Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0
wyzwania_informatyki_bankowej_0
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
(CVE-<strong>2016</strong>-3115) w OpenSSH w wersjach poniżej 7.2p2 z włączoną opcją<br />
X11Forwarding. Opcja ta w oryginalnej dystrybucji OpenSSH jest wyłączona,<br />
jednak wielu dostawców systemów linuksowych włączyło ją w domyślnej<br />
konfiguracji.<br />
Rola edukacji<br />
Edukacja jest jednym z kluczowych elementów zarządzania bezpieczeństwem.<br />
Idealnym materiałem dydaktycznym są prawdziwe przypadki. Dlatego<br />
poniżej przedstawiam jeden z incydentów, który miał miejsce na początku<br />
<strong>2016</strong> r. w Polsce.<br />
Analiza przypadku 2be.pl<br />
Przypadek ten pokazuje, jak wiele jeszcze jest pracy w ramach edukacji w zakresie<br />
bezpieczeństwa. Równocześnie stanowi doskonały – wręcz książkowy<br />
– przykład na to, jak nie należy zarządzać bezpieczeństwem oraz jak nie<br />
postępować w przypadku incydentu. Cała historia (która toczyła się jeszcze<br />
w trakcie pisania niniejszego tekstu) jest opisana w [3]. Oto w dużym skrócie<br />
dotychczasowy przebieg wydarzeń: w dniu 27 lutego <strong>2016</strong> r. w firmie hostingowej<br />
2be.pl doszło (rzekomo) do włamania. Na skutek nieudolnej komunikacji<br />
pierwsze komunikaty sugerowały wręcz włamanie fizyczne do samego<br />
data center. Później okazało się jednak, że włamanie miało miejsce na serwery<br />
firmy hostingowej. Na skutek splotu różnych wydarzeń do serwerów firmy<br />
hostingowej w I kw. <strong>2016</strong> r. miało dostęp wielu osób z różnych organizacji.<br />
Poniżej przedstawione są tylko najważniejsze fakty wynikające z wypowiedzi<br />
pracowników oraz osób reprezentujących spółkę stojącą za marką 2be.pl:<br />
• Niewystarczające zasoby ludzkie: z wypowiedzi wynika, że było dwóch<br />
administratorów. Trudno sobie wyobrazić w takim układzie pracę zmianową.<br />
• Administratorzy uważali, że zabezpieczenie dostępu do serwerów za pomocą<br />
usługi SSH i uwierzytelnienia kluczem było wystarczającym mechanizmem<br />
kontrolnym. Tymczasem wszystkie dobre praktyki wymagają<br />
zabezpieczenia takiego klucza dodatkowo silnym hasłem, a o tym administratorzy<br />
nie wspominają w swojej wypowiedzi. Należy zauważyć,<br />
że zabezpieczenie dostępu to proces o wiele bardziej złożony niż tylko<br />
Cybersecurity – moda, mit czy rzeczywistość?<br />
175