"Podając wydajność routerów w przełączaniu pakietów IP, producenci bazują na założeniu, że jeden pakiet to 200-1600 bajtów, podczas gdy w rzeczywistości podczas ataków wykorzystywane są pakiety o wielkości ok. 40 bajtów, w wyniku czego wydajność routerów spada znacznie szybciej niż wynika to z dokumentacji. Inny niedoceniany problem to fakt, że bardzo wydajne routery zewnętrzne przenoszą ruch z ataków DoS do wnętrza sieci. Wydajne routery być może atak DoS wytrzymają, ale inne urządzenia i systemy niekoniecznie" - ostrzegał. Według Tomasza Grabowskiego obrona przed atakiem powinna polegać na wyborze dostawcy Internetu, który jest w stanie aktywnie kooperować z klientem podczas ataku, np. zaoferować tymczasowe przyznanie innych adresów IP.

Na ścieżce menedżerskiej Krzysztof Jan Jakubski mówił o szantażu teleinformatycznym - zjawisku, którego prawdziwych rozmiarów nie znamy, jest ono bowiem często ukrywane przez firmy zaniepokojone możliwością utraty reputacji wobec przyznania się do bycia obiektem szantażu teleinformatycznego (szantażysta domaga się określonych działań, na ogół przekazania mu środków finansowych, grożąc ujawnieniem dziur w systemach IT przedsiębiorstwa czy banku bądź też wykradzionych wcześniej danych - najczęściej osobowych). Jeden z ważniejszych wniosków, jakie padły, był taki, że zawsze należy podjąć rozmowy z szantażystą, nigdy nie lekceważąc jego gróźb. Rozmowy są bowiem drogą do uzyskania dodatkowych informacji, która może pozwolić na ustalenie tożsamości szantażysty.

Bezpieczeństwo od środka

Sebastian Serwin z Banku Zachodniego WBK SA wygłosił na konferencji wykład o działaniach, które firma może podejmować, podejrzewając pracownika o działanie na szkodę firmy bądź działania z zakresu nieuczciwej konkurencji. Podobnie jak M. Maj z CERT Polska podkreślał, że pochopne działania mogą często wywołać więcej szkody, niż pożytku.

"Trzeba założyć, że włamywacz zawsze będzie starał się działać, nie rzucając podejrzeń na siebie. W szczególności będzie się podszywał pod inne osoby. Bardzo łatwo jest posądzić osobę, która jest tylko nieświadomym narzędziem" - mówił. Zalecał ostrożne badanie działań użytkowników, sprawdzanie nie tylko logów, ale i kamer TV przemysłowej, systemów kontroli dostępu itd. "Dopiero po zabezpieczeniu i analizie tych danych można próbować wyciągać wnioski" - przekonywał.

Zagadnienia, na które S. Serwin zwrócił uwagę słuchaczy, to zapobieganie w postaci pisemnych oświadczeń o świadomości procedur i związanej z nimi odpowiedzialności, uświadamianie pracownikom, że są obserwowani oraz regularne ich szkolenia w dziedzinie bezpieczeństwa. "Staramy się, aby każdy pracownik przynajmniej raz w roku przeszedł szkolenie z jakiegoś zakresu bezpieczeństwa" - wyjaśniał. Innymi słowy, nie można oczekiwać pozytywnych zmian, jeśli się w nie nie "zainwestuje".

Jarosław Rychlik z Departamentu Ochrony Informacji ZUS mówił o tym, jak w praktyce można wprowadzić kontrolę pracy administratorów systemów operacyjnych. Wskazywał na konieczność "silnego" uwierzytelniania połączonego z natychmiastowym wysyłaniem logów poza administrowane środowisko i ich zapisywanie na nośnikach jednokrotnego zapisu. Jednym z ważniejszych wątków wystąpienia był nacisk na organizację pracy administratorów. "Administrator systemu operacyjnego ZUS może w praktyce wykonywać w systemie to, na co otrzymał zlecenie od działu rozwoju, a także to, co ma wpisane w procedurach standardowych, czyli backup itd. Jeśli zachodzi potrzeba wykonania czegokolwiek, co wykracza poza te ramy, administrator musi natychmiast wykonać dokumentację" - mówił J. Rychlik.

Panel w okopach

Konferencję zamknął panel dyskusyjny na temat tego, czy duże firmy powinny kupować certyfikaty i usługi PKI na zewnątrz, czy też inwestować we własne centra autoryzacji. Finał dyskusji, w której udział wzięli: Robert Podpłoński z Centrum Zaufania i Certyfikacji Centrast SA, Krzysztof Olszewski z PZU Życie SA, Jacek Pokraśniewicz z firmy Enigma SOI SA, Tomasz Domżał z Sigillum SA oraz Robert Kośla z Departamentu Bezpieczeństwa Teleinformatycznego ABW, był taki, że jednoznaczna odpowiedź nie jest raczej możliwa.

Ze strony wydawców certyfikatów padały zdania, że opłacalność wdrożeń samodzielnych zaczyna się od 200 tys. użytkowników certyfikatów. Z opinią tą nie zgadzali się ci, według których wdrożenie wewnętrzne nie musi zachowywać wszystkich rygorów publicznego ośrodka certyfikacji, przez co koszty znacząco spadają i zwrot z inwestycji jest możliwy przy znacznie mniejszej liczbie użytkowników certyfikatów. W ogóle brak wiarygodnych danych nt. wyliczania współczynnika ROI w przypadku wdrażania rozwiązań PKI - powinny być one bowiem traktowane jako rdzeń systemów bezpieczeństwa w organizacji, a to oznacza, że jest to inwestycja długofalowa. Dlatego dzisiaj decyzja o tym, czy PKI wdrażać samemu, czy też korzystać z usług zewnętrznych, nie jest podyktowana kryteriami ekonomicznymi, lecz jest podejmowana w wyniku realizacji strategicznych planów organizacyjnych.

Kwestią, na którą narzekali wszyscy, był brak działań państwa, które przygotowało ustawę w duchu wspierania podpisu elektronicznego przez umożliwienie załatwiania za jego pomocą spraw urzędowych. Sprawa kosztów wdrożenia PKI w kontekście dostosowania do niej konkretnych aplikacji została dyskretnie przemilczana, a szkoda. Niewielka liczba wdrożeń wynika po części z tego, że firmy intuicyjnie widzą tę kwestię jako jeden z poważnych problemów.