Na całym świecie działalność coraz większej liczby firm i instytucji odbywa się przy wykorzystaniu systemów i aplikacji działających w chmurze publicznej. Na popularyzację tego modelu niewątpliwie mają wpływ czynniki takie jak ograniczenie kosztów utrzymania własnej infrastruktury, czy wydajność i dostępność takiej architektury. To właśnie w chmurze przetwarzane są między innymi informacje wrażliwie, choćby takie jak obsługa płatności, systemy sprzedażowe, systemy CRM, zarządzanie kadrami itd. Często też okazuje się, że usługi oferowane w chmurze publicznej paradoksalnie zapewniają większy stopień bezpieczeństwa, prywatności oraz zgodności z przepisami, jakiego organizacje nie zdołałyby osiągnąć własnymi siłami. Dotyczy to zwłaszcza małych i średnich firm, które nie dysponują stosownymi zasobami pozwalającymi im osiągnąć wymagany poziom ochrony samodzielnie. Również duże przedsiębiorstwa, instytucje publiczne oraz rządowe coraz częściej przekonują się do usług chmurowych. Oczywiście w większości przypadków, w ograniczonym zakresie – uzależnionym od przepisów prawa, regulacji czy też własnych polityk bezpieczeństwa.

Dostawcy chmury publicznej w różnych typach usług takich jak infrastruktury, platformy, aplikacje i usługi kompleksowo zajmują się również kwestiami bezpieczeństwa. Oferowane są rozwiązania spełniające wymagania standardów takich jak SOX, PCI DSS czy HIPAA. Posiadają one wspomniane certyfikacje. Praktycznie standardem jest możliwość samodzielnego kontrolowania dostępności, prywatności i suwerennością danych w zależności od konkretnego regionu geograficznego. Dostawcy oferują również usługi dodatkowe, takie jak pośrednicy zabezpieczeń aplikacji chmurowych (CASB), indywidualne zapory sieciowe i aplikacyjne, zarządzanie zasadami dostępu i uprawnieniami użytkowników itd.

W tematach NGSec 2017 chcemy przybliżyć zagadnienia związane z chmurą publiczną szczególnie w aspekcie systemów gwarantujących bezpieczeństwo jej wykorzystania.

Moc obliczeniowa chmury i jej dostępność z powodzeniem o wielu lat wykorzystują producenci oraz dostawcy usług bezpieczeństwa. Obecnie praktycznie każde nowoczesne rozwiązanie typu UTM, NGFW itp. wspomaga się środowiskiem chmurowym. Bazy reputacji adresów internetowych, sygnatury złośliwego oprogramowania, „sandboxing”, kategoryzacja serwisów internetowych to tylko czubek góry lodowej. Jedyna skuteczna ochrona przed atakami DDoS to dziś chmura. Jeśli atak wolumetryczny osiągnie nasze łącza to jesteśmy już na przegranej pozycji. Coraz więcej specjalizowanych rozwiązań bezpieczeństwa jest w całości realizowanych tylko i wyłącznie w modelu chmurowym. Technologie wirtualizacji VMware, KVM, hiper-v, XEN oraz budowy chmur prywatnych i hybrydowych OpenStack, Microsoft System Center, VMware vSphere umożliwiają również tworzenie własnych systemów IT pracujących w całości w zwirtualizowanych środowiskach. Producenci systemów bezpieczeństwa dodają ze swojej strony produkty, które są dedykowane do pracy w systemach wirtualnych czy też są dedykowane do zabezpieczania takich środowisk.

Podczas NGSec 2017 chcemy również przybliżyć rozwiązania bezpieczeństwa, które posiłkują się chmurą w procesie przetwarzania danych oraz identyfikacji zagrożeń, rozwiązania dedykowane do pracy i ochrony w systemach chmury prywatnej i hybrydowej.

Nie ulega wątpliwości, że ogromna część danych, które przechowujemy i przetwarzamy w chmurze, to w rozumieniu polskiego prawa dane osobowe. Dane, które są kwalifikowane jako dane osobowe dokładnie definiuje nam art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO). W największym uproszczeniu są to wszystkie informacje, które umożliwiają identyfikacje osoby fizycznej bez konieczności ponoszenia nadmiernych kosztów, czasu i działań związanych z taką identyfikacją. Kwestie ochrony danych osobowych reguluje obecnie również unijna dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE. Mamy już nowe rozporządzenie Parlamentu Europejskiego i Rady 2016/67 RODO (GDPR), które weszło w życie 25 maja 2016 roku i zacznie obowiązywać od 25 maja 2018 roku. Zostało ono uchwalone ze względu na konieczność wprowadzenia zmian wynikających z dynamicznego rozwoju technologii przetwarzania danych osobowych. Zmiany w prawie są istotne, bowiem zostały połączone z dotkliwymi karami finansowymi. Zaostrzają one przepisy wprowadzone nowelizacją UODO z roku 2011. Dotkliwość nowych kar finansowych ma skutecznie skłonić potencjalnych amatorów handlu danymi osobowymi do zaprzestania tego procederu.

Chcemy też poruszyć zagadnienie ochrony danych osobowych, szczególnie w sytuacji przetwarzania ich w ramach usług chmury publicznej i dostosowania się do wymagań stawianych przez RODO.

Wycieki baz danych, kradzież tożsamości, ransomware, ataki ukierunkowane oraz stojący za nimi cyberprzestępczość, ataki wykonywane na zlecenia obcych rządów czy też konkurentów rynkowych – to kawałek naszej codzienności. Nie ma tygodnia, w którym nie czytamy o takich zdarzeniach w Internecie, gazetach, radio i telewizji.

Jeszcze kilka lat temu prowadząc prezentacje na temat zagrożeń bezpieczeństwa informacji w środowisku cyfrowym np. dla przedstawicieli kadry zarządzającej niejednej instytucji czy przedsiębiorstwa wielkim problemem było uwiarygodnienie faktu, że istnieje realne zagrożenie cyberataku. Istnieje ryzyko utraty danych, wizerunku, pieniędzy, czasu oraz szeregu innych cennych z naszego punktu widzenia aktywów, a obecnie wyzwaniem nie jest uzmysłowienie zagrożenia, a określenie poziomu bezpieczeństwa, który zostanie uznany za wystarczający dla szeroko pojętej działalności przedsiębiorstwa czy firmy państwowej. Miejmy na uwadze, że jest to ciągły proces, a nie jednorazowa inwestycja pieniędzy, czasu, wiedzy, ludzi itd. Poziom bezpieczeństwo informacji należy oceniać patrząc przez pryzmat waluacji ryzyka. Nie jest możliwe zabezpieczenie się przed każdym możliwym zagrożeniem biorąc pod uwagę koszty z tym związane w stosunku do wartości chronionej informacji. Zawsze istnieje ryzyko resztkowe, które organizacja musi zaakceptować.

Nadal dość typową sytuacją jest taka, w której za całość bezpieczeństwa informacji w danej organizacji odpowiada kilka niezależnych zespołów, które nie są w pełni skoordynowane. Brak centralnego systemu zarządzania bezpieczeństwem nie daje pełnego, prawidłowego wglądu w aktualną sytuację, nie pozwala na wykrycie oraz oceny istniejącego zagrożenia w akceptowalnym czasie. Co nam przyjdzie po wykryciu włamania, kradzieży danych po 3 miesiącach od jego wystąpienia? Czy wiemy co straciliśmy? Co możemy zrobić? Na te i inne pytania rozwiązaniem może być budowa własnych Security Operations Center, czyli w skrócie SOC (Operacyjne Centrum Bezpieczeństwa) lub skorzystanie z tego typu usług świadczonych przez zaufane strony. SOC w uproszczeniu jest tworem obsługiwanym przez zespoły typu CERT/CIRT (Computer Emergency Readiness Team/Cyber Incident Response Team) który, agreguje wszystkie dostępne informacje i dzięki ich korelacji jest możliwa lokalizacja i usuwanie problemów bezpieczeństwa. Bez centralizacji działań łatwo jest je przeoczyć lub zignorować z fatalnymi często skutkami dla organizacji.

Tematykę budowania centrów SOC jak również zespołów CERT/CIRT postaramy się Państwu przybliżyć w czasie tegorocznych wystąpień konferencyjnych.