* Cyberincydenty i skuteczne metody radzenia sobie z nimi to główne tematy konferencji „Technology Risk Management Forum 2019”. 

* Uczestnicy podkreślali, że technologia to tylko jeden z czynników bezpieczeństwa. Równie ważne jest wypracowywanie odpowiednich strategii i precyzyjnych procedur oraz pragmatyczne podejście.

* Potrzebne jest holistyczne podejście. Zarządzanie ryzykiem technologicznym powinno być kluczowym aspektem strategii zarządzania firmą.

„Technology Risk Management Forum” (TRMF) po raz czwarty zorganizowane zostało w stolicy Dolnego Śląska. 30 prelegentów dzieliło się swoją wiedzą i doświadczeniami z ponad 150 menedżerami odpowiadającymi za cyberbezpieczeństwo podczas 3 sesji plenarnych, 3 warsztatów, 2 bloków wykładów eksperckich, 2 sesji roundtables, a także ćwiczeń tabletop. Tematyka dwudniowego wrocławskiego spotkania była skoncentrowana na rozwoju technologii, innowacjach oraz nowych wyzwaniach pojawiających się przed profesjonalistami odpowiedzialnymi za bezpieczeństwo informacji w swoich przedsiębiorstwach.

W wielu wystąpieniach i dyskusjach podkreślano, że technologia to tylko jeden z czynników bezpieczeństwa. Nie mniej ważne jest wypracowywanie odpowiednich strategii i precyzyjnych procedur oraz pragmatyczne podejście. W miarę, jak środowiska stają się coraz bardziej złożone (IoT, AI, 5G, blockchain, systemy cyberfizyczne), pojawiają się nowe ryzyka, problemy i zagrożenia. Dla lepszego ich zrozumienia konieczne jest holistyczne podejście do kwestii bezpieczeństwa oraz stałe pozyskiwanie wiedzy. Równie ważne jest lepsze poznanie własnej organizacji, jej słabości oraz skutecznych metod obrony własnych zasobów. 

W miarę, jak środowiska stają się coraz bardziej złożone (IoT, AI, 5G, blockchain, systemy cyberfizyczne), pojawiają się nowe ryzyka, problemy i zagrożenia.

Chmura, IoT, sztuczna inteligencja

Rozpoczynając konferencję, Przemysław Dęba, dyrektor bezpieczeństwa systemów teleinformatycznych w Orange Polska, oraz Przemysław Jaroszewski, Head of CERT Polska w NASK, przedstawili przegląd najciekawszych, najważniejszych, najbardziej zdumiewających zjawisk i wydarzeń w polskim cyberświecie w minionym roku w postaci swoistej „Cyberlisty przebojów”. W tym rankingu fałszywe bramki do płatności Dotpay/Pay zajęły pierwsze miejsce. Na podium znalazła się też ustawa o krajowym systemie cyberbezpieczeństwa (KSC), czyli prawodawstwo, które według prelegentów „po raz pierwszy coś uregulowało”, oraz wyciek danych osobowych z serwisu morele.net. Rok 2018 można uznać za rok wycieków danych. 

Leszek Mróz, Manager, CESA IoT/OT Security Leader, EY

Jeszcze niedawno prognozowano, że w 2020 r. do sieci w ramach IoT podłączonych będzie 20 mld urządzeń, a już teraz osiągnęliśmy ten poziom i w przyszłym roku można się spodziewać 50 mld urządzeń. „IoT to owczy pęd do innowacji. Urządzenia mamy te same, jednak po podłączeniu ich do sieci pojawiają się nowe funkcjonalności, ale powstają też nowe zagrożenia wynikające z niedostatecznego zabezpieczania. IoT dopiero się rozwija i wiele należy poprawić” – zaznaczył Leszek Mróz, CESA IoT/OT Security Leader w EY. Podał przykłady cyberataków przeprowadzanych z wykorzystaniem urządzeń IoT. Ogromna liczba zdarzeń w środowisku IoT sprawia, że sztuczna inteligencja jest potencjalnie jedynym sposobem radzenia sobie z ochroną, ale może również być niebezpieczna – przestrzegał Leszek Mróz. Jego zdaniem technologia IoT musi uwzględniać kwestie bezpieczeństwa już na etapie projektowania, abyśmy mogli w pełni zaufać inteligentnym maszynom.

Źródło: Piotr Ciepiela, Leszek Mróz: Nowe ryzyka i nowe zagrożenia, które rodzą się z innowacji technologicznych – prezentacja podczas TRMF 2019. 

Źródło: Piotr Ciepiela, Leszek Mróz: Nowe ryzyka i nowe zagrożenia, które rodzą się z innowacji technologicznych – prezentacja podczas TRMF 2019. 

Adam Haertle, Redaktor Naczelny, ZaufanaTrzeciaStrona.pl

„Haktywizm nie umarł, tylko zmienił formę. Jeszcze nigdy wpływ jednostek na duże organizacje nie był tak wielki. W złożonym systemie finansowym ten wpływ rozciąga się dalej niż tylko na organizacje, których dotyczą zdarzenia” – to główne wnioski z prezentacji „Battling giants – impact of asymmetric risk”. Adam Haertle, redaktor naczelny, ZaufanaTrzeciaStrona.pl, i Cezary Piekarski, dyrektor ds. przeciwdziałania złośliwemu oprogramowaniu w Standard Chartered Bank, przedstawili historię najciekawszych przypadków ataków hakerskich, a także całą galerię cyberprzestępców oraz ich motywacji. 

W drugim dniu konferencji duży blok sesji równoległych był poświęcony chmurze, w tym takim tematom, jak: 

• testowanie i ocena bezpieczeństwa cloud computing (Paweł Rzepa, SecuRing: „klucze mogą również wyciekać za pośrednictwem metadanych”), 
• zarządzanie ryzykiem przy migracji do platform cloud (Marc Lueck, Zscaler: 81% organizacji ankietowanych w ramach „Club CISO Security Maturity Report 2019” określiła swój poziom dojrzałości w zakresie strategii bezpieczeństwa w chmurze jako średni lub niski), 
• możliwości wykorzystania chmury jako narzędzia do cyberochrony (Paweł Łakomski, Microsoft: „atakujący myślą grafami, broniący się – checklistami”).

Ogromna liczba zdarzeń w środowisku IoT sprawia, że sztuczna inteligencja jest potencjalnie jedynym sposobem radzenia sobie z ochroną, ale może również być niebezpieczna.

Wykorzystać czas przed incydentem

Pod koniec tegorocznej konferencji przeprowadzono kontynuację ćwiczenia tabletop z ubiegłego roku według scenariusza zakładającego wystąpienie poważnego incydentu bezpieczeństwa w fikcyjnej firmie Alpha Corp. Ćwiczenia poprowadzili: Artur Marek Maciąg, Łukasz Guździoł, Paweł Maziarz, Ireneusz Tarnowski i Łukasz Boguszewski. Uczestnicy podzieleni na grupy oprócz możliwości obserwowania działań przestępcy, służb wewnętrznych zaatakowanej firmy oraz jej komunikacji zewnętrznej mieli również okazję podejmowania decyzji w trakcie sytuacji kryzysowej. 

Artur Marek Maciąg, Lead Information Security Analyst, BNY Mellon

„Ćwiczenia nie mogą się kończyć dobrze (cały zarząd został zwolniony). Chcieliśmy pokazać, że nasze założenia mogą być błędne. Korzystajmy z czasu, jaki mamy przed incydentem, na dokładne poznanie zasobów i  możliwości, którymi dysponujemy i które możemy wykorzystać w sytuacji kryzysowej. Sednem tego typu ćwiczeń jest podejmowanie dobrych decyzji” – podkreślał pod koniec gry Artur Marek Maciąg, Lead Information Security Analyst, BNY Mellon. 

Łukasz Guździoł, Head of Frameworks – Global Governance & Chief Information Security Officer PL & ISSA BoD Member, Credit Suisse/TRISW/ISSA Polska

„Pamiętajmy, że incydent to coś, na co do końca nie możemy się przygotować. Możemy jednak tak ustawić cały system, że jak incydent wystąpi, będziemy w stanie jak najszybciej sobie z nim poradzić. Wierzymy, że nasza konferencja Wam w tym pomoże i zainspiruje do wielu nowych pomysłów” – mówił Łukasz Guździoł, Head of Frameworks – Global Governance & Chief Information Security Officer PL & ISSA BoD Member, Credit Suisse/TRISW/ISSA Polska, szef Rady Programowej konferencji, podsumowując „Technology Risk Management Forum 2019”.

Incydent to coś, na co do końca nie możemy się przygotować. Możemy jednak tak ustawić nasz system, że jak incydent wystąpi, będziemy w stanie jak najszybciej sobie z nim poradzić. Korzystajmy z czasu, jaki mamy przed incydentem, na dokładne poznanie zasobów i  możliwości, którymi dysponujemy i które możemy wykorzystać w sytuacji kryzysowej.

PRELEGENCI POWIEDZIELI

Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics, Huawei Technologies: Baśń o strasznym smoku – fakty i mity o bezpieczeństwie 5G

Standard sieci piątej generacji zapewnia, że to najbardziej bezpieczna sieć komórkowa, którą do tej pory ludzkość wymyśliła. Będzie lepiej z prywatnością użytkowników i poufnością, lepsza będzie kontrola operatora nad uwierzytelnianiem i nad sygnalizacją. 

Źródło: Rafał Jaczyński: Baśń o strasznym smoku – fakty i mity o bezpieczeństwie 5G – prezentacja podczas TRMF 2019

Źródlo: Rafał Jaczyński: Baśń o strasznym smoku – fakty i mity o bezpieczeństwie 5G – prezentacja na TRMF 2019

Adrian Marzecki, Secure Business Program Director, Orange Polska: Nowe stare źrodło cyberzagrożeń dla bezpieczeństwa informacji

Co możemy robić, aby bronić się przed atakami spamowymi z wykorzystaniem tzw. stegomalware’u oraz technik ukrywania całych plików z danymi w obrazach? Konieczna jest praca nad zachowaniami użytkowników – realizowane drobnymi krokami działania, które uczą dobrych nawyków, jeżeli chodzi o tworzenie haseł i higienę ich wykorzystywania w różnych miejscach. Bezpieczne hasła będą stanowić podstawę działania naszego społeczeństwa cyfrowego.

Źródło: Adrian Marzecki: Nowe-stare źrodło cyberzagrożeń dla bezpieczeństwa informacji – prezentacja podczas TRMF 2019

Adrian Peters, Managing Director, Global Chief Technology Risk Officer, BNY Mellon: Are my technology controls good enough?

Zarządzanie ryzykiem technologicznym staje się kluczowym aspektem ogólnej strategii zarządzania firmą. Luki technologiczne musimy uwzględniać w ryzyku biznesowym. W cyfrowej epoce wszystkie nowoczesne przedsiębiorstwa są technologiczne. Organizacje są w ogromnym stopniu uzależnione od technologii, od polegania na algorytmach stosowanych w strategiach handlowych po aplikacje mobilne, których używamy do deponowania środków czy płacenia rachunków.

Leszek Miś, Principal IT Security Architect, Founder, Defensive Security: Symulacje zdarzeń i anomalii sieciowych jako źródło wiedzy o niezidentyfikowanych wcześniej wektorach ataków

Działania symulujące rzeczywiste zachowanie cyberprzestępców mają na celu zrozumienie aktualnego stanu bezpieczeństwa sieci, walidację środowiska SOC i rozwiązań analitycznych typu SIEM, priorytetyzację i usprawnienie reakcji na incydenty. Podstawowe założenie podejścia symulacyjnego jest takie, żeby wyprzedzić atakującego oraz „skosztować sytuacji”, która może się wydarzyć w sieci i wygenerować symptomy, na jakie do tej pory nie byliśmy gotowi.  

Dominik Rozdziałowski, naczelnik Wydziału do Walki z Cyberprzestępczością, Komenda Wojewódzka Policji w Kielcach: Na tropie złego – o ściganiu cyberprzestępców

Przestępczość nie znosi próżni. Rozboje czy wymuszenia płacenia haraczy kiedyś były standardem. To się zmieniło, dlatego że wzrosło zagrożenie karą i znacznie poprawiła się wykrywalność, ale przede wszystkim niewiele można uzyskać w ten sposób (10 tys. zł miesięcznie od restauratora na rynku?). Teraz „wałek” na Allegro czy OLX może przynieść te same 10 tys. zł, ale w ciągu jednego dnia! A głupota ludzka jest nieskończona… 

Według danych Cyber Policji (pierwsze komórki do walki z cyberprzestępczością powstały przed 5 laty), najważniejszymi zagrożeniami w 2018 r. były: ataki ransomware, oszustwa BEC, luki w zabezpieczeniach, wycieki danych i złośliwe oprogramowanie (wirusy, exploity). Prognozowane na ten rok zagrożenia to przede wszystkim: kradzież tożsamości i szantaż dotyczący tożsamości, ataki na portfele kryptowalutowe, botnety, internet rzeczy oraz phishing. Straty w Polsce spowodowane cyberprzestepczością wynoszą 4,8 mld zł, średni koszt w przeliczeniu na ofiarę: 672 zł, przy 7,2 mln ofiar rocznie. Na świecie 556 mln ofiar rocznie (1,5 mln na dzień i 18 ofiar na sekundę).

Źr∂dło: Dominik Rozdziałowski: Na tropie złego – o ściganiu cyberprzestępców – prezentacja podczas TRMF 2019

Źródło: Dominik Rozdziałowski: Na tropie złego – o ściganiu cyberprzestępców – prezentacja podczas TRMF 2019

Jason Mallinder, Group Chief Information Security Officer Deputy, Managing Director, Credit Suisse

Teraz jest bardziej prawdopodobne niż kiedykolwiek wcześniej to, że cyberatak będzie miał wpływ na nasz biznes. Firmy zaczynają być tego coraz bardziej świadome. Najważniejsze, żeby być przygotowanym na to, co trzeba robić, gdy wystąpi cyberincydent. Ćwiczenia symulacyjne bardzo pomagają wyrobić dobre nawyki.

Stefano Zanero, Cybersecurity Professor and Entrepreneur, Politecnico di Milano: Kiedy cyber styka się z namacalnym: ochrona systemów na styku cyber i urządzeń fizycznych

Zbytnio skupiamy się na badaniu ataków, wykrywaniu i wykorzystywaniu luk w zabezpieczeniach. Mam dwie sugestie: myślmy systemowo, nie skupiając się tylko na określonych podatnościach, ale raczej na ich skutkach i wpływie. Musimy bardziej koncentrować się na odporności strukturalnej, zmianach architektonicznych i ograniczaniu skutków cyberincydentów. Ponadto osadzajmy zabezpieczenia w procesach projektowania i podejmowania decyzji dotyczących bezpieczeństwa opartych na ryzyku. 

Źródło: Stefano Zanero: Kiedy cyber styka się z namacalnym: ochrona systemów na styku cyber i urządzeń fizycznych – prezentacja podczas TRMF 2019