stoi za atakami? Hacker – wbrew przekonaniom nie nosi za dużych swetrów oraz nie siedzi w kapturze w ciemnym pomieszczeniu odseparowany od ludzi. Obecnie są to profesjonalnie zorganizowane grupy przestępcze, inwestujące duże pieniądze w rozwój jak i sprzęt. Atak na firmę jest długim i przemyślanym procesem. Prawie zawsze chodzi o pieniądze, lecz zdarzają się też ataki aktywistów lub pojedynczych samotnych wilków. Grupy hackerskie często wspierane są przez rządy państw totalitarnych i nie tylko. W ubiegłym miesiącu w darknecie można było za 200$ wykupić atak hackerski na wybraną firmę z możliwością video.

Jak oszust przejmuje kontrolę nad komputerem i uzyskuje dostęp do zasobów sieciowych wykorzystując podatność ludzką? Cyberprzestępca np. przy pomocy pamięci USB, załącznika lub linku przesłanego e-mailu infekuje komputer ofiary tzn. instaluje złośliwe oprogramowanie. Następnie haker robi rekonesans, – co jest ciekawego na komputerze i do jakich zasobów zdobył dostęp. Może zainstalować programy monitorujące kolejność naciskania klawiszy na klawiaturze, dzięki czemu wykrada loginy i hasła dostępowe. Jest w stanie przejąć kontrole nie tylko nad komputerem, telefonem, siecią, lecz także nad usługami chmury, mediów społecznościowych, banków bądź prywatnej poczty. Nie łudźmy się, że komputer będzie błyskał czerwonym światłem, gdy zostanie zaatakowany. W interesie cyberprzestępcy jest pozostać jak najdłużej w ukryciu. Hacker uczy się naszych przyzwyczajeń i zachowań. Na koniec ataku może usunąć wszystkie kopie zapasowe, do których ma dostęp, zaszyfrować dysk i zażądać okupu za odszyfrowanie. Ostatnio spotkałem się z tym, że hackerzy żądają zapłaty za nieujawnienie danych.

Przedstawię Państwu 2 scenariusze ataku z wykorzystaniem socjotechniki, czyli jak w informatyce wygląda „kradzież na wnuczka”.

  1. W upalne lato pewna filia znanej międzynarodowej korporacji została zaatakowana w sprytny sposób. Na służbowe adresy poczty internetowej przed porą lunchu trafiła informacja o nowo otwartej pizzerii. W wiadomości była oczywiście strona internetowa pizzerii wraz z menu oraz informacja o niespodziance dołączonej do każdego zamówienia. Pracownicy szybko zdecydowali się na zamówienie, po 50 minutach zjawił się dostawca. Po przyjęciu zapłaty przekazał pizzę i niespodziankę w postaci wiatraczków na USB. Niczego nieświadomi pracownicy podłączyli urządzenia do komputerów. Poza poczuciem przyjemnego chłodu urządzenia posiadały złośliwe oprogramowanie, dzięki któremu można było przejąć kontrole nad komputerami firmowymi. Całe szczęście był to kontrolowany audyt zamówiony przez firmę. Strach pomyśleć ile urządzeń USB ze złośliwym oprogramowaniem jest wtykanych przez nieświadomych użytkowników? Jaki szkody może mieć to dla organizacji? Czy ktoś w Państwa firmach to kontroluje?
  2. Kolejnym przykładem sprytnego ataku jest atrakcyjne ogłoszenie na jednym z portali ogłoszeniowych. Hacker zamieścił informację „Mieszkanie, 2 pokojowe 45m2 do wynajęcia 2300 PLN Centrum” z atrakcyjnym opisem, pięknym zdjęciem, adresem e-mail, numerem telefonu, i prośbą, aby kontaktować się przez SMS motywując to brakiem możliwości rozmowy w pracy. Osoba zainteresowana wysyła SMS z zapytaniem „czy ogłoszenie aktualne?” Następuje wymiana SMSów. Hacker z uwagi na wygodę zaleca komunikację e-mail. Ofiara zwraca się z prośbą o dodatkowe zdjęcia mieszkania. Oszust proponuje, że prześle plik 360 stopni z rozkładem mieszkania. Ofiara zgadza się, cyberprzestępca wysyła wiadomość z prezentacją lokalu. Jednak poza umówionym wirtualnym spacerem w pliku jest zaszyte złośliwe oprogramowanie. Daje to hackerowi dostęp do komputera i danych.

Jak się bronić przed socjotechniką? Należy zachować szczególną ostrożność, wyłączyć emocje i włączyć racjonalne myślenie. Wiadomości e-mail lub SMS z wyjątkowymi okazjami, dziwnymi plikami lub linkami do płatności lub przelewów należy usuwać lub zgłaszać do wewnętrznych działów IT. Jeśli IT działa prawidłowo zgłosi to do CERT POLSKA incydenty.cert.gov.pl. Tylko działanie zespołowe podnosi zbiorową „odporność” oraz świadomość pracowników.

Hakerzy są bardzo pomysłowi, doskonale przystosowują się zmieniającego się prawa, co chwila wymyślając nowe scenariusze ataku. Od 1 styczna br. obowiązuje Indywidualny Rachunek Podatkowy. Już 22 styczna Ministerstwo Finansów ostrzegało o fałszywych wiadomościach rozsyłanych przez oszustów o zaległościach na mikrorachunku podatkowym z prośbą o dopłatę w kwocie 6.18 PLN.  Podobnie ma się sprawa z bonem turystycznym.

Kolejnym scenariuszem jest użycie zainfekowanego komputera i jego adresu IP do ataku na jakąś instytucje państwową lub infrastrukturę krytyczną – ale to zostawiam Państwa wyobraźni.

W połowie czerwca 2020 roku Premier Australii Scott Morisson oświadczył na konferencji prasowej, że od dłuższego czasu jego kraj jest obiektem ataków hackerskich na rożnego rodzaju instytucje. Poza obywatelami oraz urzędami, ofiarą pada infrastruktura krytyczna, operatorzy telekomunikacyjni, przemysł, służba zdrowia i wiele innych.  Wspomnę, że Australia domagała się międzynarodowego śledztwa w sprawie COVID-19. Niewątpliwie jest to wojna w cyberprzestrzeni.

Dobrym podsumowaniem ataków w 2019 roku jest Raport roczny z działalności CERT Polska „Krajobraz bezpieczeństwa polskiego Internetu w 2019 roku” dostępny na www.cert.gov.pl. Ze 148 stronicowego dokumentu wynika, że zgłoszeń w stosunku do roku poprzedniego przybyło o 71%. W 2020 roku zgłoszeń i ataków będzie na pewno o wiele więcej.

Co firma może stracić, jeśli nie zadba o bezpieczeństwo? Przede wszystkim wyciek danych osobowych – RODO przewiduje karę dla prywatnych firm do 20.000.000 EUR lub 4 % światowego obrotu. Ponadto organizacja może utracić swoje Know-how tzn. projekty, pomysły czy tajemnice przedsiębiorstwa. Jeśli hakerzy będą sprytni i cierpliwi mogą zaplanować czasowe, sekwencyjne wyłączenie serwerów i komputerów, bądź zaszyfrowanie danych, – co w praktyce uniemożliwi działanie firmie (mały informatyczny blackout). Do tego dochodzą liczne pozwy cywilne oraz odpowiedzialność karna. Są jeszcze inne wartości, których nie można wycenić np.: wizerunek firmy, który buduje się latami.

Znaczącą rolę w bezpieczeństwie organizacji odgrywa świadomość użytkowników. Dobrze wyedukowany i racjonalnie zachowujący się pracownik jest dla firmy niesamowitą wartością. Dzięki jego doświadczeniu i wiedzy, przy odpowiednich procedurach, politykach bezpieczeństwa  oraz wsparciu działu IT, można odpowiednio wcześniej reagować na próby ataku.

Jak bronić się przed atakiem? Najtańsza metodą jest edukacja. Trzeba stale podnosić świadomość informatyczną zarówno kadry zarządzającej jak i szeregowych pracowników. Proces uświadamiania musi być ciągły i regularny poprzez uczestnictwo w szkoleniach, warsztatach, konferencjach lub kongresach. Organizator powinien mieć, co najmniej kilkuletnie doświadczenie i posiadać do Rejestru Instytucji Szkoleniowych. Nauczanie podnosi świadomość co „otwiera oczy”. Dzięki temu można stworzyć i wdrożyć odpowiednie procedury. Mają one sens, gdy są procesem, na który składa się ciągła edukacja i doświadczenie. Nie sztuką jest spisanie polityk i procedur językiem informatycznym oraz trzymanie ich w sejfie. Mistrzostwem jest stworzenie dokumentów zrozumiałych dla każdego i łatwo dostępnych, a jednocześnie jak najmniej ujawniających informacji, które mógłby wykorzystać hacker. Wiedza i doświadczenie pracowników to majątek organizacji.

W dniach 19-20 października br. będzie organizowana X KONFERENCJA BEZPIECZEŃSTWA NARODOWEGO i GOSPODARCZEGO uwzględniająca zagrożenia COVID-19  https://konferencjabezpieczenstwanarodowego.swbn.pl.  W ubiegłym roku uczestników zaszczycił swoją obecnością i wykładem Pan Prezydent Aleksander Kwaśniewski. W tym roku zapraszamy również przedstawicieli służby zdrowia, a gościem specjalnym będzie prof. Krzysztof Simon.

Kolejnym wydarzeniem o tematyce bezpieczeństwa i ochrony tajemnic firmy jest III KRAJOWY ZJAZD PRACOWNIKÓW PIONÓW OCHRONY INFORMACJI NIEJAWNYCH 7-9 grudnia 2020 roku w Białce Tatrzańskiej. Organizowane jest nieprzerwanie od 15 lat pod nazwą FORUM KIEROWNIKÓW JEDNOSTEK ORGANIZACYJNYCH ORAZ PEŁNOMOCNIKÓW OCHRONY INFORMACJI NIEJAWNYCH. Uczestniczyłem w dwóch poprzednich zjazdach. Można spotkać tam osoby z różnych jednostek organizacyjnych. Posiadam kilkunastoletnie doświadczenie w pionie ochrony i uważam, że każdy pracownik zajmujący się zarządzeniem bezpieczeństwem, ochroną danych osobowych czy tajemnicą przedsiębiorstwa powinien wpisać ten termin do kalendarza. Wiedza, którą przekazują prelegenci łączy w sobie praktykę oraz wiedzę z zastosowaniem nie tylko dla pionu ochrony informacji niejawnych, lecz także dla działów bezpieczeństwa, IT, HR, ISO, infrastruktury krytycznej, prezesów, zarządów czy kadry kierowniczej.

Za wartość dodaną obu tych wydarzeń uważam, możliwość wymiany doświadczeń i rozmów kuluarowych pomiędzy uczestnikami oraz prelegentami. Przemyślane i dobrze zaplanowane krótkie 20-25 minutowe wystąpienia zapewniają ciągłe skupienie uczestników. Organizatorzy zadbali o prawidłową równowagę umysłu dając uczestnikom czas wolny oraz tematyczne atrakcje.

Zapewne tegoroczna konferencja oraz zjazd będą wyjątkowe i równie emocjonujące co poprzednie. Wpływ pandemii COVID-19 na gospodarkę oraz szeroko pojęte bezpieczeństwo będzie ważnym tematem przewodnim. Podczas tych wydarzeń będę prelegentem, wiec zapraszam do rejestracji na stronie www.ksoin.pl.

Pobierz artykuł w pdf: Bezpieczeństwo organizacji w kontekście pandemii COVID-19 

Autor tekstu: Piotr Słupczyński - ekspert ds. bezpieczeństwa i ochrony informacji, absolwent Uniwersytetu Warszawskiego. Od 2009 roku prowadzący własną firmę informatyczno – edukacyjną wpisaną do Rejestru Instytucji Szkoleniowych (RIS) pod nr 2.14/00170/2020. Absolwent studiów podyplomowych UW Wydziału Dziennikarstwa i Nauk Politycznych o kierunku „Bezpieczeństwo Wewnętrzne” oraz Centrum Nauk Sądowych UW z zakresu „Prawa dowodowego i nauk pokrewnych”. Obecnie w trakcie studiów MBA na Wydziale Informatyki w Polsko – Japońskiej Akademii Technik Komputerowych.  W 2005 r. odbyta aplikacja kuratorska w Wydziale Rodzinnym  i Nieletnich, a po złożeniu egzaminu w latach 2006-2008 Zawodowy Kurator Sądowy w Wydziale Karnym. Od ponad dwudziestu lat  związany z bezpieczeństwem informatycznym, zajmujący się implementacją m.in. IBM Lotus NOTES/DOMINO, obiegu dokumentacji w firmie oraz administracją serwerami, analizą ryzyka ze znajomością norm z rodziny ISO / IEC 27000.  Od piętnastu lat związany z ochroną informacji niejawnych, biznesowych i osobowych. Zaangażowany szkoleniowiec zajmujący się podnoszeniem świadomości uczestników w zakresie bezpieczeństwa informatycznego, cyberbezpieczeństwa, socjotechnik itp. Autor specjalistycznych dokumentów m.in.: „Polityki Bezpieczeństwa Informatycznego”, „Zasad bezpieczeństwa informatycznego”, „Szczególnych Wymagań Bezpieczeństwa”, „Procedur Bezpiecznej Eksploatacji”, artykułów w prasie branżowej oraz wielu autorskich programów szkoleń. Członek zespołu ds. wdrożenia i implementacji RODO. Pełnomocnik Prezesa Zarządu ds. Ochrony Informacji Niejawnych. Uczestnik wielu specjalistycznych szkoleń, warsztatów, konferencji, kongresów. Wielokrotnie wyróżniany i nagradzany przez różne instytucje. A prywatnie – człowiek lubiący wyzwania, stale podnoszący swoje kwalifikacje.