Jak chronić firmę przed cyberatakiem? Skąd wiedzieć, że padliśmy ofiarą hakerów? Co zrobić, kiedy doszło do wycieku danych? Tego dowiesz się z najnowszego odcinka semCASTu!
Gościem Krzysztofa Marca jest Paweł Hordyński, CEO i założyciel IT Develop, ekspert z 20-letnim doświadczeniem w branży IT, specjalista w dziedzinie cyberbezpieczeństwa. W dwudziestym trzecim odcinku semCASTu opowiada o tym, z jakimi cyberzagrożeniami mogą mierzyć się firmy oraz radzi, jakie działania podejmować, aby zminimalizować ryzyko ataku.
Sprawdź:
- czym jest cyberhigiena i jak skutecznie o nią dbać,
- jakie procedury warto wdrożyć w firmie, aby ograniczyć ryzyko cyberataków,
- co zrobić, gdy odkryjemy, że padliśmy ofiarą hakerów,
- po czym rozpoznać, że ktoś próbuje włamać się do systemu,
- jakie są konsekwencje wycieku danych dla firm i ich klientów,
- jak przygotować zespół na sytuacje kryzysowe i efektywnie go szkolić,
- na jakie gadżety i sposoby hakerów uważać.
Krzysztof Marzec: Cześć, witajcie w kolejnym odcinku semCASTu. Dzisiaj trochę wyjątkowo, bo skupimy się na nieco innej tematyce, czyli tematyce, która jest dookoła marketingu i właściwie wszechobecna, jeżeli mówimy o świecie cyfrowym i digital marketingu, czyli na cyberbezpieczeństwie i nie byłbym sobą, gdybym nie wybrał tutaj do rozmowy eksperta i zaprosiłem do tego Pawła Hordyńskiego.
Paweł Hordyński: Cześć, cześć, witam wszystkich.
KM: Paweł ma 20-letnie doświadczenie w IT. Od programowania właśnie po cyberbezpieczeństwo i ma między innymi certyfikację OSCP, czyli Offensive Security Certified Professional. Paweł nie tylko umie znajdować luki, ale też doradzać, jak je eliminować. I właśnie chciałem zapytać Cię o taki totalny wstęp na początek. Jestem sobie firmą, mam stronę internetową, obsługuję klientów przez e-mail. Mamy jakieś bardzo podstawowe systemy, inwestuję w marketing internetowy, pozyskuję ruch. Na co powinienem zwrócić uwagę najmocniej albo na początku szczególnie, żeby nie obudzić się pewnego dnia z jakimś włamaniem, z jakimś problemem bezpieczeństwa, z wyciekiem danych. Od czego zacząć?
PH: Zacząć przede wszystkim musimy od świadomości. To jest klucz do sukcesu, bo tego właściwie u dzisiejszych przedsiębiorców brakuje, czyli tego, żeby zrozumieć sytuację, w jakiej się znajdują, że zagrożenia są realne faktycznie, a to nie jest kwestia jak z filmu, bo fajnie się o tym czyta, fajnie się o tym gdzieś słyszy od kogoś innego, natomiast nie każdy rozumie, że faktycznie to zagrożenie może dotyczyć właśnie jego. I tu jakby uważam, że to jest większość sukcesu, bo jeżeli zrozumiemy, że jesteśmy po prostu w sytuacji, w której może się coś zdarzyć i że to jest całkiem realne, że jutro jak przyjdziemy do pracy, to wszystkie systemy odmówią nam posłuszeństwa, no to już mamy jakieś małe ziarenko do tego, żeby zacząć właśnie pracować nad tym cyberbezpieczeństwem. I tutaj są jakby dwa aspekty. Pierwszy to jest taki, że mamy jakąś infrastrukturę. Obojętne, czy to jest strona internetowa, czy to są serwery, czy jakieś urządzenia w firmie. I to nazywamy infrastrukturą. I tu jest bezpieczeństwo tej infrastruktury. I to jest tylko 10%. Pozostałe 90% to jest druga część bezpieczeństwa, czyli świadomość ludzka i zachowania ludzkie, czyli to, na czym bazują przestępcy w tym momencie, czyli właściwie socjotechnika, która jest znana od zarania dziejów. Pierwsze przekręty, że tak powiem brzydko, zostały wykonane ze względu na właśnie socjotechnikę, czyli udały się ze względu na to, że ktoś zastosował tę socjotechnikę. Takim prekursorem w tym temacie był Kevin Mitnick, który też jedno z pierwszych oszustw wykonał za pomocą słuchawki telefonu i rozmowy z ludźmi z różnych, tam kwestia było przelewu na 10 milionów dolarów. Także mamy dwa aspekty, nad którymi musimy się zastanowić. I tutaj, jeżeli chodzi o infrastrukturę, to tak naprawdę powinniśmy to zostawić specjalistom. Powinniśmy się spotkać z osobą, która ma w tym doświadczenie. Może to być w pierwszej kolejności spotkanie z naszym informatykiem, natomiast pamiętajmy o jednym, ten informatyk, to nie jest osoba wszechwiedząca. Informatyka w tej chwili dzieli się na bardzo wiele różnych gałęzi. Dużych, małych, średnich. Są programiści, są zarządzający siecią, są administratorzy, są spece też od cyberbezpieczeństwa. “Nasz informatyk” to jest takie określenie, które mieliśmy już, myślę, że z 10-15 lat temu i to był taki człowiek od wszystkiego. Być może w wielu firmach to jest ta sama osoba, natomiast musimy pamiętać o tym, że on już ma pewne ograniczone możliwości ze względu na to, że wyspecjalizował się w jakiejś konkretnej czynności, czyli prawdopodobnie w utrzymaniu tego, co w danej firmie jest. Oczywiście warto się z nim spotkać i z nim porozmawiać, zapytać, zadać mu pytanie, w jaki sposób uważa, że to bezpieczeństwo powinno być zorganizowane w firmie, co zrobiliśmy odnośnie bezpieczeństwa do tej pory, jakie działania on podejmuje, czego się obawia, bo z mojego doświadczenia wynika, że bardzo dużo tego wszystkiego, tego stanu wyjdzie właśnie przy takiej rozmowie. Bo taki informatyk często jest introwertykiem, przychodził już do szefa wielokrotnie, prosił o coś, przestał to robić ze względu na to, że ta relacja po prostu jest wieloletnia i on go troszeczkę spychał na bok, no bo wiadomo, biznes myśli zawsze o jednym, czyli o tym, w jaki sposób dzisiaj pozyskać największą liczbę klientów i w jaki sposób zarabiać, natomiast wszystkie te poboczne sprawy, no ja wiem po sobie, też tak mam, także poboczne sprawy się odkłada na później, ważniejszy jest ten biznes, tak? I uważam, że prawdopodobnie ten informatyk już nam dość sporo powie, będziemy wiedzieli, jakie obszary on uważa, że są zagrożone, gdzie możemy się czegoś spodziewać, bo on jakąś tam podstawową wiedzę na temat, właściwie to środowisko Wasze lokalne, firmowe najlepiej zna, natomiast będzie wiedział, w których obszarach ma jakieś wątpliwości. No kolejny krok to jest na pewno znalezienie specjalistów w dziedzinie właśnie cyberbezpieczeństwa. I tutaj mamy dwie możliwości tak naprawdę. Najlepiej jest zatrudnić zawsze tych największych specjalistów. Ja uważam, że to takie dwie, może trzy wiodące firmy na rynku, mówię tutaj na pewno o Sekuraku, Niebezpieczniku. To są firmy, które są wiodące w tym temacie. Natomiast pytanie zawsze, czy to nie będzie siekierka na komara i też, czy ta siekierka nie będzie zbyt droga i po prostu skończy się na ofercie i jak zobaczymy cenę, to w tym momencie po prostu zrezygnujemy z tych działań. Więc dobrze jest znaleźć firmę, która będzie odpowiadała naszym potrzebom. Oczywiście warto ich zapytać o jakieś projekty, które realizowali w tym temacie, o kompetencje, o certyfikaty, które posiadają. Natomiast tutaj ważne jest, żeby sobie znaleźć trzy firmy, no i próbować z nimi rozmawiać. Na pewno bez spotkania tylko na samej ofercie się nie może skończyć, trzeba te rozmowy przeprowadzić. No i to jest te 10% infrastruktury, co możemy zrobić, bo nie będę mówił co się dalej dzieje, bo tak naprawdę to, co się dzieje, to już potem są specjalistyczne spotkania i zabiegi. I zwykle polega to na tym, że zaczyna się od testów penetracyjnych i audytu bezpieczeństwa. To są takie najważniejsze dwa działania, które trzeba wykonać na sam początek. Specjaliści od bezpieczeństwa muszą się dowiedzieć tego, co się u Was w firmie dzieje, czyli jaki jest stan obecny bezpieczeństwa. Muszą porównać to do obecnych standardów, konkretnych standardów, które są specjalnie do tego przygotowane, bądź doświadczenia, które mają przez wiele lat. No i plus, drugie działanie to jest takie coś, co się nazywa testy penetracyjne. Może rozjaśnię to słuchaczom, bo nie zawsze to jest oczywiste. Niektórzy sobie dziwnie to kojarzą. Natomiast to są takie działania, gdzie wcielamy się w rolę hakera. Jako specjaliści próbujemy, zwykle z pozytywnym skutkiem, włamać się do firmy zupełnie tak samo, jak robiłby to haker. Czyli troszkę inaczej może niż to w telewizji jest przedstawiane w filmach akcji. Nie jest to dobra wizualizacja tego, co się dzieje, natomiast polega na tym, że wykonujemy działania, które może wykonać haker i próbujemy się dostać do środka, z tym że nie ma konsekwencji, bo nie płacimy okupu, nie musimy zatrzymywać firmy i tak dalej, i tak dalej. I takie działania dają nam już spory obraz tego, co u nas w firmie, w tym bezpieczeństwie się dzieje. I teraz przychodzi najważniejszy punkt. W tych dwóch dokumentach, czyli w takim audycie bezpieczeństwa i w takim raporcie po testach penetracyjnych będą zalecenia. I tu najczęściej firmy kończą na tym wszystkim. Zrobiły testy, zrobiły audyt, no i koniec, schowają do szuflady i zadowoleni są, że podjęli jakieś działania. Także jest bardzo duży nacisk na to, żeby jednak wykonać te zalecenia, czyli zastosować się do tego, co było w tym audycie opisane, bo ktoś poświęcił na to dość sporo czasu, żeby przygotować koncepcję tego, co należy zmienić. I tak samo w testach penetracyjnych, w raporcie pokazane są też krytyczne i mniej krytyczne, no po prostu jest priorytetyzacja, w związku z czym możemy łatwo dojść do tego, że pewne rzeczy musimy usunąć natychmiast. Jeżeli w audycie świecą się na czerwono, to znaczy, że nie możemy czekać, bo prawdopodobnie ktoś może jakimś prostym działaniem dostać się do wewnątrz firmy.
KM: Okej, to mi od razu kojarzy się kilka elementów. Myślę, że taką pierwszą chyba mocną niezrozumieniem właściwie jest to, że często myślimy tak, że okej, mam firmę, zakładam stronę, ona jest na jakimś hostingu i tam na tym hostingu jest administrator. I wielu osobom, z którymi ja rozmawiam, wydaje się, że właśnie ten administrator będzie odpowiadał za bezpieczeństwo tej strony. A to chyba jest bardzo duże niedopowiedzenie, bo to przecież my, instalując, załóżmy, nie wiem, jakiegoś WordPressa, właśnie otwieramy się na pewne podatności, zakładając, że go nie aktualizujemy albo używamy jakichś wtyczek z bardzo dziwnych źródeł, a nie administrator serwera. Więc pewnie jakaś mały procent będzie oczywiście tej naszej podatności w tym, jak jest skonfigurowany serwer, ale znowu, tak jak mówiłeś, dużo więcej w tym, jak wykorzystujemy ten serwer i co tam dokładnie instalujemy.
PH: Jest tak, jak mówisz, natomiast musimy pamiętać o tym też, że prawdopodobnie to żaden administrator nie odpowiada, tylko prawdopodobnie podmiot, który go zatrudnia, on odpowiada za część działań, ale również my odpowiadamy za to, co my robimy. Pamiętajmy o tym, że za tą współpracą między nami a podmiotami zewnętrznymi idą jakieś różnego typu umowy, regulaminy, w których pewne rzeczy wolno, pewnych rzeczy nie wolno, pewne odpowiedzialności są na kogoś przerzucane. Najczęściej jest tak, że niestety nikt tych regulaminów i umów nie czyta, tylko zamawia usługę i ją realizuje zgodnie z tym, co zamówił i nie zwraca na to uwagi. Teraz tutaj potem przy jakimś incydencie może dojść do pewnych dziwnych sytuacji, w których się okaże, że jednak to my odpowiadamy za to, co jest i ten obszar, w którym się poruszaliśmy, akurat zależy tylko i wyłącznie od nas. No ale tutaj jakby prawne sprawy może odłóżmy na boczny tor. One też mają szalenie wielkie znaczenie, aczkolwiek my musimy wiedzieć też, co robimy, w jaki sposób, co przetwarzamy, co instalujemy, co chcemy zrobić tak naprawdę i tutaj musimy też się posiłkować wiedzą naszego zespołu IT, który nas wspiera w tych działaniach.
KM: Czy to nie jest tak, że właśnie podpisując umowę na stworzenie strony internetowej, powinniśmy gdzieś tam zapisać albo wymagać, albo przynajmniej poruszyć ten temat, co będzie z bezpieczeństwem tej strony. Czy ktoś, kto ją oddaje, nie powinien zagwarantować, że w tej konfiguracji, która jest oddawana, nie jest ona podatna na typowe ataki? Lub gdzieś zawrzeć warunki, jak ta strona powinna być aktualizowana, kto o to powinien dbać. Bo chyba to jest najczęstszą, popraw mnie tutaj, przyczyną takich automatycznych włamań, że ktoś po prostu tej strony przez lata zupełnie nie aktualizuje od strony technicznej, od strony aktualizacji silnika, na przykład tego wspomnianego WordPressa.
PH: Tak, masz rację i użyłeś jeszcze takiego magicznego słowa, które mi się spodobało, automatyczne. I te automatyczne to jest tylko część z tego, co nam zagraża. Automatyczne, to mamy na myśli sytuację, w której ktoś znalazł w oprogramowaniu jakąś podatność, czyli wie, że jak wykona odpowiednią sekwencję czynności, to dostaje się do środka, na przykład powiedzmy, niech to będzie wspomniany wcześniej WordPress. I teraz przygotowuje oprogramowanie, które automatycznie właśnie, w sposób automatyczny działa i wyszukuje wszystkie WordPressy na całym świecie i próbuje do każdego się po kolei włamać. I ktoś, kto ma oprogramowanie, na które to oprogramowanie działa, no to zostaje to skompromitowane i można wejść do środka i ten WordPress może być już wykorzystany w złych celach do właśnie tego, co robią hakerzy. Chodzi o to, że te automatyczne ataki to jest tylko część tego, co nam zagraża. W momencie, kiedy stosujemy się do jakiejś cyberhigieny, rozumiemy, jak to działa, wiemy, że trzeba te systemy aktualizować i tak dalej, no to ta rzecz nam mniej zagraża. Bardziej zagrażają nam ataki tzw. celowane. Co prawda to nie jest odpowiedź na Twoje pytanie, ale chciałem wykorzystać to słowo, które powiedziałeś i chciałem tutaj nawiązać do tego właśnie, że są ataki tzw. automatyczne i ataki celowane i właśnie różnią się tym, że te celowane to są już faktycznie wtedy, kiedy ktoś sobie wybierze cel i stwierdzi, że no tak, ja chcę zaatakować tą konkretnie firmę, dlatego, że sprawdziłem sobie w KRS-ie, że ona ma za zeszły rok fajne przychody, ma też zyski, zapłaciła jakiś podatek. I w tym momencie nic nie stoi na przeszkodzie, żebym ja tam się włamał jako haker i żądał na przykład okupu. Dokładnie wiem, ile mogę żądać, bo wiem, ile mają w portfelu. Więc to jest to, czego powinniśmy się w dzisiejszych czasach bardziej obawiać, niż to, że właśnie będzie się to odbywało w sposób automatyczny. Natomiast wracając do pytania, no to faktycznie w ogóle, jeżeli instalujemy takiego WordPressa, czy instalujemy jakiekolwiek inne oprogramowanie i robimy to ze względu na to, że dostaliśmy to oprogramowanie w paczce od firmy, która nam ją przygotowała, no to moglibyśmy chcieć wymagać od nich tego, żeby faktycznie te podatności były wyeliminowane. Ale musimy pamiętać o tym, że na pewno cena za całą usługę będzie znacznie wyższa, to jest po pierwsze. Po drugie, musimy się zastanowić, czy firma, która tworzy takie rozwiązania, czyli jest typowo firmą wdrożeniową takich rozwiązań, powiedzmy stricte jak strony internetowe czy mechanizmy e-commerce’owe, czy oni mają do tego kompetencje. Pewnie nie, więc pewnie będą zatrudniać jakąś firmę, tak czy inaczej, do sprawdzenia tego. No i tu by się trzeba było zastanowić, czy na pewno ten kierunek jest dobry, czy nie lepiej jest mieć współpracę już nawiązaną z firmą, która się stricte zajmuje właśnie bezpieczeństwem. Jak powstaje taka strona, to w momencie podpisywania umowy gwarantujemy sobie pewnie jakieś sesje poprawkowe zwykle i w tych sesjach poprawkowych musimy uwzględnić to, że my w międzyczasie zrobimy tzw. testy penetracyjne i potem będziemy prosili o wyeliminowanie w ramach tej sesji poprawkowej. Ten kierunek jest dobry, tak z doświadczenia wynika. Natomiast musimy jeszcze pamiętać o jednej ważnej rzeczy, bardzo istotnej w przypadku jakichkolwiek działań związanych z bezpieczeństwem i oprogramowaniem. To oprogramowanie to nie wygląda w ten sposób, że my je raz wyprodukujemy i koniec. To nigdy nie jest tak, że zostawiamy to i tyle, to co wszystko było w momencie startu usługi, to te same funkcjonalności zostają. Najczęściej jest tak, że zaraz sobie wymyślamy: “Aha, tutaj by było fajnie jednak pogrubić ten przycisk, no bo on lepiej działa”, bo sobie ktoś zainstalował Hotjara i już wie, że tam użytkownicy bardziej klikają, jak jest jednak tam tekst pogrubiony. A tutaj za chwilę wymyśli, że jakaś funkcjonalność mu jest potrzebna. Krótko mówiąc, to oprogramowanie, jeżeli będzie sprzedawać, to będzie się rozwijać. I tutaj na pewno musimy robić te testy cyklicznie, a teraz w tej chwili już większość instytucji większych zaczyna propagować takie podejście do testów penetracyjnych w sposób ciągły. Czyli na przykład testy tzw. automatyczne, które możemy wykonać za pomocą różnego typu skanerów. Wykonują się, powiedzmy, raz w tygodniu albo przy wydaniu nowej wersji oprogramowania, a testy manualne, czyli takie, gdzie siada faktycznie pentester, robimy co trzy miesiące. I są nawet na rynku tego typu usługi. Sami mamy w firmie w wachlarzu swoich produktów taką usługę i wtedy mamy pewność, że to jest ciągły nadzór. Plus jeszcze jest wdrażane takie coś, co się nazywa zarządzanie podatnościami. No bo tak jak wspomnieliśmy wcześniej, może się okazać, że ktoś zrobił testy penetracyjne i o tych podatnościach już zapomniał, żeby je wyeliminować. Więc to, co się dzieje, czyli ten cykl życia później tej podatności jest bardzo istotny, bo trzeba zadbać o to, żeby ona się pojawiła w systemie jakimś zadaniowym, ticketowym, który mamy i żeby do końca została wyeliminowana, a na koniec najlepiej przez pentesterów jeszcze sprawdzona, czy dalej występuje, czy już faktycznie jest usunięta, czyli wykonane są tzw. retesty.
KM: To mi się to bardzo podoba, co mówisz, bo bardzo często jest tak właśnie w SEO, że zamiast zaufać do końca firmie, która tylko tę stronę robi i nie do końca ma kompetencje, żeby ta strona była super zoptymalizowana pod wyszukiwarki, to te najlepsze historie sukcesów właśnie są wtedy, kiedy firma woła dodatkowo specjalistów od SEO, którzy są takim dodatkowym partnerem i wspomagają klienta w tym, żeby ta strona była dostarczona jak najlepsza, żeby była super sprawdzona, zoptymalizowana i żeby kiedy rozpocznie się właściwa kampania i jej działanie po migracji działała idealnie. Więc też widzę, że właśnie tutaj w tym modelu najfajniej by było, kiedy firma, która zajmuje się cyberbezpieczeństwem, staje się naszym takim partnerem i te wszystkie systemy, które my gdzieś tam kupujemy, budujemy, rozwijamy, też weryfikuje i sprawdza. I to jest, widzę, że bardzo podobne. Co prawda u nas w SEO to jest tylko tyle, że będzie jakiś gorszy wynik. Czasami jest to bardzo, bardzo duża strata, jeżeli jest mocno uszkodzony system, ale właśnie w IT pod kątem bezpieczeństwa może być znacznie gorzej, szczególnie jak wyciekną jakieś nasze ważne dane czy dane osobowe. Ale chciałem Cię zapytać właśnie o, tak żeby nasi słuchacze zrozumieli konkretne przykłady. Ja na przykład pamiętam, kiedy nasz klient miał włamanie na stronę, którego przez miesiące nie zauważył. Jego WordPress zaczynał właściwie wyglądać inaczej dopiero w momencie, kiedy wejście następowało z wyszukiwarki Google. On na swoją stronę wchodził normalnie. Dopiero kiedy kliknął kiedyś przez wyszukiwarkę, powiedział: „Coś się stało dziwnego, klikam swoją stronę, trafiam do jakiegoś online kasyna”. Nie zauważył tego bardzo długo, ale rozumiem, że to jest włamanie, które na pewno powoduje straty, straty klientów itd., ale jest mniej szkodliwe niż innego typu włamania. Z czym może się wiązać właśnie takie niezaadresowanie podatności? Jakie są takie realne przykłady, co może nam mocno zaszkodzić?
PH: Mamy kilka przykładów nawet z ostatnich czasów. Między innymi bardzo dużo ludzi dostało smsa, maila, przepraszam, od New Balance’a, Ochnika.
KM: Tak, też go dostałem, dokładnie.
PH: No właśnie. I tam w związku z jakimś wyciekiem czy nieautoryzowanym dostępem osób postronnych okazało się, że mogło dojść do wycieku. Ja nie śledziłem teraz ostatnio, to było kilka dni temu, także nie doszedłem do tego, jaki tam jest scenariusz całkowity tego, jaki jest przebieg tej sytuacji. Natomiast krótko mówiąc, operator takiej platformy e-commerce’owej, którą używały wszystkie te firmy, które zajmują się e-commerce’em, Gdzieś w tej linii doszło do właśnie incydentu i w związku z tym, nie wiemy jeszcze, co dokładnie się stało, ale dane osobowe ich klientów mogły poszybować do internetu. Czyli tu mówimy o tak zwanym wycieku danych. I tak jak się zaczniemy zastanawiać nad tym, co mi taki wyciek właściwie może zrobić, co się może takiego wielkiego stać, że te dane wyciekną. Mówię teraz z punktu widzenia takiego klienta sklepu, niekoniecznie z punktu widzenia kogoś, kto prowadzi biznes. Ten, kto prowadzi biznes, traci wizerunek. Właściwie oprócz tego jest narażony na kary od takich instytucji jak UODO, jest narażony na też realny okup, który chcą od niego przestępcy i na wiele innych nieprzyjemności, które się wiążą z finansami i utratą reputacji. Natomiast z punktu widzenia osoby, która ma konto w takim serwisie, dane jego zostają gdzieś opublikowane najczęściej. Zwykle to jest imię, nazwisko, adres, numer telefonu, czasami hasło w postaci otwartej. No i co to takiego może się wielkiego stać, że ktoś ma moje dane osobowe? No, jakby można by było się zastanawiać na wiele sposobów, ale podajmy przykład. Po pierwsze, ludzie najczęściej nie zmieniają haseł. W związku z czym, wchodząc w wielkie datasety tych danych, które wyciekły, możemy zacząć szukać po jakimś adresie e-mail osoby. Załóżmy, że znajdziemy, tak? Potem możemy zobaczyć jego hasło. O, ma hasło tam powiedzmy “qwerty123”. I potem możemy poszukać, gdzie jeszcze w jakich innych serwisach jest takie samo hasło, albo gdzie jeszcze w takich serwisach jest podobny ciąg znaków. I w tym momencie możemy skorelować ze sobą wiele różnych kont w różnych serwisach. I dzięki temu możemy próbować, czyli taki intrus, haker, może próbować zalogować się do wszystkich platform, w których do tej pory wyszły takie wycieki i jeszcze do innych platform, w których ta osoba ma takie samo hasło, więc jakby można sobie zbudować profil danej osoby, dowiadywać się coraz więcej na jej temat. No w związku z tym, że ostatnio wyciekły też dane z takiej firmy, która się nazywa ALAB, a ona zajmuje się trzymaniem kartotek pacjentów, którzy chodzą na badania krwi i niestety nie zdecydowali się, niestety, niestety, no ja uważam też, że z przestępcami się nie powinno robić interesów, nie zapłacili tego okupu, w związku z czym przestępcy 13 tysięcy kartotek też opublikowali. No i teraz można się dowiedzieć, jakie wyniki z krwi miały różnego typu osoby. No to już są dane bardzo wrażliwe, bo to są dane medyczne. Więc punktów spojrzenia jest kilka. Z jednej strony mówimy tutaj o takiej osobie, która jest faktycznie użytkownikiem tego systemu, a z innego punktu widzenia patrzymy, kiedy jesteśmy właścicielem biznesu. No i tu, jeżeli jesteśmy właścicielem biznesu, to jesteśmy narażeni. Najgorsze są te właśnie takie grupy ransomware’owe, które nam zagrażają w postaci takiej, że po pierwsze mogą nam rano odmówić posłuszeństwa wszystkie urządzenia ze względu na to, że jest zablokowany każdy komputer w naszej sieci i zastajemy komunikat, w którym jest napisane, że jeżeli zapłacimy x kwotę, to będziemy mogli te dane dopiero wtedy odzyskać i odblokować. I tutaj 49% firm w zeszłym roku, które zdecydowały się na zapłatę okupu, zapłaciły około 500 tysięcy złotych takiego okupu. No dochodzą jeszcze inne kwestie, jak to z księgową wyjaśnić, jak to rozliczyć, gdzie te pieniądze powinny trafić, no bo z firmowego konta nie za bardzo się da, tak? No trzeba by jakoś zrobić jakąś wypłatę prezesa, prezes musi to przerzucić na bitcoiny, potem gdzieś zapłacić. Pytanie, czy dostanie te dane z powrotem. Natomiast przed tym procederem firmy się zaczęły genialnie bronić, bo rozwinęły się niesamowicie systemy backupowe, nawet do takich kwestii, że w parę godzin można odzyskać wszystkie dane. Tutaj oczywiście trzeba było się bronić przed taką sytuacją, w której to hakerzy też szyfrowali te backupy. Ale tutaj technologia sobie świetnie poradziła. Potrafimy w dzisiejszych czasach zrobić tak, jak zastosujemy model backupu tzw. 3-2-1, czyli trzy kopie zapasowe, dwie w różnych urządzeniach i jedna poza firmą, no to w tym momencie jeszcze tam się stosuje taką dodatkową rzecz, że jedna jest całkowicie offline, czyli w ogóle jest niedostępna z żadnej sieci, no to jesteśmy w stanie stworzyć sytuację, w której nie zagraża nam taki ransomware w taki sposób bardzo krytyczny. Ale za to firmy, mówię firmy, bo to są takie podziemne korporacje właściwie, te korporacje ransomware’owe są na tyle sprytne, że wymyśliły tak: „no dobra, oni sobie zabezpieczyli systemy, a my teraz jeszcze dołożymy jeden etap w naszym ataku, czyli będziemy straszyć, że te dane, do których się dostaliśmy, będziemy publikować, jak nie zapłacą okupu”. No i przed tym już jest trudniej się zabezpieczyć, no bo jeżeli ktoś uzyskał dostęp do naszego systemu, czyli krótko mówiąc, może zobaczyć wszystko w naszych systemach, możemy sobie to wyobrazić. To, co teraz mamy dostęp do tego, czyli lista klientów, jakieś wrażliwe dane, jakieś dane podatkowe, jakieś faktury, jakieś produkty, dostawcy, kontakty handlowe, wszystko to, co mamy do tego dostęp, to do tego samego mają dostęp hakerzy. W związku z czym ściągają sobie to, zanim zrobią taki atak i tutaj to, co mówiłeś właśnie, że czasami to może trwać długo i takie korporacje podziemne, ransomware’owe, często kilka miesięcy buszują po takiej infrastrukturze, zdobywając kolejne punkty, czasami uda się najpierw jeden komputer, powiedzmy, w sekretariacie spenetrować, a z niego dopiero idzie to wszystko dalej, tak? I dopiero w momencie, jak już osiągną swój cel, wykradną dane, które ich interesują, to wtedy dopiero dochodzi do tej blokady systemu, która po prostu następuje, powiedzmy, w nocy zaszyfrowanie wszystkich dysków i rano przychodzimy do pracy i jest ta sytuacja. Więc musimy sobie zdawać sprawę, że jedno kliknięcie w nie taki załącznik, który dostajemy na maila, który jeden z naszych pracowników dostaje, zawsze sobie zadajcie pytanie: „No okej, ja jestem właścicielem, mam dobrą intuicję, bo zawsze tak jest, ale pytanie, czy moi pracownicy wszyscy tak mają? Czy każdy z nich jest w stanie odeprzeć taki atak? Jeżeli mail przyjdzie prawie identyczny z tymi, co przychodzą codziennie, to czy nasz pracownik na pewno nie kliknie w niego i od razu go zidentyfikuje jako coś złego?”. I teraz takie jedno kliknięcie może spowodować przejęcie komputera w jednym miejscu, a potem działania przez kilka miesięcy takiej grupy hakerów, która się rozprzestrzenia po tych systemach. I tu mamy, tak jak mówię, realne sytuacje, o których opowiedziałem, czyli właśnie ALAB,
właśnie ostatni ten atak, o którym mówimy. Pogotowie lotnicze było blokowane całkiem niedawno, Instytut Matki z Dzieckiem w Łodzi, więc przestępcy się tutaj nie patyczkują i też takie nieprzyjemne ruchy robią. Wielka instytucja healthcare w Stanach Zjednoczonych została zablokowana i przez dwa dni nie było można realizować recept. Tylko dlatego, że w systemie nie było czegoś takiego jak two-factor authorization, czyli wystarczyło ukraść z jednego laptopa, czyli z jednego komputera pracownika dostęp do sieci wewnętrznej i potem znowuż go penetrować przez jakiś czas i zablokować cały system. Także realnych ataków jest dużo. Smutne jest to, że niestety większość firm nie chce się do tego przyznać, bo jak się przyznać, że dostaliśmy łomot od hakerów? Niedobrze, tak? Wizerunek niedobrze, to niedobrze. Nie chcą się do tego przyznawać, w związku z czym my nie mamy pełnych statystyk, co się dzieje. Tak naprawdę to dotyczy, jak i małych firm, tak i dużych. Nie ma to znaczenia. Duże są w stanie po prostu więcej zapłacić.
KM: Mówi się, że są dwa typy osób. Te, które robią kopię zapasową i te, które będą robiły kopię zapasową. Więc przypominamy o tym. Natomiast tu też mam taki przykład. Pamiętam firmę, która serwery do backupu postawiła na szybko, no bo na to nigdy nie ma czasu. I właśnie one były początkiem podatności. Nie było włamania do komputerów, które były dobrze chronione, ale ktoś wykradł dane właśnie z tego backupu. Co ciekawe, w jednym miejscu miał dane z wszystkich komputerów, dostęp do wszystkich maili, masy różnych rzeczy, haseł, zapisanych plików, więc to też trzeba na pewno sprawdzać. Ale właśnie chciałem Cię zapytać o słowo, którego użyłeś wcześniej, bardzo mi się spodobało, cyberhigiena. Co to jest i co powinna obejmować, właśnie co ta cyberhigiena powinna obejmować, szczególnie właśnie w małych firmach, gdzie mamy te podatności, nie każdy jest dobrze przeszkolony i na co powinniśmy zwracać uwagę najczęściej na początku?
PH: Przede wszystkim uważam, że każdy pracownik w każdej firmie powinien być z tego zakresu przeszkolony. Ja tutaj nie jestem w stanie w chwilę miłej rozmowy opowiedzieć na temat wszystkich zagadnień odnośnie cyberhigieny, ale można w skrócie sobie wyobrazić, że to jest taki zestaw zachowań i przystosowania się do nowoczesnych technologii, gdzie nasze działania nie powodują zagrożenia dla naszych zasobów. I tutaj ja powiem zaraz o takich trzech, które dla mnie są najważniejsze. Natomiast właśnie musimy wiedzieć, że ta cyberhigiena powinna być z nami cały czas. I to jest tak, jak przychodzisz do pracy, dostajesz szkolenie BHP, mówią Ci, nie wkładaj palców do kontaktu, bo niektóre są takie absurdalne wręcz informacje na tych szkoleniach, no bo trzeba każdemu na każdym poziomie jakby wytłumaczyć, co może, a czego nie może. Uważam, że dokładnie tak samo powinno być odnośnie cyberbezpieczeństwa. Powinniśmy przejść szkolenie, ponieważ ludzie są nieświadomi tego, co się może wydarzyć. I tutaj mam trzy takie rzeczy, na które w pierwszej kolejności powinniśmy zwrócić uwagę. Po pierwsze to są hasła, bo to jest podstawowe zabezpieczenie wszystkiego, co mamy. I tutaj hasła powinny być odpowiednio skonstruowane. W tej chwili nie będę mówił, co to jest siła hasła, bo to tutaj jakby też byśmy znowu zajęli nie wiadomo ile czasu. Chodzi o to, żeby te hasła były skomplikowane, wieloznakowe, najlepiej z 15 znaków różnych alfanumerycznych. No i teraz każdy powie, jak to zrobić, bo przecież tych systemów mam tyle, że głowa mi oszaleje. Do tego są tak zwane menadżery haseł, więc właściwie musisz pamiętać tylko jedno hasło do swojego menadżera haseł. Tutaj też kwestia wyboru i tego, czy chcemy dane trzymać u siebie, czy w chmurze. Cała armia różnych znaków zapytań. Można by było osobny odcinek, ale to odsyłam do moich mediów społecznościowych. Na pewno tego typu informacje znajdziecie albo będziecie znajdować. Musimy pamiętać jeszcze o jednej istotnej rzeczy, żeby te hasła się nie powtarzały, czyli nie powtarzamy tego samego hasła do wielu platform ze względu na te wycieki danych i to, że można te dane później ze sobą skorelować, tak jak było to z panem Dworczykiem, pewien pan ukraińskiego pochodzenia dostał się do jego konta, bo chciał sprawdzić, czy faktycznie dane z wycieku zadziałają. To jest taka też sytuacja całkiem niedawno, która się wydarzyła. W związku z czym musimy pamiętać, żeby każde hasło było inne do każdego systemu. I to jest odnośnie haseł. Druga rzecz jest taka, że możliwie wszędzie, gdzie się da, trzeba sobie włączyć drugi faktor autoryzacji. Są nawet fajne aplikacje, które to łączą w całość. Na pewno poczta, to jest 100%, to jest w ogóle nasze centrum wszystkich informacji, które mamy i za pomocą naszej poczty elektronicznej najprawdopodobniej możemy dostać się do wszystkich innych kont, które mamy, także musimy ją dobrze zabezpieczyć i tak jak mówię, wszędzie, gdzie jest możliwość, włączamy two-factor authorization. Każdy rodzaj tej autoryzacji będzie lepszy niż jego brak. Natomiast musimy pamiętać, że przy takich sytuacjach jak na przykład drugim faktorem jest SMS, jak to jest system, który jest bardzo strzeżony, to może dojść do takiego ataku na przykład SIM swap, czyli ktoś idzie z plastikowym dowodem kupionym w ciemnej stronie internetu do operatora i prosi o zmianę karty SIM i nagle nasz telefon przestaje działać, a ktoś inny ma tę kartę, która działa. W związku z czym SMS z drugim faktorem przychodzi na jego telefon. Także pamiętajmy, ten drugi faktor autoryzacji bardzo istotna kwestia. No i ostatni punkt, o którym dzisiaj zdążę powiedzieć, to jest kwestia czujności. Mamy coś takiego, dostaliśmy w darze, nie wiadomo od kogo właściwie, albo każdy wie od kogo, po swojemu, natomiast jest to intuicja i nasz umysł, który ma niesamowite możliwości, w związku z czym warto to wykorzystać. Jeżeli czujemy, że coś w tej wiadomości, którą otrzymaliśmy, jest nie tak, bo na przykład nigdy nie dostałem wcześniej od operatora, powiedzmy, energetycznego, że będzie mi odcinał prąd, albo że mam dopłacić jakąś kwotę, albo nigdy wcześniej się nie zdarzyło, żeby pani z księgowości do mnie pisała bezpośrednio, no to już tu powinna się nam gdzieś świecić lampka na czerwono i powinniśmy to sprawdzić, zanim zastosujemy się do tego, co jest w danej wiadomości, bo każda wiadomość stosująca socjotechnikę chce od nas, żebyśmy wykonali jakąś czynność, której nie powinniśmy wykonywać. Więc trzeba się najpierw nad tym zastanowić. No i to tyle, myślę, tutaj na szybko, żeby opowiedzieć o cyberhigienie, no to trzeba by więcej czasu.
KM: To jeszcze mam dwa pytania i dwie rzeczy chciałbym do tego dodać. Pierwsza rzecz, co sądzisz o tym, żeby zawsze szyfrować wszystkie swoje dane? Mieliśmy kilka takich przypadków, w których ktoś zupełnie sobie nie zdawał sprawy, że zgubienie telefonu lub laptopa to nie jest tylko problem odkupienia sprzętu, ale to jest problem, faktyczny incydent, co się dzieje dalej z tymi danymi. No i okazuje się też to, o czym mówiłeś wcześniej, kiedy my nie zastanawiamy się nad takimi rzeczami, nie jesteśmy przeszkoleni, nie testujemy tego, okazało się, że dawno, dawno temu uruchomiony system, akurat tam był Android, tym razem nie zadziałała lokalizacja telefonu, nikt tego nie sprawdzał. Więc dopiero w momencie wdrożenia procedur w całej firmie, sprawdzamy, czy ten telefon da się faktycznie odnaleźć, czy są wszystkie zgody na tych różnych telefonach, w różnych systemach. Dopiero wtedy firma ma cały obraz. I właśnie jak jest z tym szyfrowaniem? Czy to nam faktycznie może pomóc?
PH: Szyfrowanie to jest jedno z większych dobrodziejstw, które mamy w dzisiejszych czasach, bo dzięki niemu jesteśmy w stanie zrobić tak, że osoby postronne nie będą mogły przeczytać tego, co my chcemy, żeby nie czytały. I uważam, że większość danych, które gdzieś mają styczność ze światem zewnętrznym, to te dane wszystkie powinniśmy szyfrować w taki sposób, żeby nie dało się ich odczytać. I to tutaj jest bardzo, bardzo ważna kwestia. Także szyfrowanie jak najbardziej. Jeszcze dodam taką rzecz ciekawą. W tym roku ktoś z jednej firmy, chyba z Pomorza, zgubił pendrive’a. Na tym pendrive’ie nie było wiele, bo zdaje się, że Excel tylko z jedną komórką danych. Oczywiście firma chciała być bardzo w porządku i zgłosiła incydent. Natomiast zaraz po tym incydencie pojawił się u nich prezes UODO, znaczy prezes w sensie z ramienia prezesa UODO, ktoś się pojawił i przeprowadził kontrolę procedur bezpieczeństwa. Po czym się okazało, że brakuje procedur, które mówią o tym, co i w jaki sposób należy robić, jeżeli dane opuszczają firmę. No i pan prezes stwierdził, że trzeba taką firmę ukarać i dał jej karę w wysokości 250 tysięcy złotych. Podejrzewam, że być może dla przykładu, natomiast nie chciałbym zostać takim przykładem.
KM: Nie wiem, czy to dobry przykład, bo ludzie przestaną zgłaszać takie wycieki, ale właśnie tutaj chciałem zapytać, bo to jest super ważne. Doszło do tego incydentu, zabezpieczaliśmy się, staraliśmy się, ale coś się stało. Co robimy na początku?
PH: Pytanie, na jakim poziomie jest ten incydent. Jeżeli mówimy, tak jak wcześniej, o zgubieniu pendrive’a, no to tutaj jakby nic się już nie da zrobić, tylko trzeba uruchomić procedury bezpieczeństwa, które mówią o tym, jak należy to zgłosić. Ale załóżmy, że jest to incydent, który ma zupełnie inną naturę, czyli, powiedzmy, właśnie jest to włamanie do systemu, może być włamanie z blokadą. No po prostu wiemy, że ktoś się do nas włamał. Po pierwsze, musimy pamiętać, że jakiekolwiek wyłączenie komputerów spowoduje wyczyszczenie pamięci RAM i uniemożliwi działanie takiemu zespołowi Incident Response, czyli takim specjalistom cybersecurity, którzy przyjdą nas ratować w tej sytuacji i być może tam znajdą jakieś ślady tego włamania. W związku z czym wyłączanie takich maszyn nie jest dobrą praktyką, aczkolwiek odpięcie kabla od sieci internet jest już bardziej zasadne w tym przypadku. Więc tu ja bym tak postąpił, a w kolejnej minucie bym szukał kontaktu do właśnie takiej drużyny Incident Response, która przyjdzie i w sposób profesjonalny zajmie się takim incydentem. No bo to są już rzeczy na wysokim poziomie, które trzeba wykonać i myślę, że ktoś, kto się nie zna na IT, a nawet ktoś, kto się zna tylko na IT albo tylko na jakiejś dziedzinie IT, albo nawet jest superprogramistą, to nie zrobi tego, bo to są specjalistyczne, powiedzmy, rzeczy, do których są osoby, które robią to na co dzień. I tutaj jakby kolejnym później punktem jest to, co razem ustalicie, czyli prawdopodobnie gdzie to zgłosić. Takie mniejsze incydenty, czy jakieś incydenty prywatne zgłasza się na taką stronę incydent.cert.pl. Można też wykorzystać numer 8080, można tam przekierowywać SMS-y i tak dalej. Także są już instytucje, którym można zgłaszać różnego typu po prostu naruszenia. No i pewnie jeszcze wchodzi w grę ewentualne zgłoszenie na policję. Ale myślę, że tutaj jakby drużyna szybkiego reagowania to jest najważniejszy element.
KM: Czy ja dobrze rozumiem, że każda firma powinna mieć jakiś nawet podstawowy plan na taką sytuację? Myślę, że tak jak, nie wiem, gdyby u mnie pękła jakaś rura w mieszkaniu, no to mam zapisany numer do awaryjnego hydraulika, który gdzieś tutaj zarządza wszystkim, wie, jak działają systemy w naszym bloku i jesteśmy na to przygotowani. Chyba że nie jesteśmy, no to wtedy włącza się pełna panika. Czy to nie jest tak, że firmy, które właśnie mają procedurę, zazwyczaj wychodzą z tego lepiej?
PH: Tak, no bo budowanie procedury implikuje w nas takie myśli i sytuacje, gdzie sobie wyobrażamy, co się mogłoby wydarzyć i szukamy rozwiązań. Każdy plan jest dobry, który jest przygotowany wcześniej, jest lepszy niż brak planu na pewno. Natomiast można to zrobić w sposób profesjonalny. Można podejść do tego, na przykład zbudować taką procedurę, która się nazywa Disaster Recovery Plan, czyli taką procedurę, w której są różne scenariusze przyjęte i co robimy, kiedy się wydarzy i wtedy działamy wobec tego planu, czyli zgodnie z nim. I to na pewno jest bardzo dobra praktyka, którą się stosuje. My to stosujemy.
KM: To jeszcze zapytam Cię o ten bardzo duży element bezpieczeństwa, czyli to, właśnie jak zachowują się ludzie. Jaka tu jest najlepsza praktyka? Czy to są stałe szkolenia? Słyszałem o firmach, które stale nie tylko wysyłają ludzi na szkolenia, ale na przykład robią takie incydenty u siebie, pozorowane i sprawdzają odpowiedź swoich zespołów. Ostatnio nawet słyszałem, że w jednej firmie wszyscy specjaliści poradzili sobie z tym incydentem idealnie, a zareagowała w zły sposób na niego cała góra. Cały zarząd kliknął w linka i w normalnym scenariuszu dałby się niestety zainfekować. Więc nie zależy to od właściwie stanowiska, wiedzy. Rozumiem, że to jest coś, co jest procesem, który powinien wracać i wracać i pewnie te osoby powinny też czytać mnóstwo nowych informacji i dzielić się ze sobą tą wiedzą.
PH: Tak, masz rację. To jest bardzo fajne działanie, o którym mówisz. My to nazywamy testy phishingowe albo testy antyphishingowe. Tutaj mówimy o konkretnym oczywiście ataku, czyli ataku takim, w którym ktoś dostaje na skrzynkę swoją jakąś wiadomość, bo to jest najczęstsza sytuacja, tak? No czy to jest, powiedzmy, mail, czy sms, czy jakiś komunikator, to nie ma znaczenia. Można te testy robić na wszystkich możliwych mediach, które sobie wymyślimy, natomiast najczęściej się robi faktycznie mailowe. I tak, zgadzam się, to jest jedna z lepszych praktyk. My stosujemy taki scenariusz, w którym po pierwsze, najpierw, jeżeli jeszcze wcześniej nie były robione tego typu szkolenia, to na początek robimy właśnie taką próbę ataku, wymyślamy trzy, cztery, może pięć różnych scenariuszy, próbujemy różne grupy ludzi w danej firmie nabrać na taką wiadomość, one są naprawdę celowane, więc poprzedzone są białym wywiadem i rekonesansem i one są wycelowane naprawdę fajnie. Nawet do takiego stopnia, że ostatnim razem udało nam się nabrać informatyka, więc są naprawdę fajnie zrobione. I wtedy po takim ataku wiemy, jakie są statystyki w całej firmie odnośnie wiedzy i poziomu tej odporności. Po takim czymś fajnie jest wykonać szkolenia. Ja jednak preferuję, żeby to pierwsze szkolenie całej kadry było fizyczne, czyli takie, gdzie mogą przyjechać, zobaczyć, poznać osobę, która będzie prowadziła to szkolenie, ze względu na to, że jest to troszkę też odcięcie się od wszystkich obowiązków, że nie będzie gdzieś nas tutaj odciągał telefon, że nie będzie tu nas kolega z pracy odciągał, tylko faktycznie gdzieś w neutralnym miejscu rozmawiamy o bezpieczeństwie, w miłej atmosferze, w małych grupach, sugeruję 15 osób, gdzie te osoby, jeżeli zobaczą fajne pokazy, co się może wydarzyć, zobaczą różne rzeczy odnośnie konkretnie ich osoby, no to będą się angażować w tę rozmowę i naprawdę się zrobi z tego bardzo fajne spotkanie, po którym naprawdę się dużo otworzy. No i później po takim szkoleniu wykonujemy te testy jeszcze raz. Czyli każdy już wie, że może się spodziewać takiego, znaczy nie robimy tego od razu, no i patrzymy, jak się ten wskaźnik odporności firmy zmienił. Najczęściej bardzo pozytywnie się zmienia. Natomiast w drugim rzucie, jeśli się okaże, że znowu się udało kogoś złapać, no to organizujemy kolejną powtórkową wersję na przykład webinarów odnośnie właśnie cyberbezpieczeństwa i tych zachowań, jak powinniśmy tę cyberhigienę wdrożyć w swoim życiu i doszkalamy te osoby, które się po prostu skusiły na tą wiadomość. I teraz ważne jest, żeby to powtarzać, może nie w takim zakresie, ale wyrywkowe testy takie właśnie phishingowe robić raz na pół roku na przykład. I też znowuż zbierać grupę osób, którą się udało wyłapać i też przeszkolić. Dochodzi nam jeszcze kwestia jednej rzeczy, czyli rotacji pracowników. No i tu dobrze jest przygotować sobie jakieś szkolenie w danej firmie, które jest spersonalizowane dla konkretnej grupy odbiorców, dla konkretnej firmy. Może to być nawet szkolenie online już, bo wtedy ciężko będzie po prostu organizować dla jednej osoby takie warsztaty. Natomiast musi być jakiś sposób na szkolenie osób, które rotują. I myślę, że to jest bardzo dobra praktyka, która nie tylko poszerza wiedzę na temat bezpieczeństwa, ale również wprowadza w stan czujności, czyli osoby wiedzą, że może się coś wydarzyć, bo już się to wcześniej działo, w związku z czym ta czujność ich jest na wyższym poziomie.
KM: Teraz czas na naszą semkostkę, czyli losujemy bardzo podstawowe pytanie. Wylosowaliśmy inspirację branżową, czyli chcemy się dowiedzieć, jak osoba na Twoim etapie kariery zdobywa nową wiedzę. Poleć nam coś, co jest takim must have, obowiązkową rzeczą na naszej liście.
PH: No to ja chcę wyjść przed szereg, polecę Wam dwie rzeczy. Po pierwsze, odnośnie bezpieczeństwa uważam, że trzeba śledzić firmy. Są dwie. Bardzo moją taką najbardziej ulubioną jest Sekurak i eventy, i sytuacje, które oni organizują i wiedzę, którą dostarczają w tym temacie uważam, że jest na bardzo wysokim poziomie i naprawdę warto ich tutaj śledzić i brać udział w niektórych rzeczach, które organizują. I to mówię tutaj w kierunku specjalistów, którzy chcą zdobywać wiedzę na odpowiednim poziomie. Jest to bardzo fajna społeczność i bardzo sympatyczni ludzie, ale jeden i drugi lider polski myślę, że jest warty uwagi. Natomiast prywatnie w tej chwili to, co obserwuję i czytam i się bardzo interesuje, to jest kwestia białego wywiadu i taką osobą, którą bardzo mogę polecić jest Michael Bazzell. Jest to taki amerykański były funkcjonariusz FBI, właściwie pracował w FBI, dlatego że tam dokonywał śledztw różnego typu właśnie, gdzie wykorzystywał technologie informatyczne. No a w tej chwili zajmuję się prywatnością i tym na przykład, żeby spowodować, że dane osoby znikną z celownika. Mówię tu na przykład o osobach znanych czy osobach, które nie chcą być właśnie nękane przez różnego typu jakichś stalkerów. I dzięki temu, że się tym zajmuje, to publikuje niesamowitą dostępną wiedzę na temat właśnie białego wywiadu.
KM: Super, bardzo Ci dziękuję. Mi się wydaje jeszcze też, że jak rozmawialiśmy o tych szkoleniach, to że jest to taki typ szkolenia z tego bezpieczeństwa, które przydadzą się też ludziom po prostu w życiu prywatnym. Jak mówiłeś o Sekuraku czy o Niebezpieczniku, ja pamiętałem, że sam często biorę artykuł stamtąd i wysyłam do rodziców, którzy też korzystają z bankowości internetowej, też są podatni na te wszystkie ataki, czy właśnie dotyczące ich danych, czy ich pieniędzy, ich środków. Więc wydaje mi się, że to też może być bardzo ciekawe właśnie prywatnie dla pracowników takiej firmy, że wiedzą, jak się zabezpieczyć i firmowo, i prywatnie.
PH: Zgadza się, bo ten aspekt prywatny często jest troszeczkę pomijany. Wydaje nam się, że wychodzimy z pracy, to już koniec naszych zmartwień, a tak naprawdę otwiera się kolejna gama różnych innych zmartwień, które mogą nas dotyczyć. Zaczynając od właśnie takich prostych scam’ów po jakieś bardzo zaawansowane, gdzie ludzie tracą po kilkanaście, kilkadziesiąt tysięcy, po kilkaset tysięcy czasami. Więc to, że nie jesteśmy w pracy, to wcale nie znaczy, że nie jesteśmy narażeni. A dodatkowo nasza sieć domowa Wi-Fi na pewno jest mniej chroniona niż sieć firmowa, w związku z czym czasami łatwiej jest zhakować kogoś w firmie, kogo chcemy w kontekście firmy zhakować, ale zacząć właśnie od domowej infrastruktury, ze względu na to, że najczęściej jest ona łatwiejsza do przejścia. A poza tym pamiętajmy, że może jakiś nasz bratanek albo ktoś korzysta z naszej sieci Wi-Fi i tam w telefonie ma hasło do niej, a jego zachowania są różne i może nie mieć pełnej wiedzy na ten temat, w jaki sposób powinien się poruszać po tym internecie. Można w bardzo łatwy sposób spowodować, że się do tej sieci do środka dostaniemy. W związku z czym te rzeczy faktycznie przydają się w naszym życiu prywatnym. Bo cyberhigiena to jest sposób życia właśnie w nowoczesnym świecie, wykorzystując nowoczesną technologię i na co dzień to robimy. Każdą rzecz możemy w tej chwili kupić naciśnięciem przycisku, zapłacić błyskawicznie używając nowoczesnych technologii, co nam daje niesamowitą oszczędność czasu, no ale jest pewien koszt tego. Koszt jest taki, że są osoby, które mogą chcieć to wykorzystać przeciwko nam, że te technologie są tak łatwe i proste w obsłudze i tutaj na pewno musimy mieć zawsze wzmożoną czujność i wiedzieć o tym, że takie sytuacje się zdarzają i ja znam takich ludzi, którzy faktycznie zostali oszukani przez przestępców.
KM: Tak, ja myślę, że to już znak naszych czasów, że łatwiej zostać napadniętym online niż offline i stracić pieniądze. Dodam ciekawą historię, która mi się przypomniała, gdzie akurat w artykule, który czytałem, podatnością, która została wykorzystana było to, że jedna z pracownic firmy zaczęła korzystać w pracy z sieci Wi-Fi innej, bo miała tam więcej kreseczek, lepszy zasięg. A to była specjalna sieć, która była założona przez przestępców, którzy czekali tylko na to, żeby ktoś z tej firmy się z nimi połączył. Była otwarta, bez hasła, bardzo wygodnie. No i potem wielka, wielka wpadka. Okej, to na koniec mam takie pytanie, żebyśmy trochę wyszli poza nasze takie standardowe ramy podatności i włamań. Cybersecurity ma na pewno, chyba, najlepszą gamę różnych gadżetów, rzeczy, które nam się kojarzą z fikcją albo jakimiś filmami i serialami tylko, ale wiele z nich jest całkiem, całkiem prawdziwych. Na przykład kojarzy mi się tutaj kabel USB, który może przechwytywać wszystko, co wpisujemy na klawiaturze albo inne gadżety. Czy coś tutaj byś powiedział ciekawego, co może nas zainspirować, żebyśmy byli jeszcze bardziej uważni?
PH: Akurat trafiłeś dobrze, bo jestem gadżeciarzem, w związku z czym mam tych zabawek trochę. Nie zawsze one się jakby identyfikują z prawdziwym światem, natomiast jest ich dość sporo. Mam ten kabel USB, o którym mówisz, kosztował 1000 zł około. Natomiast faktycznie wygląda jak kabel USB-C zwykły. Po podpięciu do telefonu identyfikuje się jako klawiatura i można zaprogramować sekwencję klawiszy, którą ma wcisnąć i sekwencje tam ruchów, które ma wykonać. W związku z czym, no, można doprowadzić telefon do zrobienia pewnej rzeczy X. No i teraz możemy sobie prosto wyobrazić, że taki kabel może być w takim miejscu jak na przykład stacja benzynowa, gdzie próbujemy sobie podładować telefon, tak? Musiałby być oczywiście taki, to jest trochę świat wyidealizowany, musiałoby tam być naprawdę dość sporo rzeczy się złożyć ze sobą, ale no jest to możliwe. Poza tym kablem USB mam jeszcze takie pendrive’y, które wyglądają jak pendrive, a tak naprawdę nie są pendrive’ami, tylko wykonują też pewne rzeczy na komputerze. Mam taką zabawkę znaną w świecie, powiedzmy, młodych ludzi, nazywa się Flipper Zero, taka pomarańczowa, którą tam otwierają samochody i tak dalej. To na pewno nie jest tak, że jak ktoś sobie je kupi, to natychmiast będzie sąsiadowi otwierał jego Teslę, nie? To na pewno musimy o tym pamiętać. Do tego jest też potrzebna jakaś wiedza o działaniu tych urządzeń, natomiast jest taki fajny dostawca Hak5 ze Stanów Zjednoczonych, gdzie te zabaweczki można sobie zamawiać i są bardzo ładnie zrobione. W ogóle to jest wszystko takie amerykańskie, bo jest takie fajne i fajnie help jest opisany do tego, jak to zrobić i naprawdę są super. I od łamania sieci Wi-Fi po jakieś właśnie złośliwe pendrive’y i tak dalej, jest tego bardzo dużo.
KM: W dzisiejszym odcinku dowiedzieliśmy się mnóstwa nowych rzeczy na temat cybersecurity, czyli naszego bezpieczeństwa w internetowym świecie. I właściwie nie tylko, bo za każdym razem, kiedy patrzymy na jakąś dziedzinę, czy to marketing, to będziemy mieli styczność z elementami, w których musimy pamiętać o tym, żeby po prostu się dobrze zabezpieczyć. Mówiliśmy o szkoleniach, cyberhigienie. Mówiliśmy również o tym, że bardzo dużo rzeczy będzie zależało od nas, od ludzi, nie tylko od infrastruktury. Dlatego bardzo gorąco zachęcam do zadania sobie pytania na koniec tego odcinka, kiedy ostatnio mieliśmy audyt? Kiedy zastanawialiśmy się nad tymi kwestiami? I co by było, gdybym właśnie teraz odebrał maila z informacją, że było włamanie? Co dalej? Czy mamy procedurę na ten temat? Ja bardzo dziękuję za przyjęcie zaproszenia. Naszym gościem był Paweł Hordyński, CEO i założyciel IT Develop z 20-letnim doświadczeniem w IT. Bardzo, bardzo dziękuję za to, że podzieliłeś się z nami wiedzą i przybliżyłeś nas, mam nadzieję, trochę bliżej do bycia bezpiecznymi w sieci.
PH: Dziękuję również i życzę wszystkim bezpieczeństwa jak najwięcej, także wszystkiego dobrego!
KM: Bardzo dziękujemy!
Spodobał Ci się ten artykuł?
Zapisz się na newsletter - nie spamujemy!
Loading...
