750 200 1


Bezpieczeństwo biznesu

Jak już pisałem w poprzednim numerze przedstawię cykl artykułów mających na celu zwrócenie uwagi na fakt, że ofiarą ataku hackerskiego może paść każdy z nas, zarówno indywidualna osoba, firma jak i instytucja publiczna. Edukacja, a co za tym idzie podnoszenie świadomości odgrywają role prewencyjną i są o wiele tańsze niż usuwanie późniejszych skutków ataków hackerskich. 21 lutego br. NASK na twiterze opublikował listę przykładowych fałszywych i niebezpiecznych SMSów – uważam, że warto się z tym zaznajomić, ponieważ ukazują one pewien schemat działania przestępców.

Z inicjatywy Komisji Europejskiej od 2004 roku w pierwszej połowie lutego obchodzony jest „Dzień Bezpiecznego Internetu”. W tym roku przypadł on na 10 lutego. W jego obchody włączyły się zarówno firmy prywatne, fundacje i stowarzyszenia oraz instytucje państwowe publikując wiele wskazówek mających na celu podniesienie świadomości użytkowników na temat zagrożeń płynących z internetu.

slupczynski 2

Liczba przestępstw w cyberprzestrzeni z roku na rok jest coraz większa. Hakerzy bardzo szybko odkrywają nowe podatności, prowadząc swojego rodzaju analizę ryzyka. Zupełnie inaczej wygląda atak na „kowalskiego” a inaczej na dużą organizację. W świadomość większości ludzi jest wizerunek hakera siedzącego w kapturze nad klawiaturą, który włamuje się do naszego komputera i kradnie środki z konta. Jest to wielkie uproszczenie. Inną motywację będzie miał nastolatek piszący pierwsze kody jako haker, inną organizacje hackerskie wspierane przez różne instytucje, a jeszcze inną fanatyk. W rzeczywistości atak jest starannie przygotowany, przeanalizowany pod kątem podatności, zasobów i szkód dla organizacji, wysokości zysku jaki może przynieść oraz prawdopodobieństwa ujęcia sprawców. Hakerzy wyszukują słabych punktów prowadząc rozpoznanie i analizę podatności wykorzystując wiele technik. Dzięki tym działaniom mogą zainstalować w sieci komputerowej ofiary jakieś urządzenie czy specjalistyczne oprogramowanie szpiegujące, które w odpowiednim momencie uaktywni się i wykona zaprogramowane działanie.

slupczynski 3

Zapewne zadajecie sobie Państwo pytanie jak zainstalować urządzenie w organizacji? A ilu z Państwa sprawdza, co pracownik wnosi do firmy? Co pracownik robi z pamięcią USB, którą dostał na konferencji? Czy taki pendrive przechodzi przez dział IT? Czy od razu pracownik wkłada go do komputera służbowego? Latem 2019 roku miał miejsce atak metodą „na pizzę”. Celem była filia znanej międzynarodowej korporacji. Na firmowe adresy email pracowników, (które dość łatwo zdobyć) przyszła informacja o nowo otwartej pizzerii w okolicy. W mailu było menu, adres stronny WWW z zamieszczonym telefonem i informacją, że dla pierwszych 10 osób pizzeria przygotowała niespodziankę. Pracownicy szybko dokonali zamówienia 8 pudełek i w ciągu 50 minut pojawił się dostarczyciel pizzy z zamówieniem i niespodzianką – gadżetem w postaci wiatraczków na USB dodawanym do każdego pudełka pizzy. Następnie wszystkie wiatraczki w gorący letni dzień zostały podłączone do komputerów. Poza przyjemnym uczuciem chłodzenia urządzenia te posiadały złośliwe oprogramowanie pozwalające hakerom sparaliżować firmę. Całe szczęście sytuacja ta była kontrolowanym audytem zamówionym przez ową korporację. Jak wiele firm prywatnych zamawia takie audyty? Czy poza firmami prywatnymi instytucje państwowe przeprowadzają podobne testy?

Cechą dobrego hackera poza wiedzą z zakresu m.in. informatyki, socjotechniki, jest także analiza zmieniających się przepisów. Przykład: od 1 stycznia br. obowiązuje Indywidualny Rachunek Podatkowy (IRP). Już 22 stycznia na stronie www. gov.pl ukazał się komunikat: „Ostrzegamy przed fałszywymi SMSami z informacją o zadłużeniu na indywidualnym rachunku podatkowym, tzw. mikro rachunku podatkowym.” Cytuje Państwu treść fałszywego SMSa z pisownią oryginalną: „Twój indywidualny rachunek podatkowy wykazuje obciazenie w kwocie 6.18 PLN.

Prosimy splacic zadluzenie, aby uniknac egzekucji”. Oczywiście do wiadomości dołączony jest link do „łatwej wpłaty”. Haker posiadając kilka tysięcy numerów telefonu ofiar wysyła SMSy z taką informacją – dużo osób woli zapewne zapłacić niż mieć problemy z fiskusem. W praktyce wiadomo, że Urzędy Skarbowe wysyłają korespondencję listami poleconymi a nie SMSami.

Jak bronić się przed atakiem? Przede wszystkim stale podnosić świadomość zarówno szeregowych pracowników jak i kadry zarządzającej. Pamiętając, że przykład powinien iść z góry. Zastanowić się, kto może być dla nas zagrożeniem (atak zewnętrzny – hacker czy wewnętrzny – nieuczciwy, sfrustrowany pracownik). Następnie zidentyfikować nasze zasoby w kontekście wartość dla atakującego. Ocenić, jakie są możliwości obronne naszej organizacji (edukacja, sprzęt, procedury, możliwości, budżety, kadra informatyczna). Jednocześnie pamiętać należy o zachowaniu zdrowego rozsądku.

slupczynski 4

Przypomnę, że 22 stycznia 2020 roku po 10 latach funkcjonowania Microsoft zakończył wsparcie dla systemów Windows Server 2008 i Windows 7. W praktyce oznacza to, że w przypadku odnalezienia nowych błędów w tych systemach nie będzie możliwe zainstalowanie łatki. W związku z powyższym hakerzy po odnalezieniu luki będą mogli dokonywać infiltracji na skale masową w/w systemach. Trzeba zastanowić się czy w Państwa korporacjach lub instytucjach mamy jakieś siódemki lub serwer 8? Czy nie warto zaktualizować ich do wersji wyższej. Uważam, że na pewno warto uwzględnić tą informację w analizie ryzyka organizacji odbierając odpowiednie środki ochrony oraz akceptując ryzyko z tym związane.

Cyberprzestępcy bardzo szybko dostosują się do zmiany trendów biznesowych lub społecznych. Świadczy o tym fakt sprytnego wykorzystywania przez nich sytuacji związanej z COVID19. W ostatnim czasie powstało wiele oszustw, przed którymi ostrzega m.in. UOKiK. Zaczynając od złodziei podszywających się pod pracowników sanepidu, którzy pod pretekstem odkażenia mieszkania okradają je, przez rożnego rodzaju okazyjne inwestycje finansowe na ciężkie czasy, piramidy finansowe, fałszywe zbiórki pieniędzy na szczytne cele, skuteczne leki na nową chorobę, fake newsy siejące panikę oraz oszustwa komputerowe wykorzystujące złośliwe kody. Jak pisałem wcześniej przestępcy bazują na braku wiedzy oraz wysokich emocjach związanych ze zdrowiem naszym lub naszych najbliższych. Bądźmy uważni i czujni, nie wierzmy w obietnice i zapewnienia, nie podejmujmy decyzji pod wpływem chwili, zawsze starajmy się zweryfikować źródło informacji. Ostrzeżenia zamieszczają m.in.: UOKIK https://www.uokik.gov.pl , NASK https://www.nask.pl , CERT https://www. cert.pl , Serwis Rzeczypospolitej Polskiej https://www.gov.pl.

slupczynski 5

W marcu CERT na swojej stronie zamieścił ostrzeżenie przed niebezpiecznymi stronami i domenami. Można także zgłaszać podejrzane witryny. Lista WWW jest możliwa do pobrania w różnych formatach TXT, TSV, JSON, XLM, przez co można ją łatwo zaimportować do systemów monitorujących ruch internetowy. Dodam, że rejestr jest na bieżąco weryfikowany i bezpiecznie rozbudowywany przez pracowników CERT.

Na stronie Ministerstwa Finansów znajduje się ostrzeżenie przed fałszywymi SMSami dotyczącymi wprowadzenia Tarczy Antykryzysowej o treści: „Ostrzegamy przed podejrzanymi SMSami, które dotyczą Tarczy Antykryzysowej związanej z epidemią koronawirusa. Fałszywa wiadomość SMS informuje o przeterminowanym zadłużeniu w urzędzie skarbowym w związku z wprowadzeniem Tarczy Antykryzysowej od 1 kwietnia 2020 r. W treści znajduje się odnośnik, który prowadzi do strony z informacją o rzekomym zadłużeniu i ostrzeżeniu o zmniejszeniu wynagrodzenia o 60 proc. w przypadku braku reakcji na wezwanie. Tego typu wiadomości są fałszywe i nie zostały wysłane przez organy Krajowej Administracji Skarbowej. Należy je traktować jako niebezpieczne i usuwać.” Jak widać hakerzy działają niezwykle szybko.

W ostatnim czasie powstaje bardzo dużo stron na temat koronawirusa. Niestety wiele z nich pomimo wiarygodnych danych w nich zawartych jest wprowadzanych przez hakerów i służy m.in. wyłudzaniu danych osobowych oraz danych uwierzytelniających użytkowników. Podstawą działania jest zaciekawienie użytkownika, oswojenie go i uwiarygodnienie witryny. Podczas poruszania użytkownik może pobrać bezpłatnie i niezobowiązująco mapę koronawirusa na komputer lub telefon. Jak się łatwo domyślić poza mapą instaluje się złośliwe oprogramowanie typu AZORult, które zakłada tajne konto administratora systemu. Tego typu oprogramowanie służy do przeprowadzania zdalnych ataków oraz kradzieży danych.

Dlatego należy stosować się do wytycznych publikowanych przez UODO dotyczących ochrony danych osobowych, ponieważ zdalna praca nie zwalnia z nieprzestrzegania rozporządzenia RODO.

W kolejnym artykule zajmę się tematem „pracy zdalnej” i „nauki zdalnej” – zagrożeniach i problemach z tym związanych. Co to jest cyberprzestrzeń i jak szybko się w niej znaleźliśmy. Oczywiście nie zabraknie ciekawych przykładów ataków hackerskich zawiązanych z COVID19 i nie tylko. Niestety cyberprzestępcy nieustannie dostarczają nowych przykładów. Proszę o tym pamiętać.

Życzę Państwu zdrowia i rozwagi w tym trudny okresie.

 

Piotr Słupczyński

Weszliśmy w okres głębokich przemian, niepewności i braku stabilizacji, co w oczywisty sposób utrudnia racjonalne planowanie działalności biznesowej. Dotyczy to nie tylko dużego biznesu, działającego na poziomie międzynarodowym, ale i małych i średnich przedsiębiorstw – w czasach globalizacji trudno jest mówić o jakichkolwiek niszach zapewniających ochronę przed wpływem warunków zewnętrznych. Jakie czynniki należy wziąć pod uwagę ze strategicznego punktu widzenia? Warto zwrócić uwagę na szereg z nich.

Każdy podmiot gospodarczy dysponuje określoną ilością informacji; udowadnianie znaczenia informacji dla prowadzenia działalności gospodarczej, szczególnie w sferze szeroko rozumianego bezpieczeństwa, wydaje się być – z punktu widzenia Czytelnika – stratą czasu. Jeśli jednak zmienimy nieco perspektywę i spojrzymy na informacje stosując kryterium zasadności ich ochrony, a więc zachowania ich w poufności, sprawa staje się bardziej skomplikowana.

We współczesnym przedsiębiorstwie mamy do czynienia z kilkoma kategoriami informacji. Dostęp do części z nich podlega określonym ustawowo procedurom, które – pomimo wspólnego mianownika, jakim jest bezwzględna konieczność ich ochrony – różnią się między sobą. Mamy więc kategorię informacji niejawnych (ściśle tajnych, tajnych, poufnych i zastrzeżonych), które podlegają ochronie na mocy ustawy o ochronie informacji niejawnych. Mamy także dane osobowe, chronione na mocy RODO, mamy wreszcie cały szereg informacji objętych tzw. tajemnicą zawodową, np. radcy prawnego czy doradcy podatkowego. Mamy wreszcie tajemnicę przedsiębiorstwa, której ustawodawca nie zdefiniował, stanowiąc jedynie, iż są to informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób; warunkiem uznania ich za tajemnicę jest podjęcie przez przedsiębiorcę działań mających na celu zachowanie ich w tajemnicy. Różne zatem kategorie, różne wymagania, różne procedury.

Z uwagi na rosnąca liczbę przestępstw internetowych zaczynam cykl artykułów w celu zwrócenia uwagi czytelników na zagadnienie cyberbezpieczeństwa.
W kolejnych numerach dwumiesięcznika zamieszczę przykłady ataków hackerskich oraz skutki wycieku loginów i haseł użytkowników. W kolejnych artykułach przybliżę kim jest haker, jakie są najbardziej popularne grupy hackerskie, czym się kierują oraz jaką mają motywację. Ponadto w miarę pojawienia się oficjalnych raportów będę prezentował najciekawsze dane statystyczne.

Na stronie cert.pl został opublikowany bardzo interesujący dokument „Krajobraz bezpieczeństwa polskiego internetu. Raport roczny 2018 z działalności CERT Polska”. Instytucja ta obsługuje zgłoszenia incydentów informatycznych. Z dokumentu wynika, że z roku na rok rośnie liczba ataków hackerskich co przedstawia wykres. Ponadto warto zapoznać się z klasyfikacją incydentów ze względów na sektor gospodarki. Jasno widać, że atak może dotknąć każdą firmę, dlatego świadomość pracowników jest bardzo ważna.

Każdy podmiot działający na rynku, niezależnie od rodzaju, wielkości, przynależności do danego sektora lub gałęzi gospodarki, formy właścicielstwa czy pełnionej roli stale narażony jest na różnego typu „incydenty”, które mogą zakłócić lub nawet przerwać jego działalność operacyjną. Wachlarz tych zdarzeń jest szeroki – mogą to być sytuacje ekstremalne takie jak klęski żywiołowe, ale częściej jest to coś bardziej powszechnego i prawdopodobnego jak zanik zasilania czy pęknięta rura wodociągowa lub awaria serwera. Każda taka awaria to zakłócenie zdolności organizacji do wykonywania jej normalnych działań co w konsekwencji może wpłynąć na klientów i interesariuszy powodując dodatkowe koszty i tworząc potencjał strat finansowych i niefinansowych.

Na przestrzeni ostatnich kilkunastu lat Zarządzanie Ciągłością Działania (eng. business continuity management – BCM) rozwinęło się z ledwie tolerowanego dodatku do potężnego narzędzia pomagającego organizacjom nie tylko skutecznie reagować i zarządzać szkodliwym incydentem, ale także zabezpieczyć i aktywnie chronić je przed ich skutkami. Obecnie można obserwować dalszą ewolucję czyniącą z Zarządzania Ciągłością Działania zasadniczy fundament procesu kompleksowego i spójnego zarządzania ryzykiem i bezpieczeństwem – czyli tzw. budowanie odporności organizacji.

Jakiś czas temu w prasie można było przeczytać, jak pewna firma spedycyjna, działająca w Trójmieście, nie musiała się domyślać, gdyż utratę pierwszych sześciu najważniejszych klientów i pół miliona złotych szybko skojarzyła z odejściem czterech pracowników, którzy zatrudnili się w przedstawicielstwie szwedzkiej konkurencji. Posługiwali się oni szczegółami dotyczącymi kontraktów, jakie ich były pracodawca zawarł z kontrahentami, tras przejazdów itd., mimo że podpisali wcześniej umowy o zakazie konkurencji i zachowaniu poufności informacji przez trzy lata od ustania stosunku pracy. Niestety, prokuratura odmówiła wszczęcia dochodzenia, gdyż firma nie mogła przedstawić „twardych dowodów”. Jej pliki, znalezione przez policję w komputerach konkurencji, nie miały znaczenia, bo podejrzani po prostu zaprzeczyli, że je wykradli. W Szwecji samo posługiwanie się takimi plikami wystarczyłoby, aby zamknąć nieuczciwe przedsiębiorstwo, ale u nas prawo o konkurencji jest tak skonstruowane, że bardzo trudno pociągnąć kogoś do odpowiedzialności karnej (prokuratura wszczyna dochodzenie tylko w kilku procentach zgłoszonych przypadków). Pozostaje droga cywilna, której firmy zazwyczaj unikają, gdyż jest długa i kosztowna. Poza tym informacja o tym, że firma dała się oszukać, co może wypłynąć do opinii publicznej, może zachęcić innych. Albo wygenerować kolejne straty, tym razem wizerunkowe. Przez to właśnie kradzież poufnych danych jest w Polsce tak nagminna – złodzieje często czują się bezkarni.

Był rok 2000 kiedy pracując jako Dyrektor handlowy w pewnej niemieckiej korporacji, zadzwonił do mnie telefon. Po drugiej stronie rozpoznałem głos byłego pracodawcy, który głosem wyrażającym najwyższą wściekłość cedził: „Byłeś u naszego klienta i śmiałeś oferować swoje rozwiązania? To nasz Klient! Masz dziecko? Uważaj, by mu się nic nie stało” – po czym rozłączył się. Mój synek miał wtedy niecałe 8 lat. Pamiętam to, jakby wydarzyło się to wczoraj. I chociaż od tego czasu dzieli mnie 19 lat, to wydarzenie miało na mnie ogromny wpływ. Zrozumiałem, że każdy kto pracuje, prowadzi biznes, odpowiada za jakąś część gospodarki, wcześniej czy później znajdzie się w sytuacji dramatycznej – będzie musiał dokonać wyboru – czy będzie dalej robił swoje narażając się czasami na nieprzyjemności czy będzie wycofywał się wtedy, kiedy napotka na problem, zagrożenie lub kryzys.


Co jakiś czas zdarza się w Polsce afera, która zmienia standardy zabezpieczeń. Przynajmniej w świadomości. Tak jak ta z udziałem byłego przewodniczącego Komisji Nadzoru Finansów, pokazała że nawet dobrze zabezpieczone budynki mogą mieć luki w zabezpieczeniach. Wbrew pozorom przechytrzył je zwykły dyktafon. Podobnie było z taśmami Jarosława Kaczyńskiego. Jak to możliwe?

W gabinecie szefa KNF od ponad dekady były zainstalowane zagłuszacze wibroakustyczne. Jak wyjaśnia Krzysztof Rydlak, Product Manager firmy Spy Shop, specjalizującej się w zabezpieczeniach technologicznych: „Zagłuszacze wibroakustyczne chronią pomieszczenie przed inwigilacją z zewnątrz – zatrzymują podsłuchy laserowe, które przechwytują dźwięk przez okna. Mogą zakłócić też działanie podsłuchów sejsmicznych, które szpiegują pomieszczenie przez ściany, sufity, podłogi albo przez instalacje wodne czy gazowe. Natomiast nie są przeznaczone do blokowania podsłuchów, które znajdują się już wewnątrz pomieszczenia. Do tego mogą posłużyć zagłuszacze ultradźwiękowe".
Jaki zagłuszacz pomógłby pomóc w takiej sytuacji?
Model Case Ultra-05 w eleganckiej walizce, która niczym nie różni się do złudzenia przypomina walizkę używaną w czasie spotkań biznesowych. Wytwarza jednak ultradźwięki – praktycznie niesłyszalne dla ludzkiego ucha. To one sprawiają, że nagrania, na które zagłuszacz jest nakierowany są całkowicie zniekształcone. W dodatku nie sposób ich później „odszumić”.

Podobnym rozwiązaniem jest Tower-A. Oparty na tej samej technologii, tylko zamknięty w formie kolumny. Wygląda jak głośnik, natomiast w rzeczywistości, zamiast muzyki, emituje wokół siebie ultradźwięki w promieniu sięgającym nawet 30 metrów.

20190319 spyshop Zagłuszacz podsłuchów Tower A

Tutaj warto zaznaczyć – nie można zapominać o fizyce. Skuteczność działania zagłuszaczy jest uzależniona zarówno od konkretnego modelu podsłuchu – jedne są bardziej podatne na zagłuszenie, inne znacznie mniej – jak i od samego pomieszczenia – dźwięk na przykład inaczej rozchodzi się w pustym pokoju, a inaczej w wygłuszonym czy po prostu umeblowanym.
Jak wykryć podsłuch zanim nieźle namiesza?
Takim profilaktycznym i skutecznym rozwiązaniem są wykrywacze podsłuchów. Niektóre można kupić w cenie przystępnej dla zwykłych użytkowników, ale w pełni profesjonalny sprzęt – jak choćby Delta X 2000/6 – jest przeznaczony głównie dla służb czy instytucji. Czym jest Delta? To kompleksowy system zabezpieczenia budynku. Bardzo dokładnie rozpoznaje wszystkie sygnały w swoim zasięgu i pokazuje je na wykresach.

20190319 spyshop Delta X kompleksowy system do kontrinwigilacji

„Całodobowa ochrona pomieszczeń. Wykrywanie podsłuchu w zaledwie 2-3 sekundy. Demodulacja namierzonego sygnału. 20-krotnie lub nawet 50-krotnie wyższa czułość i odległość detekcji w porównaniu ze zwykłymi wykrywaczami RF. To cechy, na które specjaliści zwracają szczególną uwagę, opisując jeden z bardziej zaawansowanych systemów zabezpieczających budynek przed inwigilacją” – komentuje Krzysztof Rydlak ze Spy Shop.

System działa uniwersalnie, a jednocześnie drobiazgowo. Wykrywa wszystkie rodzaje nadajników radiowych – analogowe, cyfrowe, nadające sygnały ciągłe lub impulsowe, szyfrowane i nieszyfrowane. Analiza widma w paśmie oparta jest o szeroki zakres skanowanych częstotliwości w przedziale 40 kHz do 6000 MHz z przemiataniem 2000-3000 MHz na sekundę i krokiem co 9 kHz.

Wszystkie opisane produkty są dostępne w ofercie polskiego dystrybutora – marki Spy Shop.

Czy człowiek, który trafił do więzienia nie zagraża już niebezpieczeństwu? Niestety tego wiedzieć nie można, większość więźniów dalej ma kontakt z życiem poza murami więzienia i nawet w zakładzie zamkniętym czuje się bezkarny. Główny sposób komunikacji? - telefon komórkowy.

Grożenie świadkom, handlowanie narkotykami, obecność w Social Media

W dzisiejszych czasach śmiało można napisać: „Kto ma komórkę, ten ma władzę”, internet pochłania sporą ilość dnia, ponieważ można tam załatwić wszystko. Lot, bilet na pociąg, wizytę u lekarza, opłacanie rachunków. Osadzeni robią co mogą, by przemycić telefon, dzięki któremu będą mogli skontaktować się z rodziną, z dilerem, czy kolegą gangsterem. Gdzie strażnicy je znajdują? W pościeli, w toalecie, podeszwie buta, czy w brzuchu.
Rządy zapowiedziały, że zaostrzą walkę z coraz większą kontrabandą, na ratunek może przyjść Cellsense® Plus.

Jednym z widocznych trendów, za którym podążają firmy i instytucje jest wdrażanie nowoczesnych technologii z zakresu szeroko pojętego bezpieczeństwa. Nie wszyscy zdają sobie sprawę z faktu, że nowoczesne rozwiązania mogą zapobiec nawet najgorszym w skutkach zagrożeniom.


 

bg
pi