Kiedy cyberprzestępcy atakują instytucje finansowe czy duże korporacje - a robią to cały czas - ofiary takich incydentów wolą utrzymywać to w tajemnicy. Ostatnia fala głośnych ataków przynajmniej ujawnia opłakany stan bezpieczeństwa wielu dużych organizacji, którym często powierzamy swoje poufne dane. Jakie są słabe punkty bezpieczeństwa w większości organizacji?

Użytkownik - jak zwykle najsłabsze ogniwo

Irytujące jest to, że proste, znane od lat środki mogą zapobiegać większości ataków, a tego nie robią. Roger Grimes, publicysta InfoWorld od lat zajmujący się problematyka bezpieczeństwa, twierdzi że 90 proc. eksploitów to efekt ściągania i instalowania przez użytkowników programów, których instalować nie powinni. Często ekspolity te zaczynają się od wiadomości scareware, które zawiadamiają użytkownika, iż jego system został zainfekowany i konieczne jest zainstalowanie wskazanego programu antywirusowego usuwającego infekcję. Ściągany po chwili program oczywiście ma wiele wspólnego z wirusami, ale niekoniecznie z ich usuwaniem.

Zobacz również:

• Ransomware - liczba ataków spada, ale są bardziej kosztowne
• Nie żyje jeden z najsłynniejszych hakerów na świecie

Trudno jest wyszkolić użytkowników, aby ignorowali takie fałszywe alarmy, zwłaszcza kiedy nie wiedzą jak wygląda prawdziwy alert programu antywirusowgo. Można sobie zadać pytanie: czy firmy dostarczają swoim pracownikom informacji jak wygląda komunikat programu antywirusowego, kiedy znajdzie wirusa? Prawdopodobnie bardzo rzadko. Jeżeli jest to tak poważny problem w większości dzisiejszych środowisk IT, to dlaczego takie trudne jest wykonanie prostego kroku - dostarczenie każdemu użytkownikowi obrazka pokazującego jak wyglądają komunikaty programów antywirusowych?

Brak takiego elementarnego szkolenia, to jeden problem, kolejnym jest to, że pracownicy nie ponoszą konsekwencji za swoje działania, które nierzadko skutkują poważnym zagrożeniem bezpieczeństwa.

Odkładanie łatek na później

Być może jeszcze bardziej frustrująca jest nieporadność działów IT w utrzymywaniu na bieżąco stanu wprowadzonych łatek bezpieczeństwa. Takie uchybienia były w praktyce otwartym zaproszeniem do ataku na Sony: nieaktualizowane od miesięcy serwery www, które są zwykle pierwszym celem napastników, to skrajna nieodpowiedzialność.

Poza serwerami są jeszcze łatki bezpieczeństwa dla routerów, urządzeń ochronnych, wtyczki do przeglądarek itd. Dużym problemem jest też spory zakres prac związany z łataniem wszystkiego co potrzeba. Odpowiedzialne wykonywanie procesu zastosowania aktualizacji wymaga testowania ich przed wdrożeniem, a to wymaga czasu. Jaki scenariusz może się w tym czasie wydarzyć? Napastnik podejmujący próbę włamania do sieci w pierwszej kolejności rozpozna, co w niej pracuje (Apache, IIS itp.) i następnie poczeka na moment wydania łatek i skorzysta z którejś z luk, którą mają one usunąć.

Wprowadzenie aktualizacji, w najlepszym razie zabiera dni, na ogół niestety testowanie, zatwierdzenie i wdrożenie łatek ciągnie się tygodniami. Napastnik ma więc czas na rozpoznanie środowiska, partnerów firmy, zorientowanie się kto ją obsługuje i jakie programy pracują w sieci. Zgromadzi wiedzę i dopiero wtedy zaatakuje - może to mu zająć, powiedzmy, miesiąc. Czy w ciągu miesiąca nie można uporać się z łatkami?