Mentionsy

że jeśli czegoś nie zrobisz do godziny 15, to coś tam, coś tam, jest tam link albo plik, nagle otwieramy link, nagle się okazuje, że zapłać jedną czwartą Bitcoina, bo Twój komputer został zaszyfrowany.

Dzisiaj moimi gośćmi są Rafał Prabucki, doktor nauk prawnych, adiunk na Uniwersytecie Śląskim, inżynier i CEO w Szostek Digital oraz Mateusz Jakubik, compliance officer w Bonier Business Polska, prawnik oraz audytor.

Potem może z tychże systemów na przykład jakieś informacje czy to pobrać, czy to zmanipulować, czy też po prostu zniszczyć.

Najczęstsze formy cyberataków można zobaczyć tak naprawdę na raportach i anisy, które są publikowane, że to najczęściej właśnie jest ransomware i phishing.

Tak, teraz jak patrzymy na te raporty, już jak się ładnie nazywają, co po polsku moglibyśmy przetłumaczyć jako krajobraz zagrożeń, cyberzagrożeń, to ostatnia DDoS jest na pierwszej pozycji, przy czym jakbyśmy sobie wzięli ten raporcik INISA, to tam jest napisane, że jest to prawdopodobnie związane...

Ale mówisz to w kontekście firm, czy takiej zwykłej osoby jak ja na przykład, która oczywiście robi backup, ale nie sprawdzi?

jak był taki głośny okres mówiący właśnie o tym, że backupy, backupy, kopie bezpieczeństwa, to po jednym zespaleniu się serwerowni, która miała backupy obok i nie było jak przywrócić danych, nagle się okazało, że świadomość, znowu zdarzenie, zbudowało świadomość, że ta świadomość wzrosła, no i jednak te organizacje dzisiaj mają świadomość, że musimy to testować, weryfikować i myślę, że z tymi backupami już tak źle nie jest.

To jest zagrożenie, które też jest już w raportach INIS-y uwzględniane i ono jest bardzo trudne, ponieważ ono działa w ten sposób, że wykorzystywana jest informacja i ta informacja jest wykorzystywana w stosunku do pewnych grup,

Zgodzę się, co więcej czasami są istotne dla atakującego, są też informacje o tym, jak ktoś jest podatny.

Pamiętam, że były ciekawe kampanie, na przykład z wykorzystaniem platformy Facebook, gdzie atakujący wykupował reklamę, pod której chciał, ogłaszał jakąś super ofertę i chciał, żeby osoby, które by na przykład chciały dostać coś za darmo, po prostu zadeklarowały, napisały tak.

I w ten sposób robił sobie już listę osób, które są podatne na atak.

A on potem na przykład pisał do takiej osoby, że bardzo dziękujemy, w takim wypadku rozpocznie się losowanie, ale potrzebuję jeszcze tutaj na przykład, nie wiem, PESEL, imię i nazwisko i lecimy.

Co więcej, bardzo często takie osoby mogły być potem dalej profilowane do takiego ataku, gdzie na przykład zamiast podałem PESEL imię i nazwisko, ale mógłby się dać sam numer telefonu.

Potem ten numer telefonu oszuści mogliby wykorzystać do tego, żeby podszyć się pod bank danej osoby i dokonać już ataku, który tak ładnie się nazywa vishing, czyli to jest taki atak pishingowy, w którym ktoś nakłania nas do zrobienia czegoś, co jest dla nas niekorzystne, ale z wykorzystaniem telefonu.

Bo inaczej będzie wyglądała kampania osób, które szykują ataki ransomware, a inaczej kampania cyberoszustów, którzy głównie bazują na narzędziach związanych z phishingiem.

Na LinkedIn widziałem, że niektórzy już doświadczyli takiego ataku, jeżeli chodzi o atak wishingowy.

Sky is the limit tak naprawdę.

A w dzisiejszej dobie technologii tak naprawdę mamy możliwości ogromne.

Jeszcze tak jak mówiliśmy tutaj przy wsparciu sztucznej inteligencji, napisanie nawet takiego scenariusza, który teoretycznie chcemy wykorzystać wewnętrznie w naszej organizacji w celu, żeby przeprowadzić do testów.

Więc tu tych ryzyk, choć myśmy się już też spotkali, że na przykład niejednokrotnie mając jakieś spotkanie online, gdzie normalnie byśmy je po prostu nagrywali do celów dowodowych, ze względu tego, że na przykład, nie wiem, jest to jakiś audyt, czy to spotkanie audytowe, żeby zebrać informacje, czy nawet do transkrypcji, tak jak niejednokrotnie, żeby sobie to spisać, to nagle się pojawia kwestia taka, że dostajemy informacje, nie, nie, nie, no przecież...

Powinniśmy zacząć od wyjścia związanego z tym, że dzisiaj... Ale mówimy to z punktu widzenia organizacji.

Tak, że istotne są dane nie osoby prywatnej, to już moglibyśmy mieć moje dane.

Środki kontroli fizycznej, środki kontroli technicznej i środki kontroli administracyjnej, menedżerskie, jak zwał wiemy o co chodzi, czyli te środki, które służą ukierunkowaniu ludzi, bo mówimy o organizacji, jak mają się zachowywać.

że jeśli czegoś nie zrobisz do godziny 15, to coś tam, coś tam, jest tam link albo plik, nagle otwieramy link, nagle się okazuje, że zapłacisz jedną czwartą Bitcoina, bo Twój komputer został zaszyfrowany.

Pół biedy, jeżeli to jest jakiś pishing typu krówka-masówka,

Gorzej, jeżeli to jest na przykład spearpishing, czyli ktoś wie, kim jesteśmy, wiemy, co robimy, zdaje sobie sprawę, że na przykład możemy mieć tego dnia gorszy dzień, albo że się coś wydarzyło i stricte chce nas zaatakować i ma jakiś plan na to, bo na przykład my możemy być dla niego drzwiami do danej organizacji.

To jest czasami właśnie to też wyzwanie, że dzisiaj mamy social media.

Mamy taki fajny portal, on się nazywa Have I Been Pwned, stworzył go Troy, taki cyberbezpiecznik, to jest prywatna jego inicjatywa, gdzie można sobie wpisać na przykład swój adres e-mail, a nawet hasło i sprawdzić, czy ono w jakimś wycieku, bo on zbiera te różne bazy z wycieku.

IT powie, okej, my ci je restartujemy, wpisz nowe.

System będzie wiedział, że jeśli wpiszesz to samo hasło, bo czasami pojawia się pytanie, no dobra, jak oni nie wiedzą, jakie jest moje hasło, jak ja wpisuję to samo hasło, a potem mi pisze, że za trzy miesiące temu nie mogę go wykorzystać, bo było wykorzystane w tym okresie trzech miesięcy.

Dlatego dzisiaj nie ma coś takiego, to ja Ci podam moje hasło.

Są różne tego typu rozwiązania, o tym trzeba pamiętać, ale jeszcze wracając do tej strony Have I Been Pwned, też jest pytanie, czy skoro mamy jakieś tam przesłanki, że mogło być dość do wycieku i przeszczymy to nasze hasło, to może lepiej już je wpisać i zmienić.

A najlepiej korzystać, tak jak mówię, z menadżera haseł, wszędzie mieć inne, to nawet wtedy możemy być bezpieczni, bo faktycznie jak ten atakujący, jakiś tam podmiot, przejmie bazę haseł i one na przykład nie będą zaszyfrowane, więc będzie widział, że osoba x, y, z ma takie hasło, to pierwsze co on zrobi, sprawdzi sobie, gdzie ta osoba ma jeszcze konta i będzie po prostu wpisywał to hasło, na zasadzie zobaczymy, gdzie się uda mu zalogować.

I zobaczcie, że bardzo dużo dzisiaj kwestii, jeśli chodzi o login, co jest single sign-on.

czy w swoich serwerach, czy w chmurze, to zawsze pojawia się pytanie, bo był taki czas, gdzie wszyscy szliśmy do chmury, bo było tanio, było wygodniej, kupowaliśmy rozwiązania typu SAS, systema ze serwis, a nagle się okazało, że potem w trakcie audytów wychodziło...

Myślę, że spokojnie wpisując nasze imiona i nazwiska to wyskoczy.

prób wejścia jest od licencji, która kosztuje parę złotych za system, do sky is the limit w momencie, kiedy chcemy wybudować dużą serwerownię.

Niejednokrotnie robi się akcje phishingowe, żeby zobaczyć, czy ktoś kliknie, nie kliknie, a co by się stało.

Więc już sama świadomość, informacja o tym, że nasz system został spenetrowany też jest istotna.

i tego, że sky is the limit, na co możemy sobie pozwolić, jak mamy to realizować.

Szczególnie, że pamiętajmy, jak sobie weźmiemy raporty INISA, że podmioty publiczne to jest coś, co nasi atakujący najbardziej lubią, bo tam...

Bo tam chyba działa coś, co w kryminalistyce nazywa się teorią wybitych szyb.

Znaczy nie ma takiej odpowiedzi, bo to jest zawsze, pojawia się pytanie, może być tak, że nie będziemy mieć żadnych zabezpieczeń, będziemy żyć tak naprawdę trochę w takiej błogiej nieświadomości i nikt do nas nigdy nie zapuka, a będzie tak, że wydamy sky is the limit i nagle się okaże, że ktoś przełamię te zabezpieczenia.

Mając jeszcze w dobie dzisiejszej właśnie sztucznej inteligencji, sky is the limit, możemy wydawać cały czas, kupować lepsze systemy.

Może to jeszcze tak jedną rzecz dodam, bo w tym sky is limit jest taki ukryty mały haczyk.

to sky is the limit, jeżeli chodzi o rozwiązania techniczne, jak najbardziej tak będzie odstraszał, ale jeszcze jest właśnie kwestia czasami pomijana, a nie mniej istotna, właśnie szkoleń i budowania tej świadomości u człowieka, no bo w niego też trzeba zainwestować, żeby on wiedział, zdawał sobie sprawę, że taki cyberprzestępca...

Taniej i szybciej, bardziej dostępne dla cyberprzestępcy będzie wysłanie takiego maila phishingowego, albo smishing, albo wishing, smishing, czyli SMS, wishing, telefon, żeby na przykład nakłonić go do tego, żeby on coś zrobił.

Mówisz, że działa zniechęcająco?

budując system cyberbezpieczeństwa w oparciu o tą świadomość, jesteś o tyle do przodu, że musisz ponieść te koszty.

I to się fajnie w przepisach nazywa cyberhigieną de facto.

Podstawowe rzeczy, które dzisiaj tak naprawdę sprzęt daje taką możliwość z softwarem.

Czyli to nie będzie taki proces, że dzisiaj powiemy, że ta cyberhigiena jest na takim i takim poziomie, ale musimy przypominać o tym osobom.

To też pamiętajmy, że dużo organizacji i to już akurat jest faktycznie duża świadomość, nie wdraża poprawek, nowych wersji systemów na produkcję, tylko właśnie w środowisku testowym, żeby zobaczyć jak to się zachowa.

Co ważne, to środowisko testowe nie operuje na właściwej bazie, czyli nie ingeruje w dane, które są realne, rzeczywiste, tylko albo na jakimś wycinku, ale wtedy też mamy świadomość, że przetestowaliśmy to, bo był taki okres, że wszystko robiło się na produkcji, a potem jak nie działało na produkcji, to robiliśmy rewers, wracaliśmy do starej wersji właśnie po to, żeby przywrócić na przykład kompatybilność czy w ogóle funkcjonalność systemu.

Bardzo Wam dziękuję za dzisiejszy odcinek.