Z cyberatakiem jest jak z zawałem serca [WYWIAD]

Rozmowa z Rafałem Wiszniewskim - ekspertem ICT i Cyberbezpieczeństwa, Orange Polska - oraz Andrzejem Maciejakiem, ekspertem Bezpieczeństwa OT, Orange Polska. Wywiad jest dostępny w formie video, poniżej również zapis najważniejszych wątków.

Za nami piłkarski mundial w Katarze. Choć atmosfera wokół naszej reprezentacji nie jest najlepsza, to zwycięzcą turnieju jest z pewnością Wojciech Szczęsny, który we wszystkich meczach stanowił fundament obrony drużyny. Biznes też musi się opierać na solidnych fundamentach, prawda?

Andrzej Maciejak: Wojciech Szczęsny stanowił ostatnią linię obrony, tymczasem o obronie trzeba myśleć znacznie wcześniej. W firmach jest podobnie, podejście do cyberbezpieczeństwa musi być wielowarstowe tak, żeby przestępca miał do przejścia nie jedno, a kilka zabezpieczeń. Nawet najlepszy bramkarz wpuszcza gole.

Rafał Wiszniewski: O cyberbezpieczeństwie mówimy od dawna, tymczasem lata mijają, a jest coraz niebezpieczniej. Zagrożenia się mnożą, hakerskie siatki to wręcz prężnie działający biznes. Sporą bolączką jest fakt, że podejście polskich przedsiębiorców do tematu ogranicza się do myślenia o oprogramowaniu mającym neutralizować zagrożenia. A cyberprzestępcy to ludzie, których zachowania zbyt rzadko są analizowane. Eksperci Orange Polska – realizując audyty w organizacjach – starają się myśleć jak hakerzy, gdyż tylko w taki sposób można kompleksowo zadbać o bezpieczeństwo firmy.

Moim zdaniem to jeden z kluczowych aspektów – cyberprzestępcy są niezwykle skuteczni w czytaniu nastrojów społecznych.

R.W.: Hakerzy nie skupiają się już wyłącznie na obejściu firewalla. Po co mają tracić czas i pieniądze na aspekty techniczne, skoro mogą tak zmanipulować ofiarę, że ta poda im jak na tacy wszelkie niezbędne dane? Socjotechnika w atakach phishingowych jest obecnie najczęściej występującym zagrożeniem w internecie. Na takim działaniu opiera się większość współczesnych cyberprzestępców. Mimo to dane dotyczące dbania o cyberbezpieczeństwo są niestety alarmujące. Zaledwie 2 proc. firm stara się szkolić pracowników pod kątem ataków socjotechnicznych. A takie szkolenia są niezwykle istotne, bo zanim usiądziemy przed komputerem i zaufamy programowi antywirusowemu, to ludzie muszą być po prostu wyczuleni na wszelkie odstępstwa od normy. Wiesz, jak najszybciej doprowadzić do tego, by w firmowej infrastrukturze pojawił się zainfekowany pendrive?

Strzelam, że chodzi o coś związanego z pieniędzmi?

R.W.: Wystarczy ustalić imię głównej księgowej, a następnie opisać pendrive’a np. „Grażyna, płace”. Pracownik, jeśli znajdzie takiego pendrive’a, zapewne schowa go do kieszeni i użyje go dopiero w domu, kiedy służbowy laptop jest odłączony od sieci korporacyjnej. Przestępca jednak to przewidział, złośliwe oprogramowanie „zaczeka” na ponowne podłączenie do firmowej infrastruktury.

Dlaczego tak mało firm dba o szkolenia pod kątem socjotechniki?

R.W.: Bo to żmudna i bardzo ciężka praca? Trzeba przygotować rozbudowaną kampanię phishingową, przeanalizować wyniki, dodatkowo szkolić osoby lub konkretne działy najbardziej podatne na tego typu ataki. Zdecydowanie łatwiej jest kupić oprogramowanie antywirusowe, firewall i z dumą obwieścić: „jestem bezpieczny!”. A to niestety tak nie działa.

W tym kontekście sporo mówi się o tzw. infrastrukturze krytycznej, choć chyba sporo małych i średnich przedsiębiorców nie do końca rozumie to pojęcie, kojarząc je wyłącznie z największymi korporacjami.

R.W.: W tym miejscu warto zastanowić się nad skalą. Jak rozumieć pojęcie „duże przedsiębiorstwo”? Czy to już jedna ciepłownia ulokowana w północnej części kraju, czy może dopiero ogólnopolska sieć ciepłowni? Jeśli zaatakujesz ciepłownię, która zasila kilkunastotysięczne miasto, to owszem – jest to duży problem. Ale jeśli taki sam atak przeprowadzisz na kilkadziesiąt takich samych wielkościowo ciepłowni, to już jest bardzo poważna sytuacja.

A.M.: Infrastruktura krytyczna to instalacje, które mają ogromny wpływ na dużą liczbę ludzi mieszkających na danym obszarze. To łakomy kąsek dla cyberprzestępców, bo skuteczny atak na taką infrastrukturę pomaga im szybko wyegzekwować swoje żądania. Mało który przedsiębiorca zdaje sobie sprawę, że duże krytyczne instalacje składają się z wielu drobnych elementów i że już jeden niezabezpieczony element może pozwolić na skuteczny atak i spowodować poważne zagrożenie.

R.W.: Zostańmy przy tych ciepłowniach. Jak myślisz – co trzeba złego zrobić w ciepłowni, żeby zablokować dostarczanie ciepła do kaloryferów?

Hmmm...

R.W.: Klienci najczęściej odpowiadają: „nie dostarczyłbym węgla” lub „zakręciłbym główny zawór”. Właściwa odpowiedź jest jednak banalna – wystarczy zablokować jakikolwiek mniejszy zawór, dzięki któremu zmienisz parametry sieci na krytyczne.

A więc z atakiem na infrastrukturę krytyczną jest trochę tak, jak z zawałem serca, gdzie jedno niewielkie zatkane naczynie może doprowadzić do tragedii?

A.M.: I dlatego – trzymając się medycznych porównań – lepiej zapobiegać, niż leczyć. Warto zacząć od stanu firmowych instalacji. Przeprowadzamy naprawdę sporo audytów i wiemy, że nawet osoby pracujące w różnych organizacjach od wielu lat nie mają często pojęcia o pewnych elementach infrastruktury! A dokładne zbadanie ich stanu jest kluczowe, bo tylko w taki sposób możemy dobrze poznać sposób interakcji między poszczególnymi elementami infrastruktury. A to ułatwi wychwycenie wszelkich niebezpiecznych odstępstw od normy. Do „działań profilaktycznych” dodałbym jeszcze segmentację. W niemal każdej fabryce, jaką audytowaliśmy, infrastruktura była płaska.

Czyli jaka?

A.M.: Wszystkie urządzenia były podpięte pod tę samą sieć. To błąd, bo – jak ustaliliśmy na początku – cyberprzestępcom trudniej jest przejść przez więcej warstw zabezpieczeń. Jeśli np. wcześnie wykryjemy atak w jednym segmencie, to skutecznie ochronimy dalsze – ważniejsze z punktu działania firmy.

R.W.: Dodam tylko, że jeśli dokładnie znamy stan firmowej infrastruktury, możemy w pełni poznać podatności poszczególnych urządzeń OT na cyberzagrożenia. Przedsiębiorcy to też ludzie, a ludzie lubią wygodę. Szefowie nie chcą tracić czasu na przeglądanie maszyn, które działają w fabryce. A szkoda, bo hakerzy zachowują się zupełnie odwrotnie. Robią dokładny rekonesans i wiedzą, co warto zaatakować i gdzie jest najsłabsze ogniwo.

Orange uruchomił Laboratorium OT, które pomaga przedsiębiorstwom oceniać podatność ich firmowej infrastruktury na ataki.

A.M.: Nasze laboratorium to pewnego rodzaju poligon doświadczalny dla klientów. Mogą tu bezpiecznie sprawdzić stan swojej infrastruktury. Nasi eksperci mogą np. przeprowadzić kontrolowany atak. Takie ćwiczenie zwykle dostarcza wielu cennych informacji o elementach firmowej sieci. Pokazujemy różne scenariusze, możemy np. podmieniać kolejne urządzenia na inne, by sprawdzić, na ile poprawi to cyberbezpieczeństwo organizacji. Dostarczamy również mnóstwo ważnych informacji dla producentów sprzętu. Dzięki temu wiedzą oni, jak poprawić produkty, by były bezpieczniejsze i użyteczniejsze dla klientów.

R.W.: Bardzo trudno jest pokazać „na żywo” w dziale produkcji, jak pewne konkretne działanie cyberprzestępcy może wpłynąć na całą produkcję. A nasze Laboratorium OT pozwala zaprezentować wektory ataków hakerskich w pełni bezpiecznym środowisku.

Co poradzilibyście rodzimym przedsiębiorcom, którzy dopiero zaczynają na poważnie zajmować się kwestią cyberbezpieczeństwa firmy?

A.M.: Myślę, że warto podpatrywać innych, by skutecznie zaimplementowane rozwiązania przekładać na własną działalność. Nie wszystko trzeba wymyślać od zera, bo w taki sposób po prostu traci się cenny czas.

R.W.: Warto zacząć od fundamentów. Naprawdę nie ma nic złego w powtarzaniu pracownikom, że hasło powinno składać się z konkretnej liczby znaków, a drzwi do działu produkcji trzeba zamykać. Te podstawy są w cyberbezpieczeństwie niezwykle istotne. Następnie warto przyjrzeć się pracownikom i budować strategię organizacji w taki sposób, by wyciągać z nich to, co najlepsze. To, że właśnie zainwestowałeś miliony w nowoczesny sprzęt, nie sprawi od razu, że staniesz się globalnym liderem. Najważniejszy zawsze jest człowiek. Zanim przejdzie się do wdrażania skomplikowanych rozwiązań z zakresu cyberbezpieczeństwa, konieczne trzeba zadbać o podstawy. I to niezależnie od tego, o jakiej branży mówimy...