niedziela, Październik 21, 2018
Facebook
Home Tagi Wpis otagowany "cyberbezpieczeństwo"

cyberbezpieczeństwo

W świecie, w którym lawinowo rośnie liczba inteligentnych, połączonych ze sobą urządzeń, cyberbezpieczeństwo wysunęło się na prowadzenie w hierarchii priorytetów, z którymi musi mierzyć się biznes. Poza wdrożeniem odpowiednich technologii i zbudowaniem zespołu specjalistów, ważne jest również właściwe nastawienie w ramach organizacji. Cyberbezpieczeństwo to gra zespołowa – o powodzeniu inicjatyw mających na celu zapewnienie odpowiedniego poziomu cyberbezpieczeństwa na każdym etapie świadczenia usług czy prac nad produktem decyduje współpraca wszystkich zaangażowanych stron, w tym zewnętrznych dostawców technologii.

Bezpieczeństwo wpisane w cykl życia biznesu

Łańcuch wartości, czyli sekwencja działań mających na celu opracowanie, wytworzenie, sprzedaż i dostarczenie produktu na rynek nadaje rytm pracy każdego biznesu. Końcowym etapem są usługi posprzedażowe, w tym serwis i doradztwo. Wszystkie te procesy są napędzane przez technologie, których właściwe działanie zależy od bezpieczeństwa usług, oprogramowania czy sprzętu. Nie mniej istotna jest współpraca ekosystemu dostawców – producentów (OEM-ów), dostawców usług w chmurze, firm odpowiedzialnych za utrzymanie infrastruktury, dostawców oprogramowania open source, a nawet partnerów logistycznych.

Specjaliści Cisco wskazują 4 etapy, które musi przejść każda organizacja, chcąca stworzyć bezpieczny ekosystem partnerów:

  1. Określenie, kto jest kluczowym partnerem i za jaki obszar odpowiada. Dokładne zapoznanie się z unikalnymi aspektami biznesowymi kluczowych podmiotów zewnętrznych.
  2. Stworzenie elastycznego planu cyberbezpieczeństwa, wspieranego przez architekturę IT, który może zostać wdrożony z uwzględnieniem wszystkich kluczowych partnerów. Określenie listy celów, które są możliwe do osiągnięcia jedynie dzięki współpracy. Wymiana informacji na rzecz strategii bezpieczeństwa i wzrostu zmiennych uwarunkowań rynkowych wpływających na jego stabilny poziom, a także stworzenie bazy dobrych praktyk.
  3. Bieżąca ewaluacja i określenie, czy partnerzy działają zgodnie z ustalonym planem.
  4. Ciągły monitoring pod kątem nowych cyberzagrożeń powstających wraz z postępującą cyfryzacją.

„Połączone” środowisko biznesowe

Według analiz Gartnera, już w tej chwili na całym świecie wykorzystywane jest 8,4 mld urządzeń połączonych z siecią. Co więcej, zgodnie z najnowszym raportem Cisco Visual Networking Index (VNI), już w ciągu najbliższych czterech lat połączenia M2M (machine to machine) – czyli te związane z Internetem rzeczy – będą stanowiły 50% wszystkich połączeń w sieci (13,7 miliardów), a komputery będą generować jedynie 22% ruchu IP. Dla porównania, jeszcze w 2016 roku komputery generowały 58% ruchu w sieci. Eksperci przewidują, że do 2020 roku tylko w Polsce będzie 212,7 mln urządzeń podłączonych do sieci, z czego 42% stanowić będą moduły M2M (machine to machine). W 2015 r. w Polsce do sieci podłączonych było 125,5 mln urządzeń.

Pod rękę na rzecz cyberbezpieczeństwa

Według badań Rightscale[1], 96% organizacji na świecie korzysta z usług chmurowych pochodzących od zewnętrznych dostawców, przechowując w nich 76% swoich zasobów. Jednocześnie według uczestników badania CiscoAnnual Cybersecurity report, 72% firm polega właśnie na dostawcach zewnętrznych, powierzając im 80% odpowiedzialności za cyberbezpieczeństwo. Ci sami respondenci przyznają, że 88% z nich nie jest gotowych na możliwe do zaistnienia w przyszłości incydenty cyberbezpieczeństwa, które mogą dotknąć związanych z nimi dostawców technologii, co wpłynie na pracę ich organizacji. Tylko dzięki pełnej współpracy w celu zrozumienia bogatej oferty modeli biznesowych dostawców technologii, możemy zapewnić bezpieczeństwo wbudowane w DNA organizacji. Ostatecznym celem powinno być stworzenie i podtrzymywanie łańcucha wartości, w którym bezpieczeństwo informacji to najwyższy priorytet.

Cisco jest partnerem strategicznym tegorocznej edycji European Cybersecurity Forum „Cybersec” 2018 w Krakowie. Wydarzenie ma na celu wspieranie procesu budowy europejskiego systemu cyberbezpieczeństwa. Przedstawiciele firmy wezmą udział w dyskusjach i panelach podczas pierwszego dnia konferencji – 8 października 2018:

  • Edna Conway, Chief Security Officer weźmie udział w panelu „Towards the cyberautonomy of Europe? Strong points and blind spots” oraz dyskusji „Cyber trust in value chain”.
  • Przemysław Kania, Dyrektor Generalny w Cisco weźmie udział w panelu „The Internet of Things and critical infrastructure – need for trust”.

[1] Rightscale, 2018 RightScale State of the Cloud Report

Według szacunków cyberprzestępczość każdego roku kosztuje globalną gospodarkę prawie 500 mld dolarów. Co więcej na atak cybernetyczny narażone są zarówno duże korporacje jak i małe i średnie przedsiębiorstwa. Czy można się przed tym uchronić? Jak zadbać o bezpieczeństwo danych, aby ustrzec się przed konsekwencjami atakami hakerów?

W 2017 roku wirus komputerowy Wannacry zainfekował tysiące firm w Europie, a według specjalistów spowodował największe od dziesięcioleci szkody gospodarcze. Sparaliżowany ruch kolejowy na terenie Niemiec, nie działające komputery w brytyjskich szpitalach, zatrzymanie produkcji we francuskich fabrykach samochodów – to tylko niektóre przykłady szkód wywołanych atakiem. Specjaliści szacują, że straty spowodowane tym atakiem wyniosły ok. 1 miliarda euro na całym świecie. Jednak Wannacry to tylko jeden z wielu takich ataków. Według analityków, cyberprzestępczość każdego roku kosztuje globalną gospodarkę prawie 500 miliardów dolarów.

400 000 złośliwych programów dziennie

Eksperci szacują, że do 2020 roku światowa sieć komputerowa będzie liczyła trylion urządzeń, z czego 50 miliardów z nich będzie współdzielić dane. Jednocześnie Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) rejestruje codziennie, tylko na terenie Niemiec, prawie 400 tys. nowych, szkodliwych programów atakujących zarówno prywatnych użytkowników jak i firmy – zarówno małe przedsiębiorstwa jak i wielkie korporacje. Globalnie, liczba ta jest znacząco wyższa. – Na szczęście coraz więcej firm jest świadomych tych zagrożeń. Ma to swoje odzwierciedlenie w Barometrze Ryzyk Allianz. 40 proc. managerów firm na całym świecie wskazało, że  ataki hakerskie i cyberataki należą do trzech największych zagrożeń dla ich firm w 2018 roku. Managerowie zdają sobie sprawę, że następstwem takich ataków są zakłócenia w funkcjonowaniu przedsiębiorstw, duże ryzyko biznesowe i straty finansowe – mówi Włodzimierz Pyszczek, menedżer wydziału ubezpieczeń ryzyk finansowych, Allianz Polska

Czy polskie firmy są przygotowane?

Jak wynika z raportu PwC „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”[1] tylko w 2017 roku, w wyniku cyberataków straty finansowe poniosło 44% polskich przedsiębiorstw, a 62% odnotowało zakłócenia i przestoje w funkcjonowaniu. Dlatego niezwykle istotne jest, aby osoby zarządzające zdawały sobie sprawę, że cyberzagrożenia to nie tylko problem działów IT, ale przede wszystkim duże ryzyko strat biznesowych. Jednak nie tylko cyberprzestępczość jest zagrożeniem dla firmy i jej sprzętu komputerowego. Często przyczyną szkód są  błędy użytkownika. – Firmy muszą pamiętać, że wraz z rozwojem nowych technologii, wzrasta nie tylko ryzyko wystąpienia ataku hakerskiego, ale też zdarzenia niepożądanego, które może być efektem działania pracowników. Wystarczy niewłaściwe naciśnięcie przycisku, aby utracić dane i narazić firmę na znaczne straty – dodaje Włodzimierz Pyszczek, Allianz Polska

Odpowiednie ubezpieczenie chroni sprzęt i dane firmy

Klasyczne ubezpieczenia korporacyjne nie pokrywają w wystarczającym stopniu szkód spowodowanych utratą danych lub ich manipulacją. – Prosty przykład: jeśli złośliwe oprogramowanie wstrzyma kontrolę maszyny, a w rezultacie całą produkcję, jednak nie spowoduje żadnych uszkodzeń sprzętu, z punktu widzenia standardowego ubezpieczenia nie doszło do szkody. Dlatego w dzisiejszych czasach, niezwykle ważne jest rozszerzenie ochrony o dedykowane ubezpieczenia chroniące przed cyber atakami – komentuje Włodzimierz Pyszczek, Allianz Polska.

Cyber polisy chronią firmy nie tylko przed przestojami w produkcji czy zakłóceniami w działalności, ale zabezpieczają także ewentualne roszczenia klientów, które mogą wystąpić po ataku hakerskim lub innym nieuprawnionym ujawnieniu danych, w szczególności danych osobowych. Ten element jest obecnie szczególnie istotny, gdyż w ostatnim okresie, zwłaszcza w kontekście wejścia w życie przepisów RODO, obserwujemy znaczne podniesienie świadomości społecznej, jeśli chodzi o wagę ochrony prywatnych danych. Każdy przypadek ujawnienia danych powodować będzie dla firmy realne koszty, w tym: wynagrodzenie informatyków śledczych, prawników, a także grzywny i kary nakładane przez Urząd Ochrony Danych Osobowych (kary za ich utratę mogą sięgać do 20 milionów euro lub do 4% globalnych przychodów firmy). Koszty te mogą zostać zrefundowane polisą ubezpieczenia Cyber.

Każdorazowo przed wyborem ubezpieczenia, firmy powinny dokładnie przeanalizować własne ryzyko i potencjalne szkody, aby dobrać taki produkt, który będzie odpowiadał na ich potrzeby. Polityka bezpieczeństwa danych wymaga odpowiedniego zarządzania – zaczynając od opracowania strategii dotyczącej zabezpieczenia sieci i urządzeń mobilnych, a kończąc na odpowiednim przeszkoleniu pracowników w zakresie bezpieczeństwa i ochrony danych.

[1] https://www.pwc.pl/pl/media/2018/2018-02-06-pwc-cyber-ruletka-po-polsku.html

– Podmiot pełniący funkcję zespołu ds. bezpieczeństwa komputerowego i reagowania na incydenty (CSIRT), powinien realizować wyłącznie zadania o charakterze publicznym i niekomercyjnym. Jego funkcjonowanie na rynku konkurencyjnym, budzi istotne wątpliwości, szczególnie w sytuacji, gdy możliwość pozyskiwania (z mocy prawa) informacji od innych podmiotów stawia go w uprzywilejowanej pozycji – mówi dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Niepokoi przyznanie szerokich uprawnień CSIRT-om w zakresie możliwości żądania od operatorów telekomunikacyjnych udostępnienia informacji dotyczących ich działalności oraz przyjętych rozwiązań organizacyjno-technicznych. Wprowadzenie takich regulacji, w szczególności z pominięciem analizy ryzyka i bez uwzględnienia zasady adekwatności stosowanych zabezpieczeń do zidentyfikowanych ryzyk, może ograniczać swobodę działalności gospodarczej, a jednocześnie obniżać efektywność działań w obszarze cyberbezpieczeństwa.

– Wątpliwości budzi fakt, że do konsultacji z opóźnieniem skierowane zostały projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań. Ustawa powinna być konsultowana i procedowana w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi – dodaje dr Aleksandra Musielak.

Projekt ustawy nie przewiduje też jednego punktu zgłoszeń incydentów na poziomie krajowym, do którego można byłoby je zgłaszać, a do którego należałoby odpowiednie przekierowanie incydentu według właściwości. Takie rozwiązanie wydaje się efektywniejsze, niż zaproponowany, dość skomplikowany model zgłaszania poszczególnych kategorii incydentów.

W nowych przepisach nie ma również jednoznacznego określenia odpowiedzialności za obsługę incydentu poważnego. Z jednej strony spoczywa ona na operatorze, z drugiej zaś projekt ustawy przewiduje wprost uprawnienia CSIRT w zakresie obsługi incydentów poważnych, nie wskazując przy tym zasad ich przejmowania przez CSIRT oraz przyznając CSIRT pewne uprawnienia „władcze” wobec operatora (np. wezwanie za pośrednictwem organu właściwego do usunięcia podatności, żądanie informacji itd.). Tym samym, CSIRT miałby możliwość ingerencji w działalność jednostkowego operatora z pominięciem jakiejkolwiek odpowiedzialności za podejmowane wobec niego działania.

Autor: dr Aleksandra Musielak – Konfederacja Lewiatan

– W 2018 roku przychody przemysłu lotniczo-obronnego powinny wzrosnąć o około 4,1 proc. w porównaniu do roku poprzedniego. Na ten wynik składa się zarówno dobra kondycja sektora obronnego, jak i producentów samolotów pasażerskich. Według raportu „2018 Global aerospace and defense sector outlook. On a solid profitable growth path”, przygotowanego przez firmę doradczą Deloitte, globalne przychody całego sektora obronnego zwiększą się w tym roku o 3,6 proc., a wydatki na zbrojenia będą rosnąć w tempie średnio 3 proc. w latach 2017-2022. Z kolei branża lotnictwa cywilnego w tym roku odnotuje wzrost przychodów aż o 4,8 proc.

Globalne wydatki na obronność wyniosły w 2016 roku 1,68 bln dolarów, w 2017 roku było to 1,73 bln dolarów. Budżet obronny USA na poziomie 606,2 mld dolarów odpowiadał w 2016 roku za 36 proc. globalnych nakładów zbrojeniowych. Na skutek napięć w polityce światowej Rządy Indii, Rosji i Chin również zwiększały nakłady na zbrojenia (odpowiednio o 8,5 procent, 5,9 procent i 5,4 procent w porównaniu z rokiem 2015). Polska z wydatkami na poziomie 9,8 mld dolarów (2016 roku) znalazła się na 25 miejscu wśród krajów, które na obronność wydają najwięcej. – W obliczu przyszłości zdominowanej przez zagrożenia i globalne napięcia, mocarstwa rewidują swoje podejście do obronności. W tym roku przychody branży obronnej na świecie wzrosną prawdopodobnie o 3,6 proc., a wydatki przekroczą 2 biliony dolarów do 2022 r. W latach 2017-2022 średnia roczna stopa wzrostu globalnych wydatków na zbrojenia wyniesie około 3 proc. – mówi Piotr Świętochowski, Partner w Dziale Audit & Assurance, Ekspert ds. przemysłu obronnego, Deloitte. Szacowany zysk z działalności operacyjnej firm z branży obronnej wyniesie w tym roku 10,2 proc.

Na całym świecie wzrasta popyt na produkty przemysłu zbrojeniowego, a w obliczu rosnącego zagrożenia cyberprzestępczością państwa wzmacniają mechanizmy obronne. Wyższe wydatki na zbrojenia w Zjednoczonych Emiratach Arabskich, Arabii Saudyjskiej, Indiach, Korei Południowej, Japonii i innych krajach prawdopodobnie będą powodować podobne tendencje w krajach NATO, ponieważ liderzy nadal starają się zapobiegać potencjalnym zagrożeniom i utrzymać przewagę konkurencyjną. W 2022 wydatki krajów europejskich na obronność wyniosą prawdopodobnie około 372 mld dolarów, co będzie stanowiło 18,4 proc. nakładów globalnych. Liderem pod tym względem pozostanie USA.

Lotniczy boom

W związku z obserwowanym ożywieniem w światowej gospodarce i zwiększonym popytem na lotnicze przewozy pasażerskie, rynek lotnictwa cywilnego wzrośnie w tym roku o 4,8 procent, głównie dzięki zwiększeniu produkcji, która musi nadążać za rosnącym popytem. Zysk z działalności operacyjnej w przemyśle lotniczym na ten rok przewidywany jest na poziomie 18,5 proc.

W 2017 roku rynek lotów pasażerskich napędzał przede wszystkim region Azji i Pacyfiku. Prawdopodobnie w najbliższym czasie się to nie zmieni. Z wyliczeń Deloitte wynika, że globalny popyt na podróże lotnicze w ciągu ostatnich dziesięciu lat wzrósł o 5,1 proc. W 2008 roku linie lotnicze obsłużyły 2,5 mld pasażerów, w ubiegłym roku było to 4 mld. Pomiędzy 1981 a 2017 rokiem liczba podróżujących samolotami wzrosła pięciokrotnie. Wpływ na to zjawisko miały, m.in. taniejące bilety lotnicze. Średnia cena biletu lotniczego w 2017 roku wynosiła 355 dolarów, o 64 proc. mniej niż w 1996 roku.

Produkcja rośnie

Prognozuje się, że globalny popyt na nowe samoloty wzrośnie, roczna produkcja zwiększy się przez następną dekadę o 25 proc., a w ciągu najbliższych 20 lat powstanie 36 780 nowych samolotów.

– Nie zmienia to faktu, że najważniejsze problemy pozostają nierozwiązane. Portfel zamówień na produkcję samolotów w całym sektorze wyniósł na koniec 2017 ponad 14 tys. jednostek, co przekłada się na 9,5 roku produkcji. Spółki muszą skupić się na wzmacnianiu łańcucha dostaw, wprowadzeniu skutecznego i bardziej efektywnego zarządzania oraz wdrażaniu nowych, zaawansowanych technologii, które pozwolą poprawić wydajność – dodaje Piotr Świętochowski.

W 2018 roku zostanie wyprodukowanych o 100 samolotów więcej niż rok wcześniej, co oznacza wzrost do 1 585 jednostek. Zwiększenie produkcji jest planowane zarówno w tym, jak i w przyszłym roku. I tak w przypadku jednego z najpopularniejszych samolotów pasażerskich Boeinga 737 będzie to zwiększenie z 47 do 52 maszyn miesięcznie w 2018 i do 57 w 2019 roku.

Jak wskazują eksperci Deloitte wartość transakcji fuzji i przejęć w globalnej branży lotniczej i obronnej osiągnęła 51,5 miliarda dolarów w 2017 roku, mimo że liczba transakcji nieznacznie spadła w stosunku do 2016 roku.  Presja cenowa ze strony producentów sprzętu lotniczego i rozwój wysokomarżowych usług posprzedażowych skłania dostawców do konsolidacji w celu uzyskania korzyści skali i poprawy efektywności kosztowej.

Jak wskazuje raport Deloitte wciąż największymi firmami na świecie w sektorze A&D pozostaje Boeing, Airbus Group oraz Lockheed Martin. Przychody największych 20 przedsiębiorstw w tym sektorze wyniosły w 2017 roku 502,3 mld dolarów.

 

Continental, producent opon oraz wiodący dostawca rozwiązań dla branży motoryzacyjnej, stale rozwija technologie cyfrowe, które zapewnią ochronę przed szkodliwymi włamaniami do systemów sterowania pojazdów. W celu podniesienia swoich kompetencji oraz rozszerzenia możliwości produkcyjnych niemiecka firma technologiczna kupiła izraelski start-up Argus Cyber Security – światowego lidera w zakresie bezpieczeństwa cybernetycznego w samochodach osobowych i użytkowych. 

 Obecnie technologie informacyjne stają się integralną częścią obszarów, które do niedawna nie miały nic wspólnego z internetem. Jednym z nich jest motoryzacja. Według prognoz ekspertów do 2020 roku po drogach całego świata będą poruszać się setki milionów aut łączących się z siecią. Ta coraz bardziej zaawansowana informatyzacja pojazdów sprawia, że samochody mogą stać się potencjalnym celem cyberataków. Dlatego ,,komputery na kółkach” wymagają odpowiedniego zabezpieczenia zarówno w czasie postoju, jak i podczas jazdy. Zapewnienie bezpieczeństwa cybernetycznego w samochodach osobowych i użytkowych jest jednym z priorytetów Continental.

– Kupując firmę Argus, pozyskaliśmy jednych z najlepszych na świecie ekspertów w dziedzinie bezpieczeństwa cybernetycznego. Dzięki ich wiedzy i doświadczeniu zwiększyliśmy nasze kompetencje oraz zyskaliśmy możliwość opracowywania kompleksowych rozwiązań i usług mających na celu zminimalizowanie ryzyka narażenia pojazdów na ataki komputerowe. Dzięki połączeniu know-how Continental w zakresie motoryzacji z oferowanymi przez Argus technologiami z obszaru cyberbezpieczeństwa robimy ogromny krok w kierunku bezpiecznej i inteligentnej mobilności – powiedział Helmut Matschi, członek zarządu Continental oraz szef Działu Wnętrza.

Start-up Argus Cyber Security został założony w 2013 roku przez izraelskich ekspertów ds. bezpieczeństwa cybernetycznego. Zatrudnia ponad 70 osób i oferuje kompleksowe rozwiązania oparte na 38 uzyskanych patentach oraz zgłoszeniach patentowych. Aby pomóc producentom pojazdów szybko reagować na rosnące zapotrzebowanie na rozwiązania związane z bezpieczeństwem cybernetycznym, Argus nawiązał intensywną współpracę z kluczowymi graczami z branży motoryzacyjnej i z powodzeniem realizuje projekty na rzecz producentów oraz dostawców pojazdów na całym świecie. Główna siedziba firmy znajduje się w Tel Awiwie w Izraelu. Argus ma również przedstawicielstwa w Japonii, Niemczech i Ameryce Północnej (Detroit i Zachodnie Wybrzeże).

Cyberbezpieczeństwo w motoryzacji

Obie firmy będą wspólnie opracowywać i dostarczać technologie pozwalające na wykrywanie włamań oraz zapobieganie im, ochronę systemów narażonych na ataki komputerowe, monitorowanie bezpieczeństwa cybernetycznego flot, a także zarządzanie nimi za pośrednictwem centrum operacji bezpieczeństwa w celu ochrony pojazdów w terenie przez cały okres eksploatacji. Będą również dostarczać bezprzewodowo aktualizacje oprogramowania dla klientów na całym świecie. Technologia Argus, przetestowana przez czołowych producentów pojazdów, ich dostawców oraz niezależne osoby trzecie, wielokrotnie okazywała się lepsza od rozwiązań oferowanych przez konkurencję.

Profesjonaliści w dziedzinie cyberbezpieczeństwa w szeregach Continental

– Argus został założony z myślą o ochronie przed zagrożeniami cybernetycznymi wszystkich samochodów. W tym celu opracowaliśmy najbardziej wszechstronną ofertę bezpieczeństwa cybernetycznego w pojazdach. Połączenie sił z Continental i Elektrobit umożliwi nam dalszy rozwój – powiedział Ofer Ben-Noon, współzałożyciel i CEO Argus Cyber Security – W dzisiejszym świecie cyberbezpieczeństwo pojazdów staje się jednym z największych wyzwań stających przed branżą motoryzacyjną. Biorąc pod uwagę nowe przepisy dotyczące bezpieczeństwa cybernetycznego w pojazdach oraz miliony samochodów, które już są podłączone do sieci i jeżdżą po drogach na całym świecie, nie mogę wyobrazić sobie lepszego momentu niż dołączenie do Continental i EB właśnie teraz. Dzięki połączeniu naszych sił, najlepszych praktyk oraz wiedzy znacznie skrócimy czas wprowadzania nowych produktów na rynek oraz ułatwimy producentom pojazdów ochronę ich pojazdów przed atakami cybernetycznymi – dodaje.

 

Projekt ustawy o krajowym systemie cyberbezpieczeństwa nie gwarantuje zwiększenia poziomu cyberbezpieczeństwa, a nowe przepisy mogą zbytnio ingerować w działalność przedsiębiorstw i negatywnie wpłynąć na konkurencyjność polskiej gospodarki – uważa Konfederacja Lewiatan.

– Naszym zdaniem, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, (Zespół) który ma działać na poziomie krajowym, powinien realizować wyłącznie zadania o charakterze publicznym i niekomercyjnym. Jego funkcjonowanie na rynku konkurencyjnym, budzi istotne wątpliwości, szczególnie w sytuacji gdy możliwość pozyskiwania (z mocy prawa) informacji od innych podmiotów stawia go w uprzywilejowanej pozycji – mówi dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Pracodawcy zgłosili kilka uwag do projektu ustawy:

  1. Brak ograniczenia zakresu uprawnień nadzorczych i kontroli wyłącznie do obszaru związanego bezpośrednio ze świadczeniem usług kluczowych.
  2. Brak określania wymagań dla „specjalistów” angażowanych przez organy nadzorcze na potrzeby prowadzonych przez nie kontroli.
  3. Bardzo szerokie uprawnienia Zespołu w zakresie możliwości żądania od operatorów telekomunikacyjnych udostępnienia informacji dotyczących ich działalności oraz przyjętych rozwiązań organizacyjno – technicznych, a także przyznania organom nadzoru prawa do wydawania wiążących zaleceń. Wprowadzenie takich rozwiązań może ograniczać swobodę działalności gospodarczej, a jednocześnie obniżać efektywność prowadzonych działań w obszarze cyberbezpieczeństwa.
  4. Brak publikacji kluczowych aktów wykonawczych. Uwzględniając, że nowe obowiązki oraz ograniczenia prowadzenia działalności gospodarczej mogą być wprowadzane wyłącznie w drodze ustawowej, wątpliwości budzi fakt, że do konsultacji nie zostały skierowane projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań.  Ustawa powinna być konsultowana i procedowana w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi.
  5. Brak jednego punktu zgłoszeń incydentów na poziomie krajowym, do którego można byłoby je zgłaszać , a do którego kompetencji należałoby odpowiednie przekierowanie incydentu. Takie rozwiązanie wydaje się efektywniejsze, niż zaproponowany, dość skomplikowany model zgłaszania poszczególnych kategorii  incydentów.
  6. Brak jednoznacznego i nie budzącego wątpliwości określenia odpowiedzialności za obsługę incydentu poważnego. Z jednej strony odpowiedzialność za obsługę incydentu spoczywa na operatorze, z drugiej zaś projekt ustawy przewiduje wprost uprawnienia Zespołu w zakresie obsługi incydentów poważnych, nie wskazując przy tym zasad przejmowania przez niego incydentów do obsługi oraz przyznając mu pewne uprawnienia „władcze” wobec operatora (np. wezwanie za pośrednictwem organu właściwego operatora do usunięcia podatności, żądanie informacji itd.).

W kodeksie karnym wciąż brak jest takich pojęć jak cyberprzestępczość, przestępczość komputerowa, czy przestępczość internetowa. Biorąc pod uwagę potrzebę kompleksowego zmierzenia się ze zjawiskiem cyberprzestępczości, groźnym dla obywateli, przedsiębiorców, organów państwa, Lewiatan postuluje pilne podjęcie prac, dzięki którym wszelkie nieautoryzowane działania przy zabezpieczeniach systemów byłyby ścigane z mocy prawa. Można byłoby, m.in.  wzorować się na rozwiązaniach przyjętych w Stanach Zjednoczonych, gdzie próba naruszenia stosowanych przez przedsiębiorców zabezpieczeń jest przestępstwem federalnym.

 

 

źródło: Konfederacja Lewiatan

 

 

 

Z informacji, które opublikował portal zaufanatrzeciastrona.pl wynika, że doszło do wycieku danych ponad 57 tysięcy pracowników i współpracowników firmy InPost, listy użytkowników systemów informatycznych wraz z ich hasłami dostępowymi oraz listy około 140 klientów firmy. Opublikowane dane najprawdopodobniej pochodzą m.in. z aplikacji wspierającej zarządzanie ochroną danych osobowych w firmie. Szczegóły dotyczące sposobu przeprowadzenia samego ataku nie są w tej chwili znane.

Wyciek danych, z którym mamy tutaj do czynienia pokazuje, że przestępcy starają się wykorzystać najprostsze sposoby kradzieży poufnych informacji. Próba ataku na dobrze zabezpieczony system do zarządzania relacjami z klientem może być czasochłonna i wymagać sporych umiejętności. O wiele łatwiej jest włamać się do systemu, który dotychczas nie był w wystarczający sposób zabezpieczony, a jego zabezpieczenie nie było priorytetem dla kadry zrządzającej daną firmą. Luki w aplikacjach, brak realnych testów bezpieczeństwa, poleganie wyłącznie na formalnych procedurach i nagminne przechowywanie haseł w postaci nieszyfrowanej, ułatwiają przestępcom działanie. Nie pomaga również niska świadomość oraz brak inwestycji w cyberbezpieczeństwo przy jednocześnie rosnącej zależności firm od technologii. Przewidujemy, że ilość i skala wycieków danych będzie się zwiększać, a na pewno nasza wiedza na ich temat.

Europejskie rozporządzenie dotyczące ochrony danych osobowych, które zacznie obowiązywać w przyszłym roku wymagać będzie informowania regulatora o wyciekach danych w czasie nie dłuższym niż 72 godziny. Analiza wielu  incydentów pokazuje, że od ataku do wyprowadzenia danych z organizacji mijają minuty, godziny lub dni. Natomiast czas od złamania zabezpieczeń do zorientowania się, że do niego doszło liczony jest w dniach lub miesiącach. Większa część organizacji na polskim rynku do tej pory nie wdrożyła mechanizmów, które pozwalają na monitorowanie swojego bezpieczeństwa oraz szybkie reagowanie w przypadku potencjalnych incydentów. Czy zmienią to potencjalne kary nakładane przez regulatora liczone w milionach euro lub do 2 proc. światowego przychodu danej organizacji? Czas pokaże.

 

Autor komentarza: Marcin Lisiecki – Menedżer, Dział Cyberbezpieczeństwa, Deloitte

 

 

Nowoczesne technologie coraz bardziej wkraczają do naszego życia, często są obecne nawet tam, gdzie się ich nie spodziewamy. Tym samym nie mamy pojęcia, z której strony może zaskoczyć nas atak hakera. Chociaż wszyscy już wiemy,  jak istotne jest zabezpieczanie komputerów i telefonów, często zapominamy o innych urządzeniach podłączonych do sieci, np. o drukarkach. A te, jak przekonują eksperci, mogą być najsłabszym ogniwem łańcucha zabezpieczeń.

Bezpieczeństwo w biznesie

Jednak chociaż badanie PwC CEO Survey 2017pokazuje, że 61% prezesów największych światowych organizacji uważa cyberzagrożenia za jedno z największych niebezpieczeństw dla ich biznesu, w Polsce wciąż wielu przedsiębiorców nie do końca zdaje sobie sprawę ze skali cyfrowych ryzyk.

Według najnowszego raportu firmy PWC, w ostatnim roku w aż 96% średnich i dużych firm w Polsce doszło do ponad 50 incydentów związanych z naruszeniem bezpieczeństwa informacji lub systemów IT. W przypadku aż 64 % liczba takich zdarzeń była większa niż 500. Tylko w zeszłym roku w ten sposób straty spowodowane przez cyberprzestępców sięgnęły 3 biliony dolarów, a w 2021 suma ta ma osiągnąć 6 bilionów dolarów. W zeszłym roku w Wielkiej Brytanii , straty spowodowane przez cyberprzestępców były większe niż te spowodowane przez tradycyjnych kryminalistów.

Powyższe dane liczbowe potwierdzają, że cyberataki stanowią bardzo groźne zjawisko dla przedsiębiorstw i to niezależnie od ich wielkości. Skutecznie atakowane są zarówno największe korporacje jak i małe oraz średnie przedsiębiorstwa. Sytuacja ta podokazuje, że cyberbezpieczeństwo to przede wszystkim problem sektora prywatnego. Biorąc pod uwagę, że narzędzia hakerskie są coraz częściej ogólno dostępne, liczba ataków będzie tylko rosnąc. W Wielkiej Brytanii już dziś straty poniesione w wyniku działania cyberprzestępców przekraczają straty spowodowane przez klasycznych przestępców – komentuje Andrzej Kozłowski, ekspert Fundacji im. Kazimierza Pułaskiego.

Bezpieczeństwo druku

Stale analizujemy pomysły i zachowania hackerów, rozmawiamy z naszymi klientami o ich oczekiwaniach, współpracujemy ze sztabem najlepszych specjalistów z zakresu cyberbezpieczeństwa. Dzięki temu jesteśmy w stanie zaoferować naprawdę unikalne rozwiązania, także w obszarach, o których nikt dotychczas nie pomyślał, że mogą być niebezpieczne – mówi Tomasz Omelaniuk, ekspert firmy HP Inc Polska. Warto pamiętać, że dzisiejsza drukarka niewiele różni się od komputera i włamanie do niej to dla hakera nie tylko dostęp do dokumentów, które przez nią przepuszczamy, ale też furtka do całej naszej sieci firmowej, komputerów, serwerów, oprogramowania, a co za tym idzie, do bardzo cennych danych.

Jako jeden ze światowych liderów w dziedzinie bezpieczeństwa sprzętu komputerowego, pierwsze zabezpieczenia drukarek firma HP Inc. wprowadziła już w połowie lat 90. Wówczas była to możliwość zabezpieczania portów czy ustanawiania fizycznych blokad.

Dzisiaj, po ponad 20 latach, najnowsze światowe rozwiązania w dziedzinie bezpieczeństwa druku HP Inc. prezentuje we wprowadzanych właśnie na rynek drukarkach wielofunkcyjnych obsługujących format A3. Wśród zabezpieczeń, na które warto zwrócić uwagę znajdują się m.in. wykrywanie i odpieranie ataków w czasie rzeczywistym, automatyczny monitoring i wbudowane funkcje weryfikacji oprogramowania w celu powstrzymywania zagrożeń już w momencie ich pojawienia się.

Bezpieczeństwo od HP Inc.

W 2016 roku firma HP udostępniła wyniki analizy funkcji zabezpieczających porównując swoje drukarki z produktami tej samej klasy dostarczanymi przez konkurencję. Okazało się, że tylko HP Inc. oferuje kombinacje funkcji zabezpieczających, które monitorują urządzenie w celu wykrywania i automatycznego powstrzymywania ataków, a następnie same sprawdzają integralność oprogramowania podczas ponownego uruchomienia systemu.

Warto też pamiętać, że druk nie jest jedynym obszarem, w którym firma HP Inc. rozwija funkcje bezpieczeństwa. Także laptopy i komputery otrzymują najnowsze rozwiązania chroniące wrażliwe dane, a analizy przeprowadzone w tym obszarze wykazały, że laptopy HP (produkty z linii Elite) należą do najlepiej zabezpieczonych laptopów na świecie.

Źródło: HP Inc.

HP Inc. przedstawia pierwszą z wielu globalnych inicjatyw, których celem jest szerzenie świadomości z zakresu cyberbezpieczeństwa i przeciwdziałanie zagrożeniom  w sieci, na jakie narażone są zarówno firmy, jak i prywatni użytkownicy. Wydarzeniem otwierającym kampanię jest premiera nowego serialu internetowego „The Wolf” (tłum. Wilk) zrealizowanego przez HP Studios z udziałem znanego aktora  Christiana Slatera. Film prezentuje niebezpieczeństwa, na jakie  narażone są sieci korporacyjne,  a także sposoby na ochronę  przed atakami hakerów. 

Kim jest Wolf? 

Bohater serialu „The Wolf” systematycznie włamuje się do systemu firmy . Od sekretariatu po salę obrad zarządu – dzięki  słabo zabezpieczonym drukarkom i komputerom jest w stanie dostać się w każdy zakamarek wirtualnego świata należącego do korporacji. Tymczasem, jak dowiadujemy się z pierwszego odcinka serialu,  bezpieczeństwo nie należy już do obowiązków sieci ani nie jest czymś, co dotyczy peryferii systemu. Jest przedmiotem troski wszystkich pracowników.

Wraz z rozwojem nowych technologii i sieci powiązanych ze sobą urządzeń,  wzrasta stopień zagrożenia cyberatakami, przybierającymi coraz bardziej wyrafinowany charakter.  Ochrona sprzętu, danych jak i tożsamości to absolutna konieczność,  jeśli ludzie mają nadal ufać technologii i czuć się bezpiecznie w sieci – mówi Antonio Lucio, Dyrektor ds. Marketingu i Komunikacji HP. HP jest liderem prac nad rozwiązaniami, których  nadrzędnym celem jest znaczący postęp w zabezpieczaniu wirtualnego świata, a serial „The Wolf” to kreatywny sposób na edukację nie tylko dużych korporacji, ale także każdego, kto na co dzień korzysta z komputerów czy drukarek – dodaje.

Christian Slater po mistrzowsku wciela się w rolę przebiegłego hakera, co w połączeniu z jego popularnością w świecie cyberbezpieczeństwa sprawia, że stał się on idealnym bohaterem tego projektu. Projektu, którego celem jest wskazanie problemów z bezpieczeństwem, w wyniku których przedsiębiorstwa padają ofiarami cyberprzestepców. Oglądajcie serial, a dowiecie się, jak potoczy się historia filmowego Wolfa oraz w jaki sposób zagrożenia i podatność na nie zostają skutecznie zniwelowane innowacyjnymi rozwiązaniami HP Secure – zachęca Lucio.

O filmie i kampanii HP

Reżyserem serialu „The Wolf”  jest nominowany do nagród BAFTA Emmy Lance Acord, a montażystą – nagrodzony Oscarem Kirk Baxter.

Hakerzy to poważny i coraz powszechniejszy problem dla firm i indywidualnych użytkowników. Gdy HP poprosiło mnie o współpracę przy tym serialu, pomyślałem, że to znakomita okazja by pokazać ludziom, w jaki sposób najlepiej zabezpieczyć się przed cyberatakami – powiedział Christian Slater.

W trakcie kampanii i po jej zakończeniu HP będzie intensywnie angażować się w działania na rzecz bezpieczeństwa w sieci.  Alianse partnerskie, liczne wydarzenia i innowacje technologiczne zastosowane w  najbezpieczniejszych urządzeniach i oferowanych rozwiązaniach to tylko niektóre z nich.

Stwierdzenie o „najbezpieczniejszych na świecie drukarkach” opiera się na przeglądzie opublikowanych w 2016 roku opracowań na temat funkcji bezpieczeństwa w konkurencyjnych drukarkach tej samej klasy. Tylko HP oferuje połączenie funkcji z zakresu bezpieczeństwa, które monitorują działanie urządzenia tak, by wykryć i natychmiast powstrzymać atak, a następnie samodzielnie zweryfikować integralność oprogramowania podczas restartu urządzenia. Stwierdzenie o „najbezpieczniejszych komputerach na świecie” opiera się na unikatowych i kompleksowych możliwościach z zakresu bezpieczeństwa, dostępnych bez ponoszenia dodatkowych kosztów wśród sprzedawców o rocznej wielkości sprzedaży ponad 1 mln jednostek asortymentowych, wg stanu na listopad 2016 roku, w kategorii komputerów z serii HP Elite wyposażonych w procesory 7. generacji Intel® Core®, zintegrowane rozwiązania graficzne Intel®, oraz Intel® WLAN.

 

Źródło: HP Inc

Ochrona przed cyfrową przestępczością staje się coraz bardziej istotna. Świadczą o tym nie tylko rządowe plany budowy systemów obrony dla wojska, ale również inwestycje firm z sektora bankowego, a ostatnio również energetycznego. Cyberbezpieczeństwo stało się więc priorytetem dla firm w Polsce, a jak prognozują eksperci firmy Qumak – znaczenie cyberobrony w przedsiębiorstwach i instytucjach rządowych będzie rosło.

Tworzenie rozwiązań mających na celu obronę przed atakami oraz wykrywaniem przestępczości w sieci stało się już priorytetem wielu organizacji, w tym również administracji rządowej. Wpływa na to zarówno rozwój technologiczny, jak i zmieniający się układ geopolitycznych sił, w których Polska odgrywa znaczącą rolę. Niedawno Ministerstwo Obrony Narodowej zapowiedziało inwestycje w rozbudowę zdolności w cyberprzestrzeni, na którą przeznaczy 1 mld złotych. Mogą one objąć budowę laboratorium służącego do prowadzenia badań oraz rozwoju systemów i sieci teleinformatycznych, czy zakup systemu do analizy ruchu sieciowego. W cyberobronność inwestuje również MSWiA. Pod koniec 2016 roku ministerstwo uruchomiło w Komendzie Głównej Policji Biuro do walki z Cyberprzestępczością, które ma wprowadzać najnowsze rozwiązania technologiczne w tym zakresie. Chęć zwiększenia udziału technologii w zwalczaniu i wykrywaniu cyberprzestępczości potwierdza również ostatni kontrakt firmy Qumak z Komendą Główną Policji na outsourcing specjalistów IT z różnych dziedzin, którzy będą realizować ogólnopolskie projekty informatyczne. To dopiero początek działań mających na celu wzmocnienie bezpieczeństwa, ale już widać, że będzie to strategiczny obszar inwestycyjny.

Bankowość i energetyka bronią się równie mocno

Instytucje bankowe od dłuższego czasu inwestowały w takie rozwiązania, ale wyraźnie widać, że nie zwalniają tempa, a doskonalenie zabezpieczeń jest dla nich kwestią priorytetową. W cyberbezpieczeństwo zaczęła także inwestować branża energetyczna. W minionym roku dla firm z obu tych branż Qumak zrealizował projekty dotyczące zarządzania cyberbezpieczeństwem o łącznej wartości przekraczającej 7,7 mln zł netto. Inwestycje te z pewnością będą kontynuowane ze względu na realnie występujące zagrożenie. Obszar ten jest również jednym z kluczowych, na którym koncentruje się Qumak w swojej nowej strategii rozwoju na lata 2017-2020 – mówi Krzysztof Tyl, Dyrektor Centrum Kompetencyjnego Business Continuity & Data Security w Qumak S.A.

Zapewnienie odpowiedniej obrony wymaga konkretnych inwestycji. W przypadku kontraktów zrealizowanych przez Qumak kluczowym było wdrożenia systemów klasy SIEM (ang. Security Information and Event Management), opartych o rozwiązanie IBM Qradar. Zaimplementowane systemy stanowią kluczowy element powstających w tych instytucjach centrów zarządzania bezpieczeństwa tzw. Security Operations Center (SOC) oraz są centralnym miejscem do zarządzania bezpieczeństwem całej firmy. Dzięki nim możliwe jest m.in. rozliczanie zasad bezpieczeństwa pracowników, reagowanie na incydenty zewnętrzne i wewnętrzne, wykrywanie anomalii sieciowych oraz stała automatyczna analiza setek milionów zdarzeń dla różnych scenariuszy cyberataków. Dodatkowo prace przy budowie takich zabezpieczeń obejmowały również dostawę, i konfigurację systemu, projekt architektury, integrację ze środowiskiem IT Klienta, projekt mechanizmów korelacji i raportowania. Konieczna była również integracja źródeł logów i źródeł kontekstowych oraz wdrożenie mechanizmów korelacji (UC) i raportowania.

Systemy cyberbezpieczeństwa przynoszą dodatkowe korzyści

Zrealizowane przez Qumak wdrożenia pozwoliły m.in. na usystematyzowanie informacji o zabezpieczeniach stosowanych w firmie, rozpowszechnianiu wiedzy o bezpieczeństwie wśród administratorów, odpowiadanie na zalecenia audytowe oraz przyspieszenie rozwiązywania problemów w działaniu systemów IT. W cyberbezpieczeństwo będą inwestować kolejne sektory. Dziś nie ma już od tego odwrotu. Jeśli firmy chcą bezpiecznie prowadzić biznes, wykorzystując technologie i Internet, to będą musiały wdrożyć takie rozwiązania, aby zabezpieczyć się przed działaniami cyberprzestępców.

Źródło: biznesalert.pl

Rok 2017 to czas, jaki mają polskie firmy na dostosowanie się do nowych unijnych rozporządzeń o ochronie danych osobowych, znanych pod skrótem GDPR (General Data Protection Regulation). Jeśli tego nie zrobią, grożą im kary w wysokości do 20 milionów euro lub 4 proc. rocznego obrotu.

Nowa europejska regulacja będzie obowiązywać od maja 2018 roku we wszystkich krajach UE. Wydaje się to dość odległym terminem, ale skala wyzwań związanych ze spełnieniem wymogów nowych regulacji jest na tyle duża, że przygotowania należy zacząć jak najwcześniej. Odpowiedzi na najczęściej zadawane pytania związane z tymi wyzwaniami przygotowała firma Onwelo SA, która m.in. zajmuje się usługami doradczymi i wykonawczymi w zakresie cyberbezpieczeństwa.

Jakie firmy muszą się dostosować do nowych przepisów?

Nowe przepisy w zakresie ochrony danych osobowych będą obowiązywały każdą firmę, która przetwarza dane osobowe w sposób automatyczny. W tej grupie są np. serwisy społecznościowe, sklepy internetowe, apteki, uczelnie, towarzystwa ubezpieczeniowe czy banki.

Należy pamiętać, że nowe obowiązki dotyczą tych firm i instytucji, które przetwarzają dane osobowe obywateli któregoś z państw UE lub gdy przetwarzanie danych odbywa się choćby w minimalnym stopniu na terenie UE – np. przez fizyczną lokalizację siedziby bądź oddziału firmy na terenie państwa członkowskiego” – tłumaczy Rafał Głąb, odpowiedzialny za usługi w zakresie bezpieczeństwa danych w Onwelo.

Czy muszę zatrudnić odrębną osobę do ochrony danych osobowych?

Wedle regulacji GDPR, wymóg zatrudnienia osoby odpowiedzialnej za ochronę danych osobowych jest obligatoryjny, ale jedynie w kilku przypadkach. Dotyczy to:

  • wszystkich podmiotów publicznych (poza organami sądowymi),
  • firm, których główna działalność polega na przetwarzaniu szczególnych danych osobowych, np. danych etnicznych, rasowych, dotyczących seksualności, poglądów politycznych, religijnych, czy też np. wyroków z przeszłości,
  • firm, które monitorują zachowanie osób i jednocześnie przetwarzają ich dane osobowe (pod tę definicję pochodzi np. Facebook albo Google).

Osoba na stanowisku Inspektora/Oficera Ochrony Danych może być wspólna dla grupy firm czy instytucji, o ile jest z nią zawsze łatwy kontakt niezależnie od geograficznego położenia każdej z firm czy instytucji.

Co to jest „Data Protection Impact Assessment” i czy muszę go mieć?

Każda z firm, która w automatyczny sposób przetwarza dane osobowe i z tego powodu podlega pod nowe regulacje, musi stworzyć sformalizowaną i udokumentowaną ocenę skutków ochrony danych (z ang. – „Data Protection Impact Assessment”).

Takie opracowanie musi zawierać dokładny i systematyczny opis celów przetwarzania danych, a także planowanych operacji z tym związanych. Należy także wyjaśnić jaki to ma związek z działalnością organizacji. Dokument musi zawierać także ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne do wyznaczonych celów, a także oszacowanie ryzyka naruszenia praw lub wolności osób, których dane są przetwarzane. Każda organizacja musi także przedstawić środki planowane w celu zaradzenia potencjalnemu ryzyku. Każdorazowo w przypadku zmiany ryzyka trzeba też korygować DPIA” – wyjaśnia Marcin Baranowski, ekspert ds. bezpieczeństwa IT w firmie Onwelo.

Jeśli ocena wykaże, że ryzyko naruszenia danych osobowych jest wysokie, administrator danych ma obowiązek skonsultowania się z organem nadzorczym przed rozpoczęciem przetwarzania danych. Ten w terminie do 8 tygodni (przedłużalne do 14 tygodni) wydaje pisemne zalecenia, w jaki sposób należy to ryzyko zminimalizować.

Na co jeszcze należy uważać, aby uniknąć kar?

GDPR wprowadza także szereg zmian w już istniejących przepisach dot. ochrony danych osobowych, które będą musiały znaleźć odzwierciedlenie w regulaminach i polityce prywatności firm. Konieczne będzie np. udokumentowanie każdego z miejsc i zakresu przetwarzania danych, uzupełnienie wszystkich wymaganych zgód, w sposób widoczny i jawny, a także wdrożenie narzędzi do monitorowania procesu przetwarzania danych i do alarmowania o wykrytych nieprawidłowościach.

Każdorazowo informacja o naruszeniu danych osobowych będzie musiała być przekazywana do GIODO, a także do wszystkich osób, których dane zostały naruszone. Jeśli kontakt z takimi osobami wymagałby niewspółmiernie dużego wysiłku, będzie można wydać np. publiczny komunikat. Zgłoszenie o naruszeniu danych musi zawierać opis charakteru naruszenia, imię, nazwisko i dane kontaktowe do administratora danych, a także opis możliwych konsekwencji naruszenia oraz środków podjętych w celu zaradzenia naruszeniu danych. Jeśli zgłoszenie o naruszeniu danych osobowych zostanie przekazane po 72 godzinach, będzie także należało dołączyć wyjaśnienie przyczyn opóźnienia” – tłumaczy Rafał Głąb.

Czy należy bać się GDPR?

Nowe przepisy z pewnością będą uciążliwe do wdrożenia, w szczególności dla małych firm czy e-sklepów. Dostosowanie się do nowych regulacji będzie wymagało od nich przejrzenia już istniejących regulacji w zakresie ochrony danych osobowych, istniejących procedur i narzędzi, a następnie uaktualnienia ich w zgodzie z nowymi przepisami. Dla większych firm, które przetwarzają duże ilości danych osobowych i gdzie ryzyko ich naruszenia jest większe, będzie to także duże wyzwanie. Będą one musiały dołożyć wszelkich starań, aby odpowiednio zabezpieczyć przetwarzane przez siebie dane osobowe i tym samym nie narazić się na drakońskie kary.

Przy tym wszystkim należy jednak pamiętać, że nowe regulacje zostaną wprowadzone z myślą o ochronie nas wszystkich i myślę, że to dobrze, że przetwarzające nasze dane osobowe firmy i instytucje będą musiały starać się to robić tak bezpiecznie, jak to tylko możliwe” – podsumowuje Rafał Głąb.

Źródło: www.onwelo.pl

Niedawne ataki DDoS przeprowadzone przy użyciu zainfekowanych urządzeń na firmę hostingową OVH są kolejnym przykładem na to, z jak ogromnym problemem musi sobie radzić obecnie biznes. Hakerzy stworzyli sieć botnet zawierającą 150,000 inteligentnych urządzeń w celu przeprowadzenia 1-terabitowego ataku, który miał być największą tego typu akcją w historii.  Poprzedni rekord należał do hakerów, którzy tydzień wcześniej przeprowadzili atak o wielkości 620 gigabitów na stronę internetową amerykańskiego dziennikarza Briana Krebsa.

Oczywistym jest, że zagrożenia zwiększają się zarówno pod względem wielkości jak i poziomu skomplikowania. To sprawia, że również potencjalne szanse na bycie zaatakowanym stają się jeszcze bardziej prawdopodobne.

Poniżej zebraliśmy pięć najważniejszych trendów, na które każdy, kto prowadzi biznes powinien zwrócić uwagę w najbliższych miesiącach:

Ataki DDoS na urządzenia Internet of Things

Urządzenia powiązane z koncepcją Internet of Things (Internet Rzeczy) są obecnie na fali wznoszącej, co niekoniecznie przekłada się na ich bezpieczeństwo.  Luki w zabezpieczeniach smart-urządzeń, które zalewają rynek, stają się łatwym celem dla cyberprzestępców wykorzystujących coraz częściej proste urządzenia, takie jak na przykład kamery przemysłowe. Wspomniany wcześniej przypadek firmy OVH stanowi instrukcję dla kolejnych hakerów, będących w stanie za pomocą kilku kliknięć wykorzystać moc tego typu urządzeń i spowodować ogromne spustoszenie, które mogą ograniczyć działanie firmowych stron internetowych i innych istotnych procesów.

Nadchodząca dyrektywa GDPR

 Mimo, że rozporządzenie o ochronie danych wejdzie w życie w maju 2018 roku, każda firma już dzisiaj powinna je mieć na uwadze, zważywszy na fakt jak długo może zająć dostosowanie się do nowych wytycznych. Z uwagi na fakt, że kary są surowe (maksymalnie 4% globalnego rocznego przychodu), przedsiębiorcy muszą jak najszybciej doprowadzić do ładu swoją infrastrukturę.

Elementy związane z ochroną danych osobowych, które nie będą umieszczone w GDPR, takie jak prawo do bycia zapomnianym czy prawo przenoszalności danych, mogą spowodować spore utrudnienia. Dzieje się tak, gdyż dla wielu organizacji zakres w jakim posiadają one dane na temat swoich klientów jest nieznany, zarówno pod względem wolumenu, jak i lokalizacji. Największym wyzwaniem stojącym przed organizacjami jest zrozumienie, za jaki wolumen danych są one odpowiedzialne. W momencie, gdy w przyszłości doświadczą wycieku danych, będą narażone na straty finansowe oraz utratę budowanej przez wiele lat reputacji.

Wygoda działań w chmurze

Wiele organizacji wybiera chmurę i przenosi do niej całą swoją infrastrukturę, gdyż ma nadzieję na rozwój biznesu. Niestety wciąż istnieje wiele wątpliwości związanych z kwestiami bezpieczeństwa rozwiązań chmurowych.

Czy firmy korzystające z rozwiązań chmurowych wiedzą jak w bezpieczny sposób korzystać z tego rozwiązania?

Czy zdają sobie sprawę, kto tak naprawdę posiada dostęp do ich informacji, biorąc pod uwagę fakt, że dane nie leżą już na serwerach wewnętrznych?

Firmy technologiczne pomagają organizacjom w zabezpieczeniu procesu przenoszenia danych do chmury. Przykładem mogą być rozwiązania Cloud Access Security Broker (CASB). Wprowadzają one polityki bezpieczeństwa przedsiębiorstwa do usług zawartych w chmurze, dając zespołom IT kontrolę nad tym, kto może mieć do nich dostęp i zapewniając jednocześnie odpowiedni poziom zaszyfrowania firmowych danych.

Bezpieczeństwo aplikacji

Organizacje, które w wysokim stopniu opierają swoją działalność na aplikacjach, powinny zwrócić szczególną uwagę na użytkownika końcowego oraz ochronę jego danych logowania.

Obecnie coraz częściej mamy do czynienia z pracownikiem mobilnym, który korzysta z wielu aplikacji na różnych urządzeniach i w różnych miejscach. Każdy słaby punkt w tej układance, jak na przykład zainfekowany telefon komórkowy, może okazać się dla cyberprzestępców kluczem do wrót królestwa. Jeśli wspomniany przestępca będzie w stanie uzyskać informacje na temat poszczególnych pracowników i ich danych logowania, dostęp do wszystkich innych danych nie będzie dla niego problemem.

Przesuwając zainteresowanie i zasoby z trochę staromodnych zabezpieczeń firewallowych na zabezpieczenia na poziomie aplikacji i świadomości samych użytkowników organizacja może skutecznie zwiększyć swoje bezpieczeństwo.

Zarządzanie dostępem

Wzrost popularności chmury doprowadził do powstania nowego ekosystemu, tworzonego przez dostawców usług zewnętrznych.

Obecnie, pracownicy mogą uzyskać dostęp do różnych portali online, od sprzedaży po usługi finansowe czy zarządzanie urlopami – wszędzie na podstawie tej samej autoryzacji użytkownika.

Gdy pracownik opuszcza firmę, powstaje obawa, że będzie on miał nadal dostęp do wewnętrznych systemów organizacji na podstawie indywidualnych danych do logowania. Jeśli nie zostaną one wykasowane na czas.

W związku z tym przedsiębiorstwa powinny inwestować w technologie, które pozwalają na uwierzytelnianie użytkownika za każdym razem, gdy loguje się on do systemu wewnętrznego. Nakładając na siebie odpowiedzialność za dane pracowników, korporacje mogą wzmocnić swoją pozycję „stróża” i przyczynić się do lepszej ochrony przeciw różnego rodzaju oszustwom.

Podsumowanie

Każda pomyłka przy rozpoznaniu czy śledzeniu aktualnych zagrożeń, których przykłady wymienione zostały powyżej, może mieć negatywne skutki dla funkcjonowania firmy.

Lata stosowania dobrych praktyk i ciężko zdobytej lojalności klientów mogą być zniweczone przez jednego hakera kilkoma kliknięciami. Dzięki szybkiej identyfikacji zagrożeń, inwestycje w odpowiednią infrastrukturę oraz edukację swoich użytkowników w dziedzinie cyberbezpieczeństwa, przedsiębiorstwa mogą być o krok przed hakerami i zwiększyć prawdopodobieństwo, że rok 2017 będzie dla biznesu pomyślny.

Autor: Ireneusz Wiśniewski, Dyrektor Zarządzający w F5 Networks

 

Branża finansowa, medyczna i motoryzacyjna znalazły się w centrum zainteresowania cyberprzestępców na świecie w 2016 roku. Nie obyło się także bez spektakularnych wycieków danych, a bezpieczeństwo w sieci stało się jednym z głównych tematów. W Polsce wciąż najczęstszymi ofiarami ataków są klienci banków – pisze w swoim podsumowaniu roku Marcin Ludwiszewski, dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte.

Polska
Rok 2016 przyniósł nam strategię cyberbezpieczeństwa. Od pierwszych opracowań wskazujących istotność tego tematu (2004 rok – Zespół do spraw krytycznej infrastruktury teleinformatycznej powołany decyzją Przewodniczącego Kolegium ds. Służb Specjalnych) minęło ponad 10 lat. Wydaje się, że od tego czasu, jesteśmy najbliżej momentu stworzenia finalnego projektu systemu ochrony cyberbezpieczeństwa państwa opartego o stosowną ustawę. Istotną przeszkodą może być budżet, którego wartości nie określono w treści przedstawionej strategii.

Wydaje się również, że 2016 był przełomowy w tym względzie dla banków w Polsce, które zdobyły zaufanie pomagając stronie rządowej w procesie potwierdzania tożsamości obywateli w programie 500+. Bardzo prawdopodobny jest trend dalszego rozbudowywania tego typu usług. Sprzyjają temu strategiczne plany cyfryzacji państwa i dotychczasowy brak kompleksowych rozwiązań tego typu po stronie rządowej.

Ciekawym wątkiem były również doniesienia o atakach na klientów banków z wykorzystaniem ich kont użytkowników systemów należących do operatów telekomunikacyjnych. Potwierdzają one, że zaproponowanie nowych usług i produktów dla klientów powinno być poprzedzone analizą ryzyka. Istotny jest najsłabszy punkt w ekosystemie płatności (bank, telekom, użytkownik), więc w tym sensie włączanie udogodnień dla użytkowników (usługa typu SMS to EMAIL) może zwiększać zagrożenie kradzieży. Pomimo sukcesów polskiej Policji i Prokuratury – szczególnie znaczące w tym roku było rozbicie grupy przestępczej w Lubelskiem, która miała charakter międzynarodowy i ukradła prawie 100 mln złotych m.in. wykorzystując oprogramowanie Timba.Klienci banków cały czas odczuwali zainteresowanie cyberprzestępców, zarówno poprzez kampanie typu phishing, jak i próby infekcji kolejnym iteracjami złośliwego oprogramowania. Jednocześnie w 2016 odnotowaliśmy cały czas popularne ataki typu skimming.

Świat
Sektor finansowy, który od lat jest na celowniku przestępców, przeszedł przede wszystkim prawdziwe tsunami spowodowane ujawnionymi w 2016 roku wcześniejszymi atakami o charakterystyce APT na system SWIFT (skradzione ponad 81 milionów dolarów w ataku na Bank Centralny w Bangladeszu, 12 milionów w Banko del Austro w Ekwadorze, i doniesienia o próbach ataków na banki w 12 innych krajach).

W 2016 przedstawiono również realne próby ataków na karty kredytowe – naukowcy z Uniwersytetu Newcastle odkryli, że system autoryzacji płatności kartami VISA w Internecie jest podatny na rozproszone ataki zgadywania prawidłowego numeru karty, jej daty ważności oraz kodu CVV. Natomiast ponad 9 tysięcy klientów brytyjskiego Banku Tesco padło ofiarą prawdziwej kradzieży (suma ich strat sięgnęła około 2,5 mln funtów). Prawdopodobną przyczyną problemów banku Tesco były sekwencyjnie nadawane numery kart płatniczych, co jak nietrudno zauważyć, znacząco zwiększało szansę trafienia prawidłowej kombinacji. W tym roku również firma Group IB opisała serię ataków na systemy zarządzania bankomatami (inne niż znany wcześniej ataki tego typu np. poprzez malwareTyupkin) w bankach na całym świecie. Według autorów raportu udokumentowane ataki miały miejsce na Tajwanie i w Tajlandii a przestępcy prawdopodobnie próbowali także atakować banki w Polsce, Rosji, Wielkiej Brytanii, Holandii, Hiszpanii, Rumunii, Estonii, Bułgarii, Gruzji, Mołdawii, Kirgistanie, Armenii i Malezji. Jakkolwiek scenariusze na pewnym etapie wymagały specjalistycznej wiedzy i narzędzi, początkowym wektorem ataku był atak socjotechniczny ukierunkowany na pracowników banku – w wiadomości email nadawca podszywał się pod Europejski Bank Centralny lub dostawcę rozwiązań bankomatowych a do wiadomości dołączony był spreparowany dokument RTF wykorzystujący błąd CVE-2015-1641 (typu „memorycorruption”), który umożliwia przejęcie kontroli nad stacją użytkownika. Celem przestępców nie zawsze były ataki na kanały bankowości elektronicznej. W jednym z banków w Liechtensteinie, atakujący po tym jak wykradł dane klientów z banku oczekiwał „wsparcia” finansowego od klientów banku grożąc ujawnieniem ich danych finansowych.

W tym roku wyraźnie zaznaczył się również trend zainteresowania sektorem medycznym i motoryzacyjnym. Sektory te narażone są na zupełnie nowe kategorie zagrożeń, których nie doświadczały jeszcze kilka lat temu. Można stwierdzić, że szpitale stały się idealnym celem dla wymuszania okupu nie tylko z powodu oprogramowania złośliwego typu ransomware (np. Hollywood PresbyterianMedical Center), ale również w wyniku kradzieży danych medycznych i groźby ich ujawnienia (klinika sportowa w Atlancie). Cyberprzestępcy nauczyli się, że potencjalne zagrożenie zdrowia lub życia pacjenta bardziej motywuje do płacenia haraczu (zakładając, że szpital sam ma środki, aby taki okup zapłacić). W niedawnym badaniu firmy NCC Group szpitalom w Wielkiej Brytanii zadano pytanie, czy w ciągu ostatniego roku padły ofiarą ataku ransomware. 31 odmówiło odpowiedzi, 28 przyznało że było skutecznie zaatakowanych a jedynie 1 szpital poinformował, ze w ostatnim roku nie odnotował tego typu incydentów. W tym roku ujawniły się również liczne słabości samych urządzeń medycznych. W 2016 roku w 9 krajach Deloitte przeprowadził badanie 24 szpitali pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci. Wynika z niego, że urządzenia posiadają hasła fabryczne, nie szyfrują komunikacji sieciowej, a w swoim cyklu życia ujawniają wiele podatności, którymi nikt nie zarządza. Potwierdziły to na przykład informacje o ujawnionych w 2016 roku podatnościach m.in. rozruszników i defibrylatorów firmy St. JudeMedical.

W branży motoryzacyjnej, w 2016 roku mogliśmy usłyszeć o udanych atakach na pojazdy marek niemieckich, japońskich i przynajmniej jednym ataku na producenta amerykańskiego. Natomiast Fiat, Chrysler oraz Tesla poinformowały o uruchomieniu programów Bug Bounty (wynagradzanie za zgłaszanie producentom znalezionych błędów w oprogramowaniu). Na konferencji Usenix badacze mieli pokazać, że pojazdy takich marek jak Volkswagen, Audi, Skoda, Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel oraz Peugeot wyprodukowane w ciągu ostatnich 20 lat są podatne na prosty w przeprowadzeniu atak kryptograficzny na system otwierania pojazdu. Wprowadzanie więc zasad „security by design”, analizy ryzyka i procesów monitorowania oraz odpowiedzi na incydenty stało się częścią życia producentów aut. Z resztą, wystarczy spojrzeć na ilość interfejsów udostępnianych w nowych pojazdach – USB, OBD II, Bluetooth, ECU, ADAS, DSRC, TPMS, i wiele więcej. Być może Euro ENCAP powinien rozważyć dodatkowe gwiazdy za bezpieczeństwo w klasie: Internet of Things.

Jeśli chodzi o trendy zagrożeń, istotny był również wzrostowy trend ataków tupu DDoS (odmowa usługi) z wykorzystaniem botnetów różnych urządzeń sieciowych (Internet of Things). Oprogramowanie złośliwe Mirai wykorzystywało podstawowe luki (np. hasła domyślne), aby infekować urządzenia (np. zdalne kamery, routery domowe), które tworząc botnety o wielkości do kilkuset tysięcy urządzeń były narzędziem do prowadzenia ataków DDOS na inne cele. Skutki takich ataków odczuli m.in. klienci firmy hostingowej OVH oraz firmy DYN, która świadczy m.in. usługi DNS dla wielu firm, w tym Amazona, Netflixa czy Twittera. Na świecie warto odnotować również akcję The ShadowBrokers – w sierpniu i grudniu opublikowane zostały dane określane jako narzędzia dedykowane do działań ofensywnych amerykańskiej Narodowej Agencji Bezpieczeństwa (NSA) stosowane przez departament Tailored Access Operations. Chyba nikt nie ma wątpliwości, jakie możliwości miała NSA już wiele lat temu.

Rok 2016 to również megawycieki, a właściwie w niektórych przypadkach ujawnienie wycieków, które wydarzyły się do kilku lat wstecz. Poza Mossak Fonseca, Yahoo i Linkedin przestrogą dla wszystkich powinna być współpraca dostawcami – w przypadku Michael Page i Capgemini – skutkująca wyciekiem 30GB danych klientów Michael Page. O podstawowych zasadach bezpieczeństwa przypominały nam stale informacje o poważnych (lub jak się okazywało później mniej poważnych) lukach w produktach każdego dużego producenta. Błędy nie ominęły też otwartych implementacji (m.in. OpenSSL, SSH, itd.). Inne ujawnione ciekawe ataki i błędy to m.in. DirtyCow w Linuxie (nieuprawnione lokalne podniesienie uprawnień), Bad Tunnel pokazany na Black Hat oraz potencjalny błąd w TorBrowser (również Firefox) umożliwiający prowadzenie ataków na użytkowników sieci Tor.

W wakacje izraelska firma NSO pokazała serię 0 Day na najnowszą wersję systemu iOS umożliwiająca przejęcie pełnej kontroli nad iPhonem poprzez kliknięcie w odpowiednio spreparowany link wysłany w wiadomości SMS. Warto zaznaczyć, że firma Zerodium za podatności 0 Day m.in. na system operacyjny iOS 10.x, płaci do 1 500 000 USD. A jeśli chodzi o kwoty w dolarach, to firma Cymmetria w tym roku wprowadziła swojego rodzaju polisę dla użytkowników swojej platformy do wykrywania ataków APT. Warunki programu zakładają, że klient otrzyma do 1 miliona dolarów, jeżeli zostanie potwierdzone, że atak APT, którego padł ofiarą, nie został wykryty przez opisywaną platformę.

Na koniec, trendem wartym odnotowania jest również na pewno dynamiczny i wszechobecny wzrost użycia słowa „cyber”. W 2016 roku mieliśmy więc chroniące nas cyberpatrole, ale również cyberłącza, cybermonday i cyberkalifat.

Autor: Marcin Ludwiszewski, dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte

2016 okazał się rokiem coraz bardziej zaawansowanych i niszczących cyberataków. W jaki sposób wpłynie to na cyfrowy świat w przyszłym roku? Portal enterpriseinnovation.net pyta ekspertów firm zajmujących się bezpieczeństwem.

Nowa zimna wojna na cyfrowym polu bitwy
Artykuł 5 Paktu NATO uznaje cyberataki za akty wojny. Coraz więcej krajów jest skłonnych przeprowadzać cyberataki do osiągnięcia swych politycznych celów. Nieuczciwi hakerzy mogą manipulować wydarzeniami, a generalnie cyberterroryzm staje się rosnącym problemem.

Zagrażają nam autonomiczne maszyny
Stoimy wobec widma autonomicznych maszyn zaprojektowanych w celu wyszukiwania podatności na sieciowe ataki. Będzie to rosnące zagrożenie w przyszłym roku, prowadzące do swoistego wyścigu zbrojeń. Samodzielnie funkcjonujące maszyny mogą być tworzone przez nieuczciwych hakerów (w tym również działające na rzecz państw), by szkodzić narodowym cybersystemom uważanym za przeciwników.

Platformy głosowe
Będą się zmieniały sposoby dostępu do sieci, danych i aplikacji. Pojawią się systemy sztucznej inteligencji aktywowane głosem. Istniejący w nich asystenci będą się dostosowywać do zachowań i oczekiwań użytkowników, biorąc pod uwagę ich wcześniejsze doświadczenia. Mogą one nawet ograniczać ich samodzielność. W przyszłym roku znacząco wzrośnie liczba aplikacji takich jak znane nam już Siri czy Alexa, co spowoduje nowe zagrożenia.

Zmiana pokoleniowa
Tak zwani millennialsi są przedstawicielami kulturowej zmiany, której następstw prawdopodobnie nie potrafimy sobie jeszcze wyobrazić. Może ona zagrozić polityce cyberbezpieczeństwa w przedsiębiorstwach, ponieważ ci młodzi ludzie bardzo chętnie dzielą się osobistymi informacjami. ponieważ ciągle zmieniają normy kulturowe, w tym również w pracy, coraz częściej firmowe systemy mogą być narażone na cyberataki.

Ochrona danych
W 2017 roku zabrzmi ostatni dzwonek przed wprowadzeniem Ogólnej Regulacji Ochrony Danych Osobowych ustanowionej przez Komisję Europejską. Wejdzie ona w życie w końcu maja 2018 r. Będzie obowiązywała wszystkie organizacje (instytucje i przedsiębiorstwa), bez względu na ich wielkość. Wpłynie również na wzrost kosztów.
źródło: biznesalert.pl

W pierwszym półroczu 2016 r. po raz pierwszy od 2011 r. spadła liczba oszukańczych transakcji kartami płatniczymi. Spadek jest niestety niewielki i takich zdarzeń odnotowano aż 43,2 tysiąca, czyli niemal czterokrotnie więcej niż 5 lat temu. Expander podpowiada, co zrobić, aby podczas ostatniego weekendu przed świętami nie sprawić złodziejowi prezentu.

W ostatnim czasie przestępcy stali się bardziej aktywni. Niedawno wymyślili nowy sposób kradzieży pieniędzy poprzez fikcyjną usługę zwrotu części wydatków. Często też, dokonując zakupów prezentów online, możemy zetknąć się z działaniami oszustów. W najbliższy weekend szczególnie dobrze powinniśmy jednak mieć się na baczności podczas wizyt w tradycyjnych sklepach. To już ostatni weekend przed świętami, a więc można się spodziewać tłumów kupujących, a to idealne warunki dla złodziei.

Uwaga na kieszonkowców i bankomaty
W takich okolicznościach możemy łatwo paść ofiarą kieszonkowca. Pamiętajmy, aby w ferworze zakupów nie wkładać portfela do tylnej kieszeni spodni i uważać na torebkę. Uważajmy również, dokonując wypłat z bankomatu. Takie dni, kiedy Polacy częściej pobierają pieniądze, są dla przestępców doskonałą okazją do instalowania nakładek kopiujących karty. Niemal jedna trzecia wszystkich oszukańczych transakcji w pierwszej połowie tego roku została dokonana właśnie skopiowaną kartą. Naszą czujność powinny wzbudzić elementy, takie jak nakładki na klawiaturę czy kamerki monitorujące PIN.

Uważaj, gdy bank chce ci dać 300 zł w zamian za SMS
Niedawno pojawił się nowy sposób kradzieży pieniędzy poprzez system bankowości internetowej. Najłatwiej go rozpoznać po tym, że bank, a tak naprawdę podszywający się pod niego przestępcy, oferują możliwość otrzymania np. 300 złotych jako zwrot części wydatków. Kluczowe jest to, że aby włączyć usługę i otrzymać nagrodę, trzeba podać hasło sms. Wpisując je, w rzeczywistości oddajemy przestępcy wszystkie swoje pieniądze zgromadzone w danym banku.

Cały mechanizm kradzieży zaczyna się od tego, że ofiara otrzymuje maila przypominającego wiadomość wysłaną przez notariusza lub innego nadawcę wzbudzającego zaufanie. Nieświadoma zagrożenia osoba otwiera załącznik, w którym znajduje się wirus. Ten przechwytuje login i hasło do logowania się do banku.

Gdy się to uda, do dokonania kradzieży przestępcom brakuje już tylko hasła SMS. Aby je wyłudzić kierują ofiarę na podstawioną stronę internetową, wyglądającą dokładnie tak jak bankowa. Znajduje się na niej fałszywa oferta, o której pisaliśmy wyżej. Jeśli podamy hasło SMS, przestępcy wykorzystają je do ustanowienia swojego konta jako zaufane, czyli będą mogli na nie przelewać nasze pieniądze bez konieczności podawania kolejnych haseł SMS.

Zachowaj ostrożność, kupując prezenty online
Kupując prezenty w internecie, warto pamiętać o tym, że przestępcy potrafią tworzyć fałszywe sklepy internetowe, czy wystawiać na aukcjach towar, którego nie zamierzają nam wysyłać. Warto więc sprawdzać opinie na ich temat, najlepiej na niezależnych portalach. Jeśli to tylko możliwe, dobrze też płacić kartą, gdyż w razie problemów, nasz bank pomoże nam odzyskać pieniądze. Nie możemy natomiast liczyć na taką pomoc w sytuacji, gdy wykonaliśmy przelew.

Autor: Jarosław Sadowski, Główny Analityk Expander Advisors

Systematyczny wzrost liczby i znaczenia incydentów zagrażających bezpieczeństwu sieci i systemów, które służą do świadczenia usług o znaczeniu krytycznym (np. dostawa wody, prądu i gazu oraz usługi transportowe), a także innych popularnych usług  (np. wyszukiwarki internetowe i platformy handlowe, które służą do dokonywania rezerwacji hotelowych) sprawił, że naruszenie bezpieczeństwa systemu lub sieci danego przedsiębiorcy nie może pozostawać już tylko i wyłącznie jego wewnętrzną sprawą.

Niedostateczne okazało się również dotychczasowe podejście regulacyjne, a raczej jego brak w myśl którego w przypadku władz publicznych była to kompetencja tylko i wyłącznie organów ścigania i innych uprawnionych służb.

Niespełna trzy miesiące temu operator komunikatora TELEGRAM świadczący usługi dla ok. 100 milionów użytkowników ujawnił informację o włamaniu do jego systemu i wycieku aż 15 milionów numerów telefonów irańskich klientów. Z kolei pod koniec 2014 r. z bazy operatora wyszukiwarki Yahoo wyciekły dane dotyczące ok. 500 milionów użytkowników o czym poinformowano całkiem niedawno czyli z niespełna dwuletnim opóźnieniem.

W związku z coraz groźniejszymi incydentami  Parlament i Rada UE przyjęły w dniu 6 lipca 2016 r. tzw. Dyrektywę NIS, która zobowiązała wszystkie państwa członkowskie UE do zwiększenia bezpieczeństwa w zakresie systemów IT. I tak przedsiębiorcy działający w krytycznych branżach takich jak energia, transport, ochrona zdrowia czy też usługi cyfrowe (np. wyszukiwarki internetowe, przechowywanie danych w chmurze, serwery DNS), będą musiały spełnić nowe unijne obowiązki dotyczące m.in. odpowiedniego zabezpieczenia ich systemów przed atakami z zewnątrz.

Jeden z takich obowiązków ma stanowić poinformowanie przez poszkodowanego przedsiębiorcę powołanego przez rząd właściwego zespołu ds. reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT) o nowym incydencie i ograniczenie jego wpływu. Dyrektywa nie precyzuje jednak tego w jaki sposób przedsiębiorcy mają ograniczać możliwość wystąpienia incydentów oraz ich wpływ na systemy i sieci w sytuacji gdy takie incydenty już rzeczywiście zaistnieją. Powyższe bowiem ma wynikać z określonych standardów oraz dobrych praktyk, które przedsiębiorca powinien stosować w ramach wykonywanej przez siebie działalności.

Co ciekawe, nowe przepisy mają również na celu zapewnienie wzajemnego przekazywania  pomiędzy CSIRT z różnych krajów UE najlepszych praktyk i doświadczeń.  Polska również podejmuje w tym zakresie działania czego przejawem może być m.in. opracowywanie i wdrażanie nowej strategii cyberbezpieczeństwa RP na lata 2016-2020. Powyższa strategia określa m.in. takie zagadnienia jak organizacja krajowego systemu cyberbezpieczeństwa oraz koordynacja działań międzynarodowych. Przykładowo, działające w trybie 24-godzinnym Narodowe Centrum Cyberbezpieczeństwa ma monitorować incydenty na poziomie krajowym oraz pełnić rolę sygnalizacyjną czyli przekazywać wczesne ostrzeżenia, ogłaszać alarmy oraz wydawać ogłoszenia i przekazywać informacje na temat ryzyka i incydentów. Ministerstwo Cyfryzacji prowadzi także prace nad projektem ustawy o krajowym systemie cyberbepieczeństwa, który ma zostać przedstawiony do kwietnia 2017 r.

Przyjęcie omawianej Dyrektywy stanowi tylko jedno z wielu działań rządów, organizacji oraz wyspecjalizowanych agend na całym świecie, które dotyczą cyberbezpieczeństwa. Przykładowo, w lutym 2014 r. działający w USA Narodowy Instytut Standardów i Technologii przyjął, w oparciu o specjalny dekret Prezydenta Baracka Obamy, ramowy dokument o poprawie cyberbezpieczeństwa infrastruktury krytycznej, który – w przeciwieństwie do unijnej Dyrektywy NIS – w precyzyjny sposób opisuje rekomendowane standardy oraz najlepsze praktyki w zarządzaniu ryzykiem w sferze cyberbezpieczeństwa.

Nie sposób się jednak oprzeć wrażeniu, że wobec skali incydentów, z którymi mamy obecnie do czynienia należy uznać, że wszystkie opisane powyżej działania mają na celu jedynie przygotowanie przedsiębiorców do sytuacji, w ramach której zarządzanie incydentami bezpieczeństwa komputerowego stanie się jednym z kolejnych działań w ramach ich bieżącej działalności operacyjnej.

 

Paweł Gruszecki ekspert ds. Cyberbezpieczeństwa KZP

Wczoraj Yahoo potwierdziło, że w 2014 roku skradziono z ich sieci dane 500 milionów użytkowników. W toku wewnętrznego śledztwa ustalono, że prawdopodobnie wyciekły dane takie jak imiona, nazwiska, adresy email, numery telefonów, daty urodzenia oraz hasła (w postaci zaszyfrowanej – ale nie ma to większego znaczenia) oraz dodatkowo pytania pomocnicze/bezpieczeństwa. Nie podano, w jaki sposób hackerom udało się włamać do sieci Yahoo, ale prawdopodobnie atak był wspierany przez rząd któregoś z państw.

Spółka współpracuje ze służbami w celu wyjaśnienia okoliczności włamania i jednocześnie zaleca użytkownikom zmianę hasła dostępowego do email. Jednocześnie, Yahoo jest właśnie w trakcie procesu przejmowania przez Verizon. Prawdopodobna jest teza, że włamanie zostało ujawnione w toku due-diligence spółki. Z informacji dostępnych w Internecie wynika, że Yahoo było już prawdopodobnie przedmiotem skutecznego ataku w 2012 roku, ale spółka nie potwierdzała tej informacji.

Wnioski:

– Istotne jest prowadzenie przeglądu spółek w procesie ich akwizycji pod kątem cyberbezpieczeństwa (wcześniejszych lub aktualnych włamań).

– Skutki ataków mogą objawiać się wiele lat po ich realizacji. Atak na Yahoo był przeprowadzony w 2014 roku, natomiast skutki obserwujemy w 2016. Po opublikowaniu tej informacji akcje Yahoo nieznacznie spadły. Nie wiadomo jakie w tej sytuacji będą kolejne kroki Verizon, spółki, która jest właśnie w trakcie procesu przejmowania Yahoo.

– W walce z atakami sponsorowanymi przez rządy innych państw, istotne jest wsparcie Państwa. Firmy same nie poradzą sobie z tego typu zagrożeniami. Nie chodzi tylko o tzw. infrastrukturę krytyczną, ale również o firmy funkcjonujące w sieci Internet.

 

Autor komentarza: Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa w Deloitte w Polsce

Cyberzagrożenia ciągle ewoluują, a ich coraz poważniejsze skutki finansowe odczuwają firmy na całym świecie, także w Polsce. Hakerzy mają coraz lepsze umiejętności. Dodatkowo wg ekspertów firmy doradczej Deloitte, wraz z rozwojem nowoczesnych technologii rośnie liczba potencjalnych obszarów, które cyberprzestępcy mogą wykorzystać, aby włamać się do organizacji. W przypadku dużych i średnich firm takich tzw. punktów dostępu może być 190-200, a w mniejszych od 20 do 50. Dlatego odpowiedzialność za cyberbezpieczeństwo, które staje się problemem strategicznym, przesuwa się z działów IT w kierunku zarządów, co stanowi duże wyzwanie.

Niemal codziennie media na całym świecie informują opinię publiczną o atakach, których dokonują cyberprzestępcy dysponujący różnym poziomem wiedzy i determinacji. Dotyczy to również Polski. Ich ofiarami padają banki, instytucje ubezpieczeniowe, firmy telekomunikacyjne, serwisy aukcyjne, jak i agendy rządowe. „Przypadki, które wychodzą na światło dzienne stanowią wierzchołek góry lodowej. Dlatego należy docenić te instytucje i firmy, które publicznie przyznały się, że stały się obiektem cyberataku. To świadczy o dojrzałości ich i rynków, na których funkcjonują” – wyjaśnia Jakub Bojanowski, Partner w Dziale Zarządzania Ryzykiem Deloitte w Europie Środkowej.

Problem ukrywania ataków hakerskich dotyczy firm na całym świecie. Postępują tak z obawy przed utratą klientów i zaufania inwestorów. Jednak coraz częściej zdarza się, że organizacje w razie cyberataku przyjmują strategię pełnej transparentności wobec swoich interesariuszy. Jednym z takich przykładów jest brytyjski operator telekomunikacyjny Talk Talk, który w obliczu cyberataku w październiku ubiegłego roku informował klientów na bieżąco o podejmowanych działaniach. Strategia powiodła się nie tylko ze względu na widoczne polepszenie postrzegania firmy wśród klientów, ale również ze względu na wzrost dynamiki przychodów odnotowany w ostatnim raporcie finansowym.

Ewolucja zagrożeń i cyberataków odnosi się również do kompleksowości firm i prowadzonego biznesu. Deloitte wyliczył ile potencjalnych tzw. punktów wejścia do firmy mają cyberprzestępcy. Okazuje się, że w przypadku mniejszych firm zatrudniających od 10 do 250 osób takich miejsc jest od 20 do 50. Problem rośnie, gdy mowa jest o większych organizacjach, z zespołem liczącym powyżej 250 pracowników. Okazuje się, że liczba takich punktów dostępu wynosi aż 190-200. Są to, m.in.: strony internetowe, media społecznościowe, na których aktywni są pracownicy i sama firma, używane aplikacje mobilne oraz infrastruktura techniczna. Potencjalne niebezpieczeństwo stwarzają również dostawcy usług, którzy sami mogą stać się celem cyberataku. „Dlatego zarząd i osoby decyzyjne powinny odpowiedzieć sobie na pytanie, kto i dlaczego może być potencjalnie zainteresowany atakiem na ich biznes, a także w jaki sposób może przeprowadzić atak. Sposób jego realizacji jest w dużej mierze zdeterminowany poprzez ekspozycję firmy na zagrożenia, która bardzo często nie jest do końca znana lub właściwie zarządzana. Zrozumienie samego atakującego oraz punktów wejścia do firmy, wskaże nam priorytety w zakresie ochrony, a także podpowie nam czy jesteśmy wyposażeni w odpowiednie kompetencje oraz narzędzia, które pozwolą nam efektywnie chronić się lub sprawnie odpowiedzieć na atak.” – wyjaśnia Marcin Ludwiszewski, Lider obszaru cyberbezpieczeństwa w Deloitte.

Szybko zmieniająca się rzeczywistość, także technologiczna, powoduje, że przedsiębiorstwa w tej chwili są połączone ze światem wieloma kanałami. W związku z tym, skala potencjalnych skutków ataku na infrastrukturę IT sprawia, że problem cyberbezpieczeństwa staje się kwestią strategiczną firmy, a odpowiedzialność za ten obszar przesuwa się stopniowo z działów IT w kierunku członków zarządu. Niestety dotychczasowa praktyka wskazuje, że odpowiedzialnością za dokonane cyberataki obarczani są często dyrektorzy IT.

Zdaniem ekspertów Deloitte jednym z kluczowych elementów, które może ochronić firmę przed zagrożeniami jest zrozumienie strategii atakującego. Każdy haker ma inną taktykę i cel, więc reakcja firmy powinna być dostosowana do rodzaju działań konkretnego hakera. „Firmy nie powinny zadawać sobie pytania, czy zaatakują nas cyberprzestępcy, tylko kiedy oraz w jaki sposób może to nastąpić. Aby najlepiej przygotować się na taki incydent, przedsiębiorstwo musi cyklicznie i na bieżąco identyfikować swoje słabe punkty, które mogą wykorzystać hakerzy. Jedyną metodą działania w takich przypadkach jest prewencja” – mówi Jakub Bojanowski.

Każdy atak realizowany jest w wielu etapach i na różnych płaszczyznach. Są ataki proste i bardziej złożone. Nie ma jednego środka bezpieczeństwa adresującego wszystkie ryzyka wynikające z etapów prowadzonego ataku. „Warto również wspomnieć, że atak ma różną dynamikę, są ataki celowe realizowane w długim horyzoncie czasowym, a także ataki wynikające z przypadkowego odnalezienia błędu np. w aplikacji web firmy. Biorąc to pod uwagę, istotne jest określenie apetytu firmy na ryzyko w kontekście prowadzonego biznesu i podjęcie decyzji, przed kim chcemy się chronić i w którym miejscu ta obrona będzie najbardziej efektywna.” –  podsumowuje Marcin Ludwiszewski.

 

Deloitte

Coraz częstsze wycieki danych, protesty przeciwko ACTA, a w Polsce w ostatnim czasie również temat ustawy inwigilacyjnej sprawił, że cyberbezpieczeństwo to już nie tylko domena firm, ale również przeciętnego użytkownika Internetu i urządzeń mobilnych.

Ponad 2/3 mieszkańców Unii Europejskiej przyznaje, że martwi się brakiem kontroli nad informacjami, które podaje w Internecie[1]. O ile w sieci wykorzystujemy różne systemy zabezpieczeń i staramy się chronić swoje prywatne dane, to w przypadku telefonów komórkowych często o tym zapominamy. Bezmyślnie instalujemy kolejne aplikacje kontrolujące i usprawniające nasze codzienne życie, nie czytając regulaminów i nie licząc się z konsekwencjami, jakie mogą nieść zawarte w nich „kruczki”. Jak podaje serwis Statista.com, w samym Google Play i App Storze w lipcu 2015 roku znajdowały się ponad 3 miliony aplikacji[2].

Dane pod kontrolą

Aplikacje mobilne zainstalowane w naszych telefonach mają możliwość pobierania danych oraz ich przetwarzania. Informacje, do których często nieświadomie umożliwimy dostęp, mogą być później wykorzystane przez inne podmioty. Nasza czujność jest obniżona zwłaszcza w momencie pobierania aplikacji, które oferują rabaty czy bonusy. Uwagę należy zwrócić też na programy lojalnościowe, które w większości przypadków nadmiernie wykorzystują dane użytkownika.

Zachęceni promocją często dużo łatwiej dajemy się zwieść i przekazujemy więcej szczegółów o sobie. Bywa i tak, że dostęp do naszych danych to kwestia sekundy, jak chociażby w przypadku kodów QR czy beaconów, które bez wiedzy użytkownika mogą udostępnić dane przechowywane w telefonie. Przypomina to technikę drive-by downloads, która działa jak pułapka – komentuje Tomasz Bucholc, współtwórca i CEO aplikacji Kekemeke – Dlatego też przy tworzeniu naszej aplikacji duży nacisk położyliśmy na kwestie bezpieczeństwa i komfortu użytkownika. W Kekemeke nie trzeba zdradzać żadnych informacji o sobie a logowanie jest nieobowiązkowe. Klienci dostają od nas „kartonikowy” program lojalnościowy na smartfona jednocześnie mając pewność, że w żaden sposób nie naruszymy ich prywatności – dodaje Bucholc.

Jak się chronić?

To, ile informacji trafi do twórców aplikacji oraz innych podmiotów współpracujących, zależy przede wszystkim od samych użytkowników. Jak wynika z badania Eurobarometru tylko 23% respondentów twierdzi, że posiada pełną kontrolę nad swoimi danymi, które podają w Internecie, a co piąty stwierdził, że nie posiada żadnej kontroli[3]. Jak sprawić, aby nasze dane nie dostały się w niepowołane ręce? Poniżej przedstawiamy krótki poradnik:

  • Czytaj regulaminy – zazwyczaj użytkownicy ściągając aplikację są zainteresowani jedynie jej funkcjonalnością i korzyściami, szybko przechodząc przez proces rejestracji. Czytaj wszelkie komunikaty, które oczekują Twojego potwierdzenia.
  • Bądź czujny – podczas instalowania aplikacji zawsze zwracaj uwagę na powiadomienia, które informują, z jakich danych będzie korzystać – może chce uzyskać dostęp do Twojej galerii, skrzynki pocztowej lub książki telefonicznej?
  • Zachowaj zdrowy rozsądek – informacja, której upowszechnienie teraz może wydać się nieszkodliwe, w przyszłości może mieć zdecydowanie inny skutek.
  • Wprowadź dodatkową ochronę – zdaj się na właściwy program antywirusowy, który w odpowiednim momencie ostrzeże o potencjalnym zagrożeniu i zablokuje dostęp do szkodliwych aplikacji.

[1] Według wyników badania Eurobarometru z 2015 r.

[2] http://www.statista.com/statistics/276623/number-of-apps-available-in-leading-app-stores/

[3] http://www.giodo.gov.pl/1520243/id_art/8774/j/pl/

 

źródło: materiały prasowe

Eksperci

Niewiele potrzeba, by zburzyć spokój

Rynkowi z łatwością przychodzą zmiany kierunku, co podkreśla, z jak niskim przekonaniem odbywa się h...

Inflacja nie odpuszcza

We wrześniu wskaźnik cen towarów i usług konsumpcyjnych wzrósł o 1,9 proc., a więc tylko minimalnie ...

Moryc: Podatek Exit Tax wejdzie w życie choć jest krytykowany nawet przez członków rządu

Nowy podatek tzw. “exit tax”, który ma zostać wprowadzony do końca tego roku wzbudza kontrowersje ni...

Pistolet przystawiony do głowy, czyli walutowe zawirowania kluczowych rynków

Globalny rynek finansowy pozostaje obciążony asymetrią ryzyk, gdyż najwyraźniej w temacie wojen hand...

Turek: 10 lat po upadku Lehman Brothers ceny znowu są rekordowe

Gwałtowne przeceny, a potem ożywienie na rynkach mieszkaniowych – tak prosto można podsumować ostatn...

AKTUALNOŚCI

Jesienne spowolnienie dynamiki PKB

Wyraźnie niższe niż się spodziewano okazały się wrześniowe dane o produkcji przemysłowej i budowlano...

Polskie startupy coraz śmielej zdobywają zagranicę

45 proc. właścicieli startupów chce rozwijać swoją działalność nie tylko na rodzimym rynku, ale takż...

Minister Finansów chce dłużej potrzymać pieniądze inwestorów

Zakup obligacji o 50 groszy taniej – to nowy pomysł Ministra Finansów, aby Polacy na dłużej zainwest...

POLAND THE CAN-DO NATION

4 października br. w Nowym Jorku, z inicjatywy PZU, odbędzie się jedno z największych spotkań lideró...

Od 2019 roku nowe przepisy podatkowe dotyczące kryptowalut

W 2019 r. w życie wejść ma pakiet nowych przepisów podatkowych dotyczących walut wirtualnych. Projek...