Pobierz ofertฤ™

Usล‚uga w zakresie cyberbezpieczeล„stwa

Cyberbezpieczeล„stwo ma istotnฤ… wartoล›ฤ‡ biznesowฤ… i technologicznฤ…. Nowe modele biznesowe, innowacyjnoล›ฤ‡, postฤ™p technologiczny oraz regulacje prawne tworzฤ… potrzeby w tym obszarze, ktรณre nie mogฤ… pozostaฤ‡ bez odpowiedzi.  Dowiedz siฤ™, dlaczego cyberbezpieczeล„stwo jest kluczowe dla kaลผdej dziaล‚alnoล›ci gospodarczej oraz jakie korzyล›ci i wartoล›ci dodane oferuje nasza nowa usล‚uga!

Zachฤ™camy do zapoznania siฤ™ z ofertฤ… dotyczฤ…cฤ… naszej nowej usล‚ugi w zakresie cyberbezpieczeล„stwa opracowanej w ramach projektu pn. โ€žinnLOGY โ€“ wsparcie przedsiฤ™biorstw o duลผym potencjale technologicznymโ€ realizowanego w ramach projektu wspรณล‚finansowanego ze ล›rodkรณw Europejskiego Funduszu Rozwoju Regionalnego, Regionalnego Programu Operacyjnego Wojewรณdztwa Mazowieckiego na lata 2014-2020 nr RPMA.03.01.02-14-b657/18, pn. โ€žModelowanie Systemu Ofert Dla Innowacjiโ€, Oล› Priorytetowa III Rozwรณj potencjaล‚u innowacyjnego i przedsiฤ™biorczoล›ci, Dziaล‚anie 3.1 Poprawa rozwoju MลšP na Mazowszu Poddziaล‚anie 3.1.2 Rozwรณj MลšP.

Podejล›cie Zero Trust

Zero Trust a tradycyjne podejล›cie

Zero Trust to model bezpieczeล„stwa informacji stworzony przez Johna Kindervaga z Forrester Research w 2009 roku. Model ten zakล‚ada brak zaufania dla niczego i nikogo zarรณwno na zewnฤ…trz i wewnฤ…trz sieci lokalnej. Wymaga ono kaลผdorazowego uwierzytelnienia lub weryfikacji przed przyznaniem dostฤ™pu danych lub innych chronionych zasobรณw.

Inne podejล›cie (dawniej tradycyjne) - โ€žcastle-and-moatโ€ zakล‚ada, ลผe osoby i zasoby wewnฤ…trz sieci lokalnej sฤ… bezpieczne i zaufane, a wiฤ™c caล‚oล›ฤ‡ zabezpieczeล„ skupiona jest jedynie na ล›wiat zewnฤ™trzny. Organizacje broniล‚y swoich zasobรณw poprzez ustawienie firewalli, ktรณre uniemoลผliwiaล‚y dostฤ™p z zewnฤ…trz do sieci wewnฤ™trznych. To zaล‚oลผenie stwarza jednak przynajmniej dwa problemy: 

  • Jeล›li โ€žzล‚yโ€ uลผytkownik ma dostฤ™p do sieci, moลผe siฤ™ w niej przemieszczaฤ‡, aby ujawniฤ‡ wraลผliwe dane, zainstalowaฤ‡ zล‚oล›liwe oprogramowanie i spowodowaฤ‡ naruszenie danych

  • Jeล›li pracownik nie jest fizycznie w pracy, nie ma dostฤ™pu do sieci, co w obecnych czasach jest skomplikowane ze wzglฤ™du na rozwรณj pracy zdalnej i usล‚ug SaaS)

Metoda castle-and-moat nie jest wiฤ™c juลผ skutecznym rozwiฤ…zaniem.

Zero Trust

Model bezpieczeล„stwa Zero Trust jest zgodny z zasadฤ… kontroli dostฤ™pu o najmniejszych przywilejach, gdzie toลผsamoล›ฤ‡ uลผytkownika jest weryfikowana w czasie rzeczywistym przy kaลผdorazowym ลผฤ…daniu dostฤ™pu do zasobรณw. 

Dostฤ™p bazuje zazwyczaj na uwierzytelnianiu wieloczynnikowym (MFA) lub uwierzytelnianiu dwuczynnikowym (2FA), takim jak hasล‚o i zaufane urzฤ…dzenie lub kod tymczasowy. Nawet po uwierzytelnieniu osoba moลผe uzyskaฤ‡ dostฤ™p tylko do granularnie zdefiniowanych zasobรณw lub aplikacji okreล›lonych w polityce bezpieczeล„stwa.

Co warto wiedzieฤ‡

Zmiany zwiฤ…zane z RODO

RODO jest juลผ z nami od dawna, ale czy kaลผdy z nas identyfikuje i rozumie rozporzฤ…dzenia z nim zwiฤ…zane? Przybliลผajฤ…c temat, 24 maja 2016 r. weszล‚o w ลผycie unijne Ogรณlne rozporzฤ…dzenie o ochronie danych (RODO). Zastฤ…piล‚o ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. RODO to najwiฤ™ksza zmiana w podejล›ciu do ochrony danych osobowych od dwudziestu lat. Rozporzฤ…dzenie wprowadza duลผo nowoล›ci, z ktรณrych bardzo waลผnymi sฤ…:

  • Bezpoล›rednia odpowiedzialnoล›ฤ‡ przetwarzajฤ…cego dane  

Przetwarzanie danych osobowych pochodzฤ…cych z innych firm, w trakcie ล›wiadczenia usล‚ug na ich rzecz, skutkuje ponoszeniem bezpoล›redniej odpowiedzialnoล›ci za zล‚amanie zapisรณw RODO, wล‚ฤ…czajฤ…c w to potencjalne kary finansowe. Powiฤ…zane jest to rรณwnieลผ z bardziej restrykcyjnymi niลผ dotychczas obowiฤ…zkami w zakresie tworzenia umรณw o przetwarzaniu danych.

  • Zgล‚aszanie naruszeล„

Obowiฤ…zkiem jest zawiadomienie konkretnej osoby, bez zbฤ™dnej zwล‚oki, o przypadku wystฤ…pienia duลผego ryzyka naruszenia jej praw lub swobรณd.

  • Nowe i rozszerzone prawa obywateli

    • prawo do bycia zapomnianym (na proล›bฤ™ zgล‚aszajฤ…cego dane muszฤ… zostaฤ‡ usuniฤ™te)

    • uprawnienie do ลผฤ…dania przeniesienia danych

    • wzmocnione prawo dostฤ™pu i wglฤ…du obywatela w jego dane

  • Ograniczenia profilowania

Wraz z RODO zostaล‚y wprowadzone ograniczenia w profilowaniu wล‚ฤ…czajฤ…c w to obowiฤ…zek otrzymania zgody na profilowanie przed rozpoczฤ™ciem zbierania danych, obowiฤ…zek informowania o przeprowadzeniu profilowaniu oraz koniecznoล›ฤ‡ akceptacji braku zgody na profilowanie.

  • Wyznaczenie Inspektora Ochrony Danych Osobowych

Obowiฤ…zkiem firm zarรณwno przetwarzajฤ…cych dane osobowe,  jest wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponowaฤ‡ wiedzฤ… eksperckฤ… w zakresie ochrony danych osobowych.

Regulamin

Nabรณr na bezpล‚atne testowanie usล‚ug w zakresie wsparcia procesu prowadzenia prac B+R+I przez przedsiฤ™biorstwa MลšP z wojewรณdztwa mazowieckiego

Mazowiecki Klaster ICT โ€“ Krajowy Klaster Kluczowy zaprasza przedsiฤ™biorstwa z sektora MลšP zarejestrowane na terytorium wojewรณdztwa mazowieckiego do nieodpล‚atnego udziaล‚u w testowaniu nowych usล‚ug w zakresie wsparcia procesu prowadzenia prac B+R+I.

Stowarzyszenie Rozwoju Spoล‚eczno-Gospodarczego โ€žWiedzaโ€ (koordynator Mazowieckiego Klastra ICT โ€“ Krajowego Klastra Kluczowego) wraz z Fundacjฤ… Akcelerator Innowacji, realizuje projekt pt. โ€žinnLOGY โ€“ wsparcie przedsiฤ™biorstw o duลผym potencjale technologicznymโ€ w ramach pierwszego naboru grantowego w ramach projektu pozakonkursowego โ€žModelowanie Systemu Ofert Dla Innowacjiโ€ Nr projektu RPMA.03.01.02-14-b657/18.

Jednym z gล‚รณwnych zaล‚oลผeล„ Projektu jest wspieranie przedsiฤ™biorstw w procesach przyล›pieszajฤ…cych ich rozwรณj oraz zapewnienie MลšP specjalistycznych usล‚ug doradczych, ล›wiadczonych przez kompetentnych specjalistรณw miฤ™dzy innymi w zakresie procesu prowadzenia prac B+R+I, celem poszukiwania partnerรณw projektowych oraz inwestorรณw, budowy konsorcjรณw oraz wsparcia realizacji projektรณw o charakterze badawczo-rozwojowym na rรณลผnych etapach.

W celu wdroลผenia do oferty najwyลผszej jakoล›ci usล‚ug, Mazowiecki Klaster ICT โ€“ Krajowy Klaster Kluczowy planuje wyล›wiadczyฤ‡ minimum 4 testowe usล‚ugi z zakresu wsparcia procesu prowadzenia prac B+R+I w formie rozwiฤ…zania informatycznego dla przedsiฤ™biorstw z sektora maล‚ych i ล›rednich przedsiฤ™biorstw z wojewรณdztwa mazowieckiego.

Zgล‚oszenia zawierajฤ…ce:

  • nazwฤ™ przedsiฤ™biorstwa,
  • numer KRS i/lub NIP,
  • dane kontaktowe do osoby reprezentujฤ…cej przedsiฤ™biorstwo,
  • krรณtki opis dziaล‚alnoล›ci gospodarczej,

prosimy przesyล‚aฤ‡ drogฤ… elektronicznฤ… na adres e-mail: biuro@klasterict.pl lub skล‚adaฤ‡ Zgล‚oszenie w wersji papierowej w siedzibie ION โ€“ ul. Piฤ™kna 31/37, 00-677 Warszawa.

Zgล‚oszenia zostanฤ… ocenione przez personel zatrudniony w ramach Projektu. Rezultatem oceny bฤ™dzie wyselekcjonowanie minimum czterech podmiotรณw gospodarczych o najwyลผszym potencjale w przedmiocie informacji zwrotnej, ktรณra posล‚uลผy do podniesienia jakoล›ci usล‚ugi.

Przyjmowanie Zgล‚oszeล„ w ramach naboru odbywa siฤ™ w terminie od dnia 01.08.2022 r. do dnia 31.08.2022 r.

Wiฤ™cej informacji o Projekcie i realizowanych w ramach Projektu usล‚ugach testowych moลผna uzyskaฤ‡ drogฤ… telefonicznฤ… pod numerem: +48 512 998 804.

Regulamin

Nabรณr na bezpล‚atne testowanie usล‚ug doradczych w zakresie cyberbezpieczeล„stwa przez przedsiฤ™biorstwa MลšP z wojewรณdztwa mazowieckiego

Mazowiecki Klaster ICT โ€“ Krajowy Klaster Kluczowy zaprasza przedsiฤ™biorstwa z sektora MลšP zarejestrowane na terytorium wojewรณdztwa mazowieckiego do nieodpล‚atnego udziaล‚u w testowaniu nowych usล‚ug doradczych w zakresie cyberbezpieczeล„stwa.

Stowarzyszenie Rozwoju Spoล‚eczno-Gospodarczego โ€žWiedzaโ€ (koordynator Mazowieckiego Klastra ICT โ€“ Krajowego Klastra Kluczowego) wraz z Fundacjฤ… Akcelerator Innowacji, realizuje projekt pt. โ€žinnLOGY โ€“ wsparcie przedsiฤ™biorstw o duลผym potencjale technologicznymโ€ w ramach pierwszego naboru grantowego w ramach projektu pozakonkursowego โ€žModelowanie Systemu Ofert Dla Innowacjiโ€ Nr projektu RPMA.03.01.02-14-b657/18.

Jednym z gล‚รณwnych zaล‚oลผeล„ Projektu jest wspieranie przedsiฤ™biorstw w procesach przyล›pieszajฤ…cych ich rozwรณj oraz zapewnienie MลšP specjalistycznych usล‚ug doradczych, ล›wiadczonych przez kompetentnych specjalistรณw miฤ™dzy innymi w zakresie cyberbezpieczeล„stwa, celem wyboru rozwiฤ…zaล„, zwiฤ™kszajฤ…cych poziom zabezpieczeล„ przy jednoczesnym dostosowaniu do potrzeb i moลผliwoล›ci organizacji.

W celu wdroลผenia do oferty najwyลผszej jakoล›ci usล‚ug, Mazowiecki Klaster ICT โ€“ Krajowy Klaster Kluczowy planuje wyล›wiadczyฤ‡ 4 testowe usล‚ugi o charakterze doradczym z zakresu cyberbezpieczeล„stwa dla przedsiฤ™biorstw z sektora maล‚ych i ล›rednich przedsiฤ™biorstw z wojewรณdztwa mazowieckiego.

Zgล‚oszenia zawierajฤ…ce:

  • nazwฤ™ przedsiฤ™biorstwa,
  • numer KRS i/lub NIP,
  • dane kontaktowe do osoby reprezentujฤ…cej przedsiฤ™biorstwo,
  • krรณtki opis dziaล‚alnoล›ci gospodarczej,
  • krรณtki opis potrzeb zwiฤ…zanych z cyberbezpieczeล„tswem,

prosimy przesyล‚aฤ‡ drogฤ… elektronicznฤ… na adres e-mail: biuro@klasterict.pl lub skล‚ada Zgล‚oszenie w wersji papierowej w siedzibie ION โ€“ ul. Piฤ™kna 31/37, 00-677 Warszawa.

Zgล‚oszenia zostanฤ… ocenione przez personel zatrudniony w ramach Projektu. Rezultatem oceny bฤ™dzie wyselekcjonowanie czterech podmiotรณw gospodarczych o najwyลผszym potencjale w przedmiocie informacji zwrotnej, ktรณra posล‚uลผy do podniesienia jakoล›ci usล‚ugi.

Przyjmowanie Zgล‚oszeล„ w ramach naboru odbywa siฤ™ w terminie od dnia 25.03.2022 r. do dnia 30.04.2022 r.

Wiฤ™cej informacji o Projekcie i realizowanych w ramach Projektu usล‚ugach testowych moลผna uzyskaฤ‡ drogฤ… telefonicznฤ… pod numerem: +48 512 998 804.

Popularne narzฤ™dzia w cyberbezpieczeล„stwie

Cyberbezpieczeล„stwo jak kaลผda branลผa wymaga swoich wล‚asnych narzฤ™dzi w celu realizacji przypisanych celรณw. Ich dobรณr powinien zaleลผeฤ‡ od potrzeb i zdolnoล›ci osoby zajmujฤ…cej siฤ™ danym procesem. Rynek oferuje setki o ile nie tysiฤ…ce aplikacji wspomagajฤ…cych dziaล‚ania etycznych hakerรณw i specjalistรณw ds. cyberbezpieczeล„stwa. Moลผemy jednak wyrรณลผniฤ‡ kilka narzฤ™dzi cechujฤ…cych siฤ™ szczegรณlnฤ… popularnoล›ciฤ….

Popularne narzฤ™dzia 

  • Kali Linux

Kali Linux jest jednฤ… z najczฤ™ล›ciej stosowanych technologii w dziedzinie cyberbezpieczeล„stwa. Kali jest jednฤ… z dystrybucji Linuxa, ktรณra powstaล‚a w celu realizacji pentestรณw. System ten zawiera setki aplikacji do przeprowadzania audytรณw bezpieczeล„stwa, testowania sieci i systemรณw pod kฤ…tem luk w zabezpieczeniach. Jednฤ… z gล‚รณwnych zalet tego systemu jest przystฤ™pnoล›ฤ‡ na rรณลผnych poziomach wiedzy, co sprawia, ลผe jest doskonaล‚ym wyborem zarรณwno dla poczฤ…tkujฤ…cych jak i zaawansowanych ekspertรณw. Liczne narzฤ™dzia dostarczane przez Kali Linux sฤ… proste w uลผyciu, co pozwala uลผytkownikom na ล›ledzenie systemรณw bezpieczeล„stwa w firmie za pomocฤ… jednego klikniฤ™cia. 

  • Wireshark

Jest to program typu packet sniffer, ktรณry pozwala ekspertom badaฤ‡ protokoล‚y sieciowe i przeglฤ…daฤ‡ ruch sieci w czasie rzeczywistym w poszukiwaniu potencjalnych sล‚abych punktรณw. Ponadto gromadzi waลผne informacje o poziomie ruchu sieciowego. Narzฤ™dzie to jest wykorzystywane przez specjalistรณw ds. bezpieczeล„stwa cybernetycznego do przechowywania pakietรณw danych oraz okreล›lania zachowania i cech kaลผdego pakietu. Informacje te pomagajฤ… w wykrywaniu bล‚ฤ™dรณw w zabezpieczeniach sieci. Software pozwala na monitorowanie pakietรณw sieciowych i wyล›wietlanie ich w przystฤ™pnej formie dziฤ™ki interfejsowi graficznemu. Jest to narzฤ™dzie o otwartym kodzie ลบrรณdล‚owym.

  • Metasploit

Metasploit oferuje peล‚en zestaw narzฤ™dzi, ktรณre moลผna wykorzystaฤ‡ do przeprowadzenia audytu bezpieczeล„stwa organizacji. Podatnoล›ci zgล‚oszone w bazie danych bล‚ฤ™dรณw Common Security i Exploits sฤ… rutynowo aktualizowane w Metasploit. Metasploit pozwala specjalistom na ocenฤ™ bezpieczeล„stwa aplikacji internetowych i sieciowych, serwerรณw, sieci i innych systemรณw. Jednฤ… z zalet tego programu jest to, ลผe moลผe on wykrywaฤ‡ nowe luki w zabezpieczeniach i zapewniaฤ‡ caล‚odobowฤ… ochronฤ™. 

  • John the Ripper

Narzฤ™dzie, przy ktรณrego uลผyciu testowana jest siล‚a haseล‚. Architektura programu pomaga w wykrywaniu sล‚abych haseล‚, ktรณre stanowiฤ… zagroลผenie dla bezpieczeล„stwa danego systemu. Reguล‚a dziaล‚ania programu polega na ล‚amaniu haseล‚ za pomocฤ… ataku sล‚ownikowego lub brute-force. Aby wykryฤ‡ sล‚abe hasล‚o, John the Ripper szuka skomplikowanych szyfrรณw, zaszyfrowanych danych logowania i haseล‚ podobnych do haseล‚. Narzฤ™dzie to jest stale ulepszane i aktualizowane, aby zapewniฤ‡ wiarygodne wyniki podczas testรณw penetracyjnych. Jest to jedna z najlepszych opcji dla specjalistรณw ds. cyberbezpieczeล„stwa, jeล›li chodzi o poprawฤ™ bezpieczeล„stwa haseล‚.

  • Cain and Abel

Cain and Abel to jedno z najstarszych i najlepszych narzฤ™dzi Cyberbezpieczeล„stwa do wyszukiwania bล‚ฤ™dรณw w systemie Windows i odzyskiwania haseล‚. Umoลผliwia ono identyfikacjฤ™ bล‚ฤ™dรณw w zabezpieczeniach haseล‚ rรณลผnych systemรณw Windows. Wล›rรณd jego wielu funkcji najwaลผniejsza jest moลผliwoล›ฤ‡ zachowania zapisu rozmรณw VoIP i oceny protokoล‚รณw routingu w celu okreล›lenia, czy routowane pakiety danych mogฤ… zostaฤ‡ zhakowane. Ta bezpล‚atna aplikacja potrafi miฤ™dzy innymi ujawniaฤ‡ hasล‚a przechowywane w pamiฤ™ci podrฤ™cznej, a takลผe wykorzystywaฤ‡ ataki brute-force do ล‚amania zaszyfrowanych haseล‚. Pomaga rรณwnieลผ w odszyfrowywaniu haseล‚.

Podsumowanie

ลšwiat cyberbezpieczeล„stwa jest peล‚en narzฤ™dzi wspomagajฤ…cych prace, a wymienione wyลผej przykล‚ady naleลผฤ… do popularnych rozwiฤ…zaล„ wykorzystywanych w branลผy. Kaลผdy jednak powinien dopasowaฤ‡ narzฤ™dzie do swoich potrzeb i zidentyfikowanego problemu lub procesu. Narzฤ™dzia to tylko jedno, gdyลผ naleลผy zawsze pamiฤ™taฤ‡ o tym, ลผe nawet najlepsze narzฤ™dzie bez odpowiedniego operatora moลผe byฤ‡ caล‚kowicie bezuลผyteczne. 

Testy penetracyjne OWASP

Niebezpieczne oprogramowanie jest jednym z kluczowych problemรณw technicznych naszych czasรณw. Gwaล‚towy wzrost znaczenia i rozwรณj Internetu a przy tym aplikacji webowych umoลผliwiajฤ…cych korzystanie z sieci spoล‚ecznoล›ciowych, czy prowadzenie biznesu postawiล‚y spoล‚eczeล„stwo przed wielkim wyzwaniem w zakresie bezpieczeล„stwa danych. Z tego wล‚aล›nie powodu, odpowiednie pisanie aplikacji i dbanie o ich zabezpieczenia staje siฤ™ fundamentalnym elementem bezpieczeล„stwa sieciowego.

OWASP (The Open Web Application Security Project) jest fundacjฤ… non-profit, ktรณra dziaล‚a na rzecz poprawy bezpieczeล„stwa oprogramowania. Dziaล‚ania te realizowane sฤ… poprzez spoล‚ecznoล›ciowe projekty oprogramowania open-source, setki lokalnych oddziaล‚รณw na caล‚ym ล›wiecie, dziesiฤ…tki tysiฤ™cy czล‚onkรณw oraz wiodฤ…ce konferencje edukacyjne i szkoleniowe. Fundacja OWASP jest ลบrรณdล‚em wiedzy dla programistรณw i technologรณw na temat bezpieczeล„stwa w sieci.

Testy penetracyjne pomagajฤ… organizacjom poprzez:

  • identyfikowanie i usuwanie luk w zabezpieczeniach, zanim cyberprzestฤ™pcy bฤ™dฤ… mieli okazjฤ™ je wykorzystaฤ‡

  • zmniejszenie ryzyka naruszenia danych, a takลผe szkรณd i zakล‚รณceล„ w ล›wiadczeniu usล‚ug

  • zapewnienie niezaleลผnego przeglฤ…du skutecznoล›ci kontroli bezpieczeล„stwa i wiฤ™kszej pewnoล›ci w zakresie zgodnoล›ci z PCI DSS, ISO 27001 i GDPR

  • pomoc w doskonaleniu praktyk w zakresie tworzenia oprogramowania i zapewniania jakoล›ci poprzez wglฤ…d w ryzyko zwiฤ…zane z bezpieczeล„stwem cybernetycznym

  • wsparcie w podejmowaniu bardziej ล›wiadomych decyzji dotyczฤ…cych przyszล‚ych inwestycji w bezpieczeล„stwo

Metoda testowania bezpieczeล„stwa aplikacji internetowych OWASP opiera siฤ™ na podejล›ciu czarnej skrzynki. Tester w takim przypadku nie wie nic lub ma bardzo ograniczone informacje o aplikacji, ktรณra ma byฤ‡ testowana. Test podzielony jest na czฤ™ล›ฤ‡ aktywnฤ… oraz pasywnฤ…, z czego pasywna jest pierwszฤ…. Czeล›ci opisane zostaล‚y w poniลผszej tabeli.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Pentest bezpieczeล„stwa OWASP moลผe pomรณc zidentyfikowaฤ‡ kluczowe luki, takie jak:

  • Uszkodzone uwierzytelnianie

  • Naraลผenie wraลผliwych danych

  • Jednostki zewnฤ™trzne XML (XXE)

  • Uszkodzone mechanizmy kontroli dostฤ™pu

  • Bล‚ฤ™dna konfiguracja zabezpieczeล„

  • Skrypty XSS (cross-site scripting)

  • Niezabezpieczona deserializacja

  • Uลผywanie komponentรณw o znanych lukach w zabezpieczeniach

  • Niewystarczajฤ…ce rejestrowanie i monitorowanie

Czas potrzebny etycznemu hakerowi na wykonanie pentestu OWASP zaleลผy od zakresu testu. Dล‚ugoล›ฤ‡ testu zaleลผna jest od takich wspรณล‚czynnikรณw jak:

  • Typ aplikacji

  • Zakres funckjonalnoล›ci

  • Liczba rรณl uลผytkownikรณw

  • Czy aplikacja korzysta z backendu REST API i ile jest punktรณw koล„cowych API

  • Zrzuty ekranu

  • Wielkoล›ฤ‡ sieci

  • Czy test jest skierowany do wewnฤ…trz czy na zewnฤ…trz

  • Czy informacje o sieci i dane uwierzytelniajฤ…ce uลผytkownikรณw sฤ… udostฤ™pniane przed rozpoczฤ™ciem pentestingu.

Podsumowujฤ…c, fundacja OWASP zebraล‚a doล›wiadczenia specjalistรณw z caล‚ego ล›wiata i sprรณbowaล‚a skompresowaฤ‡ tฤ™ wiedzฤ™ do poradnika bezpieczeล„stwa i metod analitycznych, ktรณre sฤ… dostฤ™pne dla wszystkich za darmo. Peล‚na dokumentacja pentestรณw OWASP jest dostฤ™pna na stronie fundacji:

https://owasp.org/www-project-web-security-testing-guide/v42/

 

Cyberbezpieczeล„stwo w sektorze energii

Niemal wszystko co robimy i kaลผda decyzja ekonomiczna, jakฤ… podejmujemy, moลผe zaleลผeฤ‡ od dostฤ™pnoล›ci i ceny energii - jak podrรณลผujemy, co jemy, jaka jest temperatura w naszych domach, gdzie i jak pracujemy. Przystฤ™pna cenowo energia sprawia, ลผe nasze ลผycie staje siฤ™ lepsze. Poniewaลผ w wielu aspektach energia jest "zdolnoล›ciฤ… do wykonywania pracy", uล‚atwia ona wszystkie inne przedsiฤ™wziฤ™cia gospodarcze.

Przedsiฤ™biorstwa energetyczne naraลผone sฤ… na ryzyko cybernetyczne zwiฤ…zane z podatnoล›ciฤ… ich systemรณw IT, infrastruktury OT oraz partnerรณw w ล‚aล„cuchu dostaw. Systemy IT obejmujฤ… oprogramowanie, sprzฤ™t i technologie wykorzystywane do gromadzenia i przetwarzania danych niezbฤ™dnych do prowadzenia dziaล‚alnoล›ci biznesowej przedsiฤ™biorstwa. Infrastruktura OT obejmuje oprogramowanie, sprzฤ™t i technologie wymagane do sterowania urzฤ…dzeniami fizycznymi, takimi jak pompy, silniki, zawory i przeล‚ฤ…czniki. 

Analiza atakรณw i naruszeล„, ktรณre miaล‚y miejsce w branลผy energetycznej, ilustruje znaczenie zabezpieczenia rozlegล‚ego ekosystemu ล‚aล„cucha dostaw branลผy energetycznej. Firmy energetyczne pozyskujฤ… informacje, sprzฤ™t, oprogramowanie i wszelkiego rodzaju usล‚ugi od zewnฤ™trznych dostawcรณw z caล‚ego ล›wiata. Podmioty stanowiฤ…ce zagroลผenie mogฤ… wprowadziฤ‡ skompromitowane komponenty do systemu lub sieci w dowolnym momencie cyklu ลผycia systemu. 

Sabotaลผ ล‚aล„cucha dostaw jest czasami dokonywany nieumyล›lnie w postaci elementรณw, ktรณre nie speล‚niajฤ… aktualnych standardรณw bezpieczeล„stwa lub celowo, jako czฤ™ล›ฤ‡ tajnych dziaล‚aล„ majฤ…cych na celu uล‚atwienie przyszล‚ego ataku. Ataki mogฤ… byฤ‡ przeprowadzane za poล›rednictwem aktualizacji oprogramowania lub "ล‚atek", ktรณre sฤ… pobierane przez firmฤ™ energetycznฤ…, lub za poล›rednictwem oprogramowania sprzฤ™towego, ktรณrym napastnicy mogฤ… manipulowaฤ‡ w celu umieszczenia w nim zล‚oล›liwych kodรณw do wykorzystania w pรณลบniejszym czasie. Nieuczciwi napastnicy mogฤ… rรณwnieลผ naraลผaฤ‡ na szwank sprzฤ™t, ktรณry przedsiฤ™biorstwa energetyczne instalujฤ… w swoich obiektach. 

 

Rozwiฤ…zania bezpieczeล„stwa cybernetycznego dla przemysล‚u energetycznego

Krytyczny charakter sieci, systemรณw i urzฤ…dzeล„ niezbฤ™dnych do funkcjonowania wspรณล‚czesnego przemysล‚u energetycznego oraz wyjฤ…tkowe wyzwania w zakresie bezpieczeล„stwa, przed jakimi stoi ten sektor, oznaczajฤ…, ลผe dobrze opracowane strategie muszฤ… kierowaฤ‡ siฤ™ stosowaniem wyjฤ…tkowych rozwiฤ…zaล„ w zakresie bezpieczeล„stwa cybernetycznego. 

Virtual Dispersive Networking (VDN) - technologia VDN dzieli wiadomoล›ฤ‡ sieciowฤ… na wiele czฤ™ล›ci i szyfruje kaลผdฤ… z nich osobno. VDN kieruje te komponenty wiadomoล›ci do wielu serwerรณw, komputerรณw, a nawet telefonรณw komรณrkowych. Rozproszenie danych na wielu rรณลผnych ล›cieลผkach w ten sposรณb eliminuje moลผliwoล›ฤ‡ ataku typu Man-in-the-Middle, poniewaลผ hakerzy mogฤ… uzyskaฤ‡ tylko niewielki fragment oryginalnych danych na dowolnej ล›cieลผce. Ta strategia ochrony sprawia, ลผe wszelkie uzyskane dane sฤ… bez znaczenia dla innych niลผ zamierzony odbiorca i sฤ… prawie niemoลผliwe do odszyfrowania.

Uwierzytelnianie sprzฤ™towe - Uwierzytelnianie sprzฤ™towe to podejล›cie do uwierzytelniania uลผytkownikรณw, ktรณre jest szczegรณlnie przydatne w przypadku geograficznie rozproszonych sieci OT. Ta strategia ochrony opiera siฤ™ na dedykowanym urzฤ…dzeniu fizycznym (takim jak token) posiadanym przez uprawnionego uลผytkownika, oprรณcz hasล‚a gล‚รณwnego, w celu przyznania dostฤ™pu do zasobรณw komputerowych. Chociaลผ nie jest to tak wygodne jak inne metody uwierzytelniania, krytyczny charakter urzฤ…dzeล„ w przemyล›le energetycznym znacznie przewyลผsza potrzebฤ™ ล‚atwego logowania uลผytkownika. 

Analityka zachowaล„ uลผytkownikรณw (UBA) - W ten sam sposรณb, w jaki zaawansowana analityka jest wykorzystywana do okreล›lania zawartoล›ci pakietรณw w zaporze sieciowej lub oprogramowanie antywirusowe analizuje system plikรณw, UBA bada, co robi uลผytkownik. Poprzez dokล‚adne zbadanie, w jaki sposรณb uลผytkownicy zazwyczaj wchodzฤ… w interakcje z danym systemem, UBA moลผe rozpoznaฤ‡ podejrzane zachowania. 

Podsumowujฤ…c, wspรณล‚czesna energetyka, zwล‚aszcza w zakresie dystrybucji energii elektrycznej, wymaga ciฤ…gล‚ego zwiฤ™kszania bezpieczeล„stwa informatycznego i zabezpieczenia jej przed potencjalnymi atakami.

Testy oprogramowania

Testowanie

Testy oprogramowania sฤ… jednym z nasjkuteczniejszych sposobรณw kontrolowania jakoล›ci programรณw, tak aby uลผytkownicy koล„cowi dostali wolne od bล‚ฤ™dรณw aplikacje. Na przestrzeni lat wydieliล‚y siฤ™ rรณลผne techniki testowania, do ktรณrych naleลผฤ… testy metodฤ… czarnej skrzynki lub metodฤ… biaล‚ej skrzynki.

Metoda biaล‚ej skrzynki

Testowanie tego typu oparte jest o strukturฤ™ oprogramowania. Test ten jest przeprowadzany gล‚ฤ™boko dla kaลผdego z moduล‚รณw systemy w celu sprawdzenia czy reagujฤ… one zgodnie z podanymi danymi wejล›ciowymi. Taki test jest bardzo czasochล‚onny i wymaga kwalifikacji do jego przeprowadzenia โ€“ zazwyczaj zajmujฤ… siฤ™ tym sami programiล›ci. Technika ta obejmuje testowanie przepล‚ywu danych, testowanie gaล‚ฤ™zi i ล›cieลผki dla kaลผdej jednostki oraz testowanie przepล‚ywu kontrolnego. Wykonujฤ…c tego typu test ล‚atwiej jest wyล›ledziฤ‡ bล‚ฤ™dy wystฤ™pujฤ…ce w systemie. 

Metoda czarnej skrzynki

Jest to metoda bazujฤ…ca na niewiedzy osoby testujฤ…cej w zakresie tego jak skonstruowany zostaล‚ testowany przez niฤ… system. W takim przypadku mรณwi siฤ™ wล‚aล›nie o teล›cie przeprowadzanym metodฤ… czarnej skrzynki. Celem testu metodฤ… czarnej skrzynki jest jedynie sprawdzenie funckajonalnoล›ci systemu, niezaleลผnie od tego, jak testowany system wykonuje akcje. Testowanie tego typu zajmuje mniej czasu niลผ testowanie metodฤ… biaล‚ej skrzynki ze wzglฤ™du na sprawdzanie jedynie czy wyniki przeprowadzanych akcji sฤ… zgodne z oczekiwanymi wynikami.  W przypadku takiego testu, jeล›li wystฤ…puje bล‚ฤ…d w systemie i jego funkcjonowaniu, ciฤ™ลผko go wyล›ledziฤ‡, ze wzglฤ™du na brak testรณw jego wewnฤ™trznych procesรณw.

Zasadniczymi rรณลผnicami miฤ™dzy testem czarnej skyrznki i testem biaล‚ej skrzynki sฤ…:

  • Testowanie biaล‚ych skrzynek wykonuje testy struktury systemu

  • Testowanie biaล‚ych skrzynek wymaga wysoce technicznych testerรณw

  • Wiedza techniczna testera nie jest wysoce wymagana w przypadku testรณw czarnej skrzynki

  • ลatwe do ล›ledzenia wewnฤ™trzne bล‚ฤ™dy w testach biaล‚ych skrzynek

Testy socjotechniczne

Socjotechnika

Jest to wektor ataku dla hakerรณw, majฤ…cy na celu oszukania lub zmanipulowanie osoby, do ujawniania wraลผliwych danych, czy nieล›wiadomego udzielenia do nich dostฤ™pu. Niestety najsล‚abszym ogniwem w dowolnym ล‚aล„cuchu bezpieczeล„stwa jest czล‚owiek. Kaลผdy system jest tak wytrzymaล‚y i sprawny, jak jego najsล‚abszy element - a zwykle w przypadku bezpieczeล„stwa, jest to wล‚aล›nie element ludzki. 

Za scojotechnikฤ™ moลผna uznaฤ‡ relatywnie konsekwentny sposรณb oddziaล‚ywania spoล‚ecznego โ€“ czyli wywieranie wpล‚ywu na zbiorowoล›ci oraz zachowania spoล‚eczene jednostek. Jest to rรณwnieลผ wiedza naukowa o warunkach efektywnoล›ci dziaล‚ania spoล‚ecznego. Gล‚รณwnym zadaniem socjotechniki jest wywoล‚anie nacisku na wywoล‚anie poลผฤ…danych zachowaล„ w obiektach wpล‚ywu.

W klasycznym ujฤ™ciu przekaz socjotechniczny moลผna sprowadziฤ‡ do trzech form:

  • dziaล‚ania perswazyjne - przekaz charakteryzuje duลผy stopieล„ jawnoล›ci intencji nadawcy a takลผe wyrazistoล›ciฤ… wykล‚adnikรณw perswazji,

  • dziaล‚ania manipulacyjne โ€“ usiล‚ujฤ… zmieniฤ‡ poglฤ…dy, zachowania i postawy wbrew woli jednostki sterowanej lub bez jej wiedzy,

  • dziaล‚ania facylitacyjne - majฤ… na celu stworzenie realnych sytuacji, ktรณre mogฤ… uล‚atwiฤ‡ ksztaล‚towanie nowych poglฤ…dรณw i postaw ludzi.

Natura socjotechniki ma na celu pominiฤ™cie zabezpieczeล„ technologicznych, aby obraฤ‡ za cel osobฤ™, a nie komputer.

Testy socjotechniczne

Jak wiฤ™c zapobiegaฤ‡ zewnฤ™trznym, niechcianym dziaล‚aniom socjotechnicznym majฤ…cym na celu przeล‚amanie naszych zabezpieczeล„ wewnฤ™trznych zwiฤ…zanych z cyberbezpieczeล„stwem. Podstawowym i najskuteczniejszym rozwiฤ…zaniem jest ล›wiadomoล›ฤ‡ zagroลผenia i ล›wiaodmoล›ฤ‡ technil. ลšwiadomoล›ฤ‡ bycia manipulowanym odpowiada za okoล‚o 75% zdolnoล›ci wyjล›cia z maniplulacji. Z pomocฤ… w tym zakresie przychodzฤ… testy socjotechniczne jako narzฤ™dzie analityczne, ktรณre potem sฤ… bazฤ… dla potencjlanych szkoleล„ wewnฤ™trznych. 

Testy Socjotechniczne to metoda pozwalajฤ…ca sprawdziฤ‡ stopieล„ wyczulenia i ล›wiadomoล›ci pracownikรณw oraz ogรณlnฤ… skutecznoล›ฤ‡ obowiฤ…zujฤ…cych procesรณw bezpieczeล„stwa. Test tego typu moลผe pozwoliฤ‡ na zweryfikowanie u pracownikรณw ich wiedzy w zakresie potencjalnego zagroลผenia, metod jakich atakujฤ…cy moลผe stosowaฤ‡, ล›wiadomoล›ci zagroลผeล„, jakฤ… dysponujฤ… w swoim otoczeniu, wiedzy w zakresie odpornoล›ci psychicznej. Test taki polega na wykreowaniu ze zlecajฤ…cym potencjalnego scenariusza zagroลผenia i zrealizowanie go jakby to byล‚ prawdziwy atak, co pozwoli uzyskaฤ‡ realne reakcje ludzkie do wynikรณw testu. Po przeprowadzonym teล›cie, firma ktรณra realizowaล‚a symulacjฤ™ ataku, sporzฤ…dza raport z wynikami oraz zaleceniami odnoล›nie dziaล‚aล„ mitygujฤ…cych na przyszล‚oล›ฤ‡ oraz propozycji szkoleniowych. Zazwyczaj te same firmy mogฤ… teลผ przeprowadziฤ‡ owe szkolenia. Naleลผy rรณwnieลผ pamiฤ™ta, ลผe dziaล‚ania socjotechniczne mogฤ… byฤ‡ stosowane zarรณwno zdalnie jak i fizycznie na miejscu. Naleลผy rozpozanฤ‡ swoje potrzeby przed przeprowadzeniem takiego testu, a najlepiej zweryfikowaฤ‡ obydwie warstwy. Czฤ™sto moลผe byฤ‡ bowiem tak, ลผe pracownicy mogฤ… byฤ‡ ล›wiadomi zagroลผeล„ w sieci, ale mieฤ‡ problem z rozpoznaniem zagroลผeล„ fizycznie w miejscu pracy. Naturalnie moลผliwa jest rรณwnieลผ sytuacja odwrotna. 

Techniki czฤ™sto stosowane w trakcie takich testรณw obejmujฤ… metody takie jak: 

  • phishing

  • baiting

  • link scam

  • pretexting

  • odgrywanie rรณl

  • brute force

Wykorzystujฤ…c przy tym nastepujฤ…ce kanaล‚y komunikacji:

  • poczty elektronicznej

  • mediรณw spoล‚ecznoล›ciowych

  • rozmรณw telefonicznych

  • fizycznych noล›nikรณw danych

  • bezpoล›rednich rozmรณw

Podsumowujฤ…c testy socjotechniczne pozwalajฤ… zweryfikowaฤ‡ sล‚abe strony protokoล‚รณw bezpieczeล„stwa po stronie ludzkiej, ktรณra w praktycznym ujฤ™ciu jest tฤ… najbardziej podatnฤ… na atak. Moลผliwoล›ฤ‡ wykonania takiego testu oferujฤ… liczne przedsiฤ™biorstwa z branลผy, ktรณre w ramach testu przeprowadzฤ… symulacjฤ™ realnego zagroลผenia w uzgodnieniu ze zleceniodawcฤ… oraz sporzฤ…dzฤ… raport z zaleceniami wzglฤ™dem uzyskanych wynikรณw. 

Testy socjologiczne i zwiฤ…zane z nimi szkolenia majฤ… na celu podniesienie ล›wiadomoล›ci pracownikรณw w temacie bezpieczeล„stwa IT, wzmocnienie odpornoล›ci na ataki z wykorzystaniem socjotechniki, ocenฤ™ podatnoล›ci na ataki, rozpoznanie metod socjotechnicznych, na ktรณre zespoล‚ moลผe byฤ‡ podatny, odnalezienie sล‚abych punktรณw w komunikacji oraz bล‚ฤ™dnych procedur i protokoล‚รณw bezpieczeล„stwa

Ataki DDoS

 

Czym jest atak?

Atak sieciowy jest prรณbฤ… wtargniฤ™cia do systemu operacyjnego komputera poล‚oลผonego w lokalizacji niedostฤ™pnej fizycznie, czyli przy pomocy dostฤ™pu zdalnego. Cyberprzestฤ™pcy dokonujฤ… prรณb takich atakรณw celem przejฤ™cia kontroli nad systemem, przejฤ™cia wraลผliwych lub kluczowych danych czy zablokowania funkcjonowania systemu. Pojฤ™cie ataku sieciowego moลผe byฤ‡ stosowane w ramach szkodliwej aktywnoล›ci cyberprzestฤ™pcรณw, jak skanowanie portรณw czy ataki brute force, czy aktywnoล›ci zล‚oล›liwego oprogramowania, ktรณre na przykล‚ad przesyล‚a dane do hakerรณw. 

Wล›rรณd atakรณw sieciowych moลผna wyszczegรณlniฤ‡ nastฤ™pujฤ…ce rodzaje:

  • Skanowanie portรณw,

  • Ataki DoS,

  • Wล‚amania sieciowe.

Atak DDoS

DDoS jest to rodzaj ataku sieciowego polegajฤ…cy na uniemoลผliwieniu dziaล‚ania systemu. Taki rodzaj ataku czyni system niestabilnym lub wrฤ™cz caล‚kowicie niesprawnym. DDoS jest odmianฤ… ataku DoS. DoS z angielskiego oznacza โ€žDenial of Serviceโ€, a DDoS โ€“ โ€žDistributed Denial of Serviceโ€. Przekล‚ada siฤ™ to w znaczeniu na to, ลผe atak DoS przeprowadzany jest z pojedynczego urzฤ…dzenia, a DDoS jest skoordynowanym atakiem z wielu komputerรณw.  Atak DDoS ma swoje 2 rodzaje:

  • Atak wolumetryczny - polega na masowej wysyล‚ce niechcianych danych na wskazany adres IP; iloล›ฤ‡ napล‚ywajฤ…cych danych jest tak duลผa, ลผe ล‚ฤ…cze internetowe nie jest w stanie przyjฤ…ฤ‡ tych wszystkich danych,

  • atak aplikacyjny โ€“ polega na wyczerpaniu zasobรณw informatycznych aplikacji internetowej, np. mocy obliczeniowej lub pamiฤ™ci; czasami ataki tego typu nazywane sฤ… atakami typu slow.

Atak wolumetryczny moลผna w duลผym uproszczeniu przyrรณwnaฤ‡ do przeciฤ…ลผenia przepustowoล›ci sieci, a aplikacyjny do przeciฤ…ลผenia zdolnoล›ci procesowej, tyle ลผe wykonanych celowo.

Gล‚รณwnymi celami ataku DDoS mogฤ… byฤ‡ caล‚e ล‚ฤ…cze internetowe, Firewall, IPS/IDS (systemy wykrywania intruzรณw), ADC (systemy rรณwnomiernego rozkล‚adania obciฤ…ลผenia), lub serwery. Sฤ… to co wiฤ™cej najczฤ™ล›ciej realizowane sieciowe ataki, ktรณre potrafiฤ… trwaฤ‡ od 1 godziny do nawet 1 miesiฤ…ca.

Jak broniฤ‡ siฤ™ przed DDoS?

Jednym z wariantรณw ochrony przed tego typu atakiem jest ล‚ฤ…cze internetowe z ochronฤ… DDoS. Operowane jest ono przez operatorรณw ISP. Nie jest to najskuteczniejsza forma ochrony, jednak zdecydowanie lepsza niลผ jej brak. Rozwiฤ…zanie to jest zazwyczaj pรณล‚automatyczne โ€“ oznacza to, ลผe system automatycznie wykryje anomalie w ruchu sieciowym, jednak trzeba rฤ™cznie ten ruch przekierowaฤ‡ do szczegรณล‚owej analizy i mitygacji ataku. 

Skuteczniejszym rozwiฤ…zaniem jest zastosowanie tak zwanego Scrubbing Center. Scrubbing Center to specjalnie zbudowane centrum analizy ruchu IP, w ktรณrym nastฤ™puje peล‚en monitoring pakietรณw danych, analiza anomalii w ruchu oraz mitygacja wykrytych atakรณw DDoS lub prรณb wล‚amania. 

Jeszcze innฤ… formฤ… zabezpieczenia jest WAF โ€“ Web Application Firewall. Jest to system ochrony aplikacji internetowej. Rolฤ… tego systemu jest monitorowanie zachowaล„ uลผytkownikรณw korzystajฤ…cych z aplikacji sieciowej w czasie rzeczywistym i reagowanie na jakiekolwiek prรณby destabilizacji samej aplikacji lub prรณby pokonania jej zabezpieczeล„. 

Podsumowujฤ…c, ataki typu DDoS to najczฤ™ล›ciej realizowane ataki sieciowe na ล›wiecie, odpowiadajฤ…ce za okoล‚o 25%-45% wszystkich atakรณw ล‚ฤ…cznie (w zaleลผnoล›ci od zestawianych typรณw ataku โ€“ jednak niezaleลผnie od tego DDoS jest zawsze najczฤ™ล›ciej stosowanym). Co wiฤ™cej dla hakerรณw sฤ… to jedne z ล‚atwiejszych do zrealizowania atakรณw. Jedynym prawdziwym kosztem w przygotowaniu takiego ataku jest praca, zaล› koszty poniesione przez przedsiฤ™biorstwo mogฤ… byฤ‡ zdecydowanie wyลผsze, poczynajฤ…c od utraconej w tym czasie sprzedaลผy po osล‚abionฤ… renomฤ™ i wizerunek. Dlatego tak waลผna jest ล›wiadomoล›ฤ‡ istnienia zagroลผenia oraz wiedza w zakresie zabezpieczenia siฤ™ przed potencjalnym ryzykiem.

Trend i bezpieczeล„stwo rozwiฤ…zaล„ chmurowych

Czym sฤ… chmury?

Definicja chmury moลผe byฤ‡ stosunkowo niejasna, jednak zasadniczo jest to globalna sieฤ‡ serwerรณw, z ktรณrych kaลผdy peล‚ni osobnฤ… funkcjฤ™. Serwery pomimo bycia rozล‚oลผonych na caล‚ym ล›wiecie sฤ… ze sobฤ… poล‚ฤ…czone, tworzฤ…c wspรณlnie jeden ekosystem. W ramach swoich funkcji zajmujฤ… siฤ™ one przechowywaniem informacji, zezwalajฤ… na zarzฤ…dzanie tymi danymi, obsล‚ugujฤ… aplikacje, dostarczajฤ… usล‚ugi takie jak strumieniowe przesyล‚anie wideo, zdalne oprogramowanie biurowe, czy poczta e-mail. Chmury dajฤ… wiฤ™c moลผliwoล›ฤ‡ zdalnego dostฤ™pu do swoich plikรณw, aplikacji czy innego typu usล‚ug bez wykorzystania zasobรณw lokalnych urzฤ…dzenia.

Istnieje kilka rodzajรณw chmur. Chmura publiczna udostฤ™pnia zasoby publicznie przez sieฤ‡ Internet. Chmura prywatna jest rozwiฤ…zaniem hostowym w sposรณb lokalny w ramach sieci wewnฤ™trznej danego podmiotu. Chmura hybrydowa udostฤ™pnia usล‚ugi w sposรณb zarรณwno prywatny, jak i publiczny zaleลผnie od przeznaczenia.

Korzyล›ci wykorzystywania rozwiฤ…zaล„ chmurowych:

  • Dostฤ™p zdalny w dowolnej chwili,

  • Wysoka wydajnoล›ฤ‡,

  • Bezpieczeล„stwo,

  • Zdolnoล›ฤ‡ do zaawansowanej analityki,

  • Oszczฤ™dnoล›ฤ‡ kosztรณw.

Wyzwania przy korzystaniu z rozwiฤ…zaล„ chmurowych:

  • Ograniczenia regulacyjne zwiฤ…zane z ochronฤ… danych osobowych,

  • Automatyczne aktualizacje (nie ma wpล‚ywu na wersjฤ™ wykorzystywanego narzฤ™dzia, wiฤ™c wprowadzane zmiany niezaleลผnie czy siฤ™ podobajฤ…, czy teลผ nie, muszฤ… zostaฤ‡ zaakceptowane),

  • Peล‚na zaleลผnoล›ฤ‡ od sieci Internet,

  • Odpowiedzialnoล›ฤ‡ pracownikรณw odnoล›nie wล‚aล›ciwego wykorzystywania mocy obliczeniowej chmur,

  • Ograniczenia we wspรณล‚pracy z klientami (niektรณre umowy uniemoลผliwiajฤ… wykorzystywanie takich rozwiฤ…zaล„).

Trendy i bezpieczeล„stwo

Rozwiฤ…zania chmurowe sฤ… krytycznym elementem cyfrowego ล›rodowiska w wiฤ™kszoล›ci firm, a czฤ™sto takลผe kluczowym czynnikiem umoลผliwiajฤ…cym osiฤ…gniฤ™cie sukcesu. Raport โ€ž2021 Cloud Security Raportโ€ wskazuje, ลผe w chmurze ponad poล‚owฤ™ swoich zadaล„ obliczeniowych wykonuje 33% firm, a liczba ta wzroล›nie do 56% w ciฤ…gu najbliลผszego roku. ลšwiadczy to o tym jak silnie ล›rodowisko cyfrowe podmiotรณw gospodarczych zmierza ku rozwiฤ…zaniom chmurowym. Majฤ…c na uwadze rosnฤ…cฤ… liczbฤ™ ลบrรณdeล‚ potencjalnych atakรณw, bezpieczeล„stwo pozostaje przedmiotem uwagi. Jak twierdzi okoล‚o 67% specjalistรณw wypowiadajฤ…cych siฤ™ w raporcie gล‚รณwnym, zagroลผeniem nie sฤ… bezpoล›rednie ataki cyberprzestฤ™pcรณw, a bล‚ฤ™dy popeล‚nione w trakcie konfiguracji narzฤ™dzi ochronnych. Co wiฤ™cej, ponad 70% podmiotรณw korzysta z usล‚ug wielochmurowych, od rรณลผnych dostawcรณw. Tworzy to problem konfiguracyjny i administracyjny tak, aby zachowaฤ‡ spรณjnฤ… politykฤ™ bezpieczeล„stwa wspรณlnฤ… dla rรณลผnych rozwiฤ…zaล„. Prawie 80% badanych specjalistรณw uznaล‚oby za pomocne istnienie pojedynczej platformy zabezpieczajฤ…cej zasoby chmurowe, zapewniajฤ…cej dla nich wspรณlny pulpit administracyjny, gdyby takowa istniaล‚a. Jak siฤ™ okazuje najwiฤ™ksza odpowiedzialnoล›ฤ‡ za bezpieczeล„stwo w przypadku usล‚ug chmurowych spoczywa na ich uลผytkowniku, a nie dostawcy. Dostawcy bowiem zapewniajฤ… zazwyczaj wszelkie moลผliwe narzฤ™dzia sล‚uลผฤ…ce zabezpieczeniu chmury. Cyberprzestฤ™pcy rzadko majฤ… na celu atak na konkretne przedsiฤ™biorstwo, ataki sฤ… bardziej losowe i skuteczne w przypadku podmiotรณw, ktรณre jak wskazano wczeล›niej, popeล‚niล‚y bล‚ฤ™dy w procesie konfiguracji zabezpieczeล„ lub zawiodล‚y w informatycznej higienie. Do podstawowych zasad ochrony ze strony uลผytkownika naleลผฤ… kluczowo: jego wiedza i odpowiedzialnoล›ฤ‡, stosowanie odpowiedniej kontroli dostฤ™pu, szyfrowanie danych, wล‚aล›ciwa ochrona danych logowania i zabezpieczenia wieloetapowe.

Chmury sฤ… przyszล‚oล›ciฤ… ล›rodowisk informatycznych. Nie odsuwajฤ… jednak w peล‚ni wagi wdroลผeล„ lokalnych, ktรณre dalej odpowiadajฤ… za okoล‚o 1/3 wdroลผeล„ w przedsiฤ™biorstwach. Wraz z rozwojem wdroลผeล„ chmurowych wymagane jest zwiฤ™kszenie ล›wiadomoล›ci uลผytkownikรณw w zakresie wล‚aล›ciwego zabezpieczenia siebie w sieci, tak by mรณc w peล‚ni korzystaฤ‡ z zalet tego typu rozwiฤ…zaล„.

Bezpieczne smartfony

Bezpieczeล„stwo urzฤ…dzeล„ mobilnych i statystyki:

W dobie urzฤ…dzeล„ mobilnych kluczowym jest zadbanie o poprawne procedury bezpieczeล„stwa w zwiฤ…zku z korzystaniem z nich. Z raportu โ€žDigital 2021โ€, 66,6% populacji caล‚ego ล›wiata korzysta z urzฤ…dzeล„ mobilnych, a okoล‚o 76% z nich, to uลผytkownicy smartfonรณw. W Polsce ta statystyka jest zbliลผona. Liczba tych uลผytkownikรณw stale wzrasta. Wedล‚ug statystyki ponad poล‚owa transakcji zawieranych online, jest realizowana przy pomocy urzฤ…zdeล„ mobilnych. Co wiฤ™cej 98,8% uลผytkonikรณw mediรณw spoล‚ecznoล›ciowych korzysta z nich rรณwnieลผ na smartfonach. Udziaล‚ wszystkich internautรณw mobilnych stanowi 92,6% w ogรณlnej liczbie internautรณw. W dodatku, ponad poล‚owa ruchu generowanego w sieci Internet pochodzi ze smartfonรณw. Na podstawie tych statystk ล‚atwo stwierdziฤ‡, ลผe urzฤ…dzenia mobilne odgrywajฤ… kolosalnฤ… rolฤ™ w naszym bezpieczeล„stwie cyfrowym ze wzglฤ™du na czestotliwoล›ฤ‡ ich wykorzystywania oraz dane, ktรณre zazwyczaj sฤ… na nich przechowywane. 

Jak korzystaฤ‡ bezpiecznie?

Dziaล‚ania podejmowane w celu poprawy bezpieczeล„stwa majฤ… rรณลผnoraki charakter. Niektรณre polegajฤ… na wprowadzeniu odpowiednich procedur i zabezpieczeล„, jednak wiele z nich polega na odpowiednich nawykach uลผytkownika i jego ล›wiadomoล›ci.

  • Ustaw blokadฤ™ ekranu โ€“ dostฤ™pnych jest wiele moลผliwoล›ci w tym zakresie poczฤ…wszy od kodรณw PIN czy symboli graficznych po bardziej zaawansowane rozwiฤ…zania biometryczne dostฤ™pnych w konkretnych urzฤ…dzeniach.  Wybรณr naleลผy do uลผytkownika. W przypadku wykorzystania zabezpieczeล„ biometrycznych naleลผy jednak pamiฤ™taฤ‡, ลผe nigdy nie wiadomo, dokฤ…d nasze dane biometryczne dotrฤ…, gdzie i przez kogo bฤ™dฤ… przechowywane. Dlatego dla osรณb ceniฤ…cych sobie tego rodzaju prywatnoล›ฤ‡ dalej pozostaje moลผliwoล›ฤ‡ wykorzystania nieco ล‚atwiejszych do zล‚amania zabezpieczeล„, ale dalej sprawnych i nienaruszajฤ…cych prywatnoล›ci,

  • Nie zezwalaj na wyล›wietlanie wiadomoล›ci SMS, maili, czy innych tego typu powiadomieล„ bez odblokowania ekranu urzฤ…dzenia โ€“ ustawienie tego typu powinno byฤ‡ dostฤ™pne z poziomu systemu urzฤ…dzenia,

  • Zawsze korzystaj z poล‚ฤ…czenia z sieciฤ… oraz lokalizacji โ€“ rozwiฤ…zanie moลผe nieco zmiejszyฤ‡ wygodฤ™ uลผytkowania ze wzglฤ™du na szybsze zuลผycie baterii urzฤ…dzenia, jednak w przypadku zgubienia lub kradzieลผy pozwala na zlokalizowanie swojego urzฤ…dzenia,

  • Uaktywnij ล›ledzenie urzฤ…dzenia u operatora โ€“ dodatkowe zabezpieczenie podobne do wymienionego powyลผej,

  • Kontroluj przyznawanie uprawnieล„ aplikacjom โ€“ po zainstalowaniu aplikacje mogฤ… prosiฤ‡ o konkretne uprawnienia, jak na przykล‚ad do wykorzystania aparatu, pamiฤ™ci urzฤ…dzenia, czy nawet kontaktรณw i wiadomoล›ci SMS. Celem zachowania prywatnoล›ci nie zaleca siฤ™ udostฤ™pniania kontaktรณw, ani wiadomoล›ci SMS. Aplikacje zazwyczaj proszฤ… o to w celu zautomatyzowania procesu swojego dziaล‚ania, ale wszystko moลผna zrealizowaฤ‡ rฤ™cznie bez dawania tego dostฤ™pu rezygnujฤ…c z lenistwa na rzecz prywatnoล›ci i bezpieczeล„stwa,

  • Instaluj jedynie zweryfikowane aplikacje โ€“ podobnie jak na urzฤ…dzeniach desktopowych naleลผy zawsze bacznie przyglฤ…daฤ‡ siฤ™ pochodzeniu aplikacji, najlepiej pobierajฤ…c je jedynie z zaufanego sklepu zaleลผnego od dostawcy urzฤ…dzenia,

  • Wyrรณb nawyk zgrywania zdjฤ™c, filmรณw i dokumentรณw z urzฤ…dzenia mobilnego na prywatny komputer lub dysk zewnฤ™trzny โ€“ pozwala to na zaoszczฤ™dzenie przestrzeni na telefonie oraz ograniczenie naruszenia prywatnoล›ci w przypadku utraty urzฤ…dzenia lub wykradania z niego danych,

  • W przypadku urzฤ…dzeล„ sล‚uลผbowych rozwaลผ zaszyfrownie danych โ€“ rozwiฤ…zanie to moลผe byฤ‡ niekorzyste w przypadku awarii urzฤ…dzenia, gdyลผ dane sฤ… wtenczas nie do odzyskania, jednak w przypadku sprawnego dziaล‚ania, sฤ… duลผo bezpieczniejsze,

  • Nie przeglฤ…daj podejrzanych stron โ€“ tak samo jak na wszlekich innych urzฤ…dzeniach naleลผy zachowaฤ‡ ostroลผnoล›c w przypadku przeglฤ…dania sieci, gdyลผ niektรณre strony mogฤ… byฤ‡ zawirusowane, mogฤ… wyล‚udzaฤ‡ informacje lub byฤ‡ innym rodzajem oszustwa i zagroลผenia,

  • Do poล‚ฤ…czenia z Internetem wykorzystuj jedynie prywatne poล‚aczenie komรณrkowe lub sieci domowe โ€“ wykorzystywanie publicznych sieci Wi-Fi naraลผa na podล‚ฤ…czenie siฤ™ do sieci, w ktรณrej praktycznie kaลผdy uลผytkownik moลผe ล›ledziฤ‡ nasz ruch w sieci, czy naraลผa teลผ na wล‚amanie do urzฤ…dzenia. Rozwiฤ…zaniem, ktรณre moลผe byฤ‡ mitygujฤ…ce to ryzyko jest wykorzystanie VPN,

  • Nie udostฤ™pniaj swojego numeru telefonu publicznie i zwarzaj jakim podmiotom go udostฤ™pniasz.

Urzฤ…dzenia mobilne to wpaniaล‚y kawaล‚ek technologii uล‚atwiajฤ…cy nam ลผycie na co dzieล„ i pozwalajฤ…cy na realizowanie licznych zadaล„ z dowolnego miejsca. Zapewniajฤ… peล‚nฤ… mobilnoล›ฤ‡ i elastycznoล›c dziฤ™ki swoim rozmiarom, a funkcjonalnoล›ciฤ… w pewnym stopniu mogฤ… zastฤ…piฤ‡ komputer. Smartfony posiadajฤ… coraz wiฤ™cej funkcji i pozwalajฤ… na coraz wiฤ™cej rozwiฤ…zaล„ wraz z rozwojem technologii. Naleลผy jednak pamiฤ™taฤ‡, ลผe sฤ… rรณwnieลผ zbiorem kolosalnych danych o nas oraz przechowujฤ… wiele informacji wraลผliwych. Wraz z rozwojem fintech, smartfony staล‚y siฤ™ zastฤ™pstwem dla kart pล‚atniczych i innych rozwiฤ…zaล„ finansowych. Sฤ… zsynchronizowane z licznymi bazami danych, skrzynkami pocztowymi, czy mediami spoล‚ecznoล›ciowymi. Wszystkie wymienione elementy zawierajฤ… w sobie informacje wraลผliwe i wymagajฤ… wysokiego priorytetu ochorny.

Bezpieczna praca zdalna

Praca zdalna

W dobie pandemii praca zdalna zyskaล‚a na wartoล›ci i wadze jak nigdy dotฤ…d. Wykorzystujฤ…c wspรณล‚czesne formy komunikacji umoลผliwia ona realizowanie czynnoล›ci zawodowych z dowolnego miejsca na ล›wiecie. Ta forma pracy moลผe przynosiฤ‡ korzyล›ci zarรณwno pracownikom jak i pracodawcom, jednak niesie ze sobฤ… rรณwnieลผ dodatkowe zagroลผenia cybernetyczne. Kluczem do dobrej i bezpiecznej pracy zdalnej jest odpowiednie przygotowanie miejsca pracy.

Porady dla domowego biura:

  • Zabezpieczaฤ‡ swรณj router domowy poprzez zmianฤ™ domyล›lnego hasล‚a oraz nazwy sieci,

  • Wyposaลผyฤ‡ siฤ™ w zaล›lepkฤ™ na kamerฤ™ i pamiฤ™taฤ‡ o zasล‚anianiu jej zawsze kiedy nie jest wymagany jej uลผytek,

  • Odchodzฤ…c od miejsca pracy zawsze blokowaฤ‡ ekran lub wylogowaฤ‡ siฤ™ ze swojego profilu uลผytkownika systemu operacyjnego,

  • Nie udostฤ™pniaฤ‡ sprzฤ™tu roboczego,

  • Szyfrowaฤ‡ dane,

  • Nie udostฤ™pniaฤ‡ swoich pamiฤ™ci zewnฤ™trznych.

Porady bezpieczeล„stwa dla pracownika:

  • Pamiฤ™taฤ‡ o rozdzielaniu czasu pracy od czasu wolnego,

  • Zachowaฤ‡ ostroลผnoล›ฤ‡ korzystajฤ…c z wล‚asnego sprzฤ™tu,

  • Czujnie korzystaฤ‡ z sieci,

  • Wykorzystywaฤ‡ jedynie zaufane sieci do poล‚ฤ…czenia zdalnego ,

  • Zgล‚aszaฤ‡ problemy,

  • Unikaฤ‡ udostฤ™pniania danych osobowych.

Porady bezpieczeล„stwa dla pracodawcy:

  • Ustaliฤ‡ zasady i procedury pracy zdalnej,

  • Zabezpieczyฤ‡ sprzฤ™t firmowy,

  • Aktualizowaฤ‡ na bieลผฤ…co systemy operacyjne i aplikacje,

  • Zabezpieczyฤ‡ kanaล‚y komunikacji wewnฤ™trznej,

  • Monitorowaฤ‡ stan bezpieczeล„stwa w firmie,

  • Prowadziฤ‡ audyty bezpieczeล„stwa,

  • Uล›wiadamiaฤ‡ pracownikรณw o zagroลผeniach zwiฤ…zanych z pracฤ… zdalnฤ….

Wyลผej wymienione praktyki sฤ… dobrym poczฤ…tkiem w ramach przygotowania siebie, swojego sprzฤ™tu i miejsca pracy do pracy zdalnej. Nie sฤ… to jednak wszystkie rzeczy, na ktรณre naleลผy zwracaฤ‡ uwagฤ™. W trakcie pracy mogฤ… pojawiaฤ‡ siฤ™ standardowe zagroลผenia wystฤ™pujฤ…ce w sieci, jak phishing (wyล‚udzanie danych), oszustwa sieciowe, czy e-mailowe. Naleลผy aktywnie podchodziฤ‡ do swojego bezpieczeล„stwa. Naleลผy sprawdzaฤ‡ adresy domen, adresy email przychodzฤ…cej korespondencji, konsultowaฤ‡ niepewnoล›ci. 

Kluczowe rรณwnieลผ jest zabezpieczenie sieci. Poza wspomnianym zabezpieczeniem routera, moลผna wykorzystaฤ‡ teลผ jego dodatkowe ustawienia konfiguracyjne, celem poprawienia bezpieczeล„stwa swojej sieci. Do takich ustawieล„ mogฤ… naleลผeฤ‡:

  • Wล‚ฤ…czony WPS,

  • Wyล‚ฤ…czony UPnP,

  • Wyล‚ฤ…czony dostฤ™p zdalny.

W zwiฤ…zku z sieciฤ… naleลผy rรณwnieลผ pamiฤ™taฤ‡ o moลผliwoล›ci wykorzystywania VPN, co moลผe mieฤ‡ silny, pozytywny wpล‚yw na bezpieczeล„stwo poล‚ฤ…czenia z sieciฤ….

Cyberbezpieczeล„stwo caล‚y czas byล‚o bardzo waลผnym aspektem wspรณล‚czesnej pracy, jednak nabiera ono caล‚kowicie nowego znaczenia wraz z rozpowszechnieniem pracy zdalnej. Odpowiedzialnoล›ฤ‡ rozciฤ…ga siฤ™ na duลผo szerszy zakres osรณb, dlatego teลผ kluczowym jest uล›wiadomienie sobie tej odpowiedzialnoล›ci i prawidล‚owe edukowanie siฤ™ w tej dziedzinie.  

Bezpieczeล„stwo w mediach spoล‚ecznoล›ciowych

Media i bezpieczeล„stwo

 Media spoล‚ecznoล›ciowe staล‚y siฤ™ nierozrywalnฤ… z codziennoล›ciฤ… rzeczywistoล›ciฤ…, ktรณra przejawia siฤ™ na dowolnych poziomach ลผycia, niezaleลผnie od tego czy mowa o zastosowaniu zawodowym czy czysto uลผytkowym. Okoล‚o 51% populacji ล›wiata korzysta z social mediรณw. Jest to niebagatelizowalna iloล›ฤ‡, wล›rรณd ktรณrej wielu z nas siฤ™ znajduje, dlatego teลผ powinniล›my dbaฤ‡ o swoje bezpieczeล„stwo oraz prywatnoล›ฤ‡. 

Porady zachowania prywatnoล›ci:

  • Przy zakล‚adaniu konta:

    • Naleลผy zapoznaฤ‡ siฤ™ z politykฤ… prywatnoล›ci i sposobem przetwarzania danych oraz czasem ich przechowywania

    • Przemyล›leฤ‡ kwestiฤ™ uลผywania swojego realnego imienia i nazwiska

    • Pomijaฤ‡ wszelkie opcjonalne pytania i pola podania informacji, ktรณre sฤ… zbฤ™dne

    • Staraฤ‡ siฤ™ nie podawaฤ‡ numeru telefonu

    • Przemyล›leฤ‡ zastosowanie innego adresu e-mail niลผ stosowanego na co dzieล„

    • Zastosowaฤ‡ silne hasล‚o 

    • Wprowadziฤ‡ uwierzytelnianie dwupoziomowe

  • Podczas korzystania z platform:

    • Rozwaลผyฤ‡ zainastalowanie rozszerzenia do przeglฤ…darki, ktรณre blokuje ล›ledzenie informacji o uลผytkowniku

    • Zablokowaฤ‡ pliki cookie innych firm

    • Zastosowaฤ‡ powiadomienia e-mail lub push odnoล›nie bezpieczeล„stwa konta

    • Regularnie sprawdzaฤ‡ profile obserwowane

    • Obserwowaฤ‡ i dodawaฤ‡ do znajomych jedynie sprawdzone i zaufane profile

    • Wyล‚ฤ…czyฤ‡ udostฤ™pnianie danych o lokalizacji oraz nie podawaฤ‡ takich informacji samodzielnie

    • Udostฤ™pniajฤ…c treล›ci naleลผy dbaฤ‡ o prywatnoล›ฤ‡ innych oraz odpowiedzialnie dobieraฤ‡ treล›ci

    • Omijaฤ‡ wiadomoล›ci od nieznanych profili

    • Zachowaฤ‡ ostroลผnoล›ฤ‡ klikajฤ…c w reklamy i zaล‚ฤ…czone linki

    • Traktowaฤ‡ kaลผdฤ… udostฤ™pnianฤ… informacjฤ™ jako publicznฤ… โ€“ warto przemyล›leฤ‡ swojฤ… publikacjฤ™ 2 razy

    • W miejscach publicznych unikaฤ‡ korzystania z publicznych sieci Wi-Fi. Preferowanym rozwiฤ…zaniem jest poล‚aczenie prywatne sieci komรณrkowej lub wykorzystanie VPN

    • Cyklicznie sprawdzaฤ‡, czy polityka prywatnoล›ci danego serwisu nie ulegล‚a zmianie

    • Zapoznawaฤ‡ siฤ™ z ustawieniami grup, do ktรณrych siฤ™ doล‚ฤ…cza lub obecnie przynaleลผy

    • Cyklicznie robiฤ‡ przeglฤ…d aplikacji, ktรณre wykorzystujฤ… dane konta

    • Regularnie sprawdzaฤ‡ sesje logowania do profilu

  • W zastsosowaniu zawodowym:

    • Dbaฤ‡ o prywatnoล›c partenrรณw bieznesowych 

    • Wdroลผyฤ‡ system zarzฤ…dzania bezpieczeล„stwem informacji 

    • Regularnie szkoliฤ‡ pracownikรณw z zakresu ochrony danych osobowych

    • Konsultowaฤ‡ publikowane treล›ci

Media spoล‚ecznoล›ciowe sฤ… wspaniaล‚ym narzฤ™dziem dajฤ…cym liczne moลผliwoล›ci kontaktu, reklamy, dzielenia swoich doล›wiadczeล„ i wiedzy oraz miejscem nauki i rozrywki. Zawsze naleลผy jednak mieฤ‡ na uwadze swoje i cudze bezpieczeล„stwo w trakcie korzystania z tego rozwiฤ…zania. Facebook szacuje, ลผe okoล‚o 5% kont na platformie jest sztucznych โ€“ nienaleลผฤ…cych do realnego uลผytkownika, nie przedstawiajฤ…cych go. Takie konta mogฤ… byฤ‡ podstawฤ… do dokonania cyberataku lub innego oszustwa. Dlatego wล‚aล›nie naleลผy przestrzegaฤ‡ dobrych praktyk. 

MENU

Lokal uลผytkowany dziฤ™ki wsparciu Miasta Stoล‚ecznego Warszawy Zakล‚ad Gospodarowania Nieruchomoล›ciami Warszawa ลšrรณdmieล›cie

 

ADRES

ul. Piฤ™kna 31/37

00-677 Warszawa

tel. +48 512 196 378

biuro@klasterict.pl

KONTAKT

E-mail
Wiadomoล›ฤ‡
WYลšLIJ
WYลšLIJ
Formularz zostaล‚ wysล‚any - dziฤ™kujemy.
Proszฤ™ wypeล‚niฤ‡ wszystkie wymagane pola!

Czym jest Pen Testing

 

Czym jest Pen Testing?

Pen test, inaczej test penetracyjny, jest to dziaล‚anie polegajฤ…ce na podwaลผeniu ล›rodkรณw bezpieczeล„stwa cybernetycznego danego podmiotu, poprzez prรณbฤ™ realnego obejล›cia tych ล›rodkรณw. Jest to etycznie poprawna praktyka sล‚uลผฤ…ca bezpieczeล„stwu firmy, realizowana przez tak zwanych etycznych hakerรณw (white-hat). Przeprowadzane testy sฤ… unikalne i niepowtarzalne dla kaลผdego z przedsiฤ™biorstw, rรณwnieลผ zaleลผnie od czasu ich przeprowadzenia i stanu oraz poziomu zabezpieczeล„. Pen testy sฤ… podzielone na 3 kategorie ze wzglฤ™du na poziom posiadanej wiedzy przy ล‚amaniu zabezpieczeล„:

  • Black Box โ€“ to test z minimalnฤ… wiedzฤ…. Taki test stara siฤ™ odzwierciedliฤ‡ realnฤ… wiedzฤ™ potencjalnego wล‚amywacza. Zespรณล‚ sprawdzajฤ…cy moลผe w takim przypadku otrzymaฤ‡ na przykล‚ad jedynie adresy serwisu i nic wiฤ™cej.

  • Grey Box โ€“ test poล›redni miฤ™dzy white box a black box. Zespรณล‚ roboczy otrzymuje podstawowe dane bez szczegรณล‚รณw na temat serwisu i przedsiฤ™biorstwa.

  • White Box โ€“ jest to jest z wykorzystaniem peล‚nej wiedzy a nawet dokumentacji technicznej i kodu ลบrรณdล‚owego czy konfiguracji urzฤ…dzeล„ sieciowych. 

Kaลผdy z wymienionych rodzajรณw testรณw posiada swoje wady i zalety, dlatego dostosowanie testu powinno podlegaฤ‡ personalnej konfiguracji wzglฤ™dem potrzeb firmy. Przedsiฤ™biorstwa wykonujฤ…ce testy chฤ™tnie pomogฤ… dobraฤ‡ idealnฤ… ofertฤ™ dla klienta.

Jakie korzyล›ci zapewnia Pen Testing?

Dziaล‚anie opisane powyลผej jest w pewnym ujฤ™ciu usล‚ugฤ… doradczฤ…. Po wykonaniu testu dokonywana jest analiza i przygotowany jest raport z mocnych i sล‚abych stron zastanego systemu zabezpieczeล„ i architektury cyfrowej. 

Korzyล›ci z przeprowadzenia Pen testu:

  • Zidentyfikowanie mocnych i sล‚abych stron w zakresie cyberbezpieczeล„stwa

  • Weryfikacja realnego bezpieczeล„stwa obecnego systemu zabezpieczeล„

  • Przeprowadzenie Pen testu zapewnia zgodnoล›ฤ‡ firmy z GDPR (General Data Protection Regulation)

  • Moลผliwoล›ฤ‡ oceny zdolnoล›ci firmy na poradzenie sobie z atakiem i sytuacjฤ… kryzysowฤ…

  • Ostrzeลผenie organizacji o potencjalnych punktach zagroลผenia

  • Poprawa strategii reakcji na atak oraz dziaล‚aล„ mitygujฤ…cych

Cyberbezpieczeล„stwo - Norma PN-ISO/IEC 27001

Czym jest system zarzฤ…dzania PN-ISO/IEC 27001?

Norma PN-ISO/IEC 27001 jest to model systemu zarzฤ…dzania bezpieczeล„stwem informacji, ktรณry okreล›la wymagania dla ustanowienia, wdroลผenia, eksploatacji, monitorowania, przeglฤ…du, utrzymania i doskonalenia systemu. Zarzฤ…dzanie bezpieczeล„stwem informacji zwiฤ…zane jest nie tylko z ochronฤ… systemรณw informatycznych. Sล‚uลผy takลผe zapewnieniu bezpieczeล„stwa danych osobowych, informacji handlowych oraz innych informacji stanowiฤ…cych tajemnicฤ™ przedsiฤ™biorstwa. Naleลผy rรณwnieลผ pamiฤ™taฤ‡, ลผe ochrona przed utratฤ… danych to prawny obowiฤ…zek wszystkich podmiotรณw prowadzฤ…cych dziaล‚alnoล›ฤ‡ gospodarczฤ…. 

Korzyล›ci wynikajฤ…ce z wdroลผenia normy PN-ISO/IEC 27001:

  • Wzrost ล›wiadomoล›ci pracownikรณw

  • Zachowanie poufnoล›ci i integralnoล›ci posiadanych informacji

  • Zwiฤ™kszenie zaufania klientรณw

  • Nadzรณr nad procesami przetwarzania informacji

  • Speล‚nienie wymagaล„ prawnych

  • Lepsza identyfikacja zagroลผeล„

Proces certyfikacji:

Proces certyfikacji nie jest bardzo skomplikowany. Wraz z podjฤ™ciem decyzji o chฤ™ci uzyskania takiego certyfikatu, naleลผy skierowaฤ‡ zapytanie o ofertฤ™ na proces certyfikacji do akredytowanych podmiotรณw ล›wiadczฤ…cych takฤ… usล‚ugฤ™. Po zawarciu umowy z podmiotem zostaje przeprowadzony audyt, ktรณrego produktem koล„cowym bฤ™dzie raport. W przypadku wykrycia niezgodnoล›ci z normฤ… w trakcie przeprowadzonego audytu, organizacja musi skorygowaฤ‡ te niezgodnoล›ci celem wtรณrnej weryfikacji do momentu uzyskania oceny pozytywnej. Kolejnym krokiem jest weryfikacja raportu z audytu, a wraz z niฤ… decyzja o przyznaniu certyfikatu. Na ostatnim etapie procesu nastฤ™puje rozliczenie finansowe usล‚ugi oraz wydanie certyfikatu.

Dziaล‚ania korygujฤ…ce mogฤ… polegaฤ‡ na:

  • Dodatkowych wdroลผeniach

  • Przeprowadzeniu niezbฤ™dnych zmian i szkoleล„

VPN โ€“ bezpieczne poล‚ฤ…czenie

 

Czym jest i jak dziaล‚a VPN?

VPN (Virtual Private Network) oznacza w bezpoล›rednim tล‚umaczeniu wirtualnฤ… sieฤ‡ prywatnฤ…. VPN moลผna przyrรณwnaฤ‡ do tunelu, bฤ™dฤ…cego bezpoล›rednim poล‚ฤ…czeniem klienta z usล‚ugฤ…. W przypadku tradycyjnego korzystania z Internetu (bez VPN), uลผytkownik ล‚ฤ…czy siฤ™ z serwerem dostawcy swoich usล‚ug i stamtฤ…d zostaje przenoszony w kolejne lokalizacje w sieci. Korzystanie z VPN ogranicza iloล›ฤ‡ serwerรณw, z ktรณrych korzysta uลผytkownik w trakcie poruszania siฤ™ po sieci. W przypadku VPN, uลผytkownik komunikuje siฤ™ z dostawcฤ…, a dostawca z serwerem VPN i tu ruch siฤ™ koล„czy. Wczeล›niejsze przyrรณwnanie do tunelu ma teลผ na celu przedstawiฤ‡ pewnego rodzaju bezpieczeล„stwo. A mianowicie zabezpieczenie przed obserwacjฤ… ruchu i dziaล‚aล„ w sieci. 

Jakie korzyล›ci zapewnia VPN?

VPN jest w skrรณcie zabezpieczeniem poล‚ฤ…czenia, do ktรณrego nikt nie moลผe zajrzeฤ‡ i wykraล›ฤ‡ wฤ™drujฤ…cych danych. W przypadku, kiedy zarzฤ…dzamy sklepem internetowym, serwerem, bazami danych czy innymi poufnymi zasobami sieciowymi bardzo waลผne jest zachowanie peล‚nego bezpieczeล„stwa tychลผe zasobรณw. W trosce o swojฤ… reputacjฤ™, informacje klientรณw, informacje poufne, wewnฤ™trzne i wiele innych.  Bardzo popularnym zastosowaniem VPN dla bezpieczeล„stwa jest sytuacja, kiedy czฤ™sto korzystamy z sieci publicznych Wi-Fi, na przykล‚ad w parkach, kawiarniach, lotniskach czy innych miejscach publicznych. Te sieci sฤ… otwarte dla kaลผdego i ล‚atwo podglฤ…daฤ‡ w nich ruch, dlatego rozwiฤ…zanie, jakim jest VPN jest idealne w takich sytuacjach, poniewaลผ tworzy ono โ€žprzysล‚owiowy tunelโ€, ktรณry daje uลผytkownikowi anonimowoล›ฤ‡. 

Zalety VPN:

  • Prywatnoล›ฤ‡

  • Anonimowoล›ฤ‡

  • Bezpieczne poล‚ฤ…czenie

  • Zasล‚ona przez hakerami

  • Dostฤ™p do zablokowanych zagranicznych treล›ci

Korzystanie z VPN

Rynek oferuje liczne moลผliwoล›ci w zakresie poล‚ฤ…czeล„ VPN. Dostawcรณw tego typu usล‚ug jest bardzo duลผo i jest z czego wybieraฤ‡ w zaleลผnoล›ci od swoich potrzeb. Dobrej jakoล›ci VPN jest usล‚ugฤ… pล‚atnฤ…, ale kiedy chodzi o bezpieczeล„stwo cena nie gra roli. Korzystanie z VPN jest bardzo proste, wystarczy zainstalowaฤ‡ usล‚ugฤ™ na swoich urzฤ…dzeniach, a wล‚ฤ…czenie funkcji VPN to jedno klikniฤ™cie. Sล‚uลผy do tego w wiฤ™kszoล›ci przypadkรณw przeล‚ฤ…cznik typu wล‚ฤ…cz-wyล‚ฤ…cz. Uลผytkownik ma teลผ czฤ™sto do wyboru region serwera VPN, z ktรณrego moลผe korzystaฤ‡ celem poprawy wydajnoล›ci lub dostฤ™pnoล›ci materiaล‚รณw zagranicznych.

Poradnik bezpieczeล„stwa โ€“ silne hasล‚o

Dlaczego potrzeba silnych haseล‚?

Coraz wiฤ™ksza czฤ™ล›ฤ‡ danych prywatnych umiejscowiona jest w cyberprzestrzeni. Coraz mniej leลผy w fizycznym ล›wiecie, a dane staล‚y siฤ™ niemalลผe walutฤ…. Zagroลผenie jest realne. Nie mamy wpล‚ywu na sytuacje takie jak wycieki danych z firm, ktรณre przechowujฤ… nasze dane, jednak moลผemy siฤ™ zabezpieczyฤ‡ przynajmniej przed atakami prywatnymi.

Czego unikaฤ‡ tworzฤ…c hasล‚o?

Przy tworzeniu silnego hasล‚a waลผne jest by nie stosowaฤ‡ konkretnych, a w szczegรณlnoล›ci spopularyzowanych sล‚รณw lub znanych zwiฤ…zanych z osobฤ… informacji, jak imiฤ™, nazwisko czy rok, miesiฤ…c lub dzieล„ urodzenia. 

Zalecenia przy tworzeniu silnego hasล‚a

Optymalnym rozwiฤ…zaniem w przypadku silnego hasล‚a - jest hasล‚o, ktรณre zbudowane jest z losowego ciฤ…gu alfanumerycznego przeplatanego ze znakami specjalnymi jak โ€žAkjDbn6#w1jโ€. Takie hasล‚o moลผe byฤ‡ jednak ciฤ™ลผkie do zapamiฤ™tania i podstawowym rozwiฤ…zaniem tego problemu jest korzystanie z menedลผera haseล‚ oferowanych na przykล‚ad przez Google czy  wiele inne firmy, ktรณre sล‚uลผฤ… do zapamiฤ™tania hasล‚a skojarzonego z platformฤ… i uลผytkownikiem. W takim przypadku naleลผy pamiฤ™taฤ‡, ลผe korzystajฤ…c z takich menedลผerรณw haseล‚ naleลผy uลผywaฤ‡ ich tylko i wyล‚ฤ…cznie na swoich urzฤ…dzeniach prywatnych. 

Podstawy dobrego hasล‚a:

  • Powinno zawieraฤ‡ co najmniej 8 znakรณw, wล›rรณd ktรณrych powinny znaleลบฤ‡ siฤ™:

    • Duลผe litery

    • Maล‚e litery

    • Cyfry

    • Znaki specjalne

Porady generowania hasล‚a:

  • Moลผna wykorzystaฤ‡ gotowy generator haseล‚, wbudowany w przeglฤ…darkฤ™, jeล›li takowa go posiada lub w zewnฤ™trzny software

  •  Prywatny schemat generowania haseล‚. Polega on na wykorzystaniu sล‚รณw, ktรณre sฤ… ล‚atwe do zapamiฤ™tania oraz zastฤ…pieniu w nim znakรณw tak by nie tworzyล‚y realnego sล‚owa. Dla przykล‚adu sล‚owo โ€žpasswordโ€ moลผna zastฤ…piฤ‡ โ€žP@55w0rDโ€ - co sprawi, ลผe jest ono zdecydowanie przystฤ™pniejsze do zapamiฤ™tania oraz speล‚nia wszelkie wyลผej wymienione wymogi bezpieczeล„stwa.

Projekt pn. โ€žinnLOGY โ€“ wsparcie przedsiฤ™biorstw o duลผym potencjale technologicznymโ€ realizowany w ramach projektu wspรณล‚finansowanego ze ล›rodkรณw Europejskiego Funduszu Rozwoju Regionalnego, Regionalnego Programu Operacyjnego Wojewรณdztwa Mazowieckiego na lata 2014-2020 nr RPMA.03.01.02-14-b657/18, pn. "Modelowanie Systemu Ofert Dla Innowacji", Oล› Priorytetowa III Rozwรณj potencjaล‚u innowacyjnego i przedsiฤ™biorczoล›ci, Dziaล‚anie 3.1 Poprawa rozwoju MลšP na Mazowszu Poddziaล‚anie 3.1.2 Rozwรณj MลšP.

Nowa strategia europejskiego bezpieczeล„stwa cybernetycznego

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

W ubiegล‚ym roku Komisja Europejska przedstawiล‚a nowฤ… strategiฤ™ Unii Europejskiej dotyczฤ…cฤ… cyberbezpieczeล„stwa. Celem strategii jest wzmocnienie zbiorowej odpornoล›ci Europy na zagroลผenia cybernetyczne oraz zapewnienie wszystkim obywatelom i przedsiฤ™biorstwom moลผliwoล›ci peล‚nego korzystania z godnych zaufania, niezawodnych usล‚ug oraz narzฤ™dzi cyfrowych.

Dlaczego nowa strategia?

Cyfrowa transformacja spoล‚eczeล„stwa, zintensyfikowana kryzysem COVID-19, rozszerzyล‚a zagroลผenie i stworzyล‚a nowe wyzwania, ktรณre wymagajฤ… dostosowanych i innowacyjnych rozwiฤ…zaล„. Liczba atakรณw cybernetycznych nieustannie roล›nie, a coraz bardziej wyszukane ataki pochodzฤ… z rรณลผnych ลบrรณdeล‚ zarรณwno wewnฤ…trz UE, jak i poza jej granicami.

Kluczowe elementy strategii

W strategii opisano, w jaki sposรณb UE moลผe wykorzystaฤ‡ i wzmocniฤ‡ wszystkie swoje narzฤ™dzia i zasoby, aby byฤ‡ suwerennฤ… technologicznie. Suwerennoล›ฤ‡ technologiczna musi opieraฤ‡ siฤ™ na odpornoล›ci wszystkich powiฤ…zanych usล‚ug i produktรณw.

Strategia obejmuje bezpieczeล„stwo podstawowych usล‚ug, ล›wiadczonych przez szpitale, sieci energetyczne, koleje. Z drugiej strony, mamy do czynienia ze stale rosnฤ…cฤ… liczbฤ… przyล‚ฤ…czonych urzฤ…dzeล„ w naszych domach, biurach i fabrykach. Celem strategii jest budowanie zbiorowych moลผliwoล›ci reagowania na ataki cybernetyczne. Przedstawiono rรณwnieลผ plany wspรณล‚pracy z partnerami na caล‚ym ล›wiecie, w celu zapewnienia miฤ™dzynarodowego bezpieczeล„stwa i stabilnoล›ci w cyberprzestrzeni. Ponadto, zaprezentowano sposรณb, w jaki UE moลผe zapewniฤ‡ najskuteczniejszฤ… reakcjฤ™ na zagroลผenia cybernetyczne przy wykorzystaniu wspรณlnych zasobรณw i wiedzy.

Cele strategii

Nowa strategia ma na celu stworzenie globalnego i otwartego internetu z silnymi zabezpieczeniami w przypadku zagroลผeล„ dla bezpieczeล„stwa i praw obywateli w Europie. Majฤ…c na uwadze dotychczasowe doล›wiadczenia w tym obszarze, w strategii zawarto konkretne propozycje dotyczฤ…ce wdroลผenia trzech gล‚รณwnych instrumentรณw. Te trzy instrumenty to inicjatywy regulacyjne, inwestycyjne i polityczne. Bฤ™dฤ… one dotyczyฤ‡ trzech obszarรณw dziaล‚aล„ UE:

  • odpornoล›ฤ‡, suwerennoล›ฤ‡ technologiczna i przywรณdztwo;
  • zdolnoล›ฤ‡ operacyjna do zapobiegania, powstrzymywania i reagowania;
  • wspรณล‚praca na rzecz rozwoju globalnej i otwartej cyberprzestrzeni.

UE jest zaangaลผowana we wspieranie strategii poprzez bezprecedensowy poziom inwestycji w transformacjฤ™ cyfrowฤ… w ciฤ…gu najbliลผszych siedmiu lat. Oznaczaล‚oby to czterokrotne zwiฤ™kszenie dotychczasowych inwestycji. Niniejsze dziaล‚ania to dowรณd na zaangaลผowanie UE w nowฤ… politykฤ™ technologicznฤ… i przemysล‚owฤ… oraz program naprawy gospodarczej.

Nowa strategia UE na rzecz bezpieczeล„stwa cybernetycznego stanowi kluczowy element ksztaล‚towania przyszล‚oล›ci cyfrowej Europy.

ลนrรณdล‚o: https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade

Data publikacji: 28.01.2021

AKTUALNOลšCI