Udostępnij!

Rozmawiają: Dariusz Korzun [DK] – Business Development Director Altkom Akademia i Dominik Węglarz [DW] – Trener wiodący z zakresu Cybersecurity

DK: Dzień dobry, witam na spotkaniu poświęconym Cybersecurity. Dzisiaj moim gościem jest Dominik Węglarz, osoba odpowiedzialna za szkolenia z Cybersecurity w Altkom Akademii. Dzień dobry.

DW: Witam serdecznie.

DK: Pojęcie cyberbezpieczeństwa jest nie do końca zrozumiałe dla większości osób, które słyszą o nim w telewizji czy czytają w gazetach. Czym jest cyberbezpieczeństwo?

DW: Jest to bezpieczeństwo informacji, w którym zależy nam na zachowaniu poufności, integralności i dostępności danych. Zakres prac związanych z zapewnieniem bezpieczeństwa takiej informacji obejmuje zarówno rzeczy techniczne jak i zupełnie nietechniczne.

DK: Brzmi skomplikowanie już na samym początku (śmiech).

DW: Brzmi skomplikowanie, ale prawda jest taka, że, po pierwsze, bezpieczeństwo jest procesem, to nie jest jedno wdrożenie, to nie jest zakupienie jakiegoś rozwiązania i mamy sprawę z głowy, to jest ciągła praca. Po drugie, w tym procesie biorą udział nie tylko osoby techniczne, ale też nietechniczne. Mówi się, że system jest tak bezpieczny jak jego najsłabsze ogniwo, a ze statystyk wynika, że najsłabszym ogniwem są ludzie.

DK: Kiedyś tego problemu chyba nie było?

DW: Był dużo mniejszy bo skala zagrożenia była dużo mniejsza, przynajmniej nie tak rozdmuchana jak jest teraz.

DK: A czy kiedyś byli hakerzy?

DW: Byli, mieli dużo łatwiej, ale było ich dużo mniej. Na dzień dzisiejszy też kwestia kwot związanych z zabezpieczeniami, budżet przeznaczany na zabezpieczenia, jak i budżet przeznaczany na stronę ofensywną, wykorzystywany przez grupy przestępcze, jest dużo większy. Przykładowo, są takie ataki zwane zero-day attack; to są ataki, które wykorzystują luki jeszcze nieznane. I jeżeli byłbyś np. programistą i szukałbyś problemów podatności, które mogą wystąpić w telefonie Iphone czy w telefonie Android i odkryjesz przez przypadek albo podczas swoich prac metodę dostania się do takiego systemu, zawłaszczenia go bez zwracania na siebie uwagi, to możesz postąpić w dwojaki sposób. Po pierwsze, ze swoim rozwiązaniem możesz się zgłosić np. do Google’a, który jest producentem Androida i on ma swoje programy zwane Bug Bounty, w których nagradza ludzi, którzy odnaleźli podatność, błędy i się z nimi zgłosili. W zeszłym roku wypłacili w programach Bug Bounty ponad 1,5 mln dolarów, największa nagroda za znalezienie błędu wynosiła 160 tys. dolarów. W tym roku trochę podnieśli stawkę – za znalezienie błędu na zero day możesz dostać do 1,5 mln dolarów. Ale jeżeli znajdziesz ten błąd i zgłosisz się do grup przestępczych, to na czarnym rynku za taki błąd znaleziony przez Ciebie zapłacą Ci od 2,5 mln dolarów w górę.

DK: Co Ty mówisz…

DW: Tak. I teraz z racji pokusy, która istnieje na rynku, jest wielu młodych, ambitnych ludzi, którzy produkują takie rzeczy, którzy odkrywają. W 2013 roku Symantec opublikował raport, w którym powiedział ile w roku 2013 wyprodukowano złośliwego oprogramowania. Było 317 milionów różnego rodzaju złośliwego oprogramowania. To jest około miliona sztuk malware’u dziennie. Większość tego malware’u nie jest pisana ręcznie od podstaw tylko tworzy się automaty, które później generują to oprogramowanie. Ale taka jest skala, stąd też jest coraz więcej ataków, ale świadomość rośnie i zainteresowanie rynku rośnie.

DK: Powiedziałeś o takich dwóch perspektywach spojrzenia na cyberbezpieczeństwo – pierwsze spojrzenie to jest spojrzenie nietechniczne, na ludzi jako takich, a drugie to jest spojrzenie techniczne, też na ludzi, ale takich, którzy pracują z systemami. Czyli gdybym dzisiaj rozmawiał na temat cyberbezpieczeństwa, to rozmawiałbym w tych dwóch obszarach. I teraz – co oznacza obszar nietechniczny?

DW: Obszar nietechniczny to przede wszystkim szkolenie pracowników, uświadamianie ich. Ja mówiłem o tych atakach zero-day, które są bardzo specyficzne i mocno techniczne. Natomiast jeżeli byśmy popatrzyli na skalę włamań jaka ma miejsce, na skalę wycieku danych, incydentów, które mają miejsce na świecie, to incydentów z wykorzystaniem takiego ataku zero-day jest poniżej jednego procenta. 99% to są rzeczy wynikające albo z braku świadomości albo z braku odpowiedniego szkolenia ludzi technicznych, w tym administratorów, albo z, nie ma co ukrywać, lenistwa i niedbalstwa niektórych ludzi. Większość ataków wykorzystuje coś co wszyscy znają i co mogli zabezpieczyć, ale nie wiedzieli jak albo nie mieli też czasu. Firmy pen-testujące, czyli wykonujące testy penetracyjne chcą się gdzieś dostać i zbadać jakiś podmiot, jakąś firmę; skuteczność ich działań technicznych może sięgać 50-60%, nie więcej. Jeżeli chodzi o wykorzystywanie socjotechnik, czyli działanie w sposób mało techniczny, ale na osoby nietechniczne, to skuteczność przy takiego typu pracach wynosi 100%. Do tej pory nie było firmy, która by się obroniła przed socjotechnikami.

DK: Tym bardziej się boję.

DW: Niezwykle ważne jest podnoszenie świadomości pracowników. Tworzą bardzo słabe hasła, wykorzystują w tych hasłach imiona dzieci, daty urodzeń, myślą, że nikt się tego nie domyśli, a to są najbardziej podstawowe rzeczy.

DK: Możemy przygotować się do zabezpieczenia poprzez podniesienie kwalifikacji bądź świadomości związanych z bezpieczeństwem.

DW: Jak najbardziej. Mamy szkolenia dla ludzi, którzy zarządzają bezpieczeństwem, żeby potrafili sobie poukładać procesy związane z bezpieczeństwem w firmie w taki sposób żeby wszystkie mechanizmy się zazębiały, żeby nie było tych słabych ogniw albo żeby przynajmniej  zminimalizować ryzyko, bo nie zawsze się da je zupełnie wykluczyć. Mamy szkolenia dla osób stricte technicznych, dla administratorów systemów, dla administratorów bezpieczeństwa, i mamy też szkolenia dla osób nietechnicznych, dla pracowników biurowych, dla pracowników produkcyjnych. To szkolenia nazywane IT Security Awareness, czyli uświadamiające, pokazujące najczęstsze mechanizmy wykradania haseł, nakłaniania ludzi do podjęcia działań, których nie powinni wykonywać.

DK: Osoby nietechniczne pracujące w firmie wysyłamy na wprowadzenie do bezpieczeństwa, czyli security awareness, czyli bezpieczny pracownik, tak to nazwijmy. Nasza firma przechodzi to szkolenie, wszystkie osoby rozumieją przynajmniej jakie są zagrożenia i jak powinny reagować bądź czego nie powinny robić.

DW: Dokładnie.

DK: Mamy jeszcze taki dział gdzie osoby zajmują się bezpieczeństwem informacji w firmie.

DW: Za to odpowiadają wszystkie szkolenia związane np. z normami ISO 2700-01, dedykowane szkolenia przygotowujące do zbudowania polityk bezpieczeństwa organizacji, do wdrażania systemów zarządzania bezpieczeństwem informacji. Cały proces zarządzania informacją powinien się zacząć od góry. Czasami ludzie myślą, że to czy system informatyczny będzie bezpieczny to sprawa tego czy tamtego informatyka. Nie – to się powinno zacząć od zarządu. Później od kadry menedżerskiej. Stąd powinny spływać decyzje.

DK: Przygotowaliśmy polityki bezpieczeństwa i mamy audytora bezpieczeństwa w firmie, czyli ta część, która mówi o tym jak podchodzimy do bezpieczeństwa, jest już u nas gotowa. Teraz przechodzimy do części technicznej – to jest dość szerokie spektrum wiedzy. Gdybyśmy jako osoby techniczne mieli przygotować się do wdrożenia najlepszych praktyk bezpieczeństwa…

DW: Mamy takie szkolenie RESILIA.

DK: Ok, czyli mamy best practices z bezpieczeństwa.

DW: Tak. To są najlepsze praktyki w zarządzaniu bezpieczeństwem informacji, to szkolenie mogliby przejść przyszli oficerowie bezpieczeństwa, to się rozkłada na kilka teamów. Powinniśmy mieć w firmie teamy odpowiedzialne za obsługę incydentów, powinniśmy mieć teamy odpowiedzialne za implementację rozwiązań bezpieczeństwa, ale moglibyśmy też mieć teamy, które aktywnie testują zabezpieczenia w naszej firmie, osoby, które będą wykonywały te testy penetracyjne.

DK: Zacznijmy od osób wykonujących testy penetracyjne. Żeby się przygotować do pełnienia roli osoby, która weryfikuje poziom bezpieczeństwa w naszej firmie, jakie szkolenia muszę przejść, jakie to są szkolenia?

DW: Możemy tutaj zaproponować szkolenia z etycznego hackingu.

DK: Brzmi to jak oksymoron – etyczny hacking.

DW: Właśnie nie bardzo, bo samo słowo hacker pierwotnie miało bardzo pozytywny wydźwięk, to media trochę to zmieniły. Hakerzy to na początku byli najczęściej specjaliści od sieci, którzy gdy wykrywali jakiś problemy, błędy administratorów, to się zgłaszali do tych firm, informowali co się gdzie źle dzieje albo do czego może dojść. Natomiast osoby, które wykorzystywały te niedociągnięcia, te luki, to były osoby, które oficjalnie na początku nazywali się crackerzy. Media trochę zmieniły ten obraz rzeczywistości – teraz pod słowem „hacker” wszyscy myślą o tym złym człowieku, który dokonuje destrukcji. Nie; etyczny hacker to jest ktoś kto odkrywa podatności, odkrywa błędy, ale nie wykorzystuje ich w celach zniszczenia danych czy wykradania danych, tylko za chwilę nas o tym informuje i podpowiada jak możemy się zabezpieczyć.

DK: Przepuszczamy przez szkolenie etycznego hakera gdzie poznają podstawy…Gdybyśmy w naszej firmie mieli urządzenia sieciowe, to etyczny haker je pokrywa czy nie?

DW: Nie, niekoniecznie. Tutaj możemy zaproponować jak najbardziej szkolenia z firmy Cisco, mamy całe ścieżki związane z bezpieczeństwem urządzeń Cisco.

DK: SecOpsowe, tak to się teraz nazywa. Jak DevOps. Czyli przygotowujemy sobie naszego „etycznego hakera”, przygotowujemy pentesterów, przygotowujemy personel techniczny zabezpieczający infrastrukturę sprzętową. Czy możemy pójść jeszcze gdzieś dalej?

DW: Jak najbardziej. Rozwinięciem szkoleń etycznego hakera będą szkolenia związane z analizą bezpieczeństwa, z metodologią wykonywania hackingu…

DK: A co to znaczy „analityk bezpieczeństwa”?

DW: To jest osoba, która będzie wykorzystywała umiejętności hakerskie do przeprowadzania w pełni usystematyzowanych testów, które będą się kończyły odpowiednimi raportami. Tak więc praca hakera to nie tylko rozpoznanie czy samemu wytworzenie jakichś zagrożeń, wykorzystanie luk, ale to też umiejętność tworzenia odpowiednich raportów, opisywania tego żeby to później przedstawić działom bezpieczeństwa i wykazać w jaki sposób coś się osiągnęło, skąd wynikał problem i co trzeba naprawić.

DK: Czy my możemy przetestować to na warsztatach, żeby nie testować tego w firmie podczas prawdziwego włamania? (śmiech)

DW: Jak najbardziej. Mamy w naszej ofercie tak zwane poligony, to są jedno bądź dwudniowe warsztaty, w których człowiek może się zmierzyć z tym niebezpieczeństwem gdzie odwzorowane jest prawdziwe środowisko produkcyjne i tam symulujemy prawdziwe ataki, prawdziwe infekcje, przed którymi trzeba się w czasie rzeczywistym bronić.

DK: Rozumiem. Czyli zamiast przeżywać to pierwszy raz w swojej firmie możemy spróbować przeżyć to jeszcze raz na środowisku warsztatowym.

DW: Na środowisku. Tak, i tam też człowiek jest punktowany przez mechanizmy wbudowane w tę platformę i widzi ile rzeczy osiągnął, ile rzeczy nie wykonał. Na koniec omawiamy na tych warsztatach czego zabrakło do pełnego sukcesu.

DK: Jeśli chodzi o samo zabezpieczenie systemów operacyjnych, tutaj pytam akurat o Windowsy bo są najpopularniejsze, to czy do tego też są jakieś szkolenia?

DW: Jak najbardziej. Mamy szkolenia w ścieżkach microsoftowych związane z bezpieczeństwem zarówno systemów serwerowych, jak i stacji roboczych.

DK: Aha, czyli Windows Server i Windows 10. Podsumowując – cyberbezpieczeństwo wydaje się być i chyba jest ogromnym i skomplikowanym tematem. Czy byłbym w stanie się tego naruszyć w krótkim czasie?

DW: Nie.

DK: Ale jeśli podzielimy w firmie pracowników na role, to możemy przygotować plan podniesienia kompetencji w zakresie cyberbezpieczeństwa, także dla osób nietechnicznych, czyli taki „bezpieczny pracownik”. Następnie możemy przygotować audytorów czy oficerów bezpieczeństwa do tego żeby wiedzieli jak przygotować zasady zabezpieczenia informacji i możemy w tej części technicznej wykorzystać RESLIĘ jako najlepsze praktyki, które należy stosować przy budowaniu i zabezpieczaniu systemów i zejść jeszcze niżej na próby włamywania się i znajdowania dziur w naszych systemach jak i zabezpieczania samych systemów w systemach operacyjnych i w sprzęcie. Tak?

DW: Tak jest.

DK: No to jest tego bardzo dużo.

DW: Jest bardzo dużo. To jest proces, jak powiedziałem, i można powiedzieć, że to jest takie never-ending story. Jak ktoś przejdzie raz szkolenie, to oczywiście podniesie sobie poziom bezpieczeństwa, ale wychodzą nowe zagrożenia, pojawiają się nowe luki i tę wiedzę trzeba cały czas aktualizować.

DK: Jest to tańsze niż strata związana z utratą informacji.

DW: Tak, przykładem ostatnim był wyciek danych ze sklepu Morele gdzie za wyciek danych oni muszą zapłacić grzywnę bodajże 2 albo 3 mln złotych.

DK: Dlatego zapraszamy wszystkich na szkolenia do Altkom Akademii – zarówno osoby nietechniczne, osoby techniczne, oficerów bezpieczeństwa, pentesterów, administratorów, wszystkich, którzy mają stworzyć bezpieczną firmę bo cyberbezpieczeństwo to bardzo, bardzo istotny element….

DW: …działalności firmy.

DK: Dziękuję Ci za spotkanie. Do następnego razu.  Dziękuję bardzo.

DW: Dziękuję.