Wyzwania informatyki bankowej 2016
Share Embed Flag
Download ePaper

Wyzwania informatyki bankowej 2016

wyzwania_informatyki_bankowej_0 wyzwania_informatyki_bankowej_0

mifurm
02.01.2017 Views

(CVE-2016-3115) w OpenSSH w wersjach poniżej 7.2p2 z włączoną opcją X11Forwarding. Opcja ta w oryginalnej dystrybucji OpenSSH jest wyłączona, jednak wielu dostawców systemów linuksowych włączyło ją w domyślnej konfiguracji. Rola edukacji Edukacja jest jednym z kluczowych elementów zarządzania bezpieczeństwem. Idealnym materiałem dydaktycznym są prawdziwe przypadki. Dlatego poniżej przedstawiam jeden z incydentów, który miał miejsce na początku 2016 r. w Polsce. Analiza przypadku 2be.pl Przypadek ten pokazuje, jak wiele jeszcze jest pracy w ramach edukacji w zakresie bezpieczeństwa. Równocześnie stanowi doskonały – wręcz książkowy – przykład na to, jak nie należy zarządzać bezpieczeństwem oraz jak nie postępować w przypadku incydentu. Cała historia (która toczyła się jeszcze w trakcie pisania niniejszego tekstu) jest opisana w [3]. Oto w dużym skrócie dotychczasowy przebieg wydarzeń: w dniu 27 lutego 2016 r. w firmie hostingowej 2be.pl doszło (rzekomo) do włamania. Na skutek nieudolnej komunikacji pierwsze komunikaty sugerowały wręcz włamanie fizyczne do samego data center. Później okazało się jednak, że włamanie miało miejsce na serwery firmy hostingowej. Na skutek splotu różnych wydarzeń do serwerów firmy hostingowej w I kw. 2016 r. miało dostęp wielu osób z różnych organizacji. Poniżej przedstawione są tylko najważniejsze fakty wynikające z wypowiedzi pracowników oraz osób reprezentujących spółkę stojącą za marką 2be.pl: • Niewystarczające zasoby ludzkie: z wypowiedzi wynika, że było dwóch administratorów. Trudno sobie wyobrazić w takim układzie pracę zmianową. • Administratorzy uważali, że zabezpieczenie dostępu do serwerów za pomocą usługi SSH i uwierzytelnienia kluczem było wystarczającym mechanizmem kontrolnym. Tymczasem wszystkie dobre praktyki wymagają zabezpieczenia takiego klucza dodatkowo silnym hasłem, a o tym administratorzy nie wspominają w swojej wypowiedzi. Należy zauważyć, że zabezpieczenie dostępu to proces o wiele bardziej złożony niż tylko Cybersecurity – moda, mit czy rzeczywistość? 175

instalacja i konfiguracja serwera SSH. O tym jednak nie ma słowa w opublikowanych materiałach. • Brak polityki bezpieczeństwa i procedur zarządzania incydentem: z wypowiedzi jasno wynika, że coś takiego, jak polityka bezpieczeństwa, nie istniało w tej organizacji. Dziwi to w kontekście przetwarzania przez nich danych osobowych klientów. • Żadna z wypowiedzi nie sugeruje, aby prace naprawcze – zlecane różnym podmiotom – były regulowane profesjonalnymi kontraktami na outsourcing. Oznacza to całkowity brak kontroli nad danymi klientów a w konsekwencji ich ochrony. Bardzo niepokojący może być fakt, że NASK we wrześniu 2015 r., wybrał grupę Adweb (do której należy marka 2be.pl) do zarządzanie domenami .eu. Biorąc pod uwagę istotną rolę, jaką CERT NASKu ma odgrywać w opublikowanych przez Ministerstwo Cyfryzacji [4] „Założeniach strategii cyberbezpieczeństwa Rzeczypospolitej Polskiej”, nie świadczy to najlepiej o współpracy pomiędzy różnymi jednostkami organizacyjnymi NASK. Podobno następne warunki wyboru przez NASK firmy do zarządzania domenami mają być zaostrzone. Logika podpowiada, aby nowe warunki obejmowały przede wszystkim wymagania odnośnie standardów bezpieczeństwa. W przeciwnym razie CERT będzie obsługiwał incydenty a nie im zapobiegał. Z przypadku 2be.pl płynie kilka ważnych wniosków: • Dla przeciętnego człowieka hasło to nadal synonim bezpieczeństwa. Pokazuje to, jak bardzo rozwiązania typu two-factor authetication muszą się przebić, bo nawet, gdy są oferowane, użytkownicy nadal z nich nie korzystają. • Organizacja może nie być bezpośrednio celem ataku, ale nie oznacza to, że nie zostanie wciągnięta w incydent. W przypadku 2be.pl w incydent zostały wciągnięte inne firmy: outsourcingowe, zajmujące się odzyskiwaniem danych czy hostingowe. Część z nich nie miała nigdy nic wspólnego z 2be.pl. • Zarządzanie cyberbezpieczeństwem to nie tylko zabezpieczenia techniczne i organizacyjne, ale także przygotowanie się na wypadek incydentu a później efektywne nim zarządzanie i komunikowanie. Wymaga to dobrej koordynacji po stronie osób odpowiedzialnych za PR w danej organizacji. • Na skutek całego ciągu zdarzeń pojawiły się głosy, że żadnego incydentu polegającego na nieautoryzowanym dostępie nie było. „Włamanie” zostało użyte tylko do uzasadnienia problemów technicznych. 176 Aleksander P. Czarnowski, AVET

instalacja i konfiguracja serwera SSH. O tym jednak nie ma słowa w opublikowanych<br />

materiałach.<br />

• Brak polityki bezpieczeństwa i procedur zarządzania incydentem: z wypowiedzi<br />

jasno wynika, że coś takiego, jak polityka bezpieczeństwa, nie<br />

istniało w tej organizacji. Dziwi to w kontekście przetwarzania przez nich<br />

danych osobowych klientów.<br />

• Żadna z wypowiedzi nie sugeruje, aby prace naprawcze – zlecane różnym<br />

podmiotom – były regulowane profesjonalnymi kontraktami na outsourcing.<br />

Oznacza to całkowity brak kontroli nad danymi klientów a w konsekwencji<br />

ich ochrony.<br />

Bardzo niepokojący może być fakt, że NASK we wrześniu 2015 r., wybrał<br />

grupę Adweb (do której należy marka 2be.pl) do zarządzanie domenami .eu.<br />

Biorąc pod uwagę istotną rolę, jaką CERT NASKu ma odgrywać w opublikowanych<br />

przez Ministerstwo Cyfryzacji [4] „Założeniach strategii cyberbezpieczeństwa<br />

Rzeczypospolitej Polskiej”, nie świadczy to najlepiej o współpracy<br />

pomiędzy różnymi jednostkami organizacyjnymi NASK. Podobno następne<br />

warunki wyboru przez NASK firmy do zarządzania domenami mają być zaostrzone.<br />

Logika podpowiada, aby nowe warunki obejmowały przede wszystkim<br />

wymagania odnośnie standardów bezpieczeństwa. W przeciwnym razie<br />

CERT będzie obsługiwał incydenty a nie im zapobiegał.<br />

Z przypadku 2be.pl płynie kilka ważnych wniosków:<br />

• Dla przeciętnego człowieka hasło to nadal synonim bezpieczeństwa. Pokazuje<br />

to, jak bardzo rozwiązania typu two-factor authetication muszą się przebić,<br />

bo nawet, gdy są oferowane, użytkownicy nadal z nich nie korzystają.<br />

• Organizacja może nie być bezpośrednio celem ataku, ale nie oznacza to,<br />

że nie zostanie wciągnięta w incydent. W przypadku 2be.pl w incydent<br />

zostały wciągnięte inne firmy: outsourcingowe, zajmujące się odzyskiwaniem<br />

danych czy hostingowe. Część z nich nie miała nigdy nic wspólnego<br />

z 2be.pl.<br />

• Zarządzanie cyberbezpieczeństwem to nie tylko zabezpieczenia techniczne<br />

i organizacyjne, ale także przygotowanie się na wypadek incydentu a później<br />

efektywne nim zarządzanie i komunikowanie. Wymaga to dobrej koordynacji<br />

po stronie osób odpowiedzialnych za PR w danej organizacji.<br />

• Na skutek całego ciągu zdarzeń pojawiły się głosy, że żadnego incydentu<br />

polegającego na nieautoryzowanym dostępie nie było. „Włamanie” zostało<br />

użyte tylko do uzasadnienia problemów technicznych.<br />

176 Aleksander P. Czarnowski, AVET

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!