Można mieć najlepsze systemy bezpieczeństwa IT, a i tak paść ofiarą włamania lub wycieku danych. Dlaczego? Eksperci zajmujący się nowymi technologiami w organizacjach są zgodni co do tego, że najczęściej, bo aż w ponad 80 proc. przypadków, do utraty lub wycieku danych dochodzi z powodu ludzkiego błędu lub zamierzonego działania. Przesada? Zobaczmy nietypowe przypadki utraty danych (na podstawie materiałów firmy Kroll Ontrack).
Chwila nieuwagi
Niemiecka mała firma przeprowadzała w swojej siedzibie prace budowlane, obejmujące również serwerownię. Pewnego piątkowego popołudnia firmowy administrator odkrył, że plastikowe płachty - użyte w celu zabezpieczenia pomieszczenia - nie chronią wystarczająco przed kurzem. Zdecydował się przenieść serwer do innego pokoju, z dala od prac budowlanych. Po bardzo ciepłym i słonecznym weekendzie, w poniedziałek rano poczuł jeszcze większy przypływ gorąca, kiedy zorientował się, że serwer nie działa. Jak się okazało, jeden z jego współpracowników wyłączył w piątek klimatyzację w pomieszczeniu, do którego czasowo trafił serwer. Miało to zapobiec dostawaniu się tam kurzu, najskuteczniej jednak zapobiegło... działaniu serwera. W Polsce zdarzył się przypadek „zalałem laptopa rozpuszczalnikiem. Jestem w drodze do waszej siedziby”. Pechowy wypadek miał miejsce, kiedy mężczyzna, spełniając życzenie żony, przygotowywał niestandardowy kolor farby do ścian. To twórcze zadanie uprzyjemniał sobie, słuchając muzyki z laptopa
umieszczonego na podłodze. Znajdowała się na niej także puszka z rozpuszczalnikiem, którą w pewnym momencie przypadkiem kopnął. Z kolei w Wielkiej Brytanii pewien mężczyzna kosił trawnik, kiedy przypadkowo upuścił na ziemię swojego smartfona. Nie zauważył tego momentu, dopóki nie poczuł, że kosiarka intensywnie mieli coś więcej, niż tylko trawę. Szybko przekonał się, że niestety nie jest to kamień, czy kawałek drzewa. Smartfon uległ całkowitemu zniszczeniu. A przecież w serwerze, laptopie czy smartfonie mogły znajdować się kluczowe dane firmowe - informacje, od których zależy „być albo nie być” przedsiębiorstwa.
Intel® Authenticate, czyli jak utrudnić cyberprzestępcom kradzież danych
Uwierzytelnianie wieloskładnikowe stojące u podstaw technologii Intel® Authenticate to nowe rozwiązanie pozwalające na wdrożenie zasad bezpieczeństwa, zarządzanie nimi i ich egzekwowanie. Technologia ta jest wbudowana w procesory Intel® Core(TM) vPro(TM) szóstej generacji i wypełnia luki podatności rozwiązań opartych wyłącznie na oprogramowaniu. Przeniesienie procesu autoryzacji poza system operacyjny owocuje podniesieniem stopnia ochrony platformy i zwiększeniem bezpieczeństwa organizacji. W ten sposób zabezpieczeniu podlegają nie tylko dane logowania, lecz także oparte na nich dane uwierzytelniania, dzięki czemu są chronione przed kradzieżą, niewłaściwym użyciem lub podszyciem się przez osobę z zewnątrz.
Intel Authenticate dokonuje identyfikacji, wykorzystując wiele wzmocnionych składników jednocześnie, w tym:
o Wiedzę użytkownika – np. osobisty numer identyfikacyjny (PIN)
o Sprzęt użytkownika – np. komputer lub telefon komórkowy
o Tożsamość użytkownika – np. odcisk palca
Więcej informacji na stronie: www.intel.pl/authenticate
Niewiedza i naiwność
Jak słabym ogniwem w łańcuchu informatycznego bezpieczeństwa jest człowiek, dobitnie pokazuje cyberatak na Ukrainie. 23 grudnia 2015 r. niemal połowa domów i mieszkań w obwodzie iwanofrankiwskim (prawie milion mieszkańców) zostało pozbawionych energii elektrycznej na kilka godzin.
Eksperci [s1] są niemal pewni, że wspomniana przerwa była skutkiem działania zagrożeń BlackEnergy i KillDisk, jakie atakujący zainstalowali na komputerach pracowników jednego z lokalnych dostawców energii. Drugie z wymienionych zagrożeń, wykryte we wspomnianej firmie oraz kilku innych ukraińskich przedsiębiorstwach energetycznych, dodatkowo zmodyfikowano tak, by umożliwiało sabotowanie specjalistycznych systemów przemysłowych.
Jak najprawdopodobniej wyglądał scenariusz tych ataków? Najpierw pracownik firmy energetycznej otrzymał emaila, którego nadawca podszywał się pod przedstawiciela ukraińskiego parlamentu. Do wiadomości dodano załącznik w postaci dokumentu pakietu Office, który po otwarciu informował ofiarę, że do prawidłowego działania wymaga włączenia makr. Postąpienie zgodnie z zaleceniem skutkowało zainfekowaniem komputera zagrożeniem BlackEnergy Lite. Następnie zagrożenie to pobierało kolejne złośliwe oprogramowanie – KillDisk. W standardowej wersji zagrożenie to potrafi m.in. usunąć wszystkie dane z dysków twardych zaatakowanych komputerów. W wersji wykrytej w ukraińskich firmach energetycznych zagrożenie KillDisk zostało wyposażone w zestaw nowych funkcji, m.in. możliwość opóźnienia swojego uruchomienia oraz nieodwracalną zmianę w plikach wykonywalnych specjalistycznych systemów przemysłowych, wykorzystywanych m.in. przez elektrownie.
Przywłaszczenie danych
Często pracownicy firmy zapominają lub nie chcą pamiętać, że dane są własnością firmy, która ich zatrudnia. Zapewne dlatego jeden na 4 pracowników kopiuje dane, gdy odchodzi z firmy. Spośród tej grupy 85 proc. osób kopiuje materiały przez siebie stworzone, a także inne firmowe dokumenty, nie widząc w tym nic niestosownego. Pozostałe 15 proc. dostrzega niewłaściwość takiego postępowania. Co ciekawe, 25 proc. pracowników kopiujących firmowe dane po rozwiązaniu umowy o pracę, bierze wyłącznie te, które nie są ich dziełem.
Aż 95 proc. pracowników uważa, że wynoszenie danych jest możliwe, ponieważ firma nie ma wdrożonych polityk bezpieczeństwa lub innych technologii, które zapobiegają kradzieży danych lub po prostu można je zignorować bez konsekwencji.
Powagę sprawy dostrzegli nawet urzędnicy. Zmiany w przepisach dotyczących ochrony danych w UE zbliżają się nieuchronnie, w 2016 roku wzrośnie nacisk na zabezpieczanie danych. W przyszłości biznes będzie musiał zmierzyć się z surowymi karami w razie nie przestrzegania nowych przepisów i stosowania nieodpowiedniego zabezpieczenia danych. Będzie to miało daleko idące konsekwencje dla firm, włączając w to obszar wysokiego ryzyka osobistych urządzeń pracowników.
Ogólne rozporządzenie o ochronie danych wejdzie w życie w całej Unii pod koniec 2017 roku. Mówi ono, że wszystkie przedsiębiorstwa, włączając w to dostawców usług w chmurze i osoby trzecie, będą ponosić odpowiedzialność za utratę danych.
Szukasz porady? Skontaktuj się z ekspertem z Asseco: +48 22 574 88 23; e-mail: piotr.fabjaniak@assecods.pl