O bezpieczeństwo w sieci trzeba powalczyć. To też rola państwa
- Czym więcej naszych danych jest w różnych miejscach, tym trudniej zapewnić im pełne bezpieczeństwo. Szczególnie pojedynczemu użytkownikowi. Dlatego widać rosnące znaczenie państwa w cyberprzestrzeni, jako organizacji reprezentującej grupy osób, chroniącej użytkowników przed tego typu sytuacjami. To właśnie przejaw cybersuwerenności - mówi w rozmowie z Interią wiceprezes Exatela Rafał Magryś. Ostrzega także, że skala ataków będzie rosnąć.
Jesteśmy dzisiaj bezpieczni w sieci?
Rafał Magryś, wiceprezes Exatela: - A kiedykolwiek byliśmy?
Chciałbym wierzyć, że tak.
- To pobożne życzenie. Spójrzmy na sferę naszej prywatności. Można ją zachować, ale nie automatycznie. Powiem więcej - trzeba na nią zapracować. Trzeba korzystać np. ze specjalnych dystrybucji Linuxa. Są one tak skonstruowane, że same w sobie mają proste mechanizmy anonimizacji użytkownika. Tego jednak przeciętny użytkownik nie wie. Nawet korzystając z ogólnodostępnych, popularnych narzędzi, może chociażby włączyć funkcję "prywatności" w przeglądarce. A mało kto tak robi - wolimy mieć zapamiętane hasła, historię przeglądania, podpowiedzi. Dla własnej wygody udostępniamy istotne dane o sobie innym. Nasza niewiedza bądź wygoda są bezlitośnie wykorzystywane przez firmy i cyberprzestępców.
Czyli sami pomagamy cyberprzestępcom?
- Wszystkie firmy zbierają dane. I jeśli widzą w tym interes - przekazują je dalej do wykorzystania przez firmy zewnętrzne. Czym więcej naszych danych jest w różnych miejscach, tym trudniej zapewnić im pełne bezpieczeństwo. Szczególnie pojedynczemu użytkownikowi. Dlatego widać rosnące znaczenie państwa w cyberprzestrzeni, jako organizacji reprezentującej grupy osób, chroniącej użytkowników przed tego typu sytuacjami. To właśnie przejaw cybersuwerenności. Nie w znaczeniu budowy własnego Facebooka czy - jak Rosjanie - testowania modelu odcięcia krajowego internetu od globalnych zasobów prowadzącego do stworzenia "własnego" internetu.
- Urządzenia sieciowe, zarzadzanie siecią, infrastrukturę kryzysową i krytyczną - powinniśmy trzymać w ręku i traktować jako aktywo. Walczyć o to, również na arenie unijnej.
Rozdźwięk między Europą a Stanami Zjednoczonymi jest wyraźny. Możemy dzisiaj zaryzykować stwierdzenie, że obywatel UE jest lepiej chroniony niż ten w USA. To może być jednak wciąż za mało, jeśli weźmiemy pod uwagę cyberataki, przed którymi wydaje się jesteśmy dzisiaj bezradni. Chociażby największe wycieki danych w 2018 r.: Marriott (500 mln), Twitter (330 mln), Quora (100 mln), Firebase (100 mln), Uber (57 mln). I masę mniejszych. Skala zjawiska rośnie.
- Wciąż mało ludzi rozumie czym jest cyberbezpieczeństwo. Albo czym jest ochrona danych. Mamy z tym dzisiaj ogromny problem. Coraz więcej spraw realizujemy zdalnie, za pomocą internetu. Wysyłamy dane wrażliwe, wnioski, w których podajemy najważniejsze dzisiaj informacje. A te w rękach osób trzecich mogą być niezwykle groźne. Czy powinniśmy się tym przejmować? A jak wyciekną, to co z tym robić? Większość osób przechodzi obok tego obojętnie. Myślą - przecież mnie to nie dotyczy.
- Podobnie jest w firmach. Budżet IT często ma jedynie komponent cyberbezpieczeństwa. Zwykle na papierze. Do tej pory ceny usług telekomunikacyjnych spadały tak samo jak koszty serwerów, sprzętu czy rozwiązań chmurowych i przechowywania danych. W tych "korzystnych warunkach" cyberbezpieczeństwo traktowane było na zasadzie subskrypcji programu antywirusowego lub zakupu firewalla. Od tego roku, za sprawą ustawy (o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie w 2018 r. - red.) tak już nie będzie. Chociażby z tego powodu, że duże firmy objęte jej przepisami wymuszą pewien poziom bezpieczeństwa na mniejszych tj. swoich partnerach czy kontrahentach. Zmiana na lepsze zacznie przybierać na tempie.
Zaczną albo będą płacić kary.
- Wyroki i kary administracyjne wynikające z zaniechań lub jawnego naruszenia przepisów jak np. RODO (rozporządzenie o ochronie danych osobowych) wymuszą drugą fale wdrożenia. Nareszcie - z punktu ekonomicznego i bezpieczeństwa ogólnego w kraju - zmieni się podejście wydatkowania pieniędzy na cyberbezpiecznestwo. Ale to nie jedyna zmiana. Inne jest też podejście do samego sposobu zapewnienia bezpieczeństwa IT. Firmy, które nawet dużo zainwestowały w rozwój infrastruktury i próby budowy zespołów bezpieczeństwa, widzą, że nie jest to rozwiązanie w pełni efektywne. Odchodzą zatem od własnych rozwiązań przechodząc w model usługowy (oursourcingiowy) lub mieszany. Uważam, że to będzie jeden z trendów na rynku.
Zamiast inwestować w własne rozwiązania będą szukać firmy, która to zrobi za nich? Będą subskrybować usługi na rynku, zamiast wydawać na własny zespół?
- Nie każdy może sobie pozwolić na samodzielną budowę pełnego systemu cyberbezpieczeństwa wewnętrz firmy. Tu chodz o efektywność wydawanych pieniędzy. Musimy zainwestować w skomplikowane technologie, które - na rynku cyber - szybko się przedawniają i dezaktualizują. Zatrudniać specjalistów, których na rynku obecnie brakuje. Zamiast tego można też scedować całą lub część odpowiedzialności i obowiązków na podmiot zewnętrzny. Ale jedno jest pewne - nawet w przypadku pełnego outsorcingu osoba z obszaru cyberbezpieczeństwa w firmie jest po prostu niezbędna. Każdy podwykonawca powinien mieć z kim rozmawiać, współpracować, kontaktować się w sytuacjach kryzysowych. Inaczej to nie zadziała.
Niezależnie od wybranej drogi i tak widać, że wydatki na cyberbezpieczeństwo globalnie rosną. W Stanach Zjednoczonych w 2017 było to 13 mld dol. W 2019 wartość ta osiągnie poziom 15 mld dol. Na świecie zaś 24 mld dol. Niedawno premier Mateusz Morawiecki mówił, że wydatki na cyberbezpieczeństwo powinny rosnąć, również w Polsce. Wiele o tym zaczyna się mówić...
- Na świecie cyberbezpieczeństwo jest doceniane. Potwierdzają to rosnące ceny usług i koszty zatrudnienia ekspertów. Jednak setki tysięcy czy miliony rocznie na cyberbezpieczeństwo w Polsce to nadal abstrakcyjna kwota. Problem nie dotyczy tylko administracji, czy kluczowych branż, jak energetyka. Samorządy, szkoły, MŚP, dostawca usług internetowych i komunikacyjnych, nawet w niewielkich miejscowościach - stają dzisiaj przed wyzwaniem zabezpieczenia swoich systemów i danych. Niekiedy tracimy pieniądze, innym razem informacje, które są trudne bądź niemożliwe do odzyskania.
Możemy edukować, ale wciąż podstawowe błędy czy niestosowanie zasad sprawiają, że przestępcy mają ułatwione zadanie.
- To działa na tej samej zasadzie jak walka z analfabetyzmem na początku minionego stulecia. Albo z wdrażaniem dużych zmian. Pamiętam, jak będąc ponad 10 lat na stypendium w Wielkiej Brytanii prowadzono tam akcję "I love PIN". 14 lutego z dnia na dzień wszystkie karty, które nie miały przypisanego PIN-u, przestały działać. To była regulacja, którą wprowadził ustawodawca. Nie zauważyłem, żeby ludzie mieli z tym problem. Byli przygotowani do pewnej zmiany. Szerokie programy edukacyjne mogą być zatem skuteczne. Lepiej sprawdzą się jednak te dedykowane, np. na poziomie szkół, uczelni bądź w miejscu pracy.
Jak z ustawą o Krajowym Systemie Cyberbezpieczeństwa, która wymusza na dużych firmach pewien poziom bezpieczeństwa, małe pozostawiając samym sobie.
- Ustawa to jeden z kroków na drodze do cyberbezpieczeństwa. Ważna jest też edukacja rynku - trzeba zmienić podejście do cyberbezpieczeństwa jako "kosztu" dla organizacji. Firma wprowadzająca rozwiązania cyberbezpieczeństwa wymusza standardy na swoich podwykonawcach. W efekcie powstaje efekt "kuli śnieżnej", gdzie zmiany staja się już zauważalne dla każdego. Już teraz rośnie świadomość problemu, choć daleko nam jeszcze do pełnego jego zrozumienia. O temacie cyberbezpieczeństwa mówimy od ponad dwóch lat. Piszemy i edukujemy, żeby weryfikwować swoje zabezpieczenia, sprawdzić wrażliwość systemów na ataki.
Skoro mowa o atakach - jak dzisiaj wygląda rynek cyberataków? Powstają nowe rodzaje zagrożeń a stare znikają?
- Głównie to nowe odsłony starych ataków. Najbardziej wrażliwy dzisiaj jest Internet Rzeczy (IoT). Szybko powstają nowe rozwiązania w tym obszarze. Prognozy wskazują, że liczba urządzeń podpiętych do sieci będzie rosnąć wręcz wykładniczo. Brakuje jednak ich zabezpieczenia. Kluczowe jest jednak to, że często - by zmniejszyć cenę danego produktu -stosuje się rozwiązania nawet sprzed kilku lat. Bez testów. I okazuje się, że urządzenie tuż po wyjściu z fabryki jest już podatne na ataki. Nie te najnowsze, wykorzystujące dopiero co odkryte podatności. Tylko te popularne jakiś czas temu. Dlaczego? Bo testowanie nowych rozwiązań kosztuje. Konkretne przykłady pokazujemy rok rocznie na konferencji EXATEL Security Days. W zeszłym roku nasi pentesterzy podawali przykłady z życia wzięte, np. jak w ramach jednego audytu okazało się, że do sieci wewnętrznej można było się dostać przez ogólnodostępne infokioski. Całość zajęłą im tylko kilka minut, a wykorzystali znaną od dłuższego czasu podatność. Myślę, że w tym roku także nie będzie trudno o ciekawe historie...
- Jeśli zaś chodzi o same ataki - tutaj królują naprostsze ataki typu DDoS. Głównie dzięki rosnącej liczbie właśnie tych słabo zabezpieczonych urządzeń Interentu Rzeczy, niskiej kwocie potrzebnej do jego przeprowadzenia oraz stosunkowo dużej skuteczności. Dla przykładu - przepustowość sieci szkieletowej Exatela wynosi około 9 terabitów na sekundę. Globalny atak DDoS na serwery Githuba z początku 2018 r. miał wolumen 1,3 terabita na sekundę. To pokazuje skalę, która stale rośnie. Tego typu ataki na infrastrukturę biznesową mogą być skutecznie blokowane. Ale wymaga to odpowiedniego przygotowania i rozwiązań bezpieczeństwa już na poziomie operatora.
Ale najgłośniejsze ataki to jednak malware?
- Mieliśmy kilka spektakularnych ataków w 2017 i 2018 roku. Skala tego zjawiska jest ogromna - co roku powstaje ponad 140 milionów odmian różnych szkodliwych aplikacji i skryptów. Jeśli chodzi o sposób infekcji (tzw. wektor ataku), to coraz powszechniejszą metodą jest zarażanie stacji roboczych. Następnie przejmowanie nad nimi kontroli przez złośliwe oprogramowanie ukryte w załącznikach przesyłanych pocztą elektroniczną (głównie z wykorzystaniem plików pakietu Office lub PDF) lub na odpowiednio spreparowanych stronach internetowych. Coraz częściej wykorzystuje się też kod, który powstaje specjalnie na potrzeby konkretnego ataku.
Kto będzie atakować?
- Mija era "script kiddies", którzy przy pomocy ogólnodostępnych "exploitów" próbują włamywać się do Pentagonu. Zaczyna się zderzenie tytanów - ogromnych organizacji sprofilowanych, ustawionych, żeby robić "duże rzeczy". Każdy z nas może napisać grę, zrobić aplikację mobilną. Każdy może stworzyć botnet eksplorując jakąś dziurę w zabezpieczeniach. Ale jeśli połączy się wysiłki wielu - będzie to efektywniejsze. Całe państwa zaczynają rywalizować w sieci w tym obszarze.
Jak się przed tym skutecznie bronić?
- Trzeba skutecznie łączyć wiedzę i doświadczenie ludzi oraz możliwości, jakie daje nowa technologia. Mam na myśli np. sztuczną inteligencję. Pozwala ona szybciej wykrywać nowe zagrożenia, skuteczniej je niwelować oraz lepiej zarządzać całą infrastrukturą. Trzeba też posiadać nowoczesne narzędzia - kupione lub wytworzone samodzielne. Dlatego to dobry czas dla firm, które inwestują w technologie związane z bezpieczeństwem i AI.
A Exatel rozwija własne projekty badawczo-naukowe?
- Teraz realizujemy kilka projektów, ale skupię się na dwóch z nich. Pierwszy to SDNbox - programowalne urządzenie sieciowe tworzone w technologii, która wkrótce zmieni świat telekomunikacji. W zależności od wgranego na nim opgoramowania może działać jako router, przełącznik, serwer czy element ochrony przed cyberzagrożeniami. Jesteśmy po badaniach, analizach technicznych i bardzo wstępnej implementacji. Projekt zakończy się za 2,5 roku m.in. wdrożeniem gotowego rozwiązania w naszej sieci. Drugi produkt to TAMA - nasze autorskie rozwiązanie anty-DDoS. Projekt jest bardzo zaawansowany i planujemy go wdrożyć produkcyjnie w czwartym kwartale tego roku. Pierwsze efekty to oczywiście obniżenie naszych kosztów operacyjnych oraz lepsza ochrona klientów.
- W tworzonych przez nas rozwiązaniach chcemy także korzystać ze sztucznej inteligencji. W TAMIE na pewno wykorzystamy uczenie maszynowe, bo na tej zasadzie ma ona rozpoznawać zmieniający się ruch w sieci i automatycznie reagować na nietypowe zachowania. W SDNbox zastosujemy szereg mechanizmów samouczących się, samodoskonalących się. Po to, by sprawniej zarządzać siecią, także pod potrzeby nadchodzącej rewolucji 5G.
PM