Pechowa Dwunastka: Czy jesteś słabym ogniwem bezpieczeństwa informacji?
Koniec roku jest często okazją do podsumowań i przemyśleń co się udało (a co nie), zrealizować ze swoich zarówno biznesowych jak i osobistych planów. To też czas na ocenę zmian na rynkach, choć główna taka analiza przypada na okres, zamknięcia roku fiskalnego. Dla krajobrazu zagrożeń technologii informatycznych, czy tez „cyber”, podsumowania dostępne są już teraz, razem z szacunkami na przyszły rok. Zainteresowanych takimi informacjami odsyłam tutaj oraz tutaj. Nikogo nie powinno dziwić, że statystycznie liczba incydentów raportowanych w roku 2018 jest znacząco większa niż w latach wcześniejszych. Dzieje się tak czy to z uwagi na eksploatację sprawdzonych schematów przestępczych, dających coraz to większe zyski atakującemu, czy to lepszego raportowania, po części wynikającego z powstających jak grzyby po deszczu przepisów i regulacji. Taki mamy klimat i trzeba jakoś sobie radzić.
To co się dzieje w okolicy i w środowisku w którym zarabiamy i odpoczywamy to jedno, drugie, dużo ciekawsze dla nas osobiście – to czy mamy osobisty wkład w te statystyki. Rzeczywistość bywa brutalna a praktyka nie pozostawia złudzeń. Nawet ekspert od bezpieczeństwa informacji popełni raz w roku błąd który jest przyczyną potencjalnego incydentu bezpieczeństwa. Czasami jest to kwestia takiego samego hasła używanego w kilku miejscach, w tym służbowych i prywatnych. Czasami to pendrive na szybko wciśnięty w służbowe urządzenie, czy prywatny telefon z danymi (np. adresowymi) firmowymi. A czasami to konkretne i poważne „wykroczenia” jak praca zabrana do domu, czy to na służbowym laptopie podpinanym do nieznanych sieci, czy też mailem, bądź na niezarejestrowanym nośniku.
Czy to w ogóle ma znaczenie? Jeśli incydent się nie „zmaterializował” i jakoś się tym razem udało, to czy należy się tematem przejmować? Tak. Zdecydowanie. Raporty podsumowujące to zjawisko w szczegółach, w tym ten tutaj, nie pozostawiają złudzeń. Zdecydowana większość incydentów bezpieczeństwa występuje z uwagi na niepożądane zachowania ludzi. Co zatem można zrobić, by uchronić swój biznes i zredukować swoje przyszłe ryzykowne zachowania? Jakie postanowienia noworoczne mają sens aby zmniejszyć szansę wystąpienia błędu ludzkiego, który może zostać wykorzystany przez przestępców, w tym tych działających w cyberprzestrzeni?
Tym tekstem rozpoczynam serię artykułów poświęconych analizie typowych przyczyn błędów ludzkich. Źródłem tego materiału są poważne badania zrealizowane przez, ale i na zamówienie amerykańskich i kanadyjskich organizacji nadzorujących lotnictwo i wypadki lotnicze. Jak się okazuje, czy to lotnictwo, czy cyberprzestrzeń, wszędzie tam gdzie jest człowiek – popełnia te same błędy. I choć konsekwencje jeszcze dzisiaj są mniej bolesne i poważne dla błędów w cyberprzestrzeni, ten stan rzeczy zmienia się szybciej niż możemy przewidzieć. Już dzisiaj zdalnie sterowany cyfrowy rozrusznik serca może stanowić śmiertelne zagrożenie i okazję do żądań okupu ze strony przestępcy. Podobnie samochód, czy linia produkcyjna, której zabezpieczenia ktoś zdalnie deaktywuje narażając życie i zdrowie pracowników.
Wspomniane badania określane są listą Brudnej Dwunastki. W naszym kraju, nadaliśmy jej bardziej swojską nazwę Pechowej Dwunastki, głównie z uwagi na nasz powszechny zwyczaj usprawiedliwiania swoich porażek „pechem”. Od stycznia, miesiąc po miesiącu omawiać będziemy na łamach tego bloga kolejne czynniki, które samodzielnie stanowią jedynie zagrożenie, jednak w kumulacji, praktycznie materializują incydent. Każdą z kategorii omówimy w kontekście technologii i interakcji ludzi z jej użyciem. Poruszymy dostępne, realne przykłady incydentów i zrobimy projekcję na nowe technologie.
Lista czynników błędów ludzkich jest następująca:
I jak? Interesujące?
O tym, jak istotne jest zrozumienie wpływu tych czynników na bezpieczeństwo technologiczne Twojej firmy może świadczyć analiza mega wycieku informacji z Equifax (2017 rok). Raport udostępniony kilka dni temu wskazuje jako bezpośrednią przyczynę brak aktualizacji systemów informatycznych na znaną podatność w środowisku Apache Struts. Pośrednią przyczyną, wskazaną przez eksperta od analizy zachowań ludzkich w kontekście bezpieczeństwa systemów informatycznych, były konflikty personalne kierownictwa firmy i w ich efekcie wydłużenie linii raportowania CSO, oraz umieszczenie go w obszarze obsługi prawnej. Choć sytuacja konfliktu personalnego została rozwiązana tym sprawnym ruchem menadżerskim, dużo wcześniej przed atakiem i samym problemem podatności, miała ona istotny wpływ na operacyjną efektywność między innymi procesu łatania podatności, co umożliwiło włamanie.
Ten przykład pokazuje, że bezpieczeństwo systemów informatycznych, jest krytycznie zależne od ludzi, od tego czy, oraz jakie błędy popełniają a także czy się na nich uczą czy nie…
Do zobaczenia w styczniu 2019 roku.
Przy okazji warto wziąć sobie do serca jedną z porad Instytutu SANS dotyczącą zabezpieczenia urządzeń mobilnych przed nieautoryzowanym dostępem, oraz zaszyfrowanie ich zawartości. Okazuje się, że zgodne ze wspomnianym wcześniej raportem ponad 100 razy więcej urządzeń zostanie zgubionych niż faktycznie ktoś się na nie włamie. Pilnujcie zatem swoich urządzeń z danymi osobistymi i firmowymi podczas szampańskiej zabawy!
Spokojnego końca starego roku!
Artur Marek Maciąg
Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.
