Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0 wyzwania_informatyki_bankowej_0
(CVE-2016-3115) w OpenSSH w wersjach poniżej 7.2p2 z włączoną opcją X11Forwarding. Opcja ta w oryginalnej dystrybucji OpenSSH jest wyłączona, jednak wielu dostawców systemów linuksowych włączyło ją w domyślnej konfiguracji. Rola edukacji Edukacja jest jednym z kluczowych elementów zarządzania bezpieczeństwem. Idealnym materiałem dydaktycznym są prawdziwe przypadki. Dlatego poniżej przedstawiam jeden z incydentów, który miał miejsce na początku 2016 r. w Polsce. Analiza przypadku 2be.pl Przypadek ten pokazuje, jak wiele jeszcze jest pracy w ramach edukacji w zakresie bezpieczeństwa. Równocześnie stanowi doskonały – wręcz książkowy – przykład na to, jak nie należy zarządzać bezpieczeństwem oraz jak nie postępować w przypadku incydentu. Cała historia (która toczyła się jeszcze w trakcie pisania niniejszego tekstu) jest opisana w [3]. Oto w dużym skrócie dotychczasowy przebieg wydarzeń: w dniu 27 lutego 2016 r. w firmie hostingowej 2be.pl doszło (rzekomo) do włamania. Na skutek nieudolnej komunikacji pierwsze komunikaty sugerowały wręcz włamanie fizyczne do samego data center. Później okazało się jednak, że włamanie miało miejsce na serwery firmy hostingowej. Na skutek splotu różnych wydarzeń do serwerów firmy hostingowej w I kw. 2016 r. miało dostęp wielu osób z różnych organizacji. Poniżej przedstawione są tylko najważniejsze fakty wynikające z wypowiedzi pracowników oraz osób reprezentujących spółkę stojącą za marką 2be.pl: • Niewystarczające zasoby ludzkie: z wypowiedzi wynika, że było dwóch administratorów. Trudno sobie wyobrazić w takim układzie pracę zmianową. • Administratorzy uważali, że zabezpieczenie dostępu do serwerów za pomocą usługi SSH i uwierzytelnienia kluczem było wystarczającym mechanizmem kontrolnym. Tymczasem wszystkie dobre praktyki wymagają zabezpieczenia takiego klucza dodatkowo silnym hasłem, a o tym administratorzy nie wspominają w swojej wypowiedzi. Należy zauważyć, że zabezpieczenie dostępu to proces o wiele bardziej złożony niż tylko Cybersecurity – moda, mit czy rzeczywistość? 175
instalacja i konfiguracja serwera SSH. O tym jednak nie ma słowa w opublikowanych materiałach. • Brak polityki bezpieczeństwa i procedur zarządzania incydentem: z wypowiedzi jasno wynika, że coś takiego, jak polityka bezpieczeństwa, nie istniało w tej organizacji. Dziwi to w kontekście przetwarzania przez nich danych osobowych klientów. • Żadna z wypowiedzi nie sugeruje, aby prace naprawcze – zlecane różnym podmiotom – były regulowane profesjonalnymi kontraktami na outsourcing. Oznacza to całkowity brak kontroli nad danymi klientów a w konsekwencji ich ochrony. Bardzo niepokojący może być fakt, że NASK we wrześniu 2015 r., wybrał grupę Adweb (do której należy marka 2be.pl) do zarządzanie domenami .eu. Biorąc pod uwagę istotną rolę, jaką CERT NASKu ma odgrywać w opublikowanych przez Ministerstwo Cyfryzacji [4] „Założeniach strategii cyberbezpieczeństwa Rzeczypospolitej Polskiej”, nie świadczy to najlepiej o współpracy pomiędzy różnymi jednostkami organizacyjnymi NASK. Podobno następne warunki wyboru przez NASK firmy do zarządzania domenami mają być zaostrzone. Logika podpowiada, aby nowe warunki obejmowały przede wszystkim wymagania odnośnie standardów bezpieczeństwa. W przeciwnym razie CERT będzie obsługiwał incydenty a nie im zapobiegał. Z przypadku 2be.pl płynie kilka ważnych wniosków: • Dla przeciętnego człowieka hasło to nadal synonim bezpieczeństwa. Pokazuje to, jak bardzo rozwiązania typu two-factor authetication muszą się przebić, bo nawet, gdy są oferowane, użytkownicy nadal z nich nie korzystają. • Organizacja może nie być bezpośrednio celem ataku, ale nie oznacza to, że nie zostanie wciągnięta w incydent. W przypadku 2be.pl w incydent zostały wciągnięte inne firmy: outsourcingowe, zajmujące się odzyskiwaniem danych czy hostingowe. Część z nich nie miała nigdy nic wspólnego z 2be.pl. • Zarządzanie cyberbezpieczeństwem to nie tylko zabezpieczenia techniczne i organizacyjne, ale także przygotowanie się na wypadek incydentu a później efektywne nim zarządzanie i komunikowanie. Wymaga to dobrej koordynacji po stronie osób odpowiedzialnych za PR w danej organizacji. • Na skutek całego ciągu zdarzeń pojawiły się głosy, że żadnego incydentu polegającego na nieautoryzowanym dostępie nie było. „Włamanie” zostało użyte tylko do uzasadnienia problemów technicznych. 176 Aleksander P. Czarnowski, AVET
- Page 126 and 127: Jeszcze na początku lat 90. równi
- Page 128 and 129: System ten pozwala klientom na wyda
- Page 130 and 131: Najnowsze rozwiązanie, czyli wszys
- Page 132 and 133: Korzyści dla wierzycieli • Łatw
- Page 134 and 135: Płatności G2C oraz G2B W przyszł
- Page 136 and 137: Andrzej Kawiński, Giesecke & Devri
- Page 138 and 139: nia jest ograniczona, co ogranicza
- Page 140 and 141: W Polsce Państwowa Wytwórnia Papi
- Page 142 and 143: Europejskie standardy przechowywani
- Page 144 and 145: gotówka (często liczona, paczkowa
- Page 146 and 147: urządzeń zainstalowanych w sortow
- Page 148 and 149: Zagraniczne doświadczenia pokazuj
- Page 150 and 151: Andrzej Gibas, Microsoft, Karol Maz
- Page 152 and 153: • duża zmienność rynków i wra
- Page 154 and 155: Dominujące dzisiaj podejście do a
- Page 156 and 157: procesorów budowanych w oparciu o
- Page 158 and 159: SDC uzyskało oszczędności na poz
- Page 160 and 161: też zostanie przeprowadzony jednor
- Page 163 and 164: Aleksander P. Czarnowski Prezes AVE
- Page 165 and 166: z co najmniej 2-, a jeszcze lepiej
- Page 167 and 168: Ransomware czyli różne oblicza sz
- Page 169 and 170: system nigdy nie dostarcza pełnego
- Page 171 and 172: Rys 2. Przykład fałszywej wiadomo
- Page 173 and 174: IoT Internet of Things z pewności
- Page 175: Podatności w SSL/TLS oraz algorytm
- Page 179 and 180: w krótkim czasie. Dla niektórych
- Page 181 and 182: Adam Marciniak Dyrektor Pionu Rozwo
- Page 183 and 184: 50 tys. komputerów w tym samym cza
- Page 185 and 186: które łącznie pozwoliły wyprowa
- Page 187 and 188: skutkując izolacją kraju od reszt
- Page 189 and 190: tacji branżowych narodziła się k
- Page 191 and 192: Ciekawym przykładem z ojczyzny Int
- Page 193 and 194: Z inicjatywy Rady Bankowości Elekt
- Page 195: • Opracowanie ogólnobankowej, sp
- Page 198 and 199: Maciej Gawroński, Sławomir Szepie
- Page 200 and 201: • Sprecyzowanie katalogu wyłącz
- Page 202 and 203: • Płatnik (posiadacz rachunku ba
- Page 204 and 205: Zagraniczne podmioty profesjonalnie
- Page 206 and 207: gulacje odnośnie opłat interchang
- Page 208 and 209: nikacji między poszczególnymi pod
instalacja i konfiguracja serwera SSH. O tym jednak nie ma słowa w opublikowanych<br />
materiałach.<br />
• Brak polityki bezpieczeństwa i procedur zarządzania incydentem: z wypowiedzi<br />
jasno wynika, że coś takiego, jak polityka bezpieczeństwa, nie<br />
istniało w tej organizacji. Dziwi to w kontekście przetwarzania przez nich<br />
danych osobowych klientów.<br />
• Żadna z wypowiedzi nie sugeruje, aby prace naprawcze – zlecane różnym<br />
podmiotom – były regulowane profesjonalnymi kontraktami na outsourcing.<br />
Oznacza to całkowity brak kontroli nad danymi klientów a w konsekwencji<br />
ich ochrony.<br />
Bardzo niepokojący może być fakt, że NASK we wrześniu 2015 r., wybrał<br />
grupę Adweb (do której należy marka 2be.pl) do zarządzanie domenami .eu.<br />
Biorąc pod uwagę istotną rolę, jaką CERT NASKu ma odgrywać w opublikowanych<br />
przez Ministerstwo Cyfryzacji [4] „Założeniach strategii cyberbezpieczeństwa<br />
Rzeczypospolitej Polskiej”, nie świadczy to najlepiej o współpracy<br />
pomiędzy różnymi jednostkami organizacyjnymi NASK. Podobno następne<br />
warunki wyboru przez NASK firmy do zarządzania domenami mają być zaostrzone.<br />
Logika podpowiada, aby nowe warunki obejmowały przede wszystkim<br />
wymagania odnośnie standardów bezpieczeństwa. W przeciwnym razie<br />
CERT będzie obsługiwał incydenty a nie im zapobiegał.<br />
Z przypadku 2be.pl płynie kilka ważnych wniosków:<br />
• Dla przeciętnego człowieka hasło to nadal synonim bezpieczeństwa. Pokazuje<br />
to, jak bardzo rozwiązania typu two-factor authetication muszą się przebić,<br />
bo nawet, gdy są oferowane, użytkownicy nadal z nich nie korzystają.<br />
• Organizacja może nie być bezpośrednio celem ataku, ale nie oznacza to,<br />
że nie zostanie wciągnięta w incydent. W przypadku 2be.pl w incydent<br />
zostały wciągnięte inne firmy: outsourcingowe, zajmujące się odzyskiwaniem<br />
danych czy hostingowe. Część z nich nie miała nigdy nic wspólnego<br />
z 2be.pl.<br />
• Zarządzanie cyberbezpieczeństwem to nie tylko zabezpieczenia techniczne<br />
i organizacyjne, ale także przygotowanie się na wypadek incydentu a później<br />
efektywne nim zarządzanie i komunikowanie. Wymaga to dobrej koordynacji<br />
po stronie osób odpowiedzialnych za PR w danej organizacji.<br />
• Na skutek całego ciągu zdarzeń pojawiły się głosy, że żadnego incydentu<br />
polegającego na nieautoryzowanym dostępie nie było. „Włamanie” zostało<br />
użyte tylko do uzasadnienia problemów technicznych.<br />
176 Aleksander P. Czarnowski, AVET