bezpieczeństwo w sieci, Rozwiązania chmurowe

Wyciek danych? Wyciec to może kawa

Kilka dni temu na portalu NaszeMiasto pojawił się artykuł traktujący o tym, że „wyciekły” dane wielu osób. Następnie autorzy wymieniają cała listę informacji, które zawarte były w katalogu, który „wziął sobie i wyciekł”.

Kolejne akapity opisują, co może zrobić z takimi danymi osobnik o złych zamiarach. Pośród jego paskudnych czynów jest na przykład wzięcie kredytu i tak dalej. No świetnie…. A wszystko to tak zwany krytyczny „ludzki błąd”.

Tak sobie myślę, że gdyby sprawa nie eksplodowała gdzieś poważnymi skutkami (czytaj: ktoś sobie już używa tych danych) to sprawę sybko zamiecionoby pod dywan. Po prostu nie byłoby potrzeby o tym mówić. Było zagrożenie – nie ma go. Po co się chwalić swoimi potknięciami. Toż to potężny uszczerbek na wizerunku. Uber do tej pory nie może się otrząsnąć z kolosalnego „wycieku” danych – o czym później. Czyli polityka wizerunkowa jest taka: jest już problem, coś się dzieje to teraz trzeba opowiadać o ludzkim błędzie….. I to czyim? Osób, które modernizowały zabezpieczenia….. Do diabła, ktoś im to zlecił…..

Ale zostawmy to…. wróćmy do samej definicji „wycieku”. Zauważ, że „wyciek” to określenie pasywne. Stoisz przy pralce, cieknie woda. Zbiera się konsylium – Ty, sąsiad, któremu woda leje się na łeb przez sufit i hydraulik. Kiwacie głowami… No…. mamy wyciek….

Wyciek o jakim mowa w kwestii danych bardziej przypomina sytuację, kiedy banda kolesi podjeżdża białymi Toyotami (czemu zawsze tacy źli goście jeżdżą białymi Toyotami?) pod rurociąg w Afryce i wwiercają się aby sobie przelać nieco ropy do cystern. Czasem coś im się nie uda i wylecą w powietrze (ropa nie jest palna ale jej opary już tak…..) ale najczęściej odjeżdżają z łupem. Samo nie wyciekło…..

Tyle wstępu…. A na poważnie? W cyfrowym świecie nie ma samoczynnych wycieków. Ktoś sobie taki wyciek zapewnia, dobiera się do danych i je wykorzystuje. Ten ktoś czai się na te dane, pragnie ich i szuka sposobu, by się do nich dobrać. I nie ma to znaczenia, czy będą to dane osobowe ludzi z uczelni jak w przykładzie podanym na wstępie czy Twoja karta kredytowa czy dostęp do konta, który dajesz kiedy klikasz na lipną fakturę wysłaną mailem….. Za tym wszystkim stoi jakiś człowiek….. Wybrał sobie taki styl życia…. I się w tym specjalizuje. Koniec kropka.

Wokół „wycieków” narosło wiele mitów. Jeżeli nadal tego nie rozumiesz a słuchasz różnych „ekspertów” pozwól, że Ci przybliżę to i owo:

Mit 1:

Hakerzy biorą na cel tylko wielkie firmy.

Bzdura. Przestępcy działający w świecie cyfrowym skupiają się na tym, co im przynosi korzyść. Nie kierują się wielkością czy renomą. Zaatakują każdy system czy komputer gdzie widzą korzyść i kasę.
Twarde dane: blisko 43 procent cyber ataków dotyczy małych firm. Taka mała firma zaatakowana skutecznie przez hakera najczęściej wypada z biznesu w ciągu sześciu miesięcy – mówi się, że ma to miejsce w przypadku 60 procent ofiar ataków.

Duże firmy sobie poradzą. Choć też to odczują. Yahoo padło ofiarą „wycieku” danych użytkowników liczonych w grubych milionach.. Ponieważ czas był niekorzystny, bo Yahoo „sprzedawało” się innemu podmiotowi, akcje spadły i z wartości firmy wyparowało blisko 350 milionów dolarów.

Mit 2:

Zapewnienie bezpieczeństwa w zakresie informatyki spoczywa wyłącznie na działach IT.

Bzdura. W dzisiejszych czasach przestępczość cybernetyczna to w zasadzie jest ryzykiem zawodowym. Dział IT może wykonać potężną robotę ale wystarczy, że pracownik będzie uzywał słabego hasła na wielu kontach i problem gotowy. Sprytny haker poradzi sobie szybciutko z takim hasłem i ma dostęp do całego systemu. „Wyciek” gotowy….

Kłania się tu niezbędna konieczność uświadamiania, o czym później.

Mit 3:

Twoja firma / organizacja / dom są całkowicie bezpieczne

Bzdura. Dane z roku 2019 mówią o tym, że przeciętnie każda firma była poddawana próbom ataku typu „ransomware” (wykradnę Ci Twoje dane a Ty mi zapłać abym nic z nimi nie zrobił) przeciętnie co 14 sekund!

Może Ci się więc wydawać, że Twoja organizacja jest świetnie przygotowana i że nigdy nikt się nie włamie i nie doprowadzi do „wycieku”. Tymczasem nic nie stoi w miejscu. Tak jak tworzy się nowe rodzaje zabezpieczeń tak i cyber włamywacze opracowują nieustannie nowe metody, za pomocą których dokonują swoich przestępstw. Żadna organizacja nie jest więc całkowicie bezpieczna. I nigdy nie będzie!

Mit 4:

Wystarczy nam dobry firewall i oprogramowanie antywirusowe

Niestety nie! Zapory ogniowe jaki i systemy antywirusowe są stosowane jako zabezpieczenie od wielu lat zaś atakujący szukają skutecznych sposobów obejścia ich. I znajdują. Jedną z takich technik jest „Double-agent Attack” (podwójny agent – jakie to bondowskie). Dawniej więc hakerzy starali się obchodzić takie zabezpieczenia. Dziś potrafią je atakować wprost i przejmują nad nimi kontrolę. Nie muszą się nawet bawić w ich unieszkodliwianie…. uwierz mi, to naprawdę świetni fachowcy….

Mit 5:

Przestępstwa w świecie cyfrowym powodują wyłącznie straty finansowe

Totalne nieporozumienie! Straty finansowe to tylko część szkody. Wspominałam o Uberze. Otóż w tej firmie odkryto, że dwaj hakerzy byli w stanie uzyskać nazwiska, adresy mailowe oraz numery telefonów 57 użytkowników oraz numery prw jazdy ponad 600.000 kierowców Ubera. Uber upublicznił tę informację dopiero w rok po wydarzeniu! Firma zwolniła swojego szefa od bezpieczeństwa cybernetycznego ale co z tego. Koszt to nie tylko pieniądze ale przede wszystkim wizerunek! A ten buduje się latami!

Wiadomo, zamawiając jedzenie z Ubera nie musisz pamiętać o tym zdarzeniu. Ale czy przechodzą Cię ciarki na myśl, że płacąc kartą ktoś spoza firmy może sobie Twoje dane finansowe przywłaszczyć i zrobić co chce? A może…. Nawet nie wiesz jakie wpadki odnotowały ogromne firmy….. Ta tak zwane filary biznesu internetowego….

Teraz już wiesz co nieco jak wyglądają zagrożenia bez iluzji.

Co można zrobić aby się realnie zabezpieczyć?

  1. Przede wszystkim budowanie świadomości u użytkownika końcowego.

Według wielu badań ponad 36% tak zwanych „wycieków danych” to efekt ignorancji lub niefrasobliwego zachowania użytkoników. Dlatego tak ważna jest edukacja pracowników, managerów, administratorów i w zasadzie każdego, kto ma jakikolwiek dostęp do wrażliwych danych.

Tu refleksja o szkołach. W szkołach podstawowych uczy się informatyki. Tak się to pięknie nazywa. A sprowadza się do prostego programowania żuczka, który ma zbierać jabłuszka. Co za bezsens! Podstawą powinna być edukacja dzieci w zakresie bezpieczeństwa w sieci. Przecież wystarczy, że maluch usiądzie do komputera ojca, pogrzebie w Internecie, kliknie jakiś link, których mnóstwo na różnych stronach i katastrofa gotowa! Uważam, że edukacja dotycząca cyber zagrożeń jest równie a może bardziej ważna niż zaklęcia na temat pornografii. Czemu? Bo z tego, że młody człowiek poogląda przypadkiem goliznę (umówmy się, nikt nie ogląda przypadkiem) nie wyniknie żadna wymierna strata. A z ataku na komputer, na którym ojciec trzyma wrażliwe dane już może. Szkoła jak zawsze nie nadąża.

2. Regularne audyty

Każda firma, niezależnie od rodzaju działalnośc, powinna regularnie przeprowadzać audyty bezpieczeństwa. Taki audyt pozwala ocenić przygotowanie infrastruktury IT firmy pod kątem współczesnych zagrożeń a zawarte w nim zalecenia powinny wskazywać na środki, które należy podjąć.

3. Należy być na bieżąco z nowymi rozwiązaniami w zakresie bezpieczeństwa

Zawsze, kiedy w wiadomościach jakiś „wyciek” danych tworzy atmosferę sensacji temat bezpieczeństwa pobudza uśpione umysły do analizy własnych zabezpieczeń. Lub przynajmniej tak powinno być.
W organizacjach w takich sytuacjach powinno dojść do analizy metod potwierdzania autentyczności, wprowadzanie metod zapewniania dostępu bez haseł a z użyciem innych metod, zabezpieczenia danych podczas transmisji i tak dalej.

Powiedziawszy to, chcę Cię zachęcić do kontaktu ze mną.

Zajmuję się dostarczaniem najnowszych rozwiązań w zakresie bezpieczeństwa cyfrowego. Jeżeli dotarłeś do końca tego artykułu, w zakładce kontakt znajdziesz mój numer i maila. Lepiej zapobiegać niż leczyć. W dzisiejszych trudnych czasach kiedy semantyka cyber wirusów przenika codzienne zawirusowane życie ma to szczególne bo podwójne znaczenie.

Katarzyna

1 myśl w temacie “Wyciek danych? Wyciec to może kawa”

  1. Toyota – bo jest niezawodna i dobrze się sprawdza w trudnych warunkach. Biała – bo lepiej odbija światło. W upalnym klimacie ważne są szczegóły, które sprawiają, że auto nagrzewa się choć trochę mniej.

    Wiele ataków nie jest ukierunkowanych – działają na zasadzie zastawienia sieci i cieszenia się, że coś w nie wpadło. Jeśli wyślę do miliona adresatów maila z żądaniem zapłacenia okupu, na pewno wśród nich znajdzie się grupa, ktora zapłaci. Tak samo znajdą się ludzie, którzy klikną link, opłacą lipną fakturę, wykonają polecenie fikcyjnego przełożonego…mogłoby się wydawać, że to nie powinno działać, ale przy odpowiednio dużej skali zawsze znajdzie się dość przypadków, gdzie to zadziała.

    Programy antywirusowe…nie chcę tu rzucać nazwami, ale w przypadku niektórych z nich lepiej już nic nie mieć. Nie dość, że są dziurawe, to dając złudne poczucie bezpieczeństwa nieraz same gromadzą dane, które teoretycznie powinny chronić.

    Co do edukacji – dane wyciekają nie tylko przez sieć. Jakby nie patrzeć, dane zawsze są przechowywane na jakichś nośnikach, które mają w naszych urządzeniach jakiś cykl zycia. Niektóre nosimy ze sobą, udostępniamy innym ludziom, możemy zgubic. Inne sprzedajemy razem se starym urządzeniem, wyrzucamy do śmieci, oddajemy na reklamację, gdzie nie wiemy, co zrobi z nimi gwarant. Czasem trzymamy dane, których już dawno nie powinniśmy mieć, czasem nawet o tym nie pamiętamy. A kiedy usuwamy dane, często wydaje nam się , że wrzucenie ich do kosza systemowego załatwia sprawę. O bezpieczeństwie sieci jednak od czasu do czasu coś się mówi, ale o fizycznym dostępie do nośników pamięta ię już dużo rzadziej. Owszem – nie ma zabezpieczeń doskonałych. Znam przypadek, gdzie nieuczciwy pracownik wyniósł bazę danych robiąc telefonem zdjęcia ekanu monitora. Tak – nawet w przypadku bardzo wysokiego poziomu zabezpieczeń nie możemy czuć się bezpieczni.

    Polubienie

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s