Eksperci ING Hubs Poland: inwestowanie w cyberbezpieczeństwo to jedyna droga ochrony przed atakami hakerów

Liczba ataków hakerskich w ostatnich latach ciągle rośnie i obecnie – w trudnej sytuacji geopolitycznej - odnotowuje się coraz większą liczbę włamań do systemów IT, które nie są już ukierunkowane tylko na pozyskanie pieniędzy, ale mają charakter cyberterroryzmu. Ich celem jest destrukcja i dezorganizacja – czasem bardzo wrażliwej infrastruktury krytycznej, jak np. ochrona zdrowia, transport czy energetyka.

„Wcześniej większość ataków była podyktowana chęcią zysku. Dzisiaj bardziej się obawiamy ataków cyberterrorystycznych, ich ryzyko rośnie – wskazuje Przemysław Wolek, dyrektor pionu bezpieczeństwa cybernetycznego ING Hubs Poland, który uczestniczył w webcaście >>Zabezpieczenie biznesu w cyberprzestrzeni<<. - Cyberterroryzm jest podyktowany chęcią zniszczenia danych czy utrudnienia jakiejś działalności” – dodaje.

„Pierwszym celem, jaki próbują osiągnąć atakujący jest zaszkodzenie organizacji. Jeśli jest to atak Denial-of-Service (red. blokada usług) np. na infrastrukturę lotniczą, to może doprowadzić do wstrzymania zamawiania lotów, co wpływa na aspekt finansowy danej organizacji” – mówi Łukasz Miedziński, dyrektor departamentu cyber w ING Hubs Poland, który wziął udział w rozmowie „Symulacje ataków – sposób na weryfikację efektywności cyberochrony”.

„Ataki cyberprzestępców są coraz częstsze, także, jeśli chodzi o chmurę publiczną. Budowanie świadomości jej użytkowników, zarówno wewnętrznych inżynierów danej organizacji, jak i zewnętrznych konsumentów, jest bardzo ważne. Istnieją nawet portale, na których można zakupić ataki skierowane na destrukcję danych. Musimy zatem znaleźć jakieś panaceum z chwilą, gdy zaczniemy myśleć o chmurze publicznej” – tłumaczy Łukasz Strzelec, dyrektor pionu zarządzania infrastrukturą ING Hubs Poland podczas webcastu „Bezpieczeństwo chmury publicznej”.

Jego zdaniem najważniejsze jest stworzenie bardzo mocnych fundamentów korzystania z chmury publicznej. „W standardowym podejściu mieliśmy pełną kontrolę nad naszym data center, z chwilą przejścia na chmurę tracimy ją. Musimy przenieść warstwę zabezpieczenia na inny poziom – zwraca uwagę Łukasz Strzelec. - Jasno określamy warunki, jak z takiej platformy korzystać, jasno definiujemy sposoby dostępu do niej. Tworzenie i opisywanie infrastruktury powinno się odbywać tylko za pomocą kodu. Trzeba jak najbardziej minimalizować dostęp do interakcji użytkownika z daną infrastrukturą” - uzupełnia.

Jednak, jak zapewnia Łukasz Strzelec, mimo ryzyka związanego z mniejszą kontrolą, korzystanie z technologii chmurowych jest opłacalne w różnych aspektach. Umożliwia sięgnięcie po najnowsze technologie, zapewnia szeroki, globalny dostęp do odbiorców na całym świecie, ułatwia i usprawnia korzystanie przez użytkowników z zasobów organizacji.

„Nie ma prostej recepty na uchronienie się przed cyberatakami. Bezpieczny system jest całkowicie zamknięty, a taki jest nieużyteczny. O cyberbezpieczeństwo trzeba dbać w wielu obszarach – stwierdza Przemysław Wolek. - Należy tak zabezpieczyć systemy, żeby jak najbardziej utrudnić cyberprzestępcy jego działania - stosować mechanizmy prewencyjne jak m.in. podwójne poświadczenia, zabezpieczenie sieci internetowej, przeprowadzanie dobrych i skutecznych skanowań oraz łatanie systemów informatycznych, tak, aby działały na najnowszych wersjach oprogramowania” – wyjaśniał.

Jak podkreślił, trzeba stale, w trybie ciągłym – 24/7, monitorować, co się dzieje w systemach bezpieczeństwa, gdyż daje to szansę wykrycia ataku na dość wczesnym etapie i szybkiej reakcji na niego. Kluczowe jest też częste testowanie podatności systemu oraz ćwiczenie scenariuszy odpowiedzi na atak.

Tak właśnie działa Departament Cyber w ING Hubs Poland. „Nasz departament zajmuje się skanowaniem podatności całej infrastruktury ING we wszystkich krajach – mówił Łukasz Miedziński. - Pierwszy etap to tzw. skanowanie automatyczne, drugi to wykonywanie testów penetracyjnych oraz red team, czyli symulacja ataków i weryfikacja efektywności zabezpieczeń, które mamy wdrożone w grupie. Próbujemy zweryfikować, jak zbudowane są te systemy, gdzie znajdują się luki bezpieczeństwa, jak dokonać złamania zabezpieczeń i w dalszej kolejności, jak je wzmocnić” – tłumaczył.

Osoby zajmujące się testowaniem podatności systemów informatycznych na ataki z zewnątrz poprzez próby złamania zabezpieczeń i wykrycie ich słabych punktów określa się mianem „białych hakerów”.

„Biały haker to bardzo trafne określenie – to osoba, która stoi po dobrej stronie mocy, ale ma wiedzę taką, jaką mają atakujący systemy tzw. czarni hakerzy. Próbuje jednak tę wiedzę wykorzystać w dobry sposób, czyli zidentyfikować te podatności, które mogą być wykorzystane przez przestępców i doradzić, jak je zabezpieczyć i czego unikać w przyszłości” – wyjaśnia dyrektor departamentu cyber w ING Hubs Poland.

„Badanie, w jaki sposób można nas zaatakować, najlepiej przeprowadzić albo wynajmując firmę zewnętrzną, która nas zaatakuje na zlecenie, albo, jeśli dysponujemy takimi możliwościami, samodzielnie zaplanować taki atak. Takie testowanie trzeba wykonywać w trybie ciągłym - w procesie tworzenia programowania czy budowania różnych funkcjonalności – uważa Przemysław Wolek. - Biały haker startuje z pozycji prawdziwego cyberprzestępcy – nie wie nic o danej firmie i próbuje się włamać w identyczny sposób, w jaki włamałby się haker. To pokazuje najsłabsze ogniwa” – uzupełnia.

Pozyskanie białych hakerów nie jest sprawą prostą. „Takich osób jest mało, bo muszą mieć bardzo szeroką wiedzę o cyberbezpieczeństwie. Trudno jest znajdować takich specjalistów i dlatego warto edukować inżynierów związanych z cyberbezpieczeństwem w tym kierunku. Tak robi nasza firma. Mamy wielu ekspertów na światowym poziomie, którzy są w stanie łamać zabezpieczenia i którzy pracują z mniej doświadczonymi osobami na zasadzie ucznia i czeladnika, w ten sposób rozwijając ich kompetencje” – wyjaśnia dyrektor pionu bezpieczeństwa cybernetycznego ING Hubs Poland.

Łukasz Miedziński opowiada się za tworzeniem w organizacjach własnych zespołów testowania zabezpieczeń. „Jestem zwolennikiem budowania tych zespołów, dlatego, że możemy wykorzystać ich doświadczenie w szerszy sposób. Z jednej strony przeprowadzić testy weryfikujące zabezpieczenia, a z drugiej strony prosić o pomoc w zabezpieczeniu tych systemów – mówi. - Warto stworzyć zaawansowany cykl szkoleń, w tym też praktycznych, dla pracowników, żeby rozwinąć ich umiejętności” – uzupełnia.

Źródło informacji: PAP MediaRoom