Historia grupy APT 41 pokazuje, że zarówno infrastruktura lokalna, jak i chmura rodzą ryzyka związane z bezpieczeństwem. Inny jest rozkład akcentów, ale ryzyko zawsze trzeba mieć na uwadze przy planowaniu swojego modelu bezpieczeństwa, zwłaszcza że dla każdej organizacji jest on inny – mówi Michał Ostrowski, pełniący funkcję Regional Director Eastern Europe w FireEye.

Kilka miesięcy temu FireEye poinformował o odkryciu nowej chińskiej grupy hakerskiej – APT 41. Jakie wnioski płyną z tego odkrycia?

Ostatnio często prowadzone są dyskusje, czy bezpiecznie jest w chmurze, czy bezpiecznie jest lokalnie. Dla hakerów, dla ludzi, którzy chcą ukraść dane, nie ma to żadnego znaczenia. Oni podążają za danymi, to jest źródło ich utrzymania, ich praca. Trzeba sobie uświadomić, że nie ma stuprocentowej gwarancji bezpieczeństwa. Zarówno jeśli chodzi o lokalne utrzymanie infrastruktury bezpieczeństwa, jak i o przeniesienie tej infrastruktury do chmury – w każdym przypadku atak może się udać. Historia grupy APT 41 pokazuje to dobitnie. Pamiętajmy więc, że w obu przypadkach istnieją ryzyka. One inaczej się rozkładają, ale trzeba je mieć zawsze w głowie przy planowaniu swojego modelu bezpieczeństwa, bo ten dla każdej organizacji jest inny.

Czy nie jest jednak tak, że poziom bezpieczeństwa w chmurze jest wyższy?

Pojawiają się takie argumenty, że infrastruktura lokalna to są nasze środki i starania, a infrastruktura chmurowa jest chroniona przez duże firmy, które mają czas, pieniądze, doświadczenie. I oczywiście to jest prawda, ale to wciąż nie daje nam gwarancji. Jeżeli ktoś chce się włamać, to przy odpowiednim nakładzie sił i środków w końcu się tam włamie.

Pojawia się także kwestia odpowiedzialności dostawców oprogramowania. Lokalne luki bezpieczeństwa, dotyczące jednego dostawcy, mogą nabrać globalnego wymiaru. Obserwacja grupy APT 41 dowiodła, że SMS nie jest bezpiecznym sposobem komunikacji. Można mieć zabezpieczone urządzenie, ale jeżeli włamanie nastąpi na poziomie sieci lub serwerów, to tam komunikacja nie jest szyfrowana i wiadomości można odczytać. Wydawało się, że jeżeli zainstalujemy sobie komunikator, który szyfruje komunikację, to jesteśmy bezpieczni, ale niestety tak nie jest. Historia podatności WhatsApp i jej wykorzystanie do szpiegowania ludzi, odczytywania prywatnych wiadomości, pokazuje, że nawet w tym obszarze trzeba zachować ostrożność. 

Obserwacja grupy APT 41 dowiodła, że SMS nie jest bezpiecznym sposobem komunikacji. Można mieć zabezpieczone urządzenie, ale jeżeli włamanie nastąpi na poziomie sieci lub serwerów, to tam komunikacja nie jest szyfrowana i wiadomości można odczytać.

Czy informacja o chińskiej grupie cyberprzestępczej jest istotna z punktu widzenia polskiego CSO?

Polskie firmy często jako główne zagrożenie w kategorii APT odbierają grupy rosyjskie, bo jesteśmy blisko Rosji. Należy jednak pamiętać, że adres IP nie ma właściwości geograficznych. Jest przypisany do lokalizacji, ale odległość nie ma znaczenia. Przy tym cele ataków nie muszą być militarne. O ile rosyjskie grupy mają cele militarne, o tyle dla grup chińskich – pomijając Morze Południowochińskie i skupiając się na Europie – cele są ekonomiczne. Nie mam wątpliwości, że inicjatywa Xi Jinpinga – Belt and Road – mająca na celu odbudowę Jedwabnego Szlaku, poza pozytywną aurą, którą stwarzają centra konfucjańskie w całej Europie, ma także inną, mniej przyjazną warstwę, jaką jest szpiegostwo gospodarcze w wybranych przez chiński rząd kluczowych dziedzinach gospodarki. Chińczycy po prostu chcą mieć wpływ ekonomiczny na to, co się dzieje i  jak będą się kształtowały przepływy ekonomiczne między krajami. Z tego punktu widzenia, mimo że jesteśmy od Chin daleko, to będąc częścią Jedwabnego Szlaku, na pewno jesteśmy celem szpiegostwa gospodarczego. 

A jakie wnioski płyną z najnowszego raportu FireEye „Cyber Trendscape”?

Cenię sobie raporty, które są oparte na twardych danych, na faktach albo powstają na podstawie wywiadów z konkretną grupą osób. Ten raport jest o tyle istotny, że przeprowadziliśmy ankietę wśród ponad 800 osób zajmujących się bezpieczeństwem ze strategicznego punktu widzenia, czyli C-level i wyżej w dużych organizacjach, po to, żeby pomóc tym mniejszym określić swoje priorytety na kolejne lata, określić swój benchmark względem tych, którzy się wypowiadają. 

Obraz, który powstał, nie wygląda zbyt dobrze. Ponad 51% ankietowanych uważa, że nie jest przygotowana na incydent bezpieczeństwa. To wygląda dramatycznie, ale można na to spojrzeć pozytywnie: jeżeli ktoś zdaje sobie sprawę, że te naprawdę zaawansowane ataki są trudne do wykrycia, to może lepiej się przygotować. Z tym powiązana jest druga ważna informacja: 3/4 firm chce zwiększyć budżet na cyberbezpieczeństwo w 2020 r. powyżej 10%. To oznacza, że wreszcie po latach ewangelizacji zarówno wewnątrz firmy, przez osoby zajmujące się cyberbezpieczeństwem, jak i przez samych dostawców rozwiązań ostrzegających przed niebezpieczeństwem, problem został dostrzeżony i kwestia bezpieczeństwa stała się jednym z priorytetów. 

Chciałbym zwrócić uwagę na jeszcze jedną rzecz, która jest przedstawiona w raporcie. Podkreślamy to od kilku lat: tak jak w sporcie trening jest podstawą dobrego występu, czy w wojsku potrzebne są ćwiczenia, tak istotne jest testowanie planów działania na wypadek ataku. Jednak spośród firm, które takie plany posiadają, 30% nie testowało ich w ciągu ostatniego roku. Oznacza to, że mają jakiś plan, opracowały go, „odhaczona” jest część compliance, ale kiedy coś się stanie, to nie wiadomo, czy ten plan zadziała, czy nie. To jest niepokojące.

Ponad 51% ankietowanych uważa, że nie jest przygotowana na incydent bezpieczeństwa. Jednocześnie 3/4 firm chce zwiększyć budżet na cyberbezpieczeństwo w 2020 roku powyżej 10%. To oznacza, że wreszcie problem został dostrzeżony i kwestia bezpieczeństwa stała się jednym z priorytetów. 

Czy raport ujawnia jakieś ciekawe różnice geograficzne, zwłaszcza w kontekście chmury?

Z raportu widać, że liderem w przenoszeniu infrastruktury bezpieczeństwa do chmury jest rynek amerykański. Zresztą na marginesie, ostatnio Departament Obrony Stanów Zjednoczonych podpisał rekordowy kontrakt dotyczący chmury Microsoft na 94 mld USD. Jeżeli Departament Obrony nie ma problemu z przeniesieniem swoich danych do chmury, to może to jest coś, nad czym warto zastanowić się również u nas. Polska jest pod tym względem bardziej jak Japonia czy Niemcy. Tam zastrzeżenia oraz wątpliwości dotyczące bezpieczeństwa chmury są najmocniej artykułowane. 

Nasze lokalne doświadczenia z rynku polskiego czy niemieckiego to potwierdzają. Klienci, organizacje na tych rynkach bardzo mocno podkreślają, że byłyby w stanie zaufać, gdyby ta chmura była w Polsce – polska, a w Niemczech – niemiecka. Czyli chmura tak, ale lokalizacja musi być w tym samym kraju. To chyba rodzaj cybernetycznego patriotyzmu.

Rozmawiał Rafał Jakubowski.

Michał Ostrowski był prelegentem podczas „Advanced Threat Summit 2019”. Relacje z konferencji można znaleźć na stronach: https://e-s-r.pl/2019/11/19/potrzebne-jest-holistyczne-podejscie-do-cyberbezpieczenstwa/ oraz https://e-s-r.pl/2019/11/27/bezpieczenstwo-chmury-nikt-nas-nie-zwolni-z-odpowiedzialnosci/.