SZKOLENIEZagrożenia cyberbezpieczeństwa oraz dobre

praktyki zabezpieczenia się przed cyber zagrożeniamiPolskie LNG S.A.

Działając zgodnie z Ustawą z dnia 5 lipca2018 roku o krajowym systemiecyberbezpieczeństwa (Art. 9, ust. 1, pkt. 2),Polskie LNG S.A. jako Operator UsługiKluczowej [OUK] zobowiązany jest dozapewnienia użytkownikowi usługi kluczowejdostępu do wiedzy pozwalającej nazrozumienie zagrożeń cyberbezpieczeństwa istosowanie skutecznych sposobówzabezpieczania się przed tymi zagrożeniamiw zakresie związanym ze świadczoną usługąkluczową.

Podstawy prawne

Definicje dotyczące cyberbezpieczeństwaCyberbezpieczeństwo (cybersecurity) – odporność systemów informacyjnych na działanianaruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lubzwiązanych z nimi usług oferowanych przez te systemy.

Cyberbezpieczeństwo – to między innymi ochrona przestrzeni przetwarzania informacji orazzachodzących interakcji w sieciach teleinformatycznych.

Incydent bezpieczeństwa teleinformatycznego – jedno lub seria niepożądanych lubniespodziewanych zdarzeń, które ze znacznym prawdopodobieństwem mogą zakłócićdziałania biznesowe oraz zagrozić bezpieczeństwu informacji, w szczególności wywołanyprzez: utratę usługi, urządzenia lub funkcjonalności; błąd ludzki; przeciążenie lub inne celowewywołanie niepoprawnego działania systemu teleinformatycznego; niezgodność zregulacjami wewnętrznymi lub zaleceniami w zakresie bezpieczeństwa teleinformatycznego;naruszenie ustaleń związanych z bezpieczeństwem fizycznym zasobów systemuteleinformatycznego; niekontrolowane zmiany systemu (fizyczne i logiczne); niepoprawnedziałanie oprogramowania lub urządzenia; naruszenie lub próba naruszenia dostępu;ingerencję w dane wejściowe lub wyjściowe systemów teleinformatycznych.

Incydent cyberbezpieczeństwa – zdarzenie, które ma lub może mieć niekorzystny wpływ nacyberbezpieczeństwo.

Kontekst prawny dotyczący cyberbezpieczeństwa (1)

Kodeks Karny (Ustawa z dnia 6 czerwca 1997 roku; Dz. U. 1997 Nr 88 poz. 553):Art. 267. §1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo,podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inneszczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

§3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniempodsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

§4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1–3 ujawnia innej osobie.

§5. Ściganie przestępstwa określonego w §1–4 następuje na wniosek pokrzywdzonego.

Art. 268. §1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w innysposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolnościalbo pozbawienia wolności do lat 2.

§2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolnoścido lat 3.

§3. Kto, dopuszczając się czynu określonego w §1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawieniawolności od 3 miesięcy do lat 5.

§4. Ściganie przestępstwa określonego w §1–3 następuje na wniosek pokrzywdzonego.

Art. 268a. §1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danychinformatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanietakich danych, podlega karze pozbawienia wolności do lat 3.

§2. Kto, dopuszczając się czynu określonego w §1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od3 miesięcy do lat 5.

§3. Ściganie przestępstwa określonego w §1 lub 2 następuje na wniosek pokrzywdzonego.

Kontekst prawny dotyczący cyberbezpieczeństwa (2)Dyrektywa PE I RADY (UE) 2016/1148 z dnia 6 lipca 2016 roku (tzw. dyrektywa NIS – Networkand Information Systems Directive):

• Obowiązek wdrożenia przez państwa członkowskie przepisów, które pozwolą nazapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych naterytorium Unii Europejskiej.

• Wdrożenie procedur i obowiązku zgłaszania incydentów dotyczącychcyberbezpieczeństwa dla przedsiębiorców z sektorów kluczowych.

• Ustanowienie szczególnych wymogów dotyczących zapewniania bezpieczeństwa przezprzedsiębiorców z sektorów kluczowych.

• Przyjęcie na poziomie krajowym strategii w zakresie bezpieczeństwa sieci i systemów IT.

• Utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego(tzw. CSIRT - Computer Security Incident Response Teams).

• Utworzenie dedykowanej grupy zapewniającej strategiczną współpracę oraz wymianęinformacji również na poziomie ponad państwowym.

• Dyrektywa dotyczy:

• Operatorów Usług Kluczowych (OUK).

• Dostawców usług cyfrowych.

Kontekst prawny dotyczący cyberbezpieczeństwa (3)

Ustawa o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 roku (UoKSC):• Przedmiotem ustawy jest organizacja krajowego systemu cyberbezpieczeństwa i określenie zadań oraz

obowiązków podmiotów wchodzących w jego skład. Ustawa również kwestie sprawowania nadzoru ikontroli przestrzegania jej przepisów oraz tryb ustanawiania Strategii Cyberbezpieczeństwa RP. Treśćustawy wskazuje podmioty będące uczestnikami krajowego systemy cyberbezpieczeństwa oraz ichobowiązki.

• Ustawa dotyczy:

• Operatorów Usług Kluczowych (OUK).

• Dostawców usług cyfrowych.

• Podmiotów publicznych (m.in.: NBP, BGK, UDT, Polska Agencja Żeglugi Powietrznej, PolskieCentrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej).

• Obowiązki operatorów usług kluczowych:

• Wdrożenie systemu zarządzania bezpieczeństwem (systematyczne szacowanie ryzyka idostosowanie do niego środków bezpieczeństwa).

• Obsługa incydentu.

• Zgłoszenie incydentu.

• Powołanie struktury odpowiedzialnej za cyberbezpieczeństwo.

• Audyt i kontrola.

Cyberbezpieczeństwo – wektory ataków / zagrożenia (1)Główne rodzaje cyberataków:• Malware - złośliwe oprogramowanie, które bez zgody i wiedzy użytkownika wykonuje na komputerze działania na

korzyść osoby trzeciej.

• Man in the Middle – atak polegający na uczestniczeniu osoby trzeciej np. w transakcji pomiędzy sklepeminternetowym, a klientem. Celem takich ataków jest przechwycenie informacji lub środków pieniężnych (np.uzyskanie danych niezbędnych do logowania w systemie bankowości elektronicznej).

• Cross site scripting - umieszczenie na stronie internetowej specjalnego kodu, którego kliknięcie przez użytkownikapowoduje przekierowanie na inną stronę internetową (np. na witrynę konkurencji).

• Phishing - atak polegający na dokonywaniu prób przejęcia haseł służących użytkownikowi do logowania na np.portalach społecznościowych, do których dostęp umożliwia atakującym uzyskanie danych osobowychużytkownika.

• DDoS - atak, którego celem jest zablokowanie możliwości logowania użytkownika na stronę internetową poprzezjednoczesne logowanie na tę samą stronę się wielu użytkowników. Wywoływany w ten sposób sztuczny ruchwzmacnia zainteresowanie użytkowników np. produktem dostępnym w sklepie internetowym.

• SQL Injection - atak polegający na wykorzystywaniu przez przestępców luk występujących w zabezpieczeniach np.aplikacji i pozwalającym na uzyskanie przez osoby nieuprawione danych osobowych.

• Ransomware - atak, którego celem jest przejęcie i zaszyfrowanie danych użytkownika po to aby w następnymkroku udostępnić te same dane użytkownikowi pod warunkiem wniesienia przez niego "okupu”.

• Malvertising – atak pozwalający przestępcom na dotarcie do użytkowników przeglądających zaufane stronyinternetowe poprzez nośniki jakimi są udostępniane na stronach internetowych reklamy, a następnie nainstalowanie bez wiedzy i zgody użytkownika złośliwego oprogramowania na urządzeniach użytkownika.

Cyberbezpieczeństwo – wektory ataków / zagrożenia (2)Główne rodzaje cyberataków (w kontekście Infrastruktury Krytycznej [IK]):• Inżynieria społeczna (socjotechnika) i Phishing - wywieranie określonego wpływu na użytkowników – masowo (ang. phishing) lub w sposób ukierunkowany

(ang. spear phishing) poprzez np. kampanie e-mailowe, złośliwe strony www, zmierzające do zdobycia nieuprawnionego dostępu do informacji firmy (np.identyfikatora, hasła, danych osobowych użytkownika) lub do sprowokowania użytkownika do określonego działania – np. nieświadomego zainstalowaniazłośliwego oprogramowania.

• Infekcja za pomocą ENI (Elektroniczny Nośnik Informacji) - uzyskanie nieuprawnionego dostępu do zasobów teleinformatycznych, przechwycenie danychznajdujących się w tych zasobach lub zainstalowanie na tych zasobach złośliwego oprogramowania przy pomocy elektronicznego nośnika informacji (np.pamięci USB).

• Infekcja LAN/WAN - zainstalowanie na zasobach teleinformatycznych ofiary złośliwego oprogramowania poprzez podłączenie się / włamanie atakującego dolokalnej sieci teleinformatycznej w celu przechwycenia lub zmanipulowania danych znajdujących się w tych zasobach lub sparaliżowania funkcjonowaniasystemów ofiary.

• Atak przez zdalny dostęp - uzyskanie nieuprawnionego dostępu do zasobów teleinformatycznych, przechwycenie danych znajdujących się w tych zasobachlub zainstalowanie na tych zasobach złośliwego oprogramowania poprzez podłączenie się atakującego do zasobów ofiary z poza jego infrastruktury – np. zapomocą usług zdalnego dostępu (np. zdalny pulpit, terminal).

• Komponenty wystawione na zewnątrz - uzyskanie nieuprawnionego dostępu do zasobów teleinformatycznych poprzez ataki kierowane bezpośrednio waplikacje i źródła treści umiejscowione poza wewnętrzną siecią teleinformatyczną organizacji, umożliwiające atakującemu ich modyfikację lub przejęcie,prowadzące do uzyskania kontroli nad zasobami organizacji.

• DDoS- atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzanyrównocześnie z wielu komputerów (np. zombie). Mogą to być ataki z sieci zewnętrznej, a także ataki z sieci zewnętrznej w przypadku przejęcia przezatakującego kontroli nad komputerami podłączonymi do sieci wewnętrznej.

• Nieautoryzowany dostęp - uzyskanie nieuprawnionego dostępu do zasobów teleinformatycznych w celu zdobycia informacji firmy, wykonanianieautoryzowanych działań, zakłócenia lub uniemożliwienia funkcjonowania systemu teleinformatycznego.

• Nieautoryzowany dostęp fizyczny - uzyskanie nieuprawnionego dostępu do pomieszczeń, w których są zainstalowane zasoby teleinformatyczne ofiary w celuwykonania nieautoryzowanych działań, zakłócenia lub uniemożliwienia funkcjonowania systemu teleinformatycznego.

• Błędy w oprogramowaniu (podatności) - słabości systemów lub aplikacji spowodowane brakiem zaimplementowania funkcjo ochronnych lub błędami woprogramowaniu, które mogą zostać wykorzystane w ataku mającym na celu wyrządzenie szkód organizacji lub zaburzenie funkcjonowania jej systemówteleinformatycznych.

• Wyciek wrażliwych informacji - celowe działanie lub zaniedbanie ochrony informacji szczególnie chronionych przez organizację, który może skutkowaćstratami finansowymi, różnego rodzaju sankcjami, utratą dobrego wizerunku lub narażeniem stron trzecich na ryzyko lub szkody.

• Awaria sprzętu - wchodzącego w skład infrastruktury teleinformatycznej, skutkująca niepoprawnym dzianiem lub brakiem działania systemów komputerowych.

• Nieskuteczne odtworzenie / DRP (Disaster Recovery Plan) - brak możliwości odtworzenia środowiska teleinformatycznego lub jego wadliwe odtworzenie powystąpieniu awarii, lub incydentu teleinformatycznego, skutkujące niewłaściwym działaniem lub brakiem działania systemu komputerowego.

• Uwarunkowania środowiskowe (zasilanie, chłodzenie, zalanie) - czynniki zewnętrzne (takie jak utrata zasilania, awaria chłodzenia, zalanie, pożar) którychwystąpienie może powodować niewłaściwe działanie lub brak działania systemu komputerowego.

Cyberbezpieczeństwo – wektory ataków / zagrożenia (3)Środki kontroli i zabezpieczenia (w kontekście Infrastruktury Krytycznej [IK]):• Identyfikacja i uwierzytelnianie - implementacja zaawansowanych mechanizmów identyfikacji i uwierzytelniania użytkowników

(np. 2FA – tzw. uwierzytelnianie dwuetapowe / 2 Factor Autentyfication).

• Użytkowanie (podział ról i odpowiedzialności ) - podział ról i odpowiedzialności w systemach.

• Integralność systemów – implementacja mechanizmów (procedury, narzędzia) zarządzania integralnością systemów,zapobieganie wprowadzaniu do nich zmian w nieautoryzowany sposób (np. nieautoryzowanej wersji systemu).

• Poufność danych - implementacja mechanizmów zarządzania poufnością danych, zapobieganie nieuprawnionemu odczytowidanych (np. szyfrowanie danych na nośnikach, w repozytoriach baz danych).

• Ograniczenie przepływu danych - implementacja mechanizmów ograniczenia / kontroli przepływu danych (np. środkiorganizacyjne i/lub systemowe do zarządzania przepływem danych pomiędzy różnymi systemami informatycznymiuniemożliwiające nieautoryzowane podłączanie zbiorów danych, ich odczytywanie lub przetwarzanie, systemowa lub fizycznaseparacja systemów [OT - Operational Technology]).

• Szybka reakcja na zdarzenia (monitorowanie) – stałe monitorowanie systemów, automatyzacja powiadamiania o zdarzeniach,mechanizmy / zespół reagowania na zdarzenia (np. SOC – System Operation Center).

• Stosowanie dostępnych zasobów - wykorzystanie dostępnych / możliwych rozwiązań (sprzętu, aplikacji, wiedzy) do zarządzaniabezpieczeństwem.

• Świadomość zagrożeń / szkolenia – podnoszenie kompetencji personelu odpowiedzialnego za bezpieczeństwo systemów,monitorowanie bieżących zagrożeń w cyberprzestrzeni, zapobieganie podatnościom / przeciwdziałania zagrożeniom,prowadzenie polityki informacyjnej oraz szkoleń dla użytkowników systemów.

• Rozliczalność – stałe monitorowanie działania systemów, użytkowników systemów oraz administratorów systemów.

• Redundantne środowisko przetwarzania - zapasowe centra przetwarzania danych, nadmiarowość środowisk przetwarzaniadanych, wysoka dostępność systemów (tzw. HA [High Availability] - zapewnienie poziomu bezawaryjnej wydajności operacyjnejprzez okres dłuższy niż przyjęty).

• Procedury odtwarzania systemów / DRP (Disaster Recovery Plan), SZCD / BCMS (System Zarządzania Ciągłością Działania /Business Continuity Management System) – potwierdzone procedury odtworzenia systemów oraz utrzymania ciągłości działaniaInfrastruktury Krytycznej.

Cyberbezpieczeństwo – informacje praktycznePodstawowe zagrożenia teleinformatyczne

Cyberbezpieczeństwo – informacje praktyczne (1)Inżyniera socjotechnicznaLoginy i hasła bywają bardzo często pozyskiwane metodami inżynierii socjotechnicznej poprzezpodszywanie się atakującego pod „zaufane” osoby / podmioty / firmywspółpracuje i nakłanianiepracowników atakowanej organizacji do wykonania określonej akcji lub przekazania określonej informacji.W efekcie prowadzi to najczęściej do utraty poufności ważnych danych (np. poświadczeń użytkownika dosystemu) stanowiąc istotny element w całym w łańcuchu cyberataku. Ataki prowadzone są drogąelektroniczną, przez telefon lub osobiście.

W przypadku użytkowania systemów infrastruktury krytycznej użytkownicy mogą się spodziewać atakówbardziej ukierunkowanych na konkretne osoby, tzw. spear phising, gdzie atakujący posiadają już pewnąwiedzę nt. swojej ofiary.

Niestety również bardziej bezpośrednie metody jak osobista rozmowa z pracownikiem organizacji wcharakterystycznym stroju dla tej organizacji, z przepustką wiernie naśladującą oryginał lubcharakterystycznym atrybutem, często przynosi skutek. Z tego powodu wiele organizacji przeprowadza wtajemnicy przed pracownikami tego typu ćwiczenia w celu poprawy procedur i szkoleń dla pracowników.

Cyberbezpieczeństwo – informacje praktyczne (2)Rodzaje kontUżytkowanie każdego współczesnego systemu teleinformatycznego przeznaczonego dla wieluużytkowników wiąże się zazwyczaj z posiadaniem w nim konta . Konto to obiekt (zbiór danych), który opisujeużytkownika w systemie. W zależności od typu systemu najczęściej zawiera takie atrybuty jak: login, nazwaużytkownika, hasło, przynależność do grup, dostęp do plików i folderów.

Dla użytkowników każdego systemu bardzo ważna jest świadomość jakie uprawnienia ma jego konto i jakiesą związane z tym ryzyka. Podwyższone uprawnienia konta (np. konto administratora ) wiążą się zrozszerzonymi możliwościami jego wykorzystania (oprócz zakresu standardowego konta), np.:

• tworzenie, zmiana i usuwanie kont użytkowników

• zmiany w konfiguracji systemu

• dostęp do wszystkich plików na komputerze

• instalacja sprzętu i oprogramowania, itp.

Im bardziej uprzywilejowane jest konto (wyższe uprawnienia), tym większe jest ryzyko jego użytkowania zpunktu widzenia cyberbezpieczeństwa. Warto pamiętać, że tego typu konta są szczególnie interesujące dlaatakujących.

Cyberbezpieczeństwo – informacje praktyczne (3)Wyzwania w zarządzaniu kontamiSprawne i bezpieczne zarządzanie użytkownikami i hasłami jest sporym wyzwaniem - składa się na to wieleczynników, m.in.:

• Spora część urządzeń nie jest zarządzana przez żaden scentralizowany system do zarządzania kontami ipolitykami bezpieczeństwa (np. Active Directory). Co gorsza, niektóre przestarzałe komponenty nieoferują żadnej możliwości tworzenia konta i ich zabezpieczania.

• Ze względu na ograniczone zasoby występuje problem z rozdzielnością obowiązków służbowych (ta samaosoba może być głównym użytkownikiem i administratorem systemu).

• Ze względu na brak priorytetyzacji bezpieczeństwa występują historyczne zaniedbania, które trudnouregulować, np. ze względu na brak możliwości współpracy z odpowiedzialnym za wdrożenie rozwiązaniadostawcą. Dotyczy to m.in. tzw. kont testowych, używania kont administratorskich przy możliwościnormalnej pracy na koncie o niższych uprawnieniach, ukrytych haseł w kodzie aplikacji.

• Wprowadzanie zmian najczęściej możliwe jest tylko przy zatrzymaniu fizycznego obiektu i zawsze powstajeryzyko pojawienia się problemów przy rozruchu instalacji po zmianach.

Cyberbezpieczeństwo – informacje praktyczne (4)Wyzwania w zarządzaniu kontami (c.d)• Zakres dostępu powinien być minimalny, ale zarazem wystarczający do pełnienia wyznaczonych obowiązków (ang.

least privilege ). Zmiana zakresu uprawnień powinna być odzwierciedleniem zmiany zakresu obowiązków. Dziękitemu przechwycenie przez atakującego np. najczęściej używanych w systemie poświadczeń użytkownika nieoznacza od razu pełnej kontroli nad systemem.

• Konta użytkowników Systemów powinny być implementowane w taki sposób, aby dostęp do zasobów byłograniczony tylko dla wymaganych danych na określony czas. Stosowaną praktyką bezpieczeństwa jestograniczanie z góry dostępu użytkowania tylko do określonej funkcjonalności przez zadany czas (np. przez określonąliczbę godzin). Po tym czasie następuj e automatyczne wylogowanie użytkownika. Zasadę tą bardzo częstoobserwuje się dla zdalnego dostępu do systemów (np. przez tunel VPN).

• Każdy użytkownik powinien posiadać indywidualne konto i hasło do logowania do komputerów. Użytkownicypowinni się logować tylko na czas wykonywania pracy. Użytkownicy nie mogą udostępniać swoich kont innymosobom . Tam gdzie jest to wykonalne i uzasadnione biznesowo zawsze dąży się do implementowaniaindywidualnych kont. Zapewnia to możliwość śledzenia wykonywanych akcji przez poszczególnych użytkowników iprzede wszystkim rozliczalność prowadzonych operacji.

• Użytkownik konta indywidualnego powinien wylogować się po zakończeniu swojej pracy (jeżeli nie jest torealizowane automatycznie przez system) nawet, gdy użytkownik przejmujący jego pracę ma tą samą rolę i będziewykonywał tą samą pracę. Natomiast dość powszechnym problemem wykrywanym podczas audytówbezpieczeństwa jest problem zapisywania indywidualnych poświadczeń do systemów i trzymanie ich w miejscachdostępnych dla innych osób (np. w pokoju, do którego dostęp mają inni pracownicy organizacji, ale czasemrównież osoby trzecie).

• Tworzenie i przeglądanie list dostępowych zawierające wykaz osób posiadających dostęp do Systemu wraz zokreśleniem poziomu uprawnień. Listy powinny być przeglądane i weryfikowane nie rzadziej niż raz na 1 rok oraz przyzmianach personalnych. Działania te mają na celu usunięcie wszelkich nieużywanych lub nadmiarowych kont,które w wyniku luk lub przeoczeń w procesie zarządzania kontami mogą istnieć bez uzasadnienia biznesowegogenerując niepotrzebne ryzyko (np. istnienie konta użytkownika zwolnionego z organizacji, istnienie kontaadministratora dla osoby, która zmieniła rolę w organizacji). Okresowe przeglądy kont są szczególnie istotne dla kontadministratorskich.

Cyberbezpieczeństwo – informacje praktyczne (5)Zasady przechowywania haseł:• Hasła powinny być wprowadzane przez użytkownika przy każdym logowaniu i nie mogą być zapamiętywane w

Systemie w celu automatycznego logowania Zapamiętywanie poświadczeń na maszynie, na której sąwprowadzane, niepotrzebnie rozszerza płaszczyznę możliwych ataków

• Hasło tworzymy sami, przechowujemy w głowie, nie piszemy na kartkach, nie przyklejamy do monitora, podklawiaturę itp. Ujawnienie hasła jest incydentem bezpieczeństwa.

• Istnieje możliwość generowania i przechowywania haseł w aplikacjach zwanych Menadżerami Haseł np.oprogramowanie KeePass.

Najczęstsze błędy popełniane przez użytkowników / pracowników:• Trywialne hasła,

• Odpowiadanie na maile phishingowe.

• Użycie tych samych haseł do większości kont.

• Dzielenie się hasłem z innymi osobami.

• Zapisanie hasła w pliku na komputerze / telefonie.

• Niedostateczna kontrola i monitorowanie kont administratorów.

• Omijanie procedur szyfrowania danych.

Cyberbezpieczeństwo – informacje praktyczne (6)Przykładowe zagrożeniaProste zabezpieczenia do systemów mogą być w wielu przypadkach łamane przy użyciu znanych od lat metodataków i ogólnie dostępnych narzędzi . Istnieje wiele gotowych dystrybucji systemów operacyjnych z wbudowanymibazami narzędzi przeznaczonymi do łamania haseł. Poniżej wymieniono przykładowe metody stosowane do takichataków:

• Atak siłowy (ang. Brute Force Attack) atak polegający na łamaniu poświadczeń użytkowników przez sprawdzanieróżnych możliwych kombinacji liter, cyfr, znaków (często z ustawieniem złożoności haseł, aby przyspieszyć proces).Pomimo, że metoda jest dość prymitywna, ciągle bywa skuteczna, przeważnie w przypadku krótkich haseł.

• Atak słownikowy (ang. Dictionary Attack) zbliżony do ataku brute force, jednak nie sprawdza każdej kombinacjiznaków, a testuje wszystkie hasła z wgranego słownika. Słowniki te są tworzone m.in. na podstawie haseł, którewyciekły do Internetu w wyniku cyberataków. Stosuję się także maski i kombinacje wyrazów. Istotne jest, że jeśli hasłonie jest zawarte w załadowanym słowniku narzędzia to nie zostanie złamane tą metodą. Warto pamiętać, że obiemetody mogą być realizowane w trybie online lub offline (jeżeli przechwycono np. zaszyfrowane hasło).

• Atak typu Key Logger rodzaj oprogramowania / sprzętu, który rejestruje bez wiedzy użytkownika znaki wprowadzanez klawiatury do systemu zainfekowanego urządzenia. Bardziej rozbudowane programy monitorujące aktywnośćużytkownika potrafią także przychwytywać zrzuty ekranów, logi z systemu i aplikacji, dźwięk z mikrofonu i wysyłaćprzechwycone dane za pośrednictwem poczty elektronicznej lub serwera FTP w postaci szyfrowanej.

Cyberbezpieczeństwo – informacje praktyczne (7)Rodzaje urządzeń wymiennych (np. USB) oraz mobilnychUrządzenia wymienne i mobilne pomimo swojej popularności stanowią często niedoceniany przez użytkowników (aczasem i administratorów) potencjalny wektor ataków. Mówiąc o urządzeniach wymiennych mamy na myśli m.in.:

• Pamięci USB, karty SD, MMC, SIM.

• Płyty CD i DVD.

• Zewnętrzne dyski twarde (SSD i HDD).

Do mobilnych urządzeń zaliczamy z kolei m.in. :

• Telefony komórkowe / smartfony, PDA.

• Tablety, czytniki e booków (np. czytnik Kindle)

• Laptopy (niniejszy materiał nie skupia się na tych urządzeniach).

Urządzenia wymienne w przypadku stosowania w niekontrolowany sposób mogą m.in. łatwo wprowadzać złośliweoprogramowanie do środowiska IT wykorzystując luki techniczne urządzeń i systemów komputerowych oraz lukiproceduralne w organizacji. Dobrym przykładem jest brak ograniczania użycia portów USB na stacjachkomputerowych.

Innym spotykanym jest używanie urządzeń mobilnych jako hot spotów dla stacji komputerowych, np. w razie potrzebysporadycznej aktualizacji lub co gorsza na potrzeby nie związane z zadaniami służbowymi

Cyberbezpieczeństwo – informacje praktyczne (8)Nośniki USB i związane z nimi zagrożeniaNaukowcy z Uniwersytetu Ben Guriona w Izraelu opracowali listę 29 różnych typów ataków związanych z nośnikami USBi podzielili je na 4 kategorie:

• Wykorzystanie wad w sposobie normalnej interakcji systemów operacyjnych z protokołami / standardami USB.

• Przeprogramowanie firmware’u urządzenia USB w celu wykonywania szkodliwych działań (takich jak pobieraniezłośliwego oprogramowania, kradzież danych itp.).

• Atak z wykorzystaniem programowalnego mikrokontrolera urządzenia USB (np. urządzenie wygląda z zewnątrzdokładnie jak inne tego samego typu, ale zachowuje się jak zupełnie inne urządzenie i wykonuje określonezadania).

• Ataki elektryczne , które trwale niszczą sprzęt, gdy podłączane urządzenie USB wyzwala szybki cykl ładowania /rozładowania.

Przenośne nośniki pamięci USB są również skutecznie wykorzystywane w atakach socjotechnicznych, co ma swojeodzwierciedlenie w historii cyberataków, ale było także udowadniane różnymi testami. W jednym z tego typu testówprzeprowadzonych w USA rozrzucono 5 typów zainfekowanych dysków USB na parkingach campusu uniwersytetu* wcelu zebrania statystyk odnośnie korzystania przez ludzi z urządzeń o nieznanym pochodzeniu, w wyniku czego:

• 48% rozrzuconych nośników zostało zabranych i podłączonych do komputera oraz został uruchomiony co najmniejjeden plik,

• z 5 grup nośników najczęściej podłączono urządzenia, do których były przypięte klucze lub miały etykietkęConfidential,

• pierwsze podłączenie do komputera nastąpiło już w ciągu 6 minut od pozostawienia nośnika na parkingu.

Cyberbezpieczeństwo – informacje praktyczne (9)Urządzenia mobilne i związane z nimi zagrożenia:• Używanie urządzeń mobilnych (w szczególności smartfonów / tabletów) w celu podłączania do infrastruktury

sieciowej, która obejmuje systemy, bez wyraźnego uzasadnienia biznesowego i spełnienia określonych wymagań,generuje niepotrzebne ryzyko dla bezpieczeństwa tych systemów. Ryzyko jest jeszcze wyższe, jeśli używane sąurządzenia prywatne, które nie są zarządzane w żaden sposób przez organizację i nie są wymuszane na nichjakiekolwiek techniczne środki bezpieczeństwa. Najbardziej prawdopodobnymi wektorami ataku z użyciemurządzeń mobilnych wydają się: utrata poufności informacji, rekonesans systemu jako jeden z elementów łańcuchaataku oraz ataki Odmowy usługi (DoS).

• Ryzyko wynika m.in. z faktu, że wspomniane urządzenia mobilne (smartfony/tablety) najczęściej nie posiadająoprogramowania antywirusowego, aktualizacje systemu operacyjnego są implementowane nieregularnie, mogąbyć na nich instalowane dowolne aplikacje, aplikacje nie są uruchamiane w izolowanym środowisku (kontenerze),urządzenia te podłączane są do różnych sieci, najczęściej publicznych.

• Jednocześnie w ostatnich latach daje się zaobserwować wyraźny wzrost liczby złośliwego oprogramowania waplikacjach mobilnych oferowanych w „sklepach” internetowych. Wg badań GD Data każdego dnia 2018 rokurejestrowano się ok 12 tys. instancji nowego złośliwego kodu na system Android. Pomimo tego wielu użytkownikówżyje spokojnie w przekonaniu, że ich urządzenia mobilne nie są możliwym celem dla złośliwego oprogramowania.

Cyberbezpieczeństwo - zgłaszanie incydentów przez podwykonawców i pracowników stron trzecich• Podwykonawcy i pracownicy stron trzecich mający są zobligowani do zgłaszania zdarzeń i incydentów

bezpieczeństwa oraz zaobserwowanych lub podejrzewanych podatności cybernetycznych.

• Budowanie świadomości wśród pracowników firm zewnętrznych, nt. znaczenia ich postawy i ich możliwego wpływuna działanie Spółki jest jednym z kluczowych elementów budowania sprawnie działającego mechanizmuwykrywania i zarządzania incydentami.

• Niektóre etapy cyberataków nie są wykrywane przez narzędzia / oprogramowanie przez długi czas lub sąwykrywane, ale informacja nie jest nigdzie przekazywana w czasie rzeczywistym. Natomiast pewne symptomynaruszeń infrastruktury mogą być zauważone przez użytkownika systemu jako odchylenia od normalnego działania.Przykładem może być samoczynny restart / zawieszenie się stacji komputerowej lub aplikacji bez żadnegopowiadomienia, zmodyfikowana funkcjonalność systemu, itp. Dlatego też nie wolno bagatelizować takich sytuacji iprzyjmować biernej postawy.

• Podwykonawcy i pracownicy stron trzecich są zobligowani do niewykorzystywania zauważonych podatnościsystemu. Wykorzystanie lub próba wykorzystania zauważonych podatności powinna być traktowana jako incydentbezpieczeństwa.” Niestety skala wykrywanych podatności jest duża i wyraźne widać trend wzrostowy w porównaniuz poprzednimi latami. Dlatego zauważone podatności systemów należy niezwłocznie zgłaszać do koordynatorówumów bez podejmowania jakichkolwiek prób samodzielnego ich sprawdzenia (np. w celach samodzielnej ocenylub celach edukacyjnych) ze względu na ryzyko naruszenia dostępności / poufności integralności informacji.

Cyberbezpieczeństwo – zabezpieczenie dowodów

Po zgłoszeniu zdarzenia lub incydentu cyberbezpieczeństwa wymagane jest niezwłoczne zabezpieczenie dowodów.

Proces gromadzenia informacji nt. zdarzeń / incydentów oraz ich zabezpieczania musi być prowadzony tak, aby nieutraciły one atrybutów dostępności, integralności i poufności materiały te muszą zachowywać wartość dowodową.Przykłady dowodów, które mogą być wykorzystywane w dalszej analizie incydentu to : zainfekowane nośniki danych,logi zapory ogniowej, systemu IDS, systemu operacyjnego lub aplikacji z danego komputera, itp.

Aby informacje zachowały wartość dowodową, niezmiernie istotny jest sposób postępowania z nimi:

• nośniki danych zabezpiecza się w miejscu o ograniczonym dostępie, rejestruje się kto i kiedy miał do nich dostęp,

• zapisywane jest pochodzenie zabezpieczonych materiałów,

• nie wolno dopuść do zniszczenia lub utraty nośnika,

• absolutnie w żaden sposób nie modyfikuje się danych istniejących na oryginalnym nośniku / źródle,

• użytkownicy systemów nie powinni podejmować samodzielnych prób szukania innych źródeł danych lubodzyskiwania utraconych danych (ryzyko zmanipulowania dowodów),

• zabezpieczanie danych samodzielnie powinno umożliwiać sprawdzenie ich integralności, np. przez zastosowaniesumy kontrolnej.

Cyberbezpieczeństwo – podsumowanie• Kiedy jesteśmy pytani o informacje, które naszym zdaniem są poufne, zawsze należy upewnić się, że osoba/podmiot, która nas pyta jest do

tego autoryzowana, a my możemy przekazać taką informacje. Należy pamiętać, że wg badań z 2018 roku ponad 17% pracowników firmpada ofiarą ataków inżynierii socjotechnicznej.

• Należy być podejrzliwym i dociekliwym , gdy widzisz niecodzienne albo dziwne zdarzenie. Pamiętajmy, że współczesne ataki ukierunkowanena osiągnięcie poważnego skutku w systemach infrastruktury krytycznej są coraz bardziej złożone, składają się z wielu różnych etapów i mogątrwać wiele miesięcy lub nawet dłużej.

• Jeżeli dostrzegamy wyraźne słabości lub problemy dotyczące kont / haseł dotykających ważne komponenty zawsze warto upewnić się , żeich administrator ma tego świadomość i przekazać mu taką informację.

• Przed zmianą uprawnień do systemu należy otrzymać odpowiednie szkolenie , które wyjaśnia ryzyka i zasady związane z korzystaniem znadawanych uprawnień.

• Należy bez zwłoki reagować i zgłaszać zauważone incydenty cyberbezpieczeństwa. To samo należy robić w przypadku zaobserwowaniapodejrzanego / nietypowego zachowania się użytkowanego systemu.

• Nie należy podejmować prób samodzielnej analizy dowodów potencjalnego incydentu ze względu na możliwość zmanipulowania lub utratydowodów (najczęściej nieświadomie).

• Po zgłoszeniu zdarzenia lub incydentu cyberbezpieczeństwa wymagane jest niezwłoczne zabezpieczenie dowodów.

• Samodzielne próby wykorzystania zauważonych podatności (np. w celach edukacyjnych lub oceny podatności) są traktowane jakoincydenty cyberbezpieczeństwa.

• Urządzenia wymienne posiadają wiele zalet i przyjęły się na dobre zarówno w świecie IT, jednakże ich używanie może stanowić dużezagrożenie dla istotnych komponentów infrastruktury.

• Używanie urządzeń wymiennych wiąże się z koniecznością zadbania zarówno o wysoką świadomość użytkowników dotyczącą ryzykaużywania tych urządzeń, wdrożenia procedur organizacyjnych, jak i środków technicznych.

• Zapisanie informacji poufnych na urządzeniach wymiennych oraz mobilnych implikuje również konieczność zadbania o prawidłowe i trwałeusunięcie tych danych, co w wielu przypadkach nie jest równoznaczne z prostym kliknięciem opcji Usuń np. w systemie operacyjnym.

• Do innych ważnych zasad, które regulują korzystanie z omawianych urządzeń można zaliczyć:

• Uzasadnione ograniczanie dostępu do fizycznych portów dla większości użytkowników, szczególnie gdy nie ma potrzeby ichstosowania,

• Używanie narzędzi antywirusowych do skanowania tych urządzeń,

• Ewidencjonowanie urządzeń, określanie ich właścicielstwa oraz unikanie korzystania z urządzeń, których pochodzenie nie jestznane.