Nowa strategia europejskiego bezpieczeństwa cybernetycznego

W ubiegłym roku Komisja Europejska przedstawiła nową strategię Unii Europejskiej dotyczącą cyberbezpieczeństwa. Celem strategii jest wzmocnienie zbiorowej odporności Europy na zagrożenia cybernetyczne oraz zapewnienie wszystkim obywatelom i przedsiębiorstwom możliwości pełnego korzystania z godnych zaufania, niezawodnych usług oraz narzędzi cyfrowych.

Dlaczego nowa strategia?

Cyfrowa transformacja społeczeństwa, zintensyfikowana kryzysem COVID-19, rozszerzyła zagrożenie i stworzyła nowe wyzwania, które wymagają dostosowanych i innowacyjnych rozwiązań. Liczba ataków cybernetycznych nieustannie rośnie, a coraz bardziej wyszukane ataki pochodzą z różnych źródeł zarówno wewnątrz UE, jak i poza jej granicami.

Kluczowe elementy strategii

W strategii opisano, w jaki sposób UE może wykorzystać i wzmocnić wszystkie swoje narzędzia i zasoby, aby być suwerenną technologicznie. Suwerenność technologiczna musi opierać się na odporności wszystkich powiązanych usług i produktów.

Strategia obejmuje bezpieczeństwo podstawowych usług, świadczonych przez szpitale, sieci energetyczne, koleje. Z drugiej strony, mamy do czynienia ze stale rosnącą liczbą przyłączonych urządzeń w naszych domach, biurach i fabrykach. Celem strategii jest budowanie zbiorowych możliwości reagowania na ataki cybernetyczne. Przedstawiono również plany współpracy z partnerami na całym świecie, w celu zapewnienia międzynarodowego bezpieczeństwa i stabilności w cyberprzestrzeni. Ponadto, zaprezentowano sposób, w jaki UE może zapewnić najskuteczniejszą reakcję na zagrożenia cybernetyczne przy wykorzystaniu wspólnych zasobów i wiedzy.

Cele strategii

Nowa strategia ma na celu stworzenie globalnego i otwartego internetu z silnymi zabezpieczeniami w przypadku zagrożeń dla bezpieczeństwa i praw obywateli w Europie. Mając na uwadze dotychczasowe doświadczenia w tym obszarze, w strategii zawarto konkretne propozycje dotyczące wdrożenia trzech głównych instrumentów. Te trzy instrumenty to inicjatywy regulacyjne, inwestycyjne i polityczne. Będą one dotyczyć trzech obszarów działań UE:

• odporność, suwerenność technologiczna i przywództwo;
• zdolność operacyjna do zapobiegania, powstrzymywania i reagowania;
• współpraca na rzecz rozwoju globalnej i otwartej cyberprzestrzeni.

UE jest zaangażowana we wspieranie strategii poprzez bezprecedensowy poziom inwestycji w transformację cyfrową w ciągu najbliższych siedmiu lat. Oznaczałoby to czterokrotne zwiększenie dotychczasowych inwestycji. Niniejsze działania to dowód na zaangażowanie UE w nową politykę technologiczną i przemysłową oraz program naprawy gospodarczej.

Nowa strategia UE na rzecz bezpieczeństwa cybernetycznego stanowi kluczowy element kształtowania przyszłości cyfrowej Europy.

Źródło: https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade

Data publikacji: 28.01.2021

Projekt pn. „innLOGY – wsparcie przedsiębiorstw o dużym potencjale technologicznym” realizowany w ramach projektu współfinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego, Regionalnego Programu Operacyjnego Województwa Mazowieckiego na lata 2014-2020 nr RPMA.03.01.02-14-b657/18, pn. "Modelowanie Systemu Ofert Dla Innowacji", Oś Priorytetowa III Rozwój potencjału innowacyjnego i przedsiębiorczości, Działanie 3.1 Poprawa rozwoju MŚP na Mazowszu Poddziałanie 3.1.2 Rozwój MŚP.

Poradnik bezpieczeństwa – silne hasło

Dlaczego potrzeba silnych haseł?

Coraz większa część danych prywatnych umiejscowiona jest w cyberprzestrzeni. Coraz mniej leży w fizycznym świecie, a dane stały się niemalże walutą. Zagrożenie jest realne. Nie mamy wpływu na sytuacje takie jak wycieki danych z firm, które przechowują nasze dane, jednak możemy się zabezpieczyć przynajmniej przed atakami prywatnymi.

Czego unikać tworząc hasło?

Przy tworzeniu silnego hasła ważne jest by nie stosować konkretnych, a w szczególności spopularyzowanych słów lub znanych związanych z osobą informacji, jak imię, nazwisko czy rok, miesiąc lub dzień urodzenia. 

Zalecenia przy tworzeniu silnego hasła

Optymalnym rozwiązaniem w przypadku silnego hasła - jest hasło, które zbudowane jest z losowego ciągu alfanumerycznego przeplatanego ze znakami specjalnymi jak „AkjDbn6#w1j”. Takie hasło może być jednak ciężkie do zapamiętania i podstawowym rozwiązaniem tego problemu jest korzystanie z menedżera haseł oferowanych na przykład przez Google czy  wiele inne firmy, które służą do zapamiętania hasła skojarzonego z platformą i użytkownikiem. W takim przypadku należy pamiętać, że korzystając z takich menedżerów haseł należy używać ich tylko i wyłącznie na swoich urządzeniach prywatnych. 

Podstawy dobrego hasła:

• Powinno zawierać co najmniej 8 znaków, wśród których powinny znaleźć się:

  • Duże litery

  • Małe litery

  • Cyfry

  • Znaki specjalne

Porady generowania hasła:

• Można wykorzystać gotowy generator haseł, wbudowany w przeglądarkę, jeśli takowa go posiada lub w zewnętrzny software

•  Prywatny schemat generowania haseł. Polega on na wykorzystaniu słów, które są łatwe do zapamiętania oraz zastąpieniu w nim znaków tak by nie tworzyły realnego słowa. Dla przykładu słowo „password” można zastąpić „P@55w0rD” - co sprawi, że jest ono zdecydowanie przystępniejsze do zapamiętania oraz spełnia wszelkie wyżej wymienione wymogi bezpieczeństwa.

VPN – bezpieczne połączenie

Czym jest i jak działa VPN?

VPN (Virtual Private Network) oznacza w bezpośrednim tłumaczeniu wirtualną sieć prywatną. VPN można przyrównać do tunelu, będącego bezpośrednim połączeniem klienta z usługą. W przypadku tradycyjnego korzystania z Internetu (bez VPN), użytkownik łączy się z serwerem dostawcy swoich usług i stamtąd zostaje przenoszony w kolejne lokalizacje w sieci. Korzystanie z VPN ogranicza ilość serwerów, z których korzysta użytkownik w trakcie poruszania się po sieci. W przypadku VPN, użytkownik komunikuje się z dostawcą, a dostawca z serwerem VPN i tu ruch się kończy. Wcześniejsze przyrównanie do tunelu ma też na celu przedstawić pewnego rodzaju bezpieczeństwo. A mianowicie zabezpieczenie przed obserwacją ruchu i działań w sieci. 

Jakie korzyści zapewnia VPN?

VPN jest w skrócie zabezpieczeniem połączenia, do którego nikt nie może zajrzeć i wykraść wędrujących danych. W przypadku, kiedy zarządzamy sklepem internetowym, serwerem, bazami danych czy innymi poufnymi zasobami sieciowymi bardzo ważne jest zachowanie pełnego bezpieczeństwa tychże zasobów. W trosce o swoją reputację, informacje klientów, informacje poufne, wewnętrzne i wiele innych.  Bardzo popularnym zastosowaniem VPN dla bezpieczeństwa jest sytuacja, kiedy często korzystamy z sieci publicznych Wi-Fi, na przykład w parkach, kawiarniach, lotniskach czy innych miejscach publicznych. Te sieci są otwarte dla każdego i łatwo podglądać w nich ruch, dlatego rozwiązanie, jakim jest VPN jest idealne w takich sytuacjach, ponieważ tworzy ono „przysłowiowy tunel”, który daje użytkownikowi anonimowość. 

Zalety VPN:

• Prywatność

• Anonimowość

• Bezpieczne połączenie

• Zasłona przez hakerami

• Dostęp do zablokowanych zagranicznych treści

Korzystanie z VPN

Rynek oferuje liczne możliwości w zakresie połączeń VPN. Dostawców tego typu usług jest bardzo dużo i jest z czego wybierać w zależności od swoich potrzeb. Dobrej jakości VPN jest usługą płatną, ale kiedy chodzi o bezpieczeństwo cena nie gra roli. Korzystanie z VPN jest bardzo proste, wystarczy zainstalować usługę na swoich urządzeniach, a włączenie funkcji VPN to jedno kliknięcie. Służy do tego w większości przypadków przełącznik typu włącz-wyłącz. Użytkownik ma też często do wyboru region serwera VPN, z którego może korzystać celem poprawy wydajności lub dostępności materiałów zagranicznych.

Cyberbezpieczeństwo - Norma PN-ISO/IEC 27001

Czym jest system zarządzania PN-ISO/IEC 27001?

Norma PN-ISO/IEC 27001 jest to model systemu zarządzania bezpieczeństwem informacji, który określa wymagania dla ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu. Zarządzanie bezpieczeństwem informacji związane jest nie tylko z ochroną systemów informatycznych. Służy także zapewnieniu bezpieczeństwa danych osobowych, informacji handlowych oraz innych informacji stanowiących tajemnicę przedsiębiorstwa. Należy również pamiętać, że ochrona przed utratą danych to prawny obowiązek wszystkich podmiotów prowadzących działalność gospodarczą. 

Korzyści wynikające z wdrożenia normy PN-ISO/IEC 27001:

• Wzrost świadomości pracowników

• Zachowanie poufności i integralności posiadanych informacji

• Zwiększenie zaufania klientów

• Nadzór nad procesami przetwarzania informacji

• Spełnienie wymagań prawnych

• Lepsza identyfikacja zagrożeń

Proces certyfikacji:

Proces certyfikacji nie jest bardzo skomplikowany. Wraz z podjęciem decyzji o chęci uzyskania takiego certyfikatu, należy skierować zapytanie o ofertę na proces certyfikacji do akredytowanych podmiotów świadczących taką usługę. Po zawarciu umowy z podmiotem zostaje przeprowadzony audyt, którego produktem końcowym będzie raport. W przypadku wykrycia niezgodności z normą w trakcie przeprowadzonego audytu, organizacja musi skorygować te niezgodności celem wtórnej weryfikacji do momentu uzyskania oceny pozytywnej. Kolejnym krokiem jest weryfikacja raportu z audytu, a wraz z nią decyzja o przyznaniu certyfikatu. Na ostatnim etapie procesu następuje rozliczenie finansowe usługi oraz wydanie certyfikatu.

Działania korygujące mogą polegać na:

• Dodatkowych wdrożeniach

• Przeprowadzeniu niezbędnych zmian i szkoleń

Czym jest Pen Testing

Czym jest Pen Testing?

Pen test, inaczej test penetracyjny, jest to działanie polegające na podważeniu środków bezpieczeństwa cybernetycznego danego podmiotu, poprzez próbę realnego obejścia tych środków. Jest to etycznie poprawna praktyka służąca bezpieczeństwu firmy, realizowana przez tak zwanych etycznych hakerów (white-hat). Przeprowadzane testy są unikalne i niepowtarzalne dla każdego z przedsiębiorstw, również zależnie od czasu ich przeprowadzenia i stanu oraz poziomu zabezpieczeń. Pen testy są podzielone na 3 kategorie ze względu na poziom posiadanej wiedzy przy łamaniu zabezpieczeń:

• Black Box – to test z minimalną wiedzą. Taki test stara się odzwierciedlić realną wiedzę potencjalnego włamywacza. Zespół sprawdzający może w takim przypadku otrzymać na przykład jedynie adresy serwisu i nic więcej.

• Grey Box – test pośredni między white box a black box. Zespół roboczy otrzymuje podstawowe dane bez szczegółów na temat serwisu i przedsiębiorstwa.

• White Box – jest to jest z wykorzystaniem pełnej wiedzy a nawet dokumentacji technicznej i kodu źródłowego czy konfiguracji urządzeń sieciowych. 

Każdy z wymienionych rodzajów testów posiada swoje wady i zalety, dlatego dostosowanie testu powinno podlegać personalnej konfiguracji względem potrzeb firmy. Przedsiębiorstwa wykonujące testy chętnie pomogą dobrać idealną ofertę dla klienta.

Jakie korzyści zapewnia Pen Testing?

Działanie opisane powyżej jest w pewnym ujęciu usługą doradczą. Po wykonaniu testu dokonywana jest analiza i przygotowany jest raport z mocnych i słabych stron zastanego systemu zabezpieczeń i architektury cyfrowej. 

Korzyści z przeprowadzenia Pen testu:

• Zidentyfikowanie mocnych i słabych stron w zakresie cyberbezpieczeństwa

• Weryfikacja realnego bezpieczeństwa obecnego systemu zabezpieczeń

• Przeprowadzenie Pen testu zapewnia zgodność firmy z GDPR (General Data Protection Regulation)

• Możliwość oceny zdolności firmy na poradzenie sobie z atakiem i sytuacją kryzysową

• Ostrzeżenie organizacji o potencjalnych punktach zagrożenia

• Poprawa strategii reakcji na atak oraz działań mitygujących

Do stworzenia strony wykorzystano kreator stron www WebWave

KONTAKT

ADRES

ul. Piękna 31/37

00-677 Warszawa

tel. +48 512 196 378

biuro@klasterict.pl

Lokal użytkowany dzięki wsparciu Miasta Stołecznego Warszawy Zakład Gospodarowania Nieruchomościami Warszawa Śródmieście

MENU

Bezpieczeństwo w mediach społecznościowych

Media i bezpieczeństwo

 Media społecznościowe stały się nierozrywalną z codziennością rzeczywistością, która przejawia się na dowolnych poziomach życia, niezależnie od tego czy mowa o zastosowaniu zawodowym czy czysto użytkowym. Około 51% populacji świata korzysta z social mediów. Jest to niebagatelizowalna ilość, wśród której wielu z nas się znajduje, dlatego też powinniśmy dbać o swoje bezpieczeństwo oraz prywatność. 

Porady zachowania prywatności:

• Przy zakładaniu konta:

  • Należy zapoznać się z polityką prywatności i sposobem przetwarzania danych oraz czasem ich przechowywania

  • Przemyśleć kwestię używania swojego realnego imienia i nazwiska

  • Pomijać wszelkie opcjonalne pytania i pola podania informacji, które są zbędne

  • Starać się nie podawać numeru telefonu

  • Przemyśleć zastosowanie innego adresu e-mail niż stosowanego na co dzień

  • Zastosować silne hasło 

  • Wprowadzić uwierzytelnianie dwupoziomowe

• Podczas korzystania z platform:

  • Rozważyć zainastalowanie rozszerzenia do przeglądarki, które blokuje śledzenie informacji o użytkowniku

  • Zablokować pliki cookie innych firm

  • Zastosować powiadomienia e-mail lub push odnośnie bezpieczeństwa konta

  • Regularnie sprawdzać profile obserwowane

  • Obserwować i dodawać do znajomych jedynie sprawdzone i zaufane profile

  • Wyłączyć udostępnianie danych o lokalizacji oraz nie podawać takich informacji samodzielnie

  • Udostępniając treści należy dbać o prywatność innych oraz odpowiedzialnie dobierać treści

  • Omijać wiadomości od nieznanych profili

  • Zachować ostrożność klikając w reklamy i załączone linki

  • Traktować każdą udostępnianą informację jako publiczną – warto przemyśleć swoją publikację 2 razy

  • W miejscach publicznych unikać korzystania z publicznych sieci Wi-Fi. Preferowanym rozwiązaniem jest połaczenie prywatne sieci komórkowej lub wykorzystanie VPN

  • Cyklicznie sprawdzać, czy polityka prywatności danego serwisu nie uległa zmianie

  • Zapoznawać się z ustawieniami grup, do których się dołącza lub obecnie przynależy

  • Cyklicznie robić przegląd aplikacji, które wykorzystują dane konta

  • Regularnie sprawdzać sesje logowania do profilu

• W zastsosowaniu zawodowym:

  • Dbać o prywatnośc partenrów bieznesowych 

  • Wdrożyć system zarządzania bezpieczeństwem informacji 

  • Regularnie szkolić pracowników z zakresu ochrony danych osobowych

  • Konsultować publikowane treści

Media społecznościowe są wspaniałym narzędziem dającym liczne możliwości kontaktu, reklamy, dzielenia swoich doświadczeń i wiedzy oraz miejscem nauki i rozrywki. Zawsze należy jednak mieć na uwadze swoje i cudze bezpieczeństwo w trakcie korzystania z tego rozwiązania. Facebook szacuje, że około 5% kont na platformie jest sztucznych – nienależących do realnego użytkownika, nie przedstawiających go. Takie konta mogą być podstawą do dokonania cyberataku lub innego oszustwa. Dlatego właśnie należy przestrzegać dobrych praktyk. 

Bezpieczna praca zdalna

Praca zdalna

W dobie pandemii praca zdalna zyskała na wartości i wadze jak nigdy dotąd. Wykorzystując współczesne formy komunikacji umożliwia ona realizowanie czynności zawodowych z dowolnego miejsca na świecie. Ta forma pracy może przynosić korzyści zarówno pracownikom jak i pracodawcom, jednak niesie ze sobą również dodatkowe zagrożenia cybernetyczne. Kluczem do dobrej i bezpiecznej pracy zdalnej jest odpowiednie przygotowanie miejsca pracy.

Porady dla domowego biura:

• Zabezpieczać swój router domowy poprzez zmianę domyślnego hasła oraz nazwy sieci,

• Wyposażyć się w zaślepkę na kamerę i pamiętać o zasłanianiu jej zawsze kiedy nie jest wymagany jej użytek,

• Odchodząc od miejsca pracy zawsze blokować ekran lub wylogować się ze swojego profilu użytkownika systemu operacyjnego,

• Nie udostępniać sprzętu roboczego,

• Szyfrować dane,

• Nie udostępniać swoich pamięci zewnętrznych.

Porady bezpieczeństwa dla pracownika:

• Pamiętać o rozdzielaniu czasu pracy od czasu wolnego,

• Zachować ostrożność korzystając z własnego sprzętu,

• Czujnie korzystać z sieci,

• Wykorzystywać jedynie zaufane sieci do połączenia zdalnego ,

• Zgłaszać problemy,

• Unikać udostępniania danych osobowych.

Porady bezpieczeństwa dla pracodawcy:

• Ustalić zasady i procedury pracy zdalnej,

• Zabezpieczyć sprzęt firmowy,

• Aktualizować na bieżąco systemy operacyjne i aplikacje,

• Zabezpieczyć kanały komunikacji wewnętrznej,

• Monitorować stan bezpieczeństwa w firmie,

• Prowadzić audyty bezpieczeństwa,

• Uświadamiać pracowników o zagrożeniach związanych z pracą zdalną.

Wyżej wymienione praktyki są dobrym początkiem w ramach przygotowania siebie, swojego sprzętu i miejsca pracy do pracy zdalnej. Nie są to jednak wszystkie rzeczy, na które należy zwracać uwagę. W trakcie pracy mogą pojawiać się standardowe zagrożenia występujące w sieci, jak phishing (wyłudzanie danych), oszustwa sieciowe, czy e-mailowe. Należy aktywnie podchodzić do swojego bezpieczeństwa. Należy sprawdzać adresy domen, adresy email przychodzącej korespondencji, konsultować niepewności. 

Kluczowe również jest zabezpieczenie sieci. Poza wspomnianym zabezpieczeniem routera, można wykorzystać też jego dodatkowe ustawienia konfiguracyjne, celem poprawienia bezpieczeństwa swojej sieci. Do takich ustawień mogą należeć:

• Włączony WPS,

• Wyłączony UPnP,

• Wyłączony dostęp zdalny.

W związku z siecią należy również pamiętać o możliwości wykorzystywania VPN, co może mieć silny, pozytywny wpływ na bezpieczeństwo połączenia z siecią.

Cyberbezpieczeństwo cały czas było bardzo ważnym aspektem współczesnej pracy, jednak nabiera ono całkowicie nowego znaczenia wraz z rozpowszechnieniem pracy zdalnej. Odpowiedzialność rozciąga się na dużo szerszy zakres osób, dlatego też kluczowym jest uświadomienie sobie tej odpowiedzialności i prawidłowe edukowanie się w tej dziedzinie.  

Bezpieczne smartfony

Bezpieczeństwo urządzeń mobilnych i statystyki:

W dobie urządzeń mobilnych kluczowym jest zadbanie o poprawne procedury bezpieczeństwa w związku z korzystaniem z nich. Z raportu „Digital 2021”, 66,6% populacji całego świata korzysta z urządzeń mobilnych, a około 76% z nich, to użytkownicy smartfonów. W Polsce ta statystyka jest zbliżona. Liczba tych użytkowników stale wzrasta. Według statystyki ponad połowa transakcji zawieranych online, jest realizowana przy pomocy urzązdeń mobilnych. Co więcej 98,8% użytkoników mediów społecznościowych korzysta z nich również na smartfonach. Udział wszystkich internautów mobilnych stanowi 92,6% w ogólnej liczbie internautów. W dodatku, ponad połowa ruchu generowanego w sieci Internet pochodzi ze smartfonów. Na podstawie tych statystk łatwo stwierdzić, że urządzenia mobilne odgrywają kolosalną rolę w naszym bezpieczeństwie cyfrowym ze względu na czestotliwość ich wykorzystywania oraz dane, które zazwyczaj są na nich przechowywane. 

Jak korzystać bezpiecznie?

Działania podejmowane w celu poprawy bezpieczeństwa mają różnoraki charakter. Niektóre polegają na wprowadzeniu odpowiednich procedur i zabezpieczeń, jednak wiele z nich polega na odpowiednich nawykach użytkownika i jego świadomości.

• Ustaw blokadę ekranu – dostępnych jest wiele możliwości w tym zakresie począwszy od kodów PIN czy symboli graficznych po bardziej zaawansowane rozwiązania biometryczne dostępnych w konkretnych urządzeniach.  Wybór należy do użytkownika. W przypadku wykorzystania zabezpieczeń biometrycznych należy jednak pamiętać, że nigdy nie wiadomo, dokąd nasze dane biometryczne dotrą, gdzie i przez kogo będą przechowywane. Dlatego dla osób ceniących sobie tego rodzaju prywatność dalej pozostaje możliwość wykorzystania nieco łatwiejszych do złamania zabezpieczeń, ale dalej sprawnych i nienaruszających prywatności,

• Nie zezwalaj na wyświetlanie wiadomości SMS, maili, czy innych tego typu powiadomień bez odblokowania ekranu urządzenia – ustawienie tego typu powinno być dostępne z poziomu systemu urządzenia,

• Zawsze korzystaj z połączenia z siecią oraz lokalizacji – rozwiązanie może nieco zmiejszyć wygodę użytkowania ze względu na szybsze zużycie baterii urządzenia, jednak w przypadku zgubienia lub kradzieży pozwala na zlokalizowanie swojego urządzenia,

• Uaktywnij śledzenie urządzenia u operatora – dodatkowe zabezpieczenie podobne do wymienionego powyżej,

• Kontroluj przyznawanie uprawnień aplikacjom – po zainstalowaniu aplikacje mogą prosić o konkretne uprawnienia, jak na przykład do wykorzystania aparatu, pamięci urządzenia, czy nawet kontaktów i wiadomości SMS. Celem zachowania prywatności nie zaleca się udostępniania kontaktów, ani wiadomości SMS. Aplikacje zazwyczaj proszą o to w celu zautomatyzowania procesu swojego działania, ale wszystko można zrealizować ręcznie bez dawania tego dostępu rezygnując z lenistwa na rzecz prywatności i bezpieczeństwa,

• Instaluj jedynie zweryfikowane aplikacje – podobnie jak na urządzeniach desktopowych należy zawsze bacznie przyglądać się pochodzeniu aplikacji, najlepiej pobierając je jedynie z zaufanego sklepu zależnego od dostawcy urządzenia,

• Wyrób nawyk zgrywania zdjęc, filmów i dokumentów z urządzenia mobilnego na prywatny komputer lub dysk zewnętrzny – pozwala to na zaoszczędzenie przestrzeni na telefonie oraz ograniczenie naruszenia prywatności w przypadku utraty urządzenia lub wykradania z niego danych,

• W przypadku urządzeń służbowych rozważ zaszyfrownie danych – rozwiązanie to może być niekorzyste w przypadku awarii urządzenia, gdyż dane są wtenczas nie do odzyskania, jednak w przypadku sprawnego działania, są dużo bezpieczniejsze,

• Nie przeglądaj podejrzanych stron – tak samo jak na wszlekich innych urządzeniach należy zachować ostrożnośc w przypadku przeglądania sieci, gdyż niektóre strony mogą być zawirusowane, mogą wyłudzać informacje lub być innym rodzajem oszustwa i zagrożenia,

• Do połączenia z Internetem wykorzystuj jedynie prywatne połaczenie komórkowe lub sieci domowe – wykorzystywanie publicznych sieci Wi-Fi naraża na podłączenie się do sieci, w której praktycznie każdy użytkownik może śledzić nasz ruch w sieci, czy naraża też na włamanie do urządzenia. Rozwiązaniem, które może być mitygujące to ryzyko jest wykorzystanie VPN,

• Nie udostępniaj swojego numeru telefonu publicznie i zwarzaj jakim podmiotom go udostępniasz.

Urządzenia mobilne to wpaniały kawałek technologii ułatwiający nam życie na co dzień i pozwalający na realizowanie licznych zadań z dowolnego miejsca. Zapewniają pełną mobilność i elastycznośc dzięki swoim rozmiarom, a funkcjonalnością w pewnym stopniu mogą zastąpić komputer. Smartfony posiadają coraz więcej funkcji i pozwalają na coraz więcej rozwiązań wraz z rozwojem technologii. Należy jednak pamiętać, że są również zbiorem kolosalnych danych o nas oraz przechowują wiele informacji wrażliwych. Wraz z rozwojem fintech, smartfony stały się zastępstwem dla kart płatniczych i innych rozwiązań finansowych. Są zsynchronizowane z licznymi bazami danych, skrzynkami pocztowymi, czy mediami społecznościowymi. Wszystkie wymienione elementy zawierają w sobie informacje wrażliwe i wymagają wysokiego priorytetu ochorny.

Trend i bezpieczeństwo rozwiązań chmurowych

Czym są chmury?

Definicja chmury może być stosunkowo niejasna, jednak zasadniczo jest to globalna sieć serwerów, z których każdy pełni osobną funkcję. Serwery pomimo bycia rozłożonych na całym świecie są ze sobą połączone, tworząc wspólnie jeden ekosystem. W ramach swoich funkcji zajmują się one przechowywaniem informacji, zezwalają na zarządzanie tymi danymi, obsługują aplikacje, dostarczają usługi takie jak strumieniowe przesyłanie wideo, zdalne oprogramowanie biurowe, czy poczta e-mail. Chmury dają więc możliwość zdalnego dostępu do swoich plików, aplikacji czy innego typu usług bez wykorzystania zasobów lokalnych urządzenia.

Istnieje kilka rodzajów chmur. Chmura publiczna udostępnia zasoby publicznie przez sieć Internet. Chmura prywatna jest rozwiązaniem hostowym w sposób lokalny w ramach sieci wewnętrznej danego podmiotu. Chmura hybrydowa udostępnia usługi w sposób zarówno prywatny, jak i publiczny zależnie od przeznaczenia.

Korzyści wykorzystywania rozwiązań chmurowych:

• Dostęp zdalny w dowolnej chwili,

• Wysoka wydajność,

• Bezpieczeństwo,

• Zdolność do zaawansowanej analityki,

• Oszczędność kosztów.

Wyzwania przy korzystaniu z rozwiązań chmurowych:

• Ograniczenia regulacyjne związane z ochroną danych osobowych,

• Automatyczne aktualizacje (nie ma wpływu na wersję wykorzystywanego narzędzia, więc wprowadzane zmiany niezależnie czy się podobają, czy też nie, muszą zostać zaakceptowane),

• Pełna zależność od sieci Internet,

• Odpowiedzialność pracowników odnośnie właściwego wykorzystywania mocy obliczeniowej chmur,

• Ograniczenia we współpracy z klientami (niektóre umowy uniemożliwiają wykorzystywanie takich rozwiązań).

Trendy i bezpieczeństwo

Rozwiązania chmurowe są krytycznym elementem cyfrowego środowiska w większości firm, a często także kluczowym czynnikiem umożliwiającym osiągnięcie sukcesu. Raport „2021 Cloud Security Raport” wskazuje, że w chmurze ponad połowę swoich zadań obliczeniowych wykonuje 33% firm, a liczba ta wzrośnie do 56% w ciągu najbliższego roku. Świadczy to o tym jak silnie środowisko cyfrowe podmiotów gospodarczych zmierza ku rozwiązaniom chmurowym. Mając na uwadze rosnącą liczbę źródeł potencjalnych ataków, bezpieczeństwo pozostaje przedmiotem uwagi. Jak twierdzi około 67% specjalistów wypowiadających się w raporcie głównym, zagrożeniem nie są bezpośrednie ataki cyberprzestępców, a błędy popełnione w trakcie konfiguracji narzędzi ochronnych. Co więcej, ponad 70% podmiotów korzysta z usług wielochmurowych, od różnych dostawców. Tworzy to problem konfiguracyjny i administracyjny tak, aby zachować spójną politykę bezpieczeństwa wspólną dla różnych rozwiązań. Prawie 80% badanych specjalistów uznałoby za pomocne istnienie pojedynczej platformy zabezpieczającej zasoby chmurowe, zapewniającej dla nich wspólny pulpit administracyjny, gdyby takowa istniała. Jak się okazuje największa odpowiedzialność za bezpieczeństwo w przypadku usług chmurowych spoczywa na ich użytkowniku, a nie dostawcy. Dostawcy bowiem zapewniają zazwyczaj wszelkie możliwe narzędzia służące zabezpieczeniu chmury. Cyberprzestępcy rzadko mają na celu atak na konkretne przedsiębiorstwo, ataki są bardziej losowe i skuteczne w przypadku podmiotów, które jak wskazano wcześniej, popełniły błędy w procesie konfiguracji zabezpieczeń lub zawiodły w informatycznej higienie. Do podstawowych zasad ochrony ze strony użytkownika należą kluczowo: jego wiedza i odpowiedzialność, stosowanie odpowiedniej kontroli dostępu, szyfrowanie danych, właściwa ochrona danych logowania i zabezpieczenia wieloetapowe.

Chmury są przyszłością środowisk informatycznych. Nie odsuwają jednak w pełni wagi wdrożeń lokalnych, które dalej odpowiadają za około 1/3 wdrożeń w przedsiębiorstwach. Wraz z rozwojem wdrożeń chmurowych wymagane jest zwiększenie świadomości użytkowników w zakresie właściwego zabezpieczenia siebie w sieci, tak by móc w pełni korzystać z zalet tego typu rozwiązań.

Ataki DDoS

Czym jest atak?

Atak sieciowy jest próbą wtargnięcia do systemu operacyjnego komputera położonego w lokalizacji niedostępnej fizycznie, czyli przy pomocy dostępu zdalnego. Cyberprzestępcy dokonują prób takich ataków celem przejęcia kontroli nad systemem, przejęcia wrażliwych lub kluczowych danych czy zablokowania funkcjonowania systemu. Pojęcie ataku sieciowego może być stosowane w ramach szkodliwej aktywności cyberprzestępców, jak skanowanie portów czy ataki brute force, czy aktywności złośliwego oprogramowania, które na przykład przesyła dane do hakerów. 

Wśród ataków sieciowych można wyszczególnić następujące rodzaje:

• Skanowanie portów,

• Ataki DoS,

• Włamania sieciowe.

Atak DDoS

DDoS jest to rodzaj ataku sieciowego polegający na uniemożliwieniu działania systemu. Taki rodzaj ataku czyni system niestabilnym lub wręcz całkowicie niesprawnym. DDoS jest odmianą ataku DoS. DoS z angielskiego oznacza „Denial of Service”, a DDoS – „Distributed Denial of Service”. Przekłada się to w znaczeniu na to, że atak DoS przeprowadzany jest z pojedynczego urządzenia, a DDoS jest skoordynowanym atakiem z wielu komputerów.  Atak DDoS ma swoje 2 rodzaje:

• Atak wolumetryczny - polega na masowej wysyłce niechcianych danych na wskazany adres IP; ilość napływających danych jest tak duża, że łącze internetowe nie jest w stanie przyjąć tych wszystkich danych,

• atak aplikacyjny – polega na wyczerpaniu zasobów informatycznych aplikacji internetowej, np. mocy obliczeniowej lub pamięci; czasami ataki tego typu nazywane są atakami typu slow.

Atak wolumetryczny można w dużym uproszczeniu przyrównać do przeciążenia przepustowości sieci, a aplikacyjny do przeciążenia zdolności procesowej, tyle że wykonanych celowo.

Głównymi celami ataku DDoS mogą być całe łącze internetowe, Firewall, IPS/IDS (systemy wykrywania intruzów), ADC (systemy równomiernego rozkładania obciążenia), lub serwery. Są to co więcej najczęściej realizowane sieciowe ataki, które potrafią trwać od 1 godziny do nawet 1 miesiąca.

Jak bronić się przed DDoS?

Jednym z wariantów ochrony przed tego typu atakiem jest łącze internetowe z ochroną DDoS. Operowane jest ono przez operatorów ISP. Nie jest to najskuteczniejsza forma ochrony, jednak zdecydowanie lepsza niż jej brak. Rozwiązanie to jest zazwyczaj półautomatyczne – oznacza to, że system automatycznie wykryje anomalie w ruchu sieciowym, jednak trzeba ręcznie ten ruch przekierować do szczegółowej analizy i mitygacji ataku. 

Skuteczniejszym rozwiązaniem jest zastosowanie tak zwanego Scrubbing Center. Scrubbing Center to specjalnie zbudowane centrum analizy ruchu IP, w którym następuje pełen monitoring pakietów danych, analiza anomalii w ruchu oraz mitygacja wykrytych ataków DDoS lub prób włamania. 

Jeszcze inną formą zabezpieczenia jest WAF – Web Application Firewall. Jest to system ochrony aplikacji internetowej. Rolą tego systemu jest monitorowanie zachowań użytkowników korzystających z aplikacji sieciowej w czasie rzeczywistym i reagowanie na jakiekolwiek próby destabilizacji samej aplikacji lub próby pokonania jej zabezpieczeń. 

Podsumowując, ataki typu DDoS to najczęściej realizowane ataki sieciowe na świecie, odpowiadające za około 25%-45% wszystkich ataków łącznie (w zależności od zestawianych typów ataku – jednak niezależnie od tego DDoS jest zawsze najczęściej stosowanym). Co więcej dla hakerów są to jedne z łatwiejszych do zrealizowania ataków. Jedynym prawdziwym kosztem w przygotowaniu takiego ataku jest praca, zaś koszty poniesione przez przedsiębiorstwo mogą być zdecydowanie wyższe, poczynając od utraconej w tym czasie sprzedaży po osłabioną renomę i wizerunek. Dlatego tak ważna jest świadomość istnienia zagrożenia oraz wiedza w zakresie zabezpieczenia się przed potencjalnym ryzykiem.

Testy socjotechniczne

Socjotechnika

Jest to wektor ataku dla hakerów, mający na celu oszukania lub zmanipulowanie osoby, do ujawniania wrażliwych danych, czy nieświadomego udzielenia do nich dostępu. Niestety najsłabszym ogniwem w dowolnym łańcuchu bezpieczeństwa jest człowiek. Każdy system jest tak wytrzymały i sprawny, jak jego najsłabszy element - a zwykle w przypadku bezpieczeństwa, jest to właśnie element ludzki. 

Za scojotechnikę można uznać relatywnie konsekwentny sposób oddziaływania społecznego – czyli wywieranie wpływu na zbiorowości oraz zachowania społeczene jednostek. Jest to również wiedza naukowa o warunkach efektywności działania społecznego. Głównym zadaniem socjotechniki jest wywołanie nacisku na wywołanie pożądanych zachowań w obiektach wpływu.

W klasycznym ujęciu przekaz socjotechniczny można sprowadzić do trzech form:

• działania perswazyjne - przekaz charakteryzuje duży stopień jawności intencji nadawcy a także wyrazistością wykładników perswazji,

• działania manipulacyjne – usiłują zmienić poglądy, zachowania i postawy wbrew woli jednostki sterowanej lub bez jej wiedzy,

• działania facylitacyjne - mają na celu stworzenie realnych sytuacji, które mogą ułatwić kształtowanie nowych poglądów i postaw ludzi.

Natura socjotechniki ma na celu pominięcie zabezpieczeń technologicznych, aby obrać za cel osobę, a nie komputer.

Testy socjotechniczne

Jak więc zapobiegać zewnętrznym, niechcianym działaniom socjotechnicznym mającym na celu przełamanie naszych zabezpieczeń wewnętrznych związanych z cyberbezpieczeństwem. Podstawowym i najskuteczniejszym rozwiązaniem jest świadomość zagrożenia i świaodmość technil. Świadomość bycia manipulowanym odpowiada za około 75% zdolności wyjścia z maniplulacji. Z pomocą w tym zakresie przychodzą testy socjotechniczne jako narzędzie analityczne, które potem są bazą dla potencjlanych szkoleń wewnętrznych. 

Testy Socjotechniczne to metoda pozwalająca sprawdzić stopień wyczulenia i świadomości pracowników oraz ogólną skuteczność obowiązujących procesów bezpieczeństwa. Test tego typu może pozwolić na zweryfikowanie u pracowników ich wiedzy w zakresie potencjalnego zagrożenia, metod jakich atakujący może stosować, świadomości zagrożeń, jaką dysponują w swoim otoczeniu, wiedzy w zakresie odporności psychicznej. Test taki polega na wykreowaniu ze zlecającym potencjalnego scenariusza zagrożenia i zrealizowanie go jakby to był prawdziwy atak, co pozwoli uzyskać realne reakcje ludzkie do wyników testu. Po przeprowadzonym teście, firma która realizowała symulację ataku, sporządza raport z wynikami oraz zaleceniami odnośnie działań mitygujących na przyszłość oraz propozycji szkoleniowych. Zazwyczaj te same firmy mogą też przeprowadzić owe szkolenia. Należy również pamięta, że działania socjotechniczne mogą być stosowane zarówno zdalnie jak i fizycznie na miejscu. Należy rozpozanć swoje potrzeby przed przeprowadzeniem takiego testu, a najlepiej zweryfikować obydwie warstwy. Często może być bowiem tak, że pracownicy mogą być świadomi zagrożeń w sieci, ale mieć problem z rozpoznaniem zagrożeń fizycznie w miejscu pracy. Naturalnie możliwa jest również sytuacja odwrotna. 

Techniki często stosowane w trakcie takich testów obejmują metody takie jak: 

• phishing

• baiting

• link scam

• pretexting

• odgrywanie ról

• brute force

Wykorzystując przy tym nastepujące kanały komunikacji:

• poczty elektronicznej

• mediów społecznościowych

• rozmów telefonicznych

• fizycznych nośników danych

• bezpośrednich rozmów

Podsumowując testy socjotechniczne pozwalają zweryfikować słabe strony protokołów bezpieczeństwa po stronie ludzkiej, która w praktycznym ujęciu jest tą najbardziej podatną na atak. Możliwość wykonania takiego testu oferują liczne przedsiębiorstwa z branży, które w ramach testu przeprowadzą symulację realnego zagrożenia w uzgodnieniu ze zleceniodawcą oraz sporządzą raport z zaleceniami względem uzyskanych wyników. 

Testy socjologiczne i związane z nimi szkolenia mają na celu podniesienie świadomości pracowników w temacie bezpieczeństwa IT, wzmocnienie odporności na ataki z wykorzystaniem socjotechniki, ocenę podatności na ataki, rozpoznanie metod socjotechnicznych, na które zespoł może być podatny, odnalezienie słabych punktów w komunikacji oraz błędnych procedur i protokołów bezpieczeństwa

Testy oprogramowania

Testowanie

Testy oprogramowania są jednym z nasjkuteczniejszych sposobów kontrolowania jakości programów, tak aby użytkownicy końcowi dostali wolne od błędów aplikacje. Na przestrzeni lat wydieliły się różne techniki testowania, do których należą testy metodą czarnej skrzynki lub metodą białej skrzynki.

Metoda białej skrzynki

Testowanie tego typu oparte jest o strukturę oprogramowania. Test ten jest przeprowadzany głęboko dla każdego z modułów systemy w celu sprawdzenia czy reagują one zgodnie z podanymi danymi wejściowymi. Taki test jest bardzo czasochłonny i wymaga kwalifikacji do jego przeprowadzenia – zazwyczaj zajmują się tym sami programiści. Technika ta obejmuje testowanie przepływu danych, testowanie gałęzi i ścieżki dla każdej jednostki oraz testowanie przepływu kontrolnego. Wykonując tego typu test łatwiej jest wyśledzić błędy występujące w systemie. 

Metoda czarnej skrzynki

Jest to metoda bazująca na niewiedzy osoby testującej w zakresie tego jak skonstruowany został testowany przez nią system. W takim przypadku mówi się właśnie o teście przeprowadzanym metodą czarnej skrzynki. Celem testu metodą czarnej skrzynki jest jedynie sprawdzenie funckajonalności systemu, niezależnie od tego, jak testowany system wykonuje akcje. Testowanie tego typu zajmuje mniej czasu niż testowanie metodą białej skrzynki ze względu na sprawdzanie jedynie czy wyniki przeprowadzanych akcji są zgodne z oczekiwanymi wynikami.  W przypadku takiego testu, jeśli wystąpuje błąd w systemie i jego funkcjonowaniu, ciężko go wyśledzić, ze względu na brak testów jego wewnętrznych procesów.

Zasadniczymi różnicami między testem czarnej skyrznki i testem białej skrzynki są:

• Testowanie białych skrzynek wykonuje testy struktury systemu

• Testowanie białych skrzynek wymaga wysoce technicznych testerów

• Wiedza techniczna testera nie jest wysoce wymagana w przypadku testów czarnej skrzynki

• Łatwe do śledzenia wewnętrzne błędy w testach białych skrzynek

Cyberbezpieczeństwo w sektorze energii

Niemal wszystko co robimy i każda decyzja ekonomiczna, jaką podejmujemy, może zależeć od dostępności i ceny energii - jak podróżujemy, co jemy, jaka jest temperatura w naszych domach, gdzie i jak pracujemy. Przystępna cenowo energia sprawia, że nasze życie staje się lepsze. Ponieważ w wielu aspektach energia jest "zdolnością do wykonywania pracy", ułatwia ona wszystkie inne przedsięwzięcia gospodarcze.

Przedsiębiorstwa energetyczne narażone są na ryzyko cybernetyczne związane z podatnością ich systemów IT, infrastruktury OT oraz partnerów w łańcuchu dostaw. Systemy IT obejmują oprogramowanie, sprzęt i technologie wykorzystywane do gromadzenia i przetwarzania danych niezbędnych do prowadzenia działalności biznesowej przedsiębiorstwa. Infrastruktura OT obejmuje oprogramowanie, sprzęt i technologie wymagane do sterowania urządzeniami fizycznymi, takimi jak pompy, silniki, zawory i przełączniki. 

Analiza ataków i naruszeń, które miały miejsce w branży energetycznej, ilustruje znaczenie zabezpieczenia rozległego ekosystemu łańcucha dostaw branży energetycznej. Firmy energetyczne pozyskują informacje, sprzęt, oprogramowanie i wszelkiego rodzaju usługi od zewnętrznych dostawców z całego świata. Podmioty stanowiące zagrożenie mogą wprowadzić skompromitowane komponenty do systemu lub sieci w dowolnym momencie cyklu życia systemu. 

Sabotaż łańcucha dostaw jest czasami dokonywany nieumyślnie w postaci elementów, które nie spełniają aktualnych standardów bezpieczeństwa lub celowo, jako część tajnych działań mających na celu ułatwienie przyszłego ataku. Ataki mogą być przeprowadzane za pośrednictwem aktualizacji oprogramowania lub "łatek", które są pobierane przez firmę energetyczną, lub za pośrednictwem oprogramowania sprzętowego, którym napastnicy mogą manipulować w celu umieszczenia w nim złośliwych kodów do wykorzystania w późniejszym czasie. Nieuczciwi napastnicy mogą również narażać na szwank sprzęt, który przedsiębiorstwa energetyczne instalują w swoich obiektach. 

Rozwiązania bezpieczeństwa cybernetycznego dla przemysłu energetycznego

Krytyczny charakter sieci, systemów i urządzeń niezbędnych do funkcjonowania współczesnego przemysłu energetycznego oraz wyjątkowe wyzwania w zakresie bezpieczeństwa, przed jakimi stoi ten sektor, oznaczają, że dobrze opracowane strategie muszą kierować się stosowaniem wyjątkowych rozwiązań w zakresie bezpieczeństwa cybernetycznego. 

Virtual Dispersive Networking (VDN) - technologia VDN dzieli wiadomość sieciową na wiele części i szyfruje każdą z nich osobno. VDN kieruje te komponenty wiadomości do wielu serwerów, komputerów, a nawet telefonów komórkowych. Rozproszenie danych na wielu różnych ścieżkach w ten sposób eliminuje możliwość ataku typu Man-in-the-Middle, ponieważ hakerzy mogą uzyskać tylko niewielki fragment oryginalnych danych na dowolnej ścieżce. Ta strategia ochrony sprawia, że wszelkie uzyskane dane są bez znaczenia dla innych niż zamierzony odbiorca i są prawie niemożliwe do odszyfrowania.

Uwierzytelnianie sprzętowe - Uwierzytelnianie sprzętowe to podejście do uwierzytelniania użytkowników, które jest szczególnie przydatne w przypadku geograficznie rozproszonych sieci OT. Ta strategia ochrony opiera się na dedykowanym urządzeniu fizycznym (takim jak token) posiadanym przez uprawnionego użytkownika, oprócz hasła głównego, w celu przyznania dostępu do zasobów komputerowych. Chociaż nie jest to tak wygodne jak inne metody uwierzytelniania, krytyczny charakter urządzeń w przemyśle energetycznym znacznie przewyższa potrzebę łatwego logowania użytkownika. 

Analityka zachowań użytkowników (UBA) - W ten sam sposób, w jaki zaawansowana analityka jest wykorzystywana do określania zawartości pakietów w zaporze sieciowej lub oprogramowanie antywirusowe analizuje system plików, UBA bada, co robi użytkownik. Poprzez dokładne zbadanie, w jaki sposób użytkownicy zazwyczaj wchodzą w interakcje z danym systemem, UBA może rozpoznać podejrzane zachowania. 

Podsumowując, współczesna energetyka, zwłaszcza w zakresie dystrybucji energii elektrycznej, wymaga ciągłego zwiększania bezpieczeństwa informatycznego i zabezpieczenia jej przed potencjalnymi atakami.

Testy penetracyjne OWASP

Niebezpieczne oprogramowanie jest jednym z kluczowych problemów technicznych naszych czasów. Gwałtowy wzrost znaczenia i rozwój Internetu a przy tym aplikacji webowych umożliwiających korzystanie z sieci społecznościowych, czy prowadzenie biznesu postawiły społeczeństwo przed wielkim wyzwaniem w zakresie bezpieczeństwa danych. Z tego właśnie powodu, odpowiednie pisanie aplikacji i dbanie o ich zabezpieczenia staje się fundamentalnym elementem bezpieczeństwa sieciowego.

OWASP (The Open Web Application Security Project) jest fundacją non-profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. Działania te realizowane są poprzez społecznościowe projekty oprogramowania open-source, setki lokalnych oddziałów na całym świecie, dziesiątki tysięcy członków oraz wiodące konferencje edukacyjne i szkoleniowe. Fundacja OWASP jest źródłem wiedzy dla programistów i technologów na temat bezpieczeństwa w sieci.

Testy penetracyjne pomagają organizacjom poprzez:

• identyfikowanie i usuwanie luk w zabezpieczeniach, zanim cyberprzestępcy będą mieli okazję je wykorzystać

• zmniejszenie ryzyka naruszenia danych, a także szkód i zakłóceń w świadczeniu usług

• zapewnienie niezależnego przeglądu skuteczności kontroli bezpieczeństwa i większej pewności w zakresie zgodności z PCI DSS, ISO 27001 i GDPR

• pomoc w doskonaleniu praktyk w zakresie tworzenia oprogramowania i zapewniania jakości poprzez wgląd w ryzyko związane z bezpieczeństwem cybernetycznym

• wsparcie w podejmowaniu bardziej świadomych decyzji dotyczących przyszłych inwestycji w bezpieczeństwo

Metoda testowania bezpieczeństwa aplikacji internetowych OWASP opiera się na podejściu czarnej skrzynki. Tester w takim przypadku nie wie nic lub ma bardzo ograniczone informacje o aplikacji, która ma być testowana. Test podzielony jest na część aktywną oraz pasywną, z czego pasywna jest pierwszą. Cześci opisane zostały w poniższej tabeli.

Pentest bezpieczeństwa OWASP może pomóc zidentyfikować kluczowe luki, takie jak:

• Uszkodzone uwierzytelnianie

• Narażenie wrażliwych danych

• Jednostki zewnętrzne XML (XXE)

• Uszkodzone mechanizmy kontroli dostępu

• Błędna konfiguracja zabezpieczeń

• Skrypty XSS (cross-site scripting)

• Niezabezpieczona deserializacja

• Używanie komponentów o znanych lukach w zabezpieczeniach

• Niewystarczające rejestrowanie i monitorowanie

Czas potrzebny etycznemu hakerowi na wykonanie pentestu OWASP zależy od zakresu testu. Długość testu zależna jest od takich współczynników jak:

• Typ aplikacji

• Zakres funckjonalności

• Liczba ról użytkowników

• Czy aplikacja korzysta z backendu REST API i ile jest punktów końcowych API

• Zrzuty ekranu

• Wielkość sieci

• Czy test jest skierowany do wewnątrz czy na zewnątrz

• Czy informacje o sieci i dane uwierzytelniające użytkowników są udostępniane przed rozpoczęciem pentestingu.

Podsumowując, fundacja OWASP zebrała doświadczenia specjalistów z całego świata i spróbowała skompresować tę wiedzę do poradnika bezpieczeństwa i metod analitycznych, które są dostępne dla wszystkich za darmo. Pełna dokumentacja pentestów OWASP jest dostępna na stronie fundacji:

https://owasp.org/www-project-web-security-testing-guide/v42/

Popularne narzędzia w cyberbezpieczeństwie

Cyberbezpieczeństwo jak każda branża wymaga swoich własnych narzędzi w celu realizacji przypisanych celów. Ich dobór powinien zależeć od potrzeb i zdolności osoby zajmującej się danym procesem. Rynek oferuje setki o ile nie tysiące aplikacji wspomagających działania etycznych hakerów i specjalistów ds. cyberbezpieczeństwa. Możemy jednak wyróżnić kilka narzędzi cechujących się szczególną popularnością.

Popularne narzędzia 

• Kali Linux

Kali Linux jest jedną z najczęściej stosowanych technologii w dziedzinie cyberbezpieczeństwa. Kali jest jedną z dystrybucji Linuxa, która powstała w celu realizacji pentestów. System ten zawiera setki aplikacji do przeprowadzania audytów bezpieczeństwa, testowania sieci i systemów pod kątem luk w zabezpieczeniach. Jedną z głównych zalet tego systemu jest przystępność na różnych poziomach wiedzy, co sprawia, że jest doskonałym wyborem zarówno dla początkujących jak i zaawansowanych ekspertów. Liczne narzędzia dostarczane przez Kali Linux są proste w użyciu, co pozwala użytkownikom na śledzenie systemów bezpieczeństwa w firmie za pomocą jednego kliknięcia. 

• Wireshark

Jest to program typu packet sniffer, który pozwala ekspertom badać protokoły sieciowe i przeglądać ruch sieci w czasie rzeczywistym w poszukiwaniu potencjalnych słabych punktów. Ponadto gromadzi ważne informacje o poziomie ruchu sieciowego. Narzędzie to jest wykorzystywane przez specjalistów ds. bezpieczeństwa cybernetycznego do przechowywania pakietów danych oraz określania zachowania i cech każdego pakietu. Informacje te pomagają w wykrywaniu błędów w zabezpieczeniach sieci. Software pozwala na monitorowanie pakietów sieciowych i wyświetlanie ich w przystępnej formie dzięki interfejsowi graficznemu. Jest to narzędzie o otwartym kodzie źródłowym.

• Metasploit

Metasploit oferuje pełen zestaw narzędzi, które można wykorzystać do przeprowadzenia audytu bezpieczeństwa organizacji. Podatności zgłoszone w bazie danych błędów Common Security i Exploits są rutynowo aktualizowane w Metasploit. Metasploit pozwala specjalistom na ocenę bezpieczeństwa aplikacji internetowych i sieciowych, serwerów, sieci i innych systemów. Jedną z zalet tego programu jest to, że może on wykrywać nowe luki w zabezpieczeniach i zapewniać całodobową ochronę. 

• John the Ripper

Narzędzie, przy którego użyciu testowana jest siła haseł. Architektura programu pomaga w wykrywaniu słabych haseł, które stanowią zagrożenie dla bezpieczeństwa danego systemu. Reguła działania programu polega na łamaniu haseł za pomocą ataku słownikowego lub brute-force. Aby wykryć słabe hasło, John the Ripper szuka skomplikowanych szyfrów, zaszyfrowanych danych logowania i haseł podobnych do haseł. Narzędzie to jest stale ulepszane i aktualizowane, aby zapewnić wiarygodne wyniki podczas testów penetracyjnych. Jest to jedna z najlepszych opcji dla specjalistów ds. cyberbezpieczeństwa, jeśli chodzi o poprawę bezpieczeństwa haseł.

• Cain and Abel

Cain and Abel to jedno z najstarszych i najlepszych narzędzi Cyberbezpieczeństwa do wyszukiwania błędów w systemie Windows i odzyskiwania haseł. Umożliwia ono identyfikację błędów w zabezpieczeniach haseł różnych systemów Windows. Wśród jego wielu funkcji najważniejsza jest możliwość zachowania zapisu rozmów VoIP i oceny protokołów routingu w celu określenia, czy routowane pakiety danych mogą zostać zhakowane. Ta bezpłatna aplikacja potrafi między innymi ujawniać hasła przechowywane w pamięci podręcznej, a także wykorzystywać ataki brute-force do łamania zaszyfrowanych haseł. Pomaga również w odszyfrowywaniu haseł.

Podsumowanie

Świat cyberbezpieczeństwa jest pełen narzędzi wspomagających prace, a wymienione wyżej przykłady należą do popularnych rozwiązań wykorzystywanych w branży. Każdy jednak powinien dopasować narzędzie do swoich potrzeb i zidentyfikowanego problemu lub procesu. Narzędzia to tylko jedno, gdyż należy zawsze pamiętać o tym, że nawet najlepsze narzędzie bez odpowiedniego operatora może być całkowicie bezużyteczne. 

Co warto wiedzieć

Zmiany związane z RODO

RODO jest już z nami od dawna, ale czy każdy z nas identyfikuje i rozumie rozporządzenia z nim związane? Przybliżając temat, 24 maja 2016 r. weszło w życie unijne Ogólne rozporządzenie o ochronie danych (RODO). Zastąpiło ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. RODO to największa zmiana w podejściu do ochrony danych osobowych od dwudziestu lat. Rozporządzenie wprowadza dużo nowości, z których bardzo ważnymi są:

• Bezpośrednia odpowiedzialność przetwarzającego dane  

Przetwarzanie danych osobowych pochodzących z innych firm, w trakcie świadczenia usług na ich rzecz, skutkuje ponoszeniem bezpośredniej odpowiedzialności za złamanie zapisów RODO, włączając w to potencjalne kary finansowe. Powiązane jest to również z bardziej restrykcyjnymi niż dotychczas obowiązkami w zakresie tworzenia umów o przetwarzaniu danych.

• Zgłaszanie naruszeń

Obowiązkiem jest zawiadomienie konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.

• Nowe i rozszerzone prawa obywateli

  • prawo do bycia zapomnianym (na prośbę zgłaszającego dane muszą zostać usunięte)

  • uprawnienie do żądania przeniesienia danych

  • wzmocnione prawo dostępu i wglądu obywatela w jego dane

• Ograniczenia profilowania

Wraz z RODO zostały wprowadzone ograniczenia w profilowaniu włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, obowiązek informowania o przeprowadzeniu profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.

• Wyznaczenie Inspektora Ochrony Danych Osobowych

Obowiązkiem firm zarówno przetwarzających dane osobowe,  jest wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.

Podejście Zero Trust

Zero Trust a tradycyjne podejście

Zero Trust to model bezpieczeństwa informacji stworzony przez Johna Kindervaga z Forrester Research w 2009 roku. Model ten zakłada brak zaufania dla niczego i nikogo zarówno na zewnątrz i wewnątrz sieci lokalnej. Wymaga ono każdorazowego uwierzytelnienia lub weryfikacji przed przyznaniem dostępu danych lub innych chronionych zasobów.

Inne podejście (dawniej tradycyjne) - „castle-and-moat” zakłada, że osoby i zasoby wewnątrz sieci lokalnej są bezpieczne i zaufane, a więc całość zabezpieczeń skupiona jest jedynie na świat zewnętrzny. Organizacje broniły swoich zasobów poprzez ustawienie firewalli, które uniemożliwiały dostęp z zewnątrz do sieci wewnętrznych. To założenie stwarza jednak przynajmniej dwa problemy: 

• Jeśli „zły” użytkownik ma dostęp do sieci, może się w niej przemieszczać, aby ujawnić wrażliwe dane, zainstalować złośliwe oprogramowanie i spowodować naruszenie danych

• Jeśli pracownik nie jest fizycznie w pracy, nie ma dostępu do sieci, co w obecnych czasach jest skomplikowane ze względu na rozwój pracy zdalnej i usług SaaS)

Metoda castle-and-moat nie jest więc już skutecznym rozwiązaniem.

Zero Trust

Model bezpieczeństwa Zero Trust jest zgodny z zasadą kontroli dostępu o najmniejszych przywilejach, gdzie tożsamość użytkownika jest weryfikowana w czasie rzeczywistym przy każdorazowym żądaniu dostępu do zasobów. 

Dostęp bazuje zazwyczaj na uwierzytelnianiu wieloczynnikowym (MFA) lub uwierzytelnianiu dwuczynnikowym (2FA), takim jak hasło i zaufane urządzenie lub kod tymczasowy. Nawet po uwierzytelnieniu osoba może uzyskać dostęp tylko do granularnie zdefiniowanych zasobów lub aplikacji określonych w polityce bezpieczeństwa.