Tematyka konferencji

Wszelkiego rodzaju „naruszenia ochrony danych” będą coraz bardziej powszechne. Od tych, w których ucierpią dane prywatne pojedynczych osób, takie jak choćby prywatne zdjęcia po olbrzymie zbiory danych przechowywanych przez korporacje i instytucje, aż po ukierunkowane ataki związane ze szpiegostwem przemysłowym czy intelektualnym skierowane przeciwko najbardziej innowacyjnym czy strategicznym przedsiębiorstwom. Listę największych naruszeń chronionych danych można śledzić na systematycznie uaktualnianej stronie webowej:

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Należy się spodziewać dalszego wzrostu zagrożeń typu „ransomware”, w których przestępcy wykorzystują szkodliwe oprogramowanie do szyfrowania plików i przedstawienia żądania okupu, aby je odblokować. Oszuści stają się coraz bardziej kreatywni, stosując metody socjotechniczne podszywają się pod instytucje zaufania publicznego, takie jak banki, urzędy skarbowe czy urzędy pocztowe i w ten sposób nakłaniają ludzi do kliknięcia w złącznik czy też linki prowadzące do infekującego oprogramowania. W wielu przypadkach oprogramowanie w razie braku zapłaty okupu niszczy zainfekowane dane. Ransomware będzie również coraz częściej dotykał urządzeń i użytkowników wykorzystujących rozwiązania pamięci masowej w chmurze, takich jak: Dropbox, Google Drive, OneDrive itp.

Dodatkowego smaku dodaje również fakt, że wśród poszkodowanych znalazły się instytucje państwowe, a nawet posterunek policji.

Pojęciem Internetu Rzeczy obejmuje się wszelkie urządzenia, maszyny i komputery połączone ze sobą za pośrednictwem Internetu. Wśród innych obszarów, pojęcie to może być stosowane do systemów medycznych, automatyki domowej czy też systemów transportowych i przemysłu ciężkiego. Gartner w swoich prognozach przewiduje, że 4,9 mld urządzeń inteligentnych będzie w użyciu do końca 2015 roku. Daje to aż 30 procentowy wzrost w stosunku do 2014 roku. Ostrożne szacunki wskazują, że w roku 2020 ich liczba osiągnie 50 mld. Oczywiście gdzieś z tyłu stoi za tym protokół IPv6 zapewniający wystarczającą przestrzeń adresową. Taka liczba tego typu urządzeń tworzy nowe wektory podatności. Należy się spodziewać rosnącej liczby ataków skierowanych właśnie przeciwko nowym kategoriom urządzeń IoT ze względu zarówno na ich szybko rosnącą ilość, jak i fakt wzajemnego połączenia między poszczególnymi elementami ekosystemu IoT. Najsłabiej zabezpieczone kawałki systemu mogą stanowić wejście do tych elementów, które już przechowują wysokiej wartości dane.

Ataki skierowane przeciwko IoT mogą się np. koncentrować na elementach automatyki inteligentnego domu, którego centrum może stanowić domowy komputer, a tym samym może on bezpośrednio w swoich lokalnych zasobach czy też w zasobach chmurowych przechowywać informacje chronione lub prywatne.

Ostatnie badania podatności prezentowane przez różnych ekspertów pokazują, że można je znaleźć w najpopularniejszych elementach struktury inteligentnych domów, takich jak termostaty, telewizory, kamery i  w innego rodzaju czujnikach.

Przestępcy będą nadal w coraz większym stopniu przesuwać swoje zainteresowanie w kierunku urządzeń mobilnych – zarówno ze względu na obecną i wciąż rosnącą ilość tego typu urządzeń w powszechnym stosowaniu, jaki i atrakcyjność tych celów biorąc pod uwagę obfitość danych osobowych jak dane kontaktowe, numery kart płatniczych, hasła itd. Dodatkowo należy zwrócić uwagę na fakt, że coraz więcej operatorów oferuje usługi mobilnych systemów płatniczych, których telefon jest integralną częścią. Tym samym ochrona tego typu rozwiązań staje się coraz większym wyzwaniem, często już samym momencie otrzymania nowego „smartphona”. Jego oprogramowanie systemowe wymaga aktualizacji, gdyż czas od jego produkcji do chwili, gdy trafia do użytkownika może zająć kilka tygodni a to już wystarczy, aby taka aktualizacja była konieczna. Do tego dochodzi jeszcze strategia BYOx, o której później…

POSami określamy punkty samodzielnej sprzedaży, takie jak biletomaty czy też samoobsługowe kasy, które możemy spotkać w wielu większych marketach. Służą temu, aby klient mógł samodzielnie skasować zakupione produkty wczytując kody kreskowe oraz zapłacić za towar kartą lub gotówką. Możemy się spodziewać w 2015 roku rosnącej liczby prób włamań właśnie na takie sprzętowe rozwiązania POS.

Większość państw czy większych struktur międzynarodowych takich jak np. Unia Europejska już powołały do życia odpowiednie przepisy, które nakładają zasady dotyczące zabezpieczenia i wykorzystania danych osobowych. Z naruszaniem tych przepisów wiążą się stosowne kary dla organizacji, które nie będą w wystarczającym stopniu chronić tego rodzaju danych. W rezultacie organizacje muszą traktować ochronę prywatność zarówno jako kwestię zgodności z przepisami, jak i ryzyka biznesowego, w celu uniknięcia sankcji prawnych i wzrostu kosztów prowadzenia działalności gospodarczej. Jednak ochrona prywatności danych ma również aspekty takie jak utrata reputacji czy strata klientów z powodu naruszenia ich prywatności. Te argumenty mogą być bardziej dotkliwe dla firmy niż straty operacyjne.

Tak zwany „łańcuch dostaw” jest istotnym elementem działalności każdej organizacji i stanowi on jedną z podstaw współczesnej gospodarki. Jednak im bardziej stajemy się otwarci na współpracę z zewnętrznymi dostawcami tym bardziej wzrasta nasze ryzyko. Zakres i rodzaj cennych informacji, które często współdzielimy z dostawcami oraz fakt, że znika bezpośrednia możliwość kontroli nad nimi prowadzi do zwiększonego ryzyka naruszenia poufności współdzielonych informacji lub ich integralności. Organizacje każdej wielkości muszą myśleć o skutkach przypadkowego, a w konsekwencji szkodliwego uzyskania dostępu do ich własności intelektualnej, danych klienta, pracowników, planów handlowych, dokumentów negocjacyjnych, od strony ich zewnętrznego partnera. Co więcej ta uwaga nie powinna ograniczać się do partnerów produkcyjnych lub dystrybucyjnych. Należy objąć ją również dostawców usług profesjonalnych, prawników i księgowych oraz tych wszystkich, którzy mają dostęp do najcenniejszych zasobów danych.

Powyższe rozważania nie są nowością i powinny skłonić nas do profesjonalnego podejścia do problemu. Wiele z dyskutowanych aspektów posiada gotowe recepty ich rozwiązania. Takim drogowskazem niewątpliwie są normy bezpieczeństwa np. z rodziny PN ISO/IEC 27000.

Trend Bring Your Own (BYO) jest już wszędzie i nie da się go zatrzymać niezależnie od tego, czy organizacjom się to podoba czy nie. Pracownicy z roku na rok coraz częściej przynoszą swoje urządzenia mobilne, aplikacje, wykorzystują swoje dyski ulokowane chmurze, a tym samym dostęp tego typu elementów w miejscu pracy nadal rośnie. Przedsiębiorstwa każdej wielkości widzą rosnące zagrożenia bezpieczeństwa informacji w skali większej niż kiedykolwiek wcześniej. Zagrożenia te wynikają zarówno z zagrożeń wewnętrznych, jak i zewnętrznych. Są w tym zarówno niedoskonałości samego urządzenia, niezauważone luki w oprogramowaniu systemowym, czy celowo fabrycznie umieszczony backdoor, taki jak niedawny przykład firmy Lenovo i ich oprogramowania Superfish

Największy atut każdej organizacji, a zarazem najbardziej wrażliwy cel z punktu widzenia bezpieczeństwa to personel.

W ciągu ostatnich kilku dekad, organizacje na całym świecie wydały miliony, jeśli nie miliardy, dolarów na działania związane z podnoszeniem świadomości bezpieczeństwa informacji – programy Security Awareness. Jest to związane właśnie z inwestycją w ich najważniejszy zasób – ludzi – dostarczając im wiedzy o ich obowiązkach, schematach prawidłowego zachowania, zmieniając ich przyzwyczajenia i uwrażliwiając na zagadnienia bezpieczeństwa, zmieszamy ryzyko utraty bezpieczeństwa.

Jednak to jest za mało, szkolenia Security Awareness nie powinny być tylko działaniem doraźnym czy okazjonalnym, ale ciągłym procesem, w którym szkolenie pracowników jest jednym z krytycznych elementów. Mówiąc o ryzyku czynnika ludzkiego nie tylko powinniśmy go minimalizować dbając o świadomość samych pracowników, ale również zakładać, że nadal mogą oni stanowić słaby element naszej ochrony.

Do tej pory, najbardziej poważne naruszenie infrastruktury krytycznej, które zostało ujawnione nastąpiło za granicą, w Iranie, kiedy Stuxnet został wykorzystany do sabotażu programu wzbogacania uranu tego kraju. Czasy, gdy infrastruktura krytyczna w Europie czy USA pozostaje nietknięta prawdopodobnie dobiegają końca. W 2012 roku cyberprzestępcy uzyskali dostęp do projektu plików dla systemu SCADA firmy Telvent odpowiedzialnej za stworzenie oprogramowania sterującego do inteligentnej sieci elektrycznej (ang. „smart grid”) stanowiącej fragment krajowej sieci elektrycznej w USA. Obecna sytuacja polityczna i otwarte konflikty wojskowe w Europie czy na Bliskim Wschodzie tylko powiększają zainteresowanie „wrogich czynników” dostępem i możliwością kontroli czy destrukcji infrastruktury krytycznej.

Sprawy nie poprawia fakt, że systemy sterowania przemysłowego (ang. Industrial Control Systems) są zazwyczaj 10 lat lub więcej w tyle w stosunku do systemów IT powszechnego użytku, jeżeli chodzi o elementy bezpieczeństwa. Należy jednak pamiętać, że w systemach sterowania rakietami kosmicznymi latają takie starocie jak procesory Sun Spark ze względu na ich niezawodność i odporność na przykład na promieniowanie kosmiczne.

Wraz ze wzrostem świadomości bezpieczeństwa i ochrony prywatności, jak i posądzeniem wielu agencji wywiadowczych o szpiegostwo oraz coraz powszechniejszemi naruszeniami ochrony danych (data breaches) szyfrowanie danych w końcu stało się standardem.

Nowe metody ataku na kryptografię powodują ostatnio jej gwałtowny rozwój. Tradycyjna kryptografia oparta o liczby pierwsze jest mocno osłabiona i musi być zastąpiona nowymi metodami. Bez kryptografii nie ma telefonii mobilnej, kart płatniczych, zakupów przez Internet etc.

Ataki pozbawienia usługi (Denial of Service) są bardziej irytujące, niż jakiekolwiek inne. Nie służą one bezpośrednio do wykradania informacje, nie powodują też wprost uszkodzeń – tradycyjnie zalewają one infrastrukturę usługową czy bezpośrednio aplikację lub bazę danych tak dużą ilością ruchu i zapytań, że ulegają one ogromnemu obciążeniu, przez co nie są w stanie obsługiwać legalnego ruchu. O uciążliwości tego typu ataku mogli się przekonać gracze sieci Xbox i PlayStation w okresie ostatnich świąt Bożego Narodzenia. Należy zaznaczyć, że formy ataków DDoS cały czas ewoluują, atakujący nie tylko skupiają się na samej sile ataku, ale stosują np. ataki wielowektorowe, zalewając cel równocześnie pakietami różnych typów, prowadząc zalew skierowany zarówno na warstwę sieciową, jak i aplikacyjną, czy też w końcu modyfikują sam atak w trakcie jego trwania w odpowiedzi na stosowane metody obrony.

W 2015 roku, jaki i kolejnych latach, możemy przewidzieć wzrost udziału mediów społecznych, a zwłaszcza ataków typu „wodopój” (ang. „water hole”) w taktykach stosowanych podczas ataków ukierunkowanych. Przy wykorzystaniu sieci społecznościowych możemy zaatakować konkretną grupę, organizację, branżę czy nawet region. Stosując konkretnie technikę wodopoju sam atak możemy podzielić na trzy fazy:

• Zaobserwowanie lub odgadniecie, z jakich zasobów, miejsc w sieci społecznościowej korzysta dana grupa
• Systematyczne publikowanie, podrzucanie zainfekowanie treści, linków kierujących do oprogramowania malware
• Zainfekowanie niektórych celów

Napastnicy stale rozwijają i doskonalą metody ataków z wykorzystaniem sieci społecznościowych.

Powszechną taktyką ataków internetowych było uderzenie frontalne. Ataki takie jak Nimda dziesiątkowały Internet, ale przy sprawnie działającym systemie zbierania informacji mieliśmy szanse na szczepionki i sygnatury. W chwili obecnej mamy coraz częściej do czynienia z atakiem ukierunkowanym. Celem może być konkretna firma, organizacja, osoba czy nawet konkretne urządzenie podłączone do sieci. Atak tego typu głownie różni się tym od innych właśnie precyzyjnym zdefiniowaniem celu – możemy powiedzieć, że forma ataku jest „szyta na miarę” pod swój cel, a narzędzia wykorzystane do ataku nie były nigdy wcześniej wykorzystywane. Rosnący wzrost takiej formy ataków świadczy o wyspecjalizowaniu się cyberprzestępców w działalności, która przynosi im profit. Biorąc na cel konkretną osobę czy firmę, zdobywają oni określone informacje, którą mogą dalej wykorzystać lub sprzedać. Same ataki są trudne do wykrycia, przestępcy posługują się dedykowanym oprogramowaniem infekującym, które jest trudno wykryć przez fakt jego unikalności. Samej fazie ataku mogą towarzyszyć działania odwracające uwagę takie jak np. atak DDoS.

Przebijające się do coraz powszechniejszego użytku mobilne formy płatności mogą być łakomym kąskiem dla cyberprzestępców. W 2015 roku możemy spodziewać się coraz większej liczby konsumentów stosujących w praktyce punkty POS wspomniane w jednym z wcześniejszych punktów. Poza formami płatności jak gotówka czy katy płatnicze pojawia się potencjał dla płatności mobilnych: płatności mobilne w formie dedykowanej aplikacji i sprzętowych systemów NFC. Biorąc pod uwagę jak pojawienie się rozwiązań Apple takich jak iPhone czy iPad zmieniło rynek urządzeń mobilnych, to pojawienie się aplikacji Apple Pay może być zwiastunem eksplozywnego rozwoju płatności mobilnych. Inni dostawcy jak Google czy Microsoft z pewnością dołączą do tego trendu. Konsekwencją będzie wysyp wszelkiego rodzaju form ataków skierowanych na takie usługi.

Problem ten nie jest tylko problemem rynku światowego. Bez mikropłatności obsługiwanych poprzez urządzenia mobilne trudno dziś o sensowną obsługę zakupu biletów komunikacji miejskiej czy opłaty za parking.