Pandemia koronawirusa stała się nieoczekiwanym katalizatorem powszechnej cyfryzacji naszego życia. Dzięki niej w coraz większym stopniu funkcjonujemy w społecznych sieciach środowiska zdalnego. Doświadczamy w nich zupełnie nowego zjawiska określanego przez niektórych badaczy „szarzeniem kalendarzy”: pracując w domu i mieszkając w pracy coraz trudniej odróżnić nam bowiem dni robocze od dni wolnych od pracy. Te płynnie przenikające się światy eskalują również zagrożenia bezpieczeństwa cyfrowego na niespotykaną wcześniej skalę.
Bezpieczeństwo w cyberprzestrzeni: twarda gra o podwyższoną stawkę
Tekst Mariusz Kielar
Pandemia koronawirusa stała się nieoczekiwanym katalizatorem powszechnej cyfryzacji naszego życia. Dzięki niej w coraz większym stopniu funkcjonujemy w społecznych sieciach środowiska zdalnego. Doświadczamy w nich zupełnie nowego zjawiska określanego przez niektórych badaczy „szarzeniem kalendarzy”: pracując w domu i mieszkając w pracy coraz trudniej odróżnić nam bowiem dni robocze od dni wolnych od pracy. Te płynnie przenikające się światy eskalują również zagrożenia bezpieczeństwa cyfrowego na niespotykaną wcześniej skalę.
Globalna skala zagrożenia
W 2015 roku w Stanach Zjednoczonych odnotowano ponad 111 milionów cyberataków na systemy informatyczne placówek ochrony zdrowia. W największym, jak dotychczas, incydencie cyberbezpieczeństwa – ataku na firmę Anthem – doszło do jednorazowego wycieku ponad 78 milionów danych pacjentów. Szacuje się, że straty związane z podobnymi cyberprzestępstwami odczuło 35% amerykańskiego społeczeństwa. Ten przykład – co prawda dziś już historyczny – dość dobrze oddaje nie tylko globalną skalę zagrożenia wrogimi przejęciami danych czy niewielką skuteczność metod zwalczania tego typu procederów. Uświadamia nam przede wszystkim dramatyczne konsekwencje społeczne działalności cyberprzestępców.
Cyfrowe zagrożenia w dobie pandemii
Zagrożenie naszego bezpieczeństwa cyfrowego nasila się w czasie pandemii. Wiele firm i pracowników musi polegać dziś na pracy zdalnej, w której wszyscy jesteśmy niejako skazani na znacznie częstsze wykorzystywanie technologii teleinformatycznych do realizacji swoich codziennych obowiązków zawodowych. Pokusa wrogiej ingerencji w dzisiejsze możliwości świadczenia pracy w trybie online, a tam samym poważnego zaburzenia lub wręcz odcięcia od takiej możliwości, dla wielu organizacji przestępczych jest zbyt silna, by się jej oprzeć. Niestety w zdecydowanej większości przypadków próżno liczyć na wyrozumiałość ze strony cyfrowych przestępców, a tym bardziej na zawieszenie przez nich swoich działań z powodu globalnego kryzysu epidemicznego. Może o tym świadczyć m.in. przykład szczególnie wrażliwego ataku przeprowadzonego na początku pandemii na szpital zakaźny w Brnie, który uniemożliwił przesyłanie do bazy danych wyników testu na zakażenie koronawirusem. Jak więc „na własnym odcinku” lepiej identyfikować pojawiające się zagrożenia bezpieczeństwa cyfrowego oraz w jaki sposób zapewnić bezpieczniejszą pracę zdalną?
Jeśli chodzi o pierwszą część pytania to tzw. zwykłemu użytkownikowi systemu komputerowego w sukurs przychodzi chociażby ogólna wiedza o najczęściej występujących zagrożeniach dotyczących wrogiego przechwytywania danych i bezpieczeństwa w cyberprzestrzeni. Niemniej jednak, jak widać choćby na przykładzie brneńskiego szpitala zakaźnego, w dobie pandemii powszechnie stosowane metody cyberataków mogą skutkować jeszcze groźniejszymi konsekwencjami niż kiedykolwiek przedtem.
Pierwsze zagrożenie, czyli tzw. atak phishingowy polegający na podszywaniu się pod inną osobę lub organizację przy wykorzystaniu fałszywego adresu poczty elektronicznej czy strony internetowej w celu skłonienia osobę zaatakowaną do określonego zachowania może zostać obecnie wykorzystywany np. do wyłudzenia korzyści majątkowej pod pozorem rzekomej pomocy osobom zakażonym, służbom medycznym, a nawet przez ofertę zakupu leków na koronawirusa czy skorzystania ze szczepienia bez kolejki. Szkodliwe oprogramowanie typu ransomware instalowane na urządzeniu na ogół nieświadomego użytkownika blokuje do niego dostęp lub szyfruje dostępne na nim dane. Oczywiście odblokowanie urządzenia i/lub danych na nim zapisanych wiąże się z żądaniem zapłaty okupu w formie środków pieniężnych lub – coraz częściej – w walucie wirtualnej. To jedna ze szczególnie niebezpiecznych metod cyberprzestępczości, za pomocą której można utrudnić lub wręcz całkowicie uniemożliwić wykonywanie pracy zdalnej.
Jej rozszerzona wersja obejmująca zmasowane ataki przeprowadzane za pomocą wielowariantowych metod wyłudzania korzyści majątkowych i/lub danych wrażliwych wraz np. z jednoczesnym instalowaniem złośliwego oprogramowania to tzw. RaaS (ransomware as a service). W tej grupie zagrożeń znajduje się również dość znany „koń trojański”, czyli podstępna aplikacja podszywająca się pod inne programy – z reguły o dużej atrakcyjności dla użytkownika – której celem jest infekowanie urządzenia niepożądanym, często złośliwym oprogramowaniem w celu śledzenia bądź wykradania danych użytkownika. Mogą to być przykładowo aplikacje, które pod pozorem dostarczania informacji o aktualnych alertach zakażeń COVID-19 tak naprawdę prowadzą swoją ukrytą działalność z zakresu elektronicznej inwigiliacji aktywności użytkownika w sieci. Często z komputerów zainfekowanych takim właśnie oprogramowaniem przeprowadzane są cyberataki mające na celu uniemożliwienie działania systemów informatycznych i/lub usług sieciowych za pomocą przeciążenia serwerów masową wysyłkę pakietów danych. To tzw. ataki typu DoS/DDoS (distributed denial of service/denial of service).
Odpowiedź na drugą część postawionego wcześniej pytania wymaga od użytkownika przede wszystkim świadomości aktualnych zagrożeń bezpieczeństwa informatycznego „tu i teraz”, jak również żelaznej konsekwencji w przestrzeganiu zaleceń i rekomendacji dotyczących minimalizacji ryzyka takich zagrożeń w pracy zdalnej. Są one publikowane przez powołane do tego instytucje międzynarodowe (amerykański Narodowy Instytut Standaryzacji i Technologii – NIST, europejskie (Europejska Agencja Bezpieczeństwa Sieci i Informacji – ENISA) i krajowe (Urząd Ochrony Danych Osobowych – UODO) w formie wytycznych. Ich stosowanie wyznacza z kolei standardy tzw. dobrej praktyki w obszarze cyberbezpieczeństwa.
Pierwsze zagrożenie, czyli tzw. atak phishingowy polegający na podszywaniu się pod inną osobę lub organizację przy wykorzystaniu fałszywego adresu poczty elektronicznej czy strony internetowej w celu skłonienia osobę zaatakowaną do określonego zachowania może zostać obecnie wykorzystywany np. do wyłudzenia korzyści majątkowej pod pozorem rzekomej pomocy osobom zakażonym, służbom medycznym, a nawet przez ofertę zakupu leków na koronawirusa czy skorzystania ze szczepienia bez kolejki.
Wytyczne NIST
Zgodnie z wytycznymi NIST w celu zapewnienia optymalnego poziomu cyberbezpieczeństwa dla organizacji w okresie przechodzenia na model pracy zdalnej oraz w trakcie jej realizacji należy:
- ograniczyć przechowywania poufnych danych na urządzeniach dedykowanych do pracy zdalnej lub dla klientów;
- wykorzystywać wieloskładnikowe uwierzytelnienie na etapie dostępu do zasobów organizacji;
- zabezpieczać się przed ryzykiem podsłuchu, przechwycenia lub modyfikacji komunikacji w sieciach zewnętrznych poprzez zastosowanie technologii szyfrowania w celu ochrony przetwarzanych danych i zabezpieczenia urządzeń końcowych (ang. end-to-end);
- wykorzystywać te środki techniczne, które umożliwiają szyfrowanie danych przy wykorzystywaniu zatwierdzonych technologii szyfrowania i przy współpracy z certyfikowanymi dostawcami;
- skutecznie zabezpieczać serwery zdalnego dostępu i zadbać o ich kompatybilność z innymi urządzeniami;
- chronić się przed atakami złośliwego oprogramowania (malware) na urządzeniach swoich pracowników lub urządzeniach udostępnianych klientom, wykorzystując oprogramowanie antywirusowe, audytując odpowiednio dostawcę oraz klientów, czy wydzielając dla urządzeń udostępnianym klientom osobną sieć, której ewentualne naruszenie nie wpłynie na strategiczną sieć organizacji;
- opracowywać polityki bezpieczeństwa pracy zdalnej, które określą jej podstawowe zasady oraz rodzaj urządzeń dopuszczonych do takiej pracy.
Wytyczne agencji ENISA
Z kolei europejska agencja ENISA w ramach opublikowanych przez siebie rekomendacji wyróżnia grupę wytycznych dedykowanych pracownikom. Zalecają one m.in.:
- korzystanie z komputerów służbowych, a nie osobistych, chyba że urządzenia prywatne zostały sprawdzone przez pracodawcę;
- niełączenie pracy zawodowej z zajęciami rekreacyjnymi na tym samym urządzeniu;
- zachowanie szczególnej ostrożności w zakresie korespondencji dotyczącej koronawirusa (ostrzeżenie przed phishingiem);
- łączenie się z internetem przy wykorzystaniu bezpiecznych sieci i unikanie otwartych sieci wi-fi;
- unikanie wymiany poufnych informacji korporacyjnych przy wykorzystaniu e-maila; (do udostępniania plików roboczych wskazane jest korzystanie z wewnętrznych sieci typu intranet);
- szyfrowanie danych w stanie spoczynku (data-at-rest), np. na dyskach lokalnych;
- obecność aktualnego oprogramowania systemowego oraz antywirusowego;
- zablokowanie ekranu w razie pracy w przestrzeni współdzielonej;
- nieudostępnianie adresów URL w trakcie wideokonferencji w mediach społecznościowych lub innych publicznych kanałach.
Krajowe wytyczne UODO
Krajowe wytyczne UODO zawierają jedynie podstawowy zakres zaleceń dla pracownika, które – jak widać – w większości są kompilacją wyżej wymienionych wytycznych:
- nie instalować aplikacji i oprogramowania niezgodnych z procedurą bezpieczeństwa organizacji;
- upewnić się, że wszystkie urządzenia, z jakich korzysta pracownik, mają niezbędne aktualizacje systemu operacyjnego, oprogramowania oraz systemu antywirusowego;
- wydzielić sobie przestrzeń do pracy, która uchroni przez zagrożeniami z zewnątrz i blokować urządzenie, gdy się od niego odchodzi;
- zabezpieczyć komputer przez używanie silnych haseł dostępu i korzystać z wieloskładnikowego procesu uwierzytelniania;
- używać służbowego adresu e-mail oraz szyfrowanych załączników;
- unikać używania danych osobowych lub poufnych informacji w tematach wiadomości;
- sprawdzać właściwe oznaczenie adresata wiadomości;
- dokładnie sprawdzać nadawców wiadomości;
- zabezpieczyć się przed phishingiem, tj. nie otwierać załączników oraz nie klikać w linki zawarte w wiadomości od nieznanych adresatów bądź wyglądających podejrzanie;
- przekazywać hasło do zaszyfrowanych załączników drogą inną i niezależną od wiadomości z takim załącznikiem;
- używać tylko zaufanego dostępu do sieci lub chmury;
- zadbać o bezpieczną archiwizację danych.
Zdaniem specjalistów zajmujących się zarządzaniem bezpieczeństwem w przestrzeni elektronicznej cenną i praktyczną pomocą przy planowaniu przez organizację strategii „tarczy ochronnej” w obszarze cyberataków mogą być odpowiedzi na następujące pytania:
- Jakie dane jesteśmy zobligowani chronić i jakie dane dodatkowo chcemy chronić?;
- Jakie środki organizacyjno-techniczne będą optymalne z punktu widzenia wymogów przepisów prawa oraz najlepszych praktyk w tym zakresie?;
- Jak będziemy obsługiwać ewentualne incydenty i jak zapewnimy ciągłość działania naszej organizacji w przypadku skutecznego ataku hackerskiego?;
- Czy jesteśmy w stanie wdrożyć wszystkie działania sami czy też potrzebujemy wsparcia?
Opracowanie powstało na podstawie raportu „Koronawirus a prawo”, Wydawnictwo Must Read Media, wydanie I, kwiecień 2020 r.