Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Cyberbezpieczeństwo: Co o mijającym roku mówią eksperci?
Wzrost świadomości po stronie administracji centralnej, firm i instytucji publicznych przekładający się na większe zainteresowanie wiedzą i inwestycje w zabezpieczenia – finansowane również ze środków publicznych. Towarzyszy temu rosnąca presja ze strony przestępców na sektory obejmowane systemowym wsparciem. Między innymi te aspekty w obszarze cyberbezpieczeństwa wymieniają eksperci Stormshield w podsumowaniu 2023 roku.
Inżynierowie europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT wskazują także na rosnący problem luk zero-day i ataków na łańcuchy dostaw, wyzwania związane z dyrektywą NIS2 i „sprawę Newagu”, która może podważyć zaufanie do branży.
Aleksander Kostuch, inżynier Stormshield.
Cieszy wzrost świadomości
Mijający rok, pod względem cyberbezpieczeństwa, oceniam jako okres wyraźnego wzrostu świadomości co do znaczenia tej sfery w ogólnie rozumianym bezpieczeństwie. Odnotowaliśmy istotnie wyższe zainteresowanie projektami czy udziałem w konferencjach tematycznych. Rosły również bezpośrednie wydatki na zabezpieczenia, współfinansowane z środków publicznych poprzez liczne programy wspierające np. „Cyfrowa Gmina”, czy „Cyberbezpieczny Samorząd”, który w 2024 roku wejdzie w fazę praktycznej realizacji. Oczywiście nie bez wpływu na ten trend pozostaje niestabilna sytuacja geopolityczna, rosnące ryzyko skutecznych cyberataków, a także konieczność dostosowania się do nowych przepisów, jakie będą wynikać z implementacji do krajowego prawodawstwa dyrektywy NIS2.
Tym samym można ocenić, że konsekwentne uświadamianie przedsiębiorców i przedstawicieli instytucji publicznych przynosi efekty. Oceniając to generalnie mogę powiedzieć, że ogólny poziom zaawansowania w zakresie cyberbezpieczeństwa rośnie. Ważne jest przy tym jednak, aby firmy i instytucje zdały sobie sprawę, że cyberbezpieczeństwo jest procesem ciągłym, a wdrożone zabezpieczenia należy stale aktualizować, m.in. w ten sposób reagując na ewoluujące zagrożenia.
Szczególnie istotna w tym kontekście będzie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, co zgodnie z przewidywaniami ma nastąpić na przełomie 2024 i 2025 roku. Obecnie trudno jednoznacznie przewidzieć precyzyjny zakres przyszłych obowiązków, jednak już teraz można w istotnym zakresie przygotowywać się na to wyzwanie, bazując na rekomendacjach zawartych w dyrektywie NIS2.
Coraz większy problem luk zero-day i dobrze poinformowani cyberprzestępcy
Wartym odnotowania zjawiskiem związanym z cyberprzestępczością jest wzrost liczby podatności zero-day, o czym należy wspomnieć odnosząc się do wspomnianych programów wsparcia, jak „Cyfrowa Gmina” czy „Cyberbezpieczny Samorząd”. Słabością praktykowanych w nich procedur jest publikowanie obowiązkowych zapytań ofertowych w ramach SIWZ. Powoduje to, że przestępcy jak na tacy otrzymują informacje, w przypadku których instytucji zapytanie dotyczy na przykład odnowienia wstecz. W praktyce jest ona dla nich wyraźnym sygnałem, że z jakiś powodów zabezpieczenia danej instytucji nie były aktualizowane przez określony czas. Wyszukują dedykowaną podatność pod sprecyzowany w zapytaniu system i starają się wykorzystać znane sobie luki w bezpieczeństwie, by dokonać skutecznego ataku.
Wyzwania: deficyt specjalistów i ataki na łańcuch dostaw
Wraz z rosnącymi wydatkami w obszarze cyberbezpieczeństwa coraz mocniej odczuwalny jest deficyt specjalistów w tym obszarze. Niestety nie ma prostych sposobów, by tę lukę załatać. W odniesieniu do sygnałów płynących z rynku IT, na którym z uwagi na koniunkturę wiele – szczególnie młodych osób – znalazło się w gorszej sytuacji zawodowej, pomysł przebranżowienia się i wejścia w świat cyber security wydaje się wartym rozważenia.
Cyberbezpieczeństwo stało się kluczowym aspektem działalności biznesowej firmy i instytucji. Zarządy coraz lepiej rozumieją, że bezpieczeństwo ich systemów i danych jest niezbędne do prawidłowego funkcjonowania organizacji. Ważną obserwacją w tym kontekście jest zwiększenie liczby ataków na łańcuchy dostaw. Stanowią one coraz większy problem, ponieważ mogą mieć poważne konsekwencje dla działalności docelowych klientów. Ta kwestia również jest ujęta w dyrektywie NIS2 i będzie jednym z ważniejszych wyzwań w kolejny roku.
Piotr Zielaskiewicz, DAGMA Bezpieczeństwo IT i Stormshield.
Zainteresowanie sektorami, które uzyskują systemowe wsparcie
W mijającym roku można zauważyć zwiększenie nacisku przestępców na sektory, które obejmowane są systemowym wsparciem w obszarze ich bezpieczeństwa cyfrowego. Tak było z sektorem zdrowia, który ze strony administracji rządowej mógł uzyskać niemałe środki finansowe przeznaczone na wzmocnienie swoich kompetencji. Jednocześnie w minionym roku mieliśmy do czynienia z kilkoma naprawdę głośnymi incydentami. Przypuszczam, że przestępcy chcą niejako „wykorzystać ostatni moment”, nim podmioty będące w obszarze ich zainteresowań poprawią swoje systemy, tak że atak na nie stanie się dużo trudniejszy. Myślę, że możemy to odczytywać jako dowód potwierdzający, że te programy mają sens i mogą wydatnie pomóc zwiększyć nasze bezpieczeństwo. Ochrona jednostek kluczowych to przecież ochrona obywateli.
Pamiętajmy przy tym, że inną sferą, która objęta została wsparciem są samorządy. Trwa program „Cyberbezpieczny Samorząd”, który w pierwszej połowie 2024 roku wejdzie w fazę praktycznej realizacji tj. przetargów na zakup urządzeń i usług przewidzianych w jego ramach. Jednocześnie wiosną czekają nas wybory władz lokalnych i można się zastanawiać, czy w świetle tych okoliczności cyberprzestępcy nie będą koncentrować się właśnie na szeroko rozumianych jednostkach samorządu terytorialnego. W tym kontekście niezwykle istotna, niezmiennie pozostaje kwestia szkoleń pracowników, bowiem osoba świadoma zagrożeń, która przed kliknięciem w otrzymaną wiadomość zastanowi się czy na pewno pochodzi ona z zaufanego źródła jest pierwszą i najważniejszą linią obrony, prawdziwym fundamentem bezpieczeństwa.
Negatywny wpływ „sprawy Newagu” – podkopanie zaufania do sektora cybersecurity
Oceniam, że bardzo negatywny może być oddźwięk związany z głośną sprawą Newagu, a jego efektem może być obniżenie zaufania do naszej branży. Implementacja backdoorów w pociągach tej spółki, a jak wynika z dostępnych informacji, jest to sensem sprawy z perspektywy technologicznej, kładzie cień na producentach.
Nietrudno sobie wyobrazić powrót do narracji sprzed wielu lat o tym, że dostawcy oprogramowania „sami wpuszczają wirusy” by móc później oferować rozwiązania do ich zwalczania. W minionych latach udało się, ciężką pracą, znacząco podnieść świadomość zagrożeń. Wobec ich rosnącej skali, podkopywanie zaufania do dostawców jest niczym innym, jak „melodią graną dla przestępców”. Stara prawda mówi, że jedna negatywna informacja może uczynić więcej złego niż szereg pozytywnych działań.
W związku z tym oceniam, że jeszcze większego znaczenia niż dotychczas nabierze certyfikacja. Podmiot zainteresowany własnym bezpieczeństwem dzięki wyborze systemu bezpieczeństwa, który został certyfikowany (np. EU Restricted, NATO Restricted, EAL3+, EAL4+) ma pewność, że otrzymuje rozwiązanie, na którym może polegać. Jednoznacznie trzeba podkreślić, że rozwiązania cyberbezpieczeństwa są tworzone po to, aby nas chronić!
Nie kumam na jakiej zasadzie sprawa Newagu ma obniżyć zaufanie do branży cybersecurity. Przecież została ujawniona dzięki działaniom z zakresu cybersecurity :)
Jeżeli chodzi o obniżenie zaufania do procesów wytwarzania oprogramowania czy administrowania urządzeniami, to po pierwsze bardzo dobrze, nadmiar zaufania jest szkodliwy. Po drugie,!tym bardziej podnosi to zapotrzebowanie na cybersecurity, które jest w stanie załatać to co devowie popsuli i utwardzić to co admini sobie zanadto ułatwili.
zgadzam się w całej rozciągłości
Mam wrażenie, że ty to dobrze zinterpretowałeś, ale większość ludzi jednak przeniesie to 1:1. Tam oprogramowanie było przez producenta celowo „zainfekowane”, to w innych na pewno też tak jest.
Podobne problemy miało Apple. Poszła fama, że w kolejnych aktualizacjach oprogramowania spowalniają starsze urządzenia, żeby zmotywować do wymiany na nowy model, teraz dopiero to ucichło, a jestem przekonany, że część użytkowników zrezygnowała z ich telefonów, decydując na postawie nagłówków artykułów… Wchodząc w szczegóły okazywało się że to zupełnie co innego
Zaintrygowała mnie uwaga o dostawcach oprogramowania, którzy sami infekowali oprogramowanie, by móc dostarczać ochronę.
Dziś, to co powinno chronić, szpieguje. Zainstalowało mi się tzw. bundleware. Jest to (?) antywirus 360 Total Security. Chcę się tego pozbyć, bo mam wrażenie, że nie jest to tylko antywirus a aplikacja szpiegująca. Zaczęła też czytać opinie, na ogół są złe. W USA ma koszmarną opinię i opinie ze Stanów potwierdzają moją obserwację. Tego się nie da pozbyć, jest jak nowotwór w ostatnim stadium. Usunęłam z aplikacji i funkcji. Pozostało w autostarcie oraz na pasku zadań i pliki progr. (x86). Gdzie jeszcze nie wiem. Przyjrzyjcie się temu problemowi, może nagłośnienie pomoże. Może zajmą się twórcy antywirusów, bo coś pominęli.