Łukasz Bromirski, Cisco: Będziemy coraz częściej dezinformowani

- Bardzo wiele państw na świecie ma swoje służby działające w internecie i wiele z nich prowadzi ciągle operacje ofensywne na mniejszą lub większą skalę - stwierdza w rozmowie z Interią Łukasz Bromirski z Cisco Security.

Łukasz Bromirski, Enigneering Product Manager w Cisco Security Business Group
Łukasz Bromirski, Enigneering Product Manager w Cisco Security Business Groupmateriały prasowe

Interia: Czy w Polsce mógłby się powtórzyć scenariusz ataku taki jak Petya? (wirus ransomware, który w czerwcu 2017 roku sparaliżował wiele obiektów na Ukrainie)

Łukasz Bromirski, Cisco: Oczywiście. W Polsce jest dużo oprogramowania lokalnego, używanego przez małe i średnie firmy. Ataki na łańcuch dostaw, np. atak na popularnego producenta oprogramowania do wystawiania faktur, mógłby mieć opłakane skutki. A są to firmy, które nie inwestują w bezpieczeństwo, bo w ich modelu biznesowym nie bierze się pod uwagę takich ryzyk. Użytkownicy ściągają oprogramowanie ze stron, gdzie niekiedy proces uaktualniania jest zautomatyzowany - dokładnie tak jak to było w przypadku ukraińskiego MEDoc.

I ponownie - nie oszukujmy się, że użytkownicy jakoś szczególnie dbają o bezpieczeństwo tych komputerów. W większości wypadków są one włączone całą dobę, używane przez wiele osób na jednym koncie i z prawami administratora. Co więcej, łatwo to sprawdzić np. używając przeglądarki Shodan - z otwartym dostępem zdalnym przez pulpit RDP (Pulpit Zdalny, dostęp do systemu na odległość - dopisek redakcji), który zawiera wiele podatności.

- W jaki sposób można obronić się przed takimi atakami. Czy to w ogóle jest możliwe? 

Na to pytanie odpowiadamy ciągle tak samo od 20 lat. I chociaż detale się zmieniają, tylko część słuchających czy czytających podejmuje odpowiednie działania. Na dzisiaj fundamentalne zasady dostępu, określane jako "Zero Trust" oznaczają, że użytkownik systemu w którym pracuje powinien mieć minimalne uprawnienia (na pewno nie administratora), uwierzytelniać się dwuskładnikowo (hasła wyciekają lub można je złamać), dostęp z internetu i do internetu powinien być odpowiednio kontrolowany i filtrowany, a poszczególne urządzenia w sieci (jeśli jest ich więcej niż jedno) powinny być od siebie separowane i nie mieć bezpośredniego dostępu (aby uniknąć tzw. lateral movement - podstawowej taktyki "przeskakiwania" pomiędzy chronionymi komputerami po pokonaniu zabezpieczeń jednego z nich).

- Wiemy dzisiaj, że firmy, które stosują choćby minimum ochrony mają dużo większe szanse ochronić się przed atakiem - wykradzeniem informacji, ransomware, itd. A nawet jeśli dojdzie u nich do włamania, będzie miało one ograniczony zakres - i skutki.

Elektrownie, szpitale, systemy bankowości, logistyka - dlaczego te sektory najczęściej padają ofiarą szkodliwych działań?

- Nie padają. Są najczęściej atakowane, natomiast najczęściej (i to masowo) kompromitowane są komputery i smartfony zwykłych użytkowników, dopiero potem cele instytucjonalne. Dzisiaj z uwagi na ogólnoświatowe zmagania w cyberprzestrzeni, którymi już nikt nawet nie próbuje nadać znamion cywilizowanego starcia. Kiedyś - oczywiście dla rozgłosu i wywołania paniki.

Rosjanie i Chińczycy są wymieniani jako pierwsze nacje, zdolne do przeprowadzania zaawansowanych kampanii cyberszpiegowskich i cyfrowych ataków. Czy rzeczywiście tak jest? Co sprawia, że te dwa państwa są uznawane za tak niebezpieczne w internecie?

- Rosjanie i Chińczycy po prostu robią to bezceremonialnie i już nawet nie próbują udawać, że to nie oni (utrudniając tzw. atrybucję, czyli wskazanie faktycznego sprawcy). Bardzo wiele państw na świecie ma swoje służby działające w internecie i wiele z nich prowadzi ciągle operacje ofensywne na mniejszą lub większą skalę. Mamy oczywiście Stany Zjednoczone z ich Cyber Command (oraz trzyliterowe agencje prowadzące własne działania, czasem w koordynacji z CC). Jest Francja, Izrael, Niemcy, Dania, Belgia, Wielka Brytania, nawet Włosi czy Polacy z Narodowym Centrum Bezpieczeństwa Cyberprzestrzeni.

- Oczywiście nie wszyscy mają wpisane działania ofensywne w oficjalny zakres działań, ale należy się spodziewać, że każdy kraj poważnie myślący o przyszłości, przygotowuje swoje siły do działań ofensywnych w internecie, chociażby po to, żeby ćwiczyć swoje umiejętności w obronie.

Phishing, ransomware, spyware - te zagrożenia są kojarzone przez internautów. Z jakimi nowymi terminami powinni się zapoznać użytkownicy sieci?

MFA, czyli uwierzytelnianie wieloskładnikowe.  Coraz częściej będziemy też dezinformowani przez deepfake - doskonale zrealizowane wypowiedzi polityków czy ważnych lub wpływowych figur będące w całości lub po części sfałszowane. Nie da rady odróżnić ich laik w medium społecznościowym, a dają się na nie nabrać już nawet osoby prowadzące sesje wideokonferencyjne (ponieważ można je generować w czasie rzeczywistym).

Na pewno pojawi się także wiele specyficznych terminów wytworzonych przez marketing producentów, a wskazujących na różnego rodzaju zabezpieczenia dostarczane z chmury - bez potrzeby inwestowania w infrastrukturę.

Warto posiadać pracowników wyszkolonych w radzeniu sobie z podstawowymi atakami i zagrożeniami oraz pracowników lub zewnętrzną firmę, która specjalizuje się w bezpieczeństwie komputerowym. Bez tego, niezależnie od znajomości terminów, będzie to egzystencja z góry skazana na cyfrową kompromitację.

Rozmawiał Łukasz Kujawa

INTERIA.PL
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas