Nie bagatelizujmy ostrzeżeń hakerów – czyli po co testy bezpieczeństwa?

20 października 2011

Ataki hakerów dotyczyły i nadal dotyczą również Polski. Kilka tygodni temu przekonały się o tym polskie urzędy i instytucje publiczne. Hakerzy włamali się na kilkaset stron Biuletynów Informacji Publicznej. Specjaliści bezpieczeństwa IT podkreślają, że trudno w ogóle uniknąć takich zdarzeń, ale można skutecznie ograniczać ich ewentualne ryzyka.

Zamiast danych publicznych, 1 września br. na stronach BIP aż 300 polskich samorządów pojawił się rysunek szkolnego autobusu oraz napis (pisownia oryginalna): ?Polskie szkoły robią z młodego społeczeństwa zoombie, uczą palić trawkę i pozbawiają uczuć”. Włamywacze, podpisani jako punkG & hardstyle77, pozostawili też informację: ?Nie szukajcie Nas bo i tak wam się nie uda…”.

Agencja Bezpieczeństwa Wewnętrznego od razu zadeklarowała swoją pomoc w znalezieniu sprawców oraz w zabezpieczeniu samorządowych stron internetowych. Tą deklaracją ABW najwyraźniej naraziła się hakerom, którzy powrócili na strony Biuletynów Informacji Publicznej z wiadomością już następnego dnia: ?Nie wiedzieliśmy że jeszcze tutaj wrócimy (przynajmniej tak szybko). W końcu „specjaliści” ABW wszystko zabezpieczyli, ale jak zawsze „od d? strony” ? napisali.

Sprawą zajmuje się wydział ds. zwalczania cyberprzestępczości Komendy Głównej Policji. Hakerom grozi do dwóch lat więzienia. Za kratami mogą jednak spędzić nawet 5 lat, gdy spowodują znaczne szkody.

Atakowali i będą atakować

Specjaliści IT zauważają, że ataki hakerskie (także w Polsce) zdarzały się już w przeszłości i będą zdarzać. Postęp technologiczny, a zwłaszcza ten związany z bezpieczeństwem internetowym, "pobudza" hakerów do działania. Warto pamiętać, że ich ofiarą może zostać każdy z nas. – Każdy z nas korzysta przecież z globalnej sieci Internet, w której ? wbrew powszechnemu przekonaniu - nie jesteśmy anonimowi - mówi Tomasz Dwornicki z firmy Hostersi, specjalista bezpieczeństwa i zarządzania IT. Dodaje, że przykładem są chociażby włamania i kradzież danych z kont użytkowników gier on-line czy klientów banków.

Ataku hakerskiego trudno uniknąć w ogóle, ale skutecznie można zminimalizować ryzyka biznesowe związane z włamaniem i ewentualnym wyciekiem danych. Rozwiązaniem są testy bezpieczeństwa zasobów informatycznych. – Testy te polegają na symulowaniu ataków zewnętrznych na zasoby informatyczne ? czyli na przykład na serwis internetowy, systemy informatyczne wspomagające zarządzanie firmą, bazy danych itd. ? tłumaczy Tomasz Dwornicki. – Po przeprowadzeniu takich testów otrzymujemy bardzo szczegółową informację o ewentualnych podatnościach naszych informatycznych zasobów na zewnętrzne włamania, wraz z oceną ich wpływu na prowadzoną przez nas działalność. Wynikiem testów mogą być również gotowe do wdrożenia zalecenia bezpieczeństwa - dodaje.

Zwiększ poziom bezpieczeństwa

Testy bezpieczeństwa są więc skuteczną metodą podnoszenia poziomu bezpieczeństwa zasobów informatycznych, a ich okresowe przeprowadzenie jest wręcz niezbędne w procesach zarządzania ryzykiem biznesowym w wielu firmach i instytucjach publicznych. To szczególnie ważne zwłaszcza w tych organizacjach, które nie mogą sobie pozwolić na wyciek jakichkolwiek danych, a w efekcie także naruszenie wizerunku organizacji.

Na rynku znaleźć można wiele ofert firm przeprowadzających testy bezpieczeństwa. Różnią się one rodzajem i zakresem samych testów, a także oczywiście ceną. – Analizując oferty, warto zwrócić uwagę na rodzaj testu (crystal box, grey box lub black box - przyp. red.), sposób ich przeprowadzenia (automatyczny czy też z udziałem człowieka, specjalisty ? przyp. red.) oraz kompetencje i doświadczenie firmy wykonującej testy ? radzi ekspert IT z firmy Hostersi.

Testy bezpieczeństwa to wydatek jednorazowy, rzędu od kilkuset do nawet kilkudziesięciu tysięcy złotych. W bezpieczeństwo informatycznych zasobów warto jednak inwestować. – Zazwyczaj nasze zasoby posiadają luki bezpieczeństwa, których nie jesteśmy nawet świadomi. Ich analiza zewnętrzna, zbadanie podatności na ataki, zalecenia bezpieczeństwa oraz ocena ryzyka biznesowego to bardzo cenne informacje dla każdej firmy, instytucji, organizacji dbającej o bezpieczeństwo danych i swój wizerunek - przekonuje Tomasz Dwornicki.

* * *

Jaki rodzaj testów wybrać?
Wyróżniamy trzy rodzaje testów bezpieczeństwa: crystal box (gdzie tester posiada pełną wiedzę o testowanych zasobach), grey box (tester posiada tylko pewne informacje o zasobach) i black box (tester nie dysponuje żadną wiedzą o zasobach). – Jeśli zależy nam na precyzyjnej ocenie podatności zasobów na ataki hakerów, to najbardziej odpowiednie będą testy typu black box. W największym stopniu odzwierciedlają bowiem rzeczywistą wiedzę potencjalnego włamywacza ? radzi Tomasz Dwornicki z firmy Hostersi. Doświadczenie i kompetencje testera zweryfikować możemy między innymi na podstawie certyfikatów ? certyfikat CISSP związany jest z bezpieczeństwem, a PRINCE2 z zarządzaniem IT.

Nie dbamy o bezpieczeństwo IT
Hakerzy wykorzystują luki bezpieczeństwa w zasobach informatycznych, ale również to, że nie dbamy o podstawowe zabezpieczenia. Według danych Departamentu Bezpieczeństwa Teleinformatycznego ABW, ponad 20% Polaków nie instaluje programów antywirusowych. Z danych Eurostatu wynika natomiast, że w ubiegłym roku wirusem zaatakowany został co trzeci komputer w Unii Europejskiej, a prawie 16% użytkowników Internetu w ogóle nie instaluje programów antywirusowych.

Case Studies
Referencje

Firma Hostersi pozwoliła nam osadzić ogólne zagadnienia programu Well Architected Framework w kontekście naszej firmy. Oszczędziło nam to wiele czasu i pozwoliło znaleźć lepiej dopasowane rozwiązania do specyfiki naszego biznesu. WAF był świetnym katalizatorem do wprowadzenie szeregu zmian w obszarze niezawodności, szybkości i bezpieczeństwa edrone. 

Piotr Stachowicz
CTO
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.