Koniec iluzji bezpieczeństwa?

Zorganizowane niedawno przez BlackBerry w Nowym Jorku spotkanie ze specjalistami ds. bezpieczeństwa z założenia miało być poświęcone przejęciu przez BB firmy Secusmart – ale dość niespodziewanie głównym tematem okazała się sprawa podsłuchiwania dyplomatów oraz… możliwość przejmowania kontroli nad autonomicznymi autami. Dyskusja była fascynująca i sprowokowała pytanie: czy nadszedł czas, by przedefiniować pojęcie bezpieczeństwa?

BlackBerry pozostaje tak naprawdę jedynym dostawcą rozwiązań mobilnych, dla którego priorytetem pozostaje klient korporacyjny – dlatego też na wspomnianym spotkaniu stawili się firmowi specjaliści do zabezpieczania infrastruktury firmowej, a także niezależni eksperci zajmujący się bezpieczeństwem IT w medycynie, bankowości czy instytucjach rządowych.

Tematem formalnie było przejęcie przez BlackBerry niemieckiej firmy Secusmart (specjalizującej się w zabezpieczeniu połączeń głosowych) – ale to panele dyskusyjne okazały się najbardziej interesujące i najbardziej… przerażające. O wielu omawianych podczas nich zagrożeniach specjaliści IT często nawet nie myślą – co nieuchronnie prowadzi do tego, że pewnego dnia będą się musieli stawić przed obliczem swojego szefa i tłumaczyć, dlaczego w ich firmie doszło do włamania czy kradzieży danych, przeprowadzonej z wykorzystaniem metody, o której nikt nie pomyślał.

Zobacz również:

  • Biały Dom chce wzmocnić kontrolę nad sztuczną inteligencją
  • BlackBerry dzięki cyberbezpieczeństu z zyskiem po Q1 2023
  • 5G - rozwój jeszcze przed nami, 6G - tuż tuż, za rogiem

„Twoje połączenie może być monitorowane… i przechwytywane”

Problem polega na przykład na tym, że firmowe działy IT tak bardzo skupiają się na zabezpieczeniu danych, że zupełnie zapominają o ochronie połączeń głosowych. Dowodem na to są choćby regularnie wyciekające ostatnio zapisy rozmów telefonicznych przedstawicieli najwyższych szczebli władzy z obu stron Atlantyku.

Według ekspertów, jeśli nie szyfrujemy wszystkich rozmów głosowych, to możemy śmiało założyć, że są one podsłuchiwane - we współczesnym świecie to nic trudnego. Zabezpieczenie rozmów prowadzonych pomiędzy smartfonami nie jest na szczęcie specjalnie skomplikowane – zdecydowanie gorzej jest w przypadku połączeń realizowanych za pomocą telefonów stacjonarnych (szczególnie obsługiwanych przez starsze centralki PBX).

Sprawa jest o tyle poważna, że dostępnych jest już wiele narzędzi służących do zamiany głosu na tekst, a także do analizowania takich danych – to sprawia, że masowo rejestrowane rozmowy można aktualnie skutecznie analizować i przeszukiwać.

Jak odporny na włamanie jest Twój samochód?

W czasie rozmów pojawił się również temat Internetu Rzeczy – mówiono głównie o tym, że w pędzie do podłączania do sieci kolejnych urządzeń często zapomina się o tym, by je odpowiednio zabezpieczać. Okazuje się, że bez większych problemów można się włamywać np. do hotspotów instalowanych w wielu nowych autach czy nawet do wewnętrznej sieci samochodu, służących m.in. do przesyłania danych z poszczególnych podzespołów i sensorów. W świetle tych faktów szybko rosnąca popularność autonomicznych samochodów wydaje się dość niepokojąca…

Niektórzy producenci aut – podczas panelu wymieniono tu np. Audi – wydają się mieć świadomość istnienia tego problemu i robią już coś, by zredukować ryzyko do minimum. Ale faktem jest, że już wkrótce w katalogu obowiązków osób odpowiedzialnych za zarządzanie flotą pojazdów pojawi się – obok konieczności dbania o przeglądy i naprawy serwisowe – również obowiązek odpowiedniego zabezpieczenia informatycznego zasobów.

Jeden z prelegentów był pracownikiem międzynarodowej firmy prawniczej Skadden – opowiadał o tym, że w jego pracy zachowanie poufności na linii prawnik-klient jest krytyczne i wszelkie wycieki danych mogą w tym przypadku spowodować przegranie sprawy. Akurat Skadden chwali się tym, że dba o zabezpieczenie informatyczne wszystkich kanałów komunikacji – ale czy większość osób wybierając prawnika zastanawia się, jak dobre zabezpieczenia przeciwpodsłuchowe stosuje dana kancelaria? Bo przecież może okazać się, że najlepszy merytorycznie prawnik przegra sprawę tylko dlatego, że ktoś zdołał przechwycić jego rozmowę z klientem.

Holistyczne podejście

Najważniejszym wnioskiem, który wyciągnąć można ze spotkania zorganizowanego przez BlackBerry, jest to, że dzisiejszym specjalistom ds. bezpieczeństwa brakuje podejścia holistycznego – często zabezpiecza się wybrane segmenty infrastruktury, jednocześnie zupełnie zapominając o innych. Warto tu wspomnieć o eksperymencie przeprowadzonym kiedyś przez IBM – koncern zlecił stworzenie ultrabezpiecznego serwera, po czym wynajął byłego szpiega i specjalisty od bezpieczeństwa IT i zlecił mu włamanie się do niego. Wszystko trwało zaledwie kilka godzin – haker włamał się do jednego z podłączonych do serwera komputerów i w ten sposób ominął wszystkie wymyślne zabezpieczenia. W tym przypadku również zabrakło całościowego podejścia do kwestii bezpieczeństwa…

Wielkim błędem jest również traktowanie rozmów głosowych inaczej niż danych i nie zabezpieczanie ich – a przecież można je łatwo przechwycić, analizować i przeszukiwać. Zdaniem ekspertów, w takiej sytuacji najbezpieczniej jest założyć, że jeśli jakieś połączenie nie jest zaszyfrowane, to prawdopodobnie jest podsłuchiwane przez jakąś firmę, instytucję czy państwo…

Opracowano na podstawie tekstu „Nothing Is Secure, Your Calls Aren't Private and Your Car Could Kill You” Roba Enderle.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200