RELACJA 2016
Konferencja CyberGOV 2016: surowe oceny i obiecujące perspektywy
Eksperci od bezpieczeństwa z instytucji administracji państwowej po raz drugi spotkali się na konferencji CyberGOV 2016. Prezentacja powstającej Strategia cyberbezpieczeństwa RP była obiecująca, ale większe zainteresowanie wzbudziły wyniki najnowszej kontroli NIK dotyczącej obszaru bezpieczeństwa systemów teleinformatycznych kluczowych dla funkcjonowania usług publicznych i przechowywanych w nich danych.
Otwierając CyberGOV 2016, Gen. bryg. Włodzimierz Nowak, Pełnomocnik Ministra Cyfryzacji ds. Cyberbezpieczeństwa, Ministerstwo Cyfryzacji, mówił o pracach nad Strategią cyberbezpieczeństwa dla RP – jej fundamentach, celach i związanych z nią wyzwaniach.
Dokument ma powstać do końca czerwca, zaś na bazie strategii do końca roku powinna powstać zupełnie nowa ustawa o cyberbezpieczeństwie. Kolejnym krokiem ma być budowa narodowego CERT na bazie obecnego CERT NASK, który będzie głównym organem koordynującym działania. Planowana jest także budowa systemu wczesnego ostrzegania – obecnie trwają uzgodnienia z operatorami infrastruktury krytycznej. Powstaną także rządowe i wojewódzkie klastry oraz wdrożony zostanie nowy system obiegu informacji i procedur, który pozwoli na zwiększenie efektywności.
Wyzwania przyszłości
„Myśląc o bezpieczeństwie, trzeba myśleć o przyszłości. Dzisiaj już musimy być przygotowani. System budowany dziś musi być gotowy na maksymalne nasycenie informacjami, które będzie efektem takich zjawisk, trendów i technologii jak Internet Rzeczy, Smart City czy Smart grid” – mówił Gen. bryg. Włodzimierz Nowak. „Ocena ryzyka musi być prowadzona na bieżąco. W oparciu o nią trzeba adaptować się do nowych ryzyk. Chcemy, żeby w przyszłości tak to funkcjonowało” – dodawał Gen. bryg. Włodzimierz Nowak.
Polska, jak każdy kraj członkowski, będzie musiała wdrażać dyrektywę NIS, która będzie miała b. duży wpływ na cały rynek cybersecurity i wymusi działania wśród wielu kluczowych przedsiębiorstw i instytucji w zakresie poprawy poziomu bezpieczeństwa informacji i bezpieczeństwa teleinformatycznego, także w obszarze raportowania i wymiany informacji o incydentach. O tym mówił Jakub Boratyński z Komisji Europejskiej.
Podczas konferencji dużo miejsca poświęcono także doświadczeniu innych państw w obszarze cyberbezpieczeństwa – Izraela, Francji oraz Hiszpanii, partnerstwie publiczno-prywatnym a także o procedurach, trendach, najważniejszych zjawiskach i technologiach służących obronie przed cyberzagrożeniami. Gośćmi specjalnymi konferencji byli przedstawiciele izraelskiej i francuskiej rządowej agendy ds. cyberbezpieczeństwa.
„Brakuje systemowych, kompleksowych rozwiązań dotyczących bezpieczeństwa IT” – mówił podczas CyberGOV 2016, prezes Najwyższej Izby Kontroli, Krzysztof Kwiatkowski. Systemy ochrony danych nie zapewniają odpowiedniego poziomu bezpieczeństwa, działania realizowane w celu jego zapewnienia są prowadzone opieszale, brakuje dobrego planowania a przy tym środki przeznaczane na ten cel są niewystarczające.
Długa droga przed nami
W ubiegłym roku NIK opublikował informację o wynikach kontroli „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej”. Wykazała ona, że państwo polskie nie jest dobrze przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni. NIK postanowiła szczegółowo sprawdzić poziom bezpieczeństwa danych znajdujących się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa.
Wnioski są alarmujące. Istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce.
„Spośród sześciu skontrolowanych jednostek tylko KRUS wdrożyła System Zapewnienia Bezpieczeństwa Informacji” – mówił Krzysztof Kwiatkowski. Biorąc pod uwagę pewne istotne nieprawidłowości NIK wystawiła KRUS ocenę 3 w skali od zera do pięciu mierząc poziom zarządzania procesem zapewnienia bezpieczeństwa w kontrolowanych jednostkach zgodnie z metodologią Cobit 4.1.
„W pozostałych jednostkach prace nad zapewnieniem odpowiednich warunków bezpieczeństwa informacji przetwarzanych w systemach informatycznych nie osiągnęły właściwego poziomu – zostały niedawno rozpoczęte i znajdują się na wstępnym etapie, obejmującym opracowanie niezbędnych podstaw formalnych – polityk bezpieczeństwa i powiązanych z nimi szczegółowych procedur” – dodawał Krzysztof Kwiatkowski.
Na „dwójkę” oceniono Ministerstwo Sprawiedliwości, Ministerstwo Skarbu Państwa i Narodowy Fundusz Zdrowia. Najgorzej – otrzymując „jedynkę” – wypadły Ministerstwo Spraw Wewnętrznych i Straż Graniczna.
NIK sformułowała ogólne wnioski z kontroli, ponieważ trwa jeszcze realizacja wniosków z poprzedniej kontroli warunkujących skuteczną realizację zadań w obszarze bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. Zapewnienie bezpieczeństwa informacji na zakładanym poziomie jest możliwe poprzez systemową, ciągłą realizację odpowiednich procesów. Przede wszystkim – stwierdziła NIK – konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa IT.
Druga edycja konferencji CyberGOV odbyła się 17 maja br. w Warszawie. Zgromadziła blisko 340 uczestników – przedstawicieli wszystkich szczebli administracji publicznej, od dużych instytucji centralnych do jednostek samorządowych, a także wybranych, infrastrukturalnych spółek skarbu państwa. Konferencja była realizowana przez Evention pod honorowym patronatem Ministerstwa Cyfryzacji i Biura Bezpieczeństwa Narodowego. Jest jedynym tego rodzaju spotkanie w Polsce – o bezpieczeństwie ICT w sektorze publicznym.
Pełne nagranie z prezentacji wyników najnowszej kontroli NIK dotyczącej „Zapewnienia bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych” wygłoszonej przez Krzysztofa Kwiatkowskiego, prezesa Najwyższej Izby Kontroli.
CyberGOV 2016 – Wywiad z Alexandrem Raczyńskim, Forcepoint.
CyberGOV 2016 – Wywiad z Danielem Grabskim, Microsoft.
„Znakomita, profesjonalna organizacja, zarządzanie i realizacja konferencji (pod każdym względem). Jakość i wartość na najwyższym poziomie. Doskonały pomysł z sesją networkingową.”
Monika Szyłkowska, WAT
„Bardzo wysoki poziom organizacyjny. Tematyka ciekawa. Prowadzenie komunikatywne i profesjonalne.”
Monika Zamożniewicz, Urząd Marszałkowski Województwa Łódzkiego
„Bardzo efektywnie spędzony czas, głównie na wymianie doświadczeń ze specjalistami bezpieczeństwa IT.”
Rafał Kwiatkowski, ZUS oddział w Poznaniu
„Zakres konferencji w aspekcie merytorycznym obejmuje kluczowe obszary bezpieczeństwa. Dziękuję za zaproszenie. Oczekuję kolejnej edycji.”
Teresa Szczepaniak, CIS
„Ciekawa tematyka, krótkie wystąpienia zapewniają różnorodność tematyczną i nie nudzą jak typowy wykład. Partnerzy spełniają swoją funkcję informacyjną. To dobre miejsce, by dowiedzieć się o nowościach, skonfrontować swoją wiedzę i doświadczenie z innymi.”
Agnieszka Stankiewicz, SP ZOZ
„Konferencja spełniła moje oczekiwania. Sądzę, że jest dobrą platformą wymiany informacji i doświadczeń między szeroko rozumianym sektorem publicznym a strefą prywatną i międzynarodową, oferującą najnowsze rozwiązania z obszaru cyberbezpieczeństwa.”
Sebastian Bukowski, PKP Informatyka
„Równie ciekawa i udana konferencja, co w roku ubiegłym. Świetna inicjatywa wskazująca problemy oraz trendy w temacie cyberbezpieczeństwa.”
Marin Szczepańczyk, Urząd Statystyczny w Warszawie
Najważniejsze trendy i zjawiska w cybersecurity
Co nam zagraża w Internecie i jakich rozwiązań używać do ob
rony? Co jest głównym celem cyberprzestępców? Jak chronić konta uprzywilejowane? – rozmowa z Andreyem Dulkinem, pełniącym funkcję Senior Director of Cyber Innovation w Cyber-Ark Software, firmie specjalizującej się w ochronie przed atakami ukierunkowanymi, w tym w szczególności bazującymi na wykorzystaniu kont uprzywilejowanych.
W trakcie prezentacji podczas CyberGOV 2016 zaprezentował Pan kilka przykładów przeprowadzonych na wielką skalę ataków. Jakie wnioski można z nich wyciągnąć?
Andrey Dulkin (AD): Do niedawna, pewnie jeszcze kilka lat temu, myśląc o atakach byliśmy przekonani, że jest zasadniczo możliwe stworzenie bezpiecznej strefy, w której wykorzystując odpowiednie rozwiązania techniczne, będzie można bronić się przed napastnikami. Dzisiaj, wiadomo już, że takie podejście się nie sprawdza. Wynika to z faktu, że nie można dobrze zdefiniować bezpiecznej strefy. Firmy zazwyczaj współpracują z zewnętrznymi dostawcami, wykorzystują rozwiązania innych firm, systemy IT są tutaj często integrowane – co ułatwia zadanie dla cyberprzestępców.
Najważniejsze teraz, by skoncentrować działaniach mających na celu ochronę i wykrywanie ataków wewnątrz sieci. Przestępcy włamują się na dowolną maszynę znajdującą się w sieci. Następnie dokonują rozpoznania i uważnie obserwują co się dzieje – poznają architekturę sieci i oceniają, gdzie mogą dotrzeć. Posuwają się krok po kroku – od jednego komputera do drugiego – przejmując coraz więcej danych uwierzytelniających aż do momentu, w którym osiągają swój cel.
Przy tym organizacjom bardzo trudno zrozumieć, co może być celem. Ataki mogą mieć motywację finansową – w takim przypadku celem będą pieniądze, może to być szpiegostwo – w celu zdobycia informacji, ale celem może być również spowodowanie strat, czy wysłanie w świat „wiadomości”. Dlatego coraz ważniejsze staje się zrozumienie które konta i które dane uwierzytelniające mogą zostać wykorzystane przez przestępców. Trzeba umieść sprawnie wykrywać sytuacje, kiedy dzieje się coś złego. To istotne pytanie: jak wykryć nietypowe zachowanie jednego z kont – anomalne w porównaniu do standardowego zachowania?
Dlatego konta uprzywilejowane powinny znaleźć się w centrum działań mających 
na celu zapewnienie cyberbezpieczeństwa?
AD: Powinno znaleźć się w centrum uwagi organizacji, która ocenia stan swojego bezpieczeństwa. Trzeba zrozumieć, kto może korzystać z tego typu kont, jak można je wykorzystać, a także kto i jak monitoruje ich wykorzystanie.
Oczywiście, są także inne istotne obszary. Przykładowo, odpowiednia segmentacja, odpowiednie zarządzanie przywilejami w odniesieniu do tego, do czego ma dostęp administrator, przydatna jest także dwuskładnikowa autentykacja. Wszystkie te obszary muszą zostać uwzględnione przy projektowaniu architektury sieci. Ważne są także procedury określające sposób realizowania działań wewnątrz sieci.
Jak rozwiązania IT mogą wspierać takie podejście?
AD: Problem jest poważny. Wiemy, że konta są nadmiernie uprzywilejowane. Dane uwierzytelniające nie są zmieniane przez bardzo długie okresy. Wiemy, że dane uwierzytelniające znajdują się w wielu miejscach – są wykorzystywane przez ludzi, ale są także wbudowane w aplikacje. Sieć jest narażona na ataki, ponieważ przestępcy mają dużą szanse, żeby dotrzeć do maszyny, na której znajdują się dane uwierzytelniające.
System, który pozwoli na zarządzanie tymi kontami, który będzie kontrolował sposób, w jaki te konta są wykorzystywane i audytowane, i który umożliwi ludziom i aplikacjom właściwe ich używanie – będzie stanowił bardzo ważny elementy systemu ochrony przed cyberzagrożeniami.
Czy implementacja systemu do zarządzania kontami uprzywilejowanymi pozwoli podnieść poziom cyfrowego bezpieczeństwa organizacji?
AD: Organizacje są dzisiaj bombardowane przez wielu, wielu dostawców technologii komunikatami typu: powinniście skoncentrować się na filtrowaniu internetu, na phishingu, powinniście zwrócić uwagę na pocztę elektroniczną, najważniejsze jest szkolenie użytkowników, itp. itd. Jednak ciągle przekonujemy się, że choć wiele technologii dostarcza pewną wartość, najważniejsze jest, żeby organizacja zrozumiała, które rozwiązania zapewniające bezpieczeństwo są kluczowe dla niej. Nie warto tworzyć kolejnej warstwy bezpieczeństwa tylko dla samego faktu jej stworzenia. Konieczne jest kształtowanie procedur wewnątrz sieci i wdrażanie rozwiązań, które je wspierają, ponieważ to właśnie decyduje o tym, że znacznie trudniej jest dokonać włamania.
Weźmy na przykład systemy analityczne. Wszyscy mówią o analizowaniu zachowania użytkownika. Jednak jeśli używasz analityki w sieci o płaskiej strukturze, w której każdy może nawiązać połączenie z dowolnym komputerem i wszystko zrobić, to bardzo trudno wykrywać anomalie a także reagować, kiedy zostaną one wykryte.
Natomiast, gdy sieć ma odpowiednią strukturę i realizowane są ustandaryzowane procesy, to ochrona jest łatwiejsza. Jeśli wszystkie konta uprzywilejowane podlegają tym procesom, to łatwiej dowiedzieć się o występowaniu anomalii i reagować np. poprzez zmianę danych uwierzytelniających dla kont uprzywilejowanych, poprzez zamykanie połączeń – to w ogóle umożliwia reagowanie na czas w przypadku wystąpienia jakiegoś zdarzenia.
Co CyberArk ma do zaoferowania w tym obszarze?
AD: Mamy platformę, która umożliwia zarządzanie kontami uprzywilejowanymi. Identyfikujemy wszystkie takie konta w systemie i przenosimy je na naszą platformę. Dzięki temu gwarantujemy , że wszystkie dane uwierzytelniające są unikalne, złożone i bezpieczne. Przy tym wszystkie dane uwierzytelniające przechodzą przez nasz system – zarówno używane przez ludzi jak i aplikacje.
Dodatkowo, możemy zabezpieczyć dane uwierzytelniające w ten sposób, że nigdy nie trafią na urządzenia końcowe. Obsługujemy połączenia przez nasz serwer, który ustanawia sesje, dzięki czemu nawet jeśli na urządzeniu końcowym przestępca umieści złośliwe oprogramowanie, to nie będzie w stanie przejąć kontroli nad nią.
Dostarczamy także rozwiązanie, które ogranicza przywileje administracyjne na urządzeniach końcowych. Jeśli napastnik dotrze na stację, na której użytkownik nie jest lokalnym administratorem i posiada białą listę, to nie będzie mógł uruchomić żadnych procesów. Jako dodatkową warstwę, zapewniamy rozwiązanie analityczne, które sprawdza aktywności dokonywane przez konta uprzywilejowane w sieci i wykrywa typowe techniki stosowane przez przestępców.
CyberArk był Partnerem Strategicznym konferencji CyberGOV 2016.