W Polsce padają kolejne strony internetowe kolejnych instytucji administracji publicznej - na skalę do tej pory nieznaną (choć możliwą do przewidzenia). W ramach sprzeciwu wobec decyzjom rządu w sprawie podpisania ACTA 21 stycznia br. protestujący unieruchomili stronę Sejmu, następnie Ministerstwa Kultury i Dziedzictwa Narodowego, a wraz z upływem czasu kolejne domeny .gov.pl. Dwa dni później doszło do włamania na strony internetowe premiera premier.gov.pl i kprm.gov.pl, a następnie Ministerstwa Obrony Narodowej. Nie uchroniła się również strona Ministerstwa Spraw Zagranicznych, która stała się celem ataku 25 stycznia. Tego samego dnia ujawniono też hasła do e-maili pracowników organizacji rządowych. I to wszystko w ciągu jednego tygodnia!

 

Na świecie poważne instytucje finansowe z marnym skutkiem starają się odeprzeć kolejne ataki obcych nieprzyjaźnie nastawionych, aczkolwiek uzdolnionych obywateli krajów sąsiednich. Najpierw włamywacze z Arabii Saudyjskiej wykradli i upublikowali informacje o obywatelach Izraela. W rewanżu włamywacz z Izraela ujawnił dane dotyczące 200 aktywnych kart kredytowych obywateli Arabii Saudyjskiej. Do gry włączył się Palestyński Hamas i wezwał arabskich hackerów do ataków na Izrael. Chwilę później ofiarami ataku stały się serwisy internetowe izraelskiej giełdy papierów wartościowych w Tel Awiwie, a także linii lotniczych El Al. W kolejnej rundzie izraelskim hakerom udało się zatrzymać działanie stron internetowych należących do Saudi Stock Exchange (Tadawul) i giełdy Abu Dhabi Securities Exchange (ADX).

 

Żeby nie było zupełnie nudno i politycznie, to w długi noworoczny weekend z południowoafrykańskiego Postbanku włamywacze wykradli z kont firmowych 6,7 mln dolarów, a w ostatnich dniach ze sklepu Zappos należącego do firmy Amazon wykradziono informacje na temat ponad 24 milionów klientów, a z GG wyciekły hasła 10 000 użytkowników.

 

Znaczenie każdego z tych incydentów jest różne. Nie zmienia to jednej obserwacji - ogromnej części z nich można było uniknąć. Oczywiście teraz każdy jest mądry i może wygłaszać swoje tezy. No ale jak każdy, to każdy - ja też.

 

Na początek warto zauważyć, że żaden system nie jest projektowany do eksploatacji w warunkach krytycznych. Dlatego dyskusja na teman odporności na atak typu odmowa usługi (DsS, DDoS) jest akademicka. Poziom skuteczności zabezpieczeń jest zależny od nakładów, a rozsądny poziom nakładów wynika wprost z wartości tego co zabezpieczamy. System odporny w 100% na każde zagrożenie(sic!) to system który kosztuje nieskończenie wiele. Dlatego systemy buduje się na oszacowane lepiej lub gorzej warunki normalnej eksploatacji, a jeśli wymagana jest wysokie bezpieczeństwo systemu to poświęca się temu odpowiednią ilość uwagi i środków - w zależności od tego jak wysokie jest to wymaganie. Wszyscy to wiemy i rozumiemy, a jednak nie działa.

 

W mojej ocenie nie działa dlatego, że często zawodzi nie system i sposób w jaki jest zbudowany, ale to jak jest używany. Dotyczy to tak samo administratorów systemu odpowiedzialnych za jego konfigurację i utrzymanie, ale również każdego zwykłego użytkownika. Dla atakującego każdy wektor ataku jest potencjalną ścieżką do celu. Czy można temu zapobiegać? Trzeba! Po pierwsze trzeba mieć świadomych użytkowników. Bez tego można poświęcić dowolne środki na zabezpieczenia techniczne, a na samym końcu nieświadomy użytkownik może być słabym ogniwem i ułatwić atakującemu zadanie. Jak to zrobić? 1 dzień szkolenia na miejscu w firmie co 12 miesięcy to minimalny wysiłek, który trzeba w to włożyć. W przeciwnym razie ryzykujesz wiele.

 

Po drugie bezpieczeństwo systemów trzeba monitorować. Mam tu na myśli monitorowanie stanu bezpieczeństwa, a nie jedynie rejestrację zdarzeń o właśnie odbywającym się ataku. To jest różnica pomiędzy podejściem proaktywnym i reaktywnym. Monitorowanie bezpieczeńśtwa ograniczone do wykrywania bieżących zdarzeń w systemie pozwala nam tylko reagować. Jeśli wyciągniemy wnioski i ulepszymy system to może nawet uda nam się zapobiec podobnym atakom w przyszłości. Jak zapobiegać atakom, których nie znamy, a nasz system nie był projektowany żeby im zapobiegać (bo ich wtedy jeszcze nie było).

Otóż właśnie możemy to zrobić dzięki monitorowaniu proaktywnemu. Jeśli co jakiś czas nie zrobimy "obchodu terenu" to nie możemy być pewni, czy nadal jest bezpiecznie. Podobnie z systemami - co jakiś czas trzeba je poddać ocenie. Dzięki temu mamy szansę znaleźć lukę w zabezpieczeniach przez atakującym. Czasem może się to okazać niemal bezcenne.

 

W tym celu wykonuje się testy bezpieczeństwa, które w najprostszych przypadkach zajmują 1 dzień, a w bardziej skomplikowanych 1-2 tygodnie. Dzięki temu zdiagnozujemy wszystkie luki w systemie i po ich usunięciu poprawimy jego bezpieczeństwo. Z przyczyn oczywistych takie ćwiczenie należy powtarzać cyklicznie. Jak często? Zależy od skłonności do podejmowania ryzyka przez Zarząd. Dość powiedzieć, że np. PCI DSS - standard bezpieczeństwa dla firm przetwarzających dane dotyczące kart płatniczych wymaga żeby skanowanie podatności systemów odbywało się 4 razy w roku (kwartalnie), a przynajmniej 1 raz w roku należy wykonywać pełne testy penetracyjne, które stanowią symulację ataku i próbę przełamania zabezpieczeń. Nie każdy musi być tak bezpieczny jak instytucje finansowe, ale 1 raz w roku trzeba wykonywać skanowanie podatności i testy penetracyjne systemu. W przeciwnym razie twoje poczucie bezpieczeństwa jest pozorne. Bez względu na to jak dobry jest administrator systemu.

 

Wniosek? Polak mądry po szkodzie? Mam nadzieję, że nie i dlatego proponuję zmianę podejścia i przeprowadzenie testów bezpieczeństwa zanim zrobi to ktoś inny. Nie koniecznie wtedy kiedy chcemy i w zakresie takim jak chcemy. Decyzja oczywiście należy do Was.