SEMAFOR 2021 gościł kilkudziesięciu prelegentów z Polski i zagranicy, którzy podzielili się ekspercką wiedzą z szeroko pojętego obszaru cyberbezpieczeństwa. Podczas jej trwania miały miejsce także wirtualne sesje roundtables obejmujące 20 stolików do wyboru. Równoległe sasje zostały natomiast podzielone na na 4 ścieżki tematyczne: audyt IT; cyberbezpieczeństwo; hacking i forensic; zarządzanie bezpieczeństwem informacji; technologie i innowacje. Można było również odwiedzić 6 partnerskich stref eksperckich.

Dzisiejsze skomplikowane środowisko IT, chmura i hybrydowe miejsca pracy, rozwój sztucznej inteligencji, komunikacja pomiędzy środowiskami IT i OT oraz komunikacja pomiędzy urządzeniami IoT sprawia, że konieczne są coraz mocniejsze zabezpieczenia. Te potrzeby powodują wzrost popularności modelu Zero Trust (czasami nazywanego perimeterless security) zakładającego, że organizacje nie mogą automatycznie ufać wewnętrznym i zewnętrznym zabezpieczeniom, ponieważ każdy użytkownik, urządzenie oraz adres IP uzyskujący dostęp do zasobu stanowi zagrożenie. Bezpieczeństwo to także wykorzystanie blockchain. Jak powiedział Marc Taverner, Executive Director w INATBA (International Association for Trudted Blockchain Application), stowarzyszenie pracuje obecnie w 15 grupach roboczych nad możliwościami zastosowania technologii blockchain m. in. w edukacji, finansach, sektorze publicznym, łańcuchu dostaw, opiece zdrowotnej, sektorze energetycznym, działaniach na rzecz klimatu oraz standaryzacji.

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA
• Testy penetracyjne systemów IT - czy warto w nie zainwestować?

Zaufanie, do którego droga prowadzi przez właściwy system zabezpieczeń, było słowem bardzo często powtarzającym się podczas licznych prezentacji. Nic dziwnego, bez niego nie da się budować cyfrowego społeczeństwa, cyfrowego biznesu i cyfrowego państwa.

Nie bez powodu agencja ENISA (European Union Agency for Cybersecurity) zmieniła swoje hasło, które obecnie brzmi: A Trusted and Cyber Secure Europe.

Nigdy nie ufaj, zawsze sprawdzaj

Jak powiedział Eric Cole Założyciel i CEO w Secure Anchor Consulting - Jako profesjonalny haker pracujący dla rządu przez 8 lat wiem, że wszystko można zhakować, co nie znaczy, że mamy sobie odpuścić bezpieczeństwo. Niestety obserwuję, że firmy nie wdrażają efektywnej ochrony. Trend pracy zdalnej zapoczątkowany na dużą skalę podczas pandemii zmienia znacząco mapę drogową zabezpieczeń. Każdego pracownika zdalnego trzeba traktować jak kolejne biuro, w którym bezpieczeństwo powinno być zapewnione na takim samym poziomie jak w budynku firmy. Zabezpieczenia, choć stoją często w opozycji do funkcjonalności, są jednak priorytetowe. Aby uzyskać odpowiedni poziom security należy wdrażać model Zero Trust, a by był on efektywny, potrzebne są wspólne działania użytkowników i organizacji. Eric Cole radzi by użytkownicy używali dwuskładnikowego uwierzytelniania i dwóch różnych urządzeń do sprawdzania e-maili i surfowania po sieci. Natomiast organizacja powinna kontrolować dane, zarządzać zasobami i konfiguracją oraz systemami internetowymi i nie zapominać o paczowaniu i backupie, który jest niezwykle ważnym elementem w systemie bezpieczeństwa.

Zerowe zaufanie staje się dziś modelem, wokół którego organizacje budują swoje strategie ochrony biznesu. Jak powiedział Tomasz Jedynak, Cybersecurity Sales Manager w Cisco- Cała filozofia Zero Trust sprowadza się do tego, ze włączamy kontrolę dla każdego żądania dostępu w naszym środowisku, cyklicznie ją weryfikujemy, sprawdzamy kto i w jaki sposób uzyskał dostęp oraz wprowadzamy segmentacje sieci i zasobów.

Według Marcina Krzemieniewskiego, Managera Zespołu Bezpieczeństwa w NTT zaimplementowanie filozofii Zero Trust wymaga uruchomienia wielu różnych mechanizmów bezpieczeństwa. Już samo ich wdrożenie i integracja polityki jest sporym wyzwaniem, a jeszcze większym jest skuteczne i efektywne zarządzanie całym ekosystemem w codziennym życiu. Dlatego sprawdzą się tu wyspecjalizowane platformy, takie jak SecureX, które pozwalają na jednolite kontrolowanie konfiguracji poszczególnych urządzeń oraz umożliwiają integrację z rozwiązaniami firm trzecich.

Hasło „nie ufaj” dotyczy dziś także audytorów. Do tej pory audyty zgodności z KSC opierały się na zawierzeniu przedstawionej dokumentacji. Dziś kwestie zaufania a priori zastępują szczegółowe pomiary. Mnóstwo nowych rozwiązań w chmurze, nasilające się ataki na systemy OT, konteneryzacja powodują, że bez wsparcia dobrych systemów zewnętrznych audytorzy nie są w stanie oszacować ryzyka. Rozwiązania takie gwarantują dostęp w czasie rzeczywistym do wszystkich informacji o pojawiających się zagrożeniach, co pozwala sprawdzić, czy są one ujęte w aktualnym planie ryzyka i w razie czego alarmować szefostwo.

Jak zaznaczył Cezary Cichocki, Szef Centrum Kompetencyjnego, OpenBIZ audytor staje się dziś jedną z kluczowych osób w organizacji, ponieważ zna i rozumie wszystkie procesy i modele działania, wie, jakie zagrożenia mają wpływ na biznes czy instytucję i jak się przed nimi uchronić.

Dominik Bieszczad, Technical Solutions Architect, Duo Security, Cisco zaznaczył, że Zero Trust nie jest produktem, ale filozofią, podejściem do cyberbezpieczeństwa. Duo Security realizuje filozofię zerowego zaufania w sposób holistyczny. Rozwiązania Duo obejmują użytkowników, aplikacje jak i urządzenia. Do tego, co jest dużą zaletą, ich wdrożenie może być szybkie. Największa i najszybsza implementacja obejmująca 23 tys. użytkowników została przeprowadzona w ciągu jednego weekendu.

Młodzi włamywaczce atakują ukradkiem

Zaniedbanie podstawowych procedur bezpieczeństwa może mieć nieciekawe konsekwencje o czym opowiedział ku przestrodze Krzysztof Szmigielski, Kierownik Sekcji Informatyki w Szpitalu Wolskim w Warszawie. Strona szpitala została zaatakowana, a atak ten był wynikiem braku aktualizacji oprogramowania oraz braku procedur regularnego przeglądania zawartości serwera. Spowodowało to, że zmiany, jakie się pojawiły na serwerze w ogóle nie zostały zauważone. Dlatego dużym szokiem był dla IT szpitala e-mail od CERT informujący o przejęciu strony z jednoczesną prośbą o weryfikację informacji i podjęcie odpowiednich działań w celu rozwiązania problemu. Kiedy przystąpiono do analizy incydentu i zabezpieczania dowodów okazało się, że atak trwał do lutego do kwietnia 2020 roku. W logach zidentyfikowano adres IT z którego przyszedł i co dziwne, był to tylko jeden adres. - Zablokowaliśmy go i doszliśmy do wniosku, że logi z serwera www nam nie wystarczą do identyfikacji włamywacza, potrzebujemy jeszcze odnaleźć port z którego odchodziły ataki. Jeśli znajdziemy parę: adres IP i port to wtedy każdy dostawca internetu będzie w stanie zidentyfikować, kto krył się za danymi ruchami w sieci. Mając takie dane byliśmy pewni, że policja znajdzie odpowiednią osobę - powiedział Krzysztof Szmigielski. I rzeczywiście, policja bardzo szybo namierzyła włamywacza. Okazał się nim nastoletni chłopak. Zdolny młodzieniec zdążył przejąć dane 4 kart kredytowych. Poza tym nie było strat, przede wszystkim nie nastąpił wyciek danych.

Czy można ufać systemom?

Oczekujemy, że systemy informatyczne będą działać szybko i bezbłędnie, a wszelkie problemy, jeśli zaistnieją, zostaną bezzwłocznie zlikwidowane, czyli po prostu zakładamy, że właściciele systemów nie zawiodą naszego zaufania, niestety rzeczywistość bywa inna. Firmy i instytucje publiczne nie przywiązują należytej wagi do zaufania, jakim chcą ich darzyć użytkownicy, ani nie wyciągają właściwych wniosków ze swoich wpadek. Joanna Karczewska, Audytor SI i Inspektor Ochrony Danych członek ISACA Warsaw Chapter opisała przypadki, gdy systemy zawiodły zaufanie. Np. portal Booksy, służący do rezerwacji wizyt m. in. u fryzjerów, po odwieszeniu lockdownu przeżywał tak wielkie oblężenie, że system padł, ponieważ zapomniano o skalowalności. W czerwcu i sierpniu 2020 CERT przeprowadził badanie bezpieczeństwa szkół i przedszkoli analizując 20 tys. stron internetowych. Dyrektorzy tych instytucji do tej pory nie dostali raportów dotyczących ich witryn, za to krążyły one po internecie niezaszyfrowane. Wynik kontroli NIK dotyczący realizacji usług publicznych dla obywateli z wykorzystaniem platformy ePUAP wykazał, że do dnia do dnia zakończenia kontroli nie w pełni wdrożono System Zrządzania Bezpieczeństwem Informacji.

Wszelkie naruszenia bezpieczeństwa podważają zaufanie publiczne, co ma daleko idące konsekwencje, ponieważ, jak stwierdziła Joanna Karczewska: - Jest powiązanie pomiędzy zaufaniem publicznym, a poziomem zaufania do samej władzy. Trzeba się kierować zasadami otwartości, braku wykluczenia, dbałości o rozliczalność, o kompetentność i spójność. Nie bez przyczyny w podsumowaniu raportu Organizacji Narodów Zjednoczonych: E-Government Survey 2020, słowo "trust" pojawia się aż 59 razy"

Samochody autonomiczne wciąż nieodporne na zewnętrzne manipulacje

To pytanie często zadają sobie przyszli, potencjalni użytkownicy self-drivings cars. Odpowiedź ich nie ucieszy, bo na dziś brzmi - nie. Moment, gdy samojezdne auta wyjadą na drogi jest coraz bliżej. Z punktu widzenia ekonomii i bezpieczeństwa drogowego, jest to słuszny trend, bo pozwoli zmniejszyć o 96% liczbę wypadków. Jest więc o co walczyć. Pozostaje jednak kwestia bezpieczeństwa cyfrowego. Samochody autonomiczne to komputery na kółkach, porozumiewające się ze sobą, z infrastruktura drogową, z domem kierowcy i odwrotnie (vehicle-to-everything - V2X, Vehicle-to-Home - V2H, Home-to-Vehicle - H2V). Powierzchnia ataku na taki samochód jest więc znaczna, co stwarza wiele możliwości do włamań. Jak stwierdził Rafał Jaczyński, Regional Cyber Security Officer CEE&Nordics w Huawei: samochody autonomiczne komunikują się przez sieć, która nie ma nić wspólnego z bezpieczeństwem, o żadnym poważnym uwierzytelnianiu nie ma tu mowy. Jest to system nieodporny na zewnętrzne manipulacje. Nawet jeśli pojazdy będą rozmawiały z aplikacjami przez stosunkowo bezpieczną sieć 5G, nie rozwiąże to problemów. Zbyt mało się mówi i jeszcze mniej robi w kontekście cyfrowego bezpieczeństwa samochodów, bezpieczeństwa aplikacji, które będą nimi sterowały. Według danych z badania Ponemon Institute z 2019 roku, mniej niż 50% firm z branży automotive ocenia podatności w fazie wymagań i projektowania lub rozwoju i testowania pojazdów.

Współdzielone zaufanie i segregacja drogą do bezpiecznej chmury

Czy chmura może być bezpieczna? Tak, ale tylko wtedy, gdy będziemy trzymać się kilku ważnych zasad. Przede wszystkim nie należy traktować chmury jak zwykłego data center. Tomasz Stachlewski, CEE Senior Solutions Architecture Manager, Amazon Web Services nazywa chmurę workiem klocków Lego - czyli miejscem, do którego firmy idą po gotowe narzędzia. Z punktu widzenia dostawców, istotne jest o jakim klocku będziemy mówić. W samym AWS jest około 250 różnych usług.

Dla kupującego usługi cloud ważna jest wiedza, że jego dane pozostaną w konkretnej lokalizacji, w wybranym regionie i nie będą krążyły po świecie. Należy też pamiętać o dostępie do danych chmurowych przez firmy trzecie i zrozumieć model współdzielonej odpowiedzialności. Za serwer wirtualny odpowiada usługobiorca, w usługach zarządzanych poziom odpowiedzialności przeniesiony jest na dostawcę. Dlatego ważne jest, by zespoły odpowiadające za bezpieczeństwo wiedziały, z jakich usług korzystają ich firmy i gdzie przebiega granica odpowiedzialności. Nigdy nie należy zapominać o szyfrowaniu i korzystaniu z usług security w chmurze. W zachowaniu bezpieczeństwa pomoże też segregacja. Każda organizacja, która korzysta z usług chmurowych powinna mieć w chmurze różne konta dla deweloperów, produkcji, security, dla określonych systemów, a także dedykowane konto sieciowe. Konta są najlepszym poziomem segregacji. Kolejne ważne sprawa to "zabijanie" co miesiąc serwerów zombie oraz rotacja kluczy i haseł, bo kwestia bezpieczeństwa dostępu do chmury należy do użytkownika.

Infrastruktura krytyczna - mity na temat ataków

Marcin Marciniak, Manager, Implementation Expert w EY Business Advisory, Cyber Security Implementations rozliczył się z 5 popularnymi mitami związanymi z atakami na infrastrukturę krytyczną z uwzględnieniem specyfiki środowisk automatyki przemysłowej.

1. Nieprawdą jest, że nikt nie ma dostępu do naszej sieci. Bardzo często firma nie wie o wszystkich metodach zdalnego dostępu. Mogą to być np. modemy GSM, a nieaktywne połączenie modemowe trudno wykryć jeśli nie znamy konfiguracji routera. Należy zatem dokonać rozpoznania wszystkich używanych metod dostępu i sporządzić w tym celu dokumentację wszystkich połączeń, wskazać podmioty i obiekty docelowe, czyli kto, gdzie, z jakiego powodu, kiedy i w jakich warunkach się łączy i za pomocą jakiego narzędzia oraz opracować metody autoryzacji i uwierzytelniania i śladu audytowego AAA. Następnie na podstawie tych informacji uruchomić projekt mikrosegmentacji.

2. Magiczne pudełka oferowane przez dostawców działają, jeśli spełnione są pewne ściśle określone warunki. Muszą być zastosowane w taki sposób, w jaki przewidział to producent i wsparte dodatkowym zabezpieczeniem. Każdą taka skrzynkę bez wyjątku dołączamy do firmowego Security Operations Center gdzie uruchamiamy scenariusze odpowiedzi na zagrożenie.

3. Nieprawda, że metody IT nie działają. W środowisku OT można zastosować metody IT takie jak zarządzaniu dostępem, podatnościami, ryzykiem oraz testy penetracyjne, które mogą przynieść pozytywne efekty. Warto tu wykorzystać wiedzę specjalistów od IT. Ethernet w OT zachowuje się tak samo jak w IT.

4. Automatycy naprawdę nie ogarną wszystkiego. Automatycy potrzebują pomocy w zrozumieniu komunikacji pomiędzy systemami, bo często nie mają wiedzy jak naprawdę działa sieć, jak odbywają się ataki, więc powinni włączyć specjalistów IT w plany poprawy bezpieczeństwa OT.

5. Ataki na infrastrukturę krytyczną nie dotyczą, jak się powszechnie sądzi, jedynie sektorów krytycznych dla gospodarki. Ransomware jest zbyt dobrym źródłem dochodu by przestępcy odpuścili, a narzędzia OT wykorzystują ten sam system operacyjny Windows/Linux i do tego są rzadziej aktualizowane od środowisk IT. Dlatego należy stosować narzędzia, które maksymalnie utrudnią atak i wprowadzić zasadę autonomii produkcji wobec systemów centralnych.