czwartek, Grudzień 19, 2019
Facebook
Home Tagi Wpis otagowany "Ireneusz Wiśniewski"

Ireneusz Wiśniewski

Application Protection Report 2019 od F5 Labs wskazuje, że formularze online, jak strony logowania i koszyki zakupów, są coraz częściej przejmowane przez cyberprzestępców polujących na personalne dane finansowe (PFI). Formjacking przesyłający dane z przeglądarki internetowej klienta do lokalizacji kontrolowanej przez atakującego, pozostaje jedną z najczęstszych taktyk ataków. Stanowił aż 71% wszystkich analizowanych naruszeń danych w sieci w 2018, a w ostatnich dwóch latach wybija się na dominującą metodę ataków iniekcyjnych.

Tylko 83 incydenty przypisywane atakom formjacking wpłynęły w 2019 r. na bezpieczeństwo niemal 1,4 mln kart płatniczych. Najwięcej ataków (49%), które zakończyły się powodzeniem, wystąpiło w handlu detalicznym, 14% dotyczyło usług biznesowych zaś 11% skoncentrowało się na sektorze przemysłowym. Branża transportowa była atakowana tą metodą najczęściej (szczególnie personalne dane finansowe), stanowiąc aż 60% wszystkich kradzieży powiązanych z kartami kredytowymi.

Trendowi sprzyja decentralizacja usług i treści internetowych, która zwiększa możliwości ataku, coraz bardziej narażając firmy i konsumentów na kradzież haseł i kart kredytowych.

Formjacking przeżywa w ostatnich dwóch latach eksplozję popularności – mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. Dzieje się tak, ponieważ krytyczne komponenty kodów aplikacji sieciowych (np. koszyki zakupów czy systemy płatności online) są coraz częściej outsourcowane do strony trzeciej. Deweloperzy sieciowi korzystają z bibliotek kodów, a bywa że linkują swoje aplikacje bezpośrednio do skryptów obsługiwanych przez firmy zewnętrzne. W efekcie organizacje stają się bardziej podatne, bo ich kod jest ściągnięty z dziesiątków różnych źródeł. Niemal wszystkie te źródła są poza możliwością kontroli i wykraczają poza zabezpieczenia przedsiębiorstw. Dodajmy, że wiele stron internetowych korzysta z tych samych zasobów zewnętrznych: atakujący wiedzą, że wystarczy dokonać jednej zmiany schematu danych, żeby uzyskać dostęp do ogromnej publi potencjalnych ofiar – dodaje Wiśniewski.

Wprawdzie ataki iniekcyjne nie są nowością, niemniej F5 Labs twierdzi, że pozostaną rosnącym trendem.  Zgodnie z Exploit Database[2] 11% nowo odkrytych błędów w kodach (exploitów) w 2018 r. utworzyło część łańcucha ataków formjacking, włącznie ze zdalnym wykonaniem kodu (5,4%), dołączaniem plików – arbitrary file inclusion (3,8%) i zdalnym wykonaniem CMD (1,1%).

Ataki iniekcyjne zmieniają się wraz z naszymi zachowaniami – twierdzi Ireneusz Wiśniewski. Wykrywanie i ograniczanie tego typu błędów zależy od dostosowania kontroli i oceny sytuacji, nie tylko naprawy kodu. Im więcej kodu oddajemy w obce ręce, tym mniej widzimy i  kontrolujemy – dodaje.

Zalecenia dla zabezpieczenia operacji:

Stworzenie inwentaryzacji aplikacji internetowych obejmującej dokładny audyt treści stron trzecich. Proces jest wart przeprowadzenia, mimo że jest skomplikowany, bo poddostawcy (trzecia strona) zazwyczaj łączą się z kolejnymi, dodatkowymi witrynami i mają niskie standardy bezpieczeństwa.

Poprawianie środowiska. Chociaż łatanie niekoniecznie naprawia błędy w treściach pobranych z zewnątrz, to utrudnia rozprzestrzenianie się błędów z punktu początkowego, tzw. zaczepienia. Ponieważ ataki iniekcyjne w sieci są wszechstronną techniką, ważne jest też poprawianie aplikacji działających samodzielnie, aby zapobiegać uszkodzeniom powodowanym przez zasoby zewnętrzne.

Skanowanie podatności. CISCO od lat rekomenduje skanowanie zewnętrzne celem uzyskania hakerskiego obrazu sytuacji. Jest to bardzo ważne w sytuacji, gdy po stronie klienta gromadzone są ogromne ilości danych.

Przeczytaj także:

Monitorowanie zmian kodu. Niezależnie od tego, gdzie jest hostowany kod, ważne jest uzyskanie większej widoczności, bez względu na to, czy pojawiają się nowe luki, czy nie. Oznacza to monitorowanie pakietów GitHub i AWS S3, a także natywnych repozytoriów kodu.

Uwierzytelnianie wieloczynnikowe. Powinno być wdrażane w każdym systemie łączącym się z aktywami o dużym znaczeniu, ponieważ atak iniekcyjny, jest często używany do ominięcia uwierzytelnienia, żeby uzyskać dostęp do kodu serwera www. Szyfrowanie warstwy aplikacji może idealnie uzupełniać TLS/SSL, aby zachować poufność na poziomie przeglądarki. Wiele znanych produktów WAF (zapory sieciowej) ma taką możliwość, jednak zaawansowany WAF daje wyższy poziom widoczności i kontroli warstwy aplikacji, co pomaga w zmniejszeniu ryzyka rozproszonych, polimorficznych iniekcji.

Wdrożenie potencjału narzędzi oprogramowania serwera. Utworzenie Polityki Bezpieczeństwa treści (CSP) umożliwi blokowanie nieautoryzowanych iniekcji kodu na stronie internetowej lub w aplikacji. Metody internetowe SubResource Integrity (SRI) mogą sprawdzić, czy aplikacje od innych firm nie zostały zmienione. Oba narzędzia wymagają poprawnego dopasowania do aplikacji internetowej. W tej pracy przyda się solidny, elastyczny WAF.

Monitorowanie nowo zarejestrowanych domen i certyfikatów. Służą one często do hostowania szkodliwych skryptów, a wydają się nieszkodliwe dla użytkowników końcowych.

Źródło: F5 Labs

Eksperci z F5 Labs od 2017 r. notują przypadki organizacji z całego świata, które utraciły swoje zasoby chmurowe z powodu źle skonfigurowanych baz danych w chmurze lub usłudze pamięci masowej Amazon. Ponieważ w takich przypadkach dostęp dla nieautoryzowanych użytkowników – hakerów – jest możliwy jedynie wtedy, gdy ktoś celowo usunie lub zdegraduje domyślą ochronę, oznacza to świadome działanie i podejmowanie ryzyka po stronie „poszkodowanych”.
[

Z posiadanych przez F5 danych wynika, że miesięcznie dochodzi średnio do ok. trzech naruszeń z podobnego powodu. Niewiele? Jeśli wskaźnik wzrostu takich zdarzeń, który między 2017 a 2018 r. był na poziomie 200% się utrzyma, to możemy prognozować około 90 włamań do końca br. z powodu celowo zdjętych zabezpieczeń. Zwróćmy uwagę, że dane F5 odnoszą się jedynie do monitorowanych przez firmę przedsiębiorstw, więc szacunki mogą być wierzchołkiem góry lodowej.

Nie oznacza to jednak, że rozwiązania chmurowe same w sobie są źle zabezpieczone i narażają firmy na ryzyko. Chodzi tu wyłącznie o sytuacje, w których organizacje czy użytkownicy wprowadzają zmiany w domyślnej ochronie i tym samym wystawiają na publiczny widok dane, które przechowują. Może mieć to bardzo znaczące konsekwencje dla ich rzeczywistych właścicieli. Ponieważ takie zdarzenia obserwuje się we wszystkich branżach, wycieki mogą dotyczyć np. historii kredytowych, danych osobowych klientów firmy czy innych poufnych informacji, a tym samym narazić prawdziwych ludzi na ogromne ryzyko. Z doświadczenia F5 wynika, że w większości przypadków, za zmiany ustawień w chmurze i tym samym upublicznienie danych, odpowiedzialne były osoby, które nie znajdują się po stronie operacyjnej. Inżynierowie sieci, administratorzy baz danych czy inżynierowie systemów lub bezpieczeństwa – nie popełniliby takich błędów.

Biznes pędzi, presja na IT rośnie

Migracja do chmury umożliwia programistom zrezygnowanie z niektórych tradycyjnych ról w działach IT. Postępująca automatyzacja, a tym samym skrócenie procesów, tworzy potencjalne zagrożenie wdrażania systemów o źle skonfigurowanych funkcjach bezpieczeństwa. W chwili, gdy zadania te przejmują deweloperzy, od których oczekuje się coraz szybszych wdrożeń – takie ryzyko wzrasta. Ponadto mogą oni nie znać potencjalnych konsekwencji lub błędnie założyć, że ataki nie są prawdopodobne. 

Domyślne wdrożenia – ograniczona wiedza

W domyślnych wdrożeniach w chmurze dostępne są tylko ograniczone raporty bezpieczeństwa. Niezbędne informacje, które wcześniej deweloperzy mogli pozyskać wewnątrz przedsiębiorstwa (u inżynierów sieci i systemów) są dla nich niedostępne. W przypadku większości chmur publicznych organizacje muszą kupować narzędzia kontroli bezpieczeństwa, aby nadal być w stanie generować wystarczająco szczegółowe raporty. Oczywiście powrót do długich opóźnień „z powodu zabezpieczeń” we wdrożeniach (na co skarżą się zespoły Dev) nie jest rozwiązaniem.

Coraz istotniejsza jest współpraca i wymiana informacji pomiędzy deweloperami, odpowiedzialnymi za bezpieczeństwo i działami operacyjnymi: DevSecOps. Takie podejście ma szansę wprowadzić dobre praktyki bezpieczeństwa do dewelopmentu. Celowe zmniejszanie potencjału bezpieczeństwa dla wygody czy prędkości działania, naraża na dotkliwe konsekwencje nie tylko organizacje, ale też ludzi, którzy powierzają im dane.

Źródło: F5 Polska

Według 2019 Hacker Report społeczność hakerów „w białych kapeluszach” podwaja się z roku na rok. W ubiegłym roku w formie premii przekazano im 19 milionów dolarów, co prawie odpowiada sumie wypłaconej hakerom w ciągu ostatnich sześciu lat łącznie. Raport szacuje, że najlepsi, czyli najlepiej zarabiający etyczni hakerzy, mogą uzyskiwać nawet czterdziestokrotność średniego rocznego wynagrodzenia inżyniera oprogramowania w swoim kraju.

Hakerzy stosują coraz bardziej wyrafinowane metody, a potencjalne obszary ataków wraz z rozwojem m.in. IoT czy rozwiązań chmurowych – ciągle rosną. W ochronie aplikacji szczególnie istotne jest wzięcie pod uwagę wszelkich możliwych kierunków ataku. A w ich zdefiniowaniu może właśnie pomóc etyczny haker.

Chociaż architekci zabezpieczeń mają bogatą wiedzę na temat najlepszych praktyk w branży, najczęściej brakuje im praktycznego doświadczenia, w jaki sposób atakujący wykonują swoje rozpoznanie, jak łączą wiele ataków lub uzyskują dostęp do sieci korporacyjnych.

Firmy wykorzystują więc metody cyberprzestępców, aby się lepiej zabezpieczyć i zatrudniają etycznych hakerów. Doświadczony haker posiada umiejętności i zna metody działania cyberprzestępców. Jeśli zostanie przez firmę upoważniony do wykorzystywania sieci bezpieczeństwa i ulepszania systemów poprzez naprawienie luk wykrytych podczas testów, jest wówczas także zobowiązany do ujawnienia wszelkich braków w zabezpieczeniach, które wykryje.

Pieniądze za kontrolowane włamania

Najpopularniejszą metodą firm na wykorzystanie wiedzy hakerów jest uruchamianie programów „bug bounty” – otwartych konkursów „znajdź lukę” działających na określonych warunkach. W takich programach każdy może wyszukać i zgłosić wykryte przez siebie luki w celu uzyskania nagrody od firmy. Jest to dobry sposób sprawdzania bezpieczeństwa dla publicznie dostępnych usług takich jak np. strony internetowe czy aplikacje mobilne. Przyznane wynagrodzenie zależy wtedy od poziomu wskazanego ryzyka i jest wypłacane po potwierdzeniu, że wykryte braki w zabezpieczeniach są rzeczywiście istotne dla firmy.

Ta forma swoistego crowdsourcingu i jego premiowania ma oczywiste korzyści. Hakerzy zdobywają reputację oraz szansę, aby zaprezentować i przetestować swoje umiejętności na publicznym forum. W zamian organizacja, która ogłasza program, zyskuje inteligentne rozwiązania i nową perspektywę w obszarze bezpieczeństwa.

Zatrudnię ex-cyberprzestępcę

Niektóre firmy decydują się na zatrudnienie hakerów, którzy mają udokumentowaną działalność przestępczą. Może się to wydawać ryzykowne, jednak ich praktyczne doświadczenie jest bardzo cenne. Zatrudnienie ex-cyberprzestępcy powinno być przemyślane, aby faktycznie miało szansę przynieść realne korzyści. Sprawdzenie kryminalnej przeszłości pozwala zidentyfikować dawnych przestępców, ale nie pokazuje szerszego kontekstu  i ich motywacji  do poprawy postawy. Szanowanymi konsultantami bezpieczeństwa i liderami w tej branży często np. zostają początkujący hakerzy, którzy w młodości popełnili przestępstwa o niskiej szkodliwości. Jednak etyczne działania podejmują także cyberprzestępcy, którzy mają na swoim koncie poważne wykroczenia. Przy podejmowaniu takiej współpracy, dla firm kluczowa jest klauzula poufności oraz, obok monitorowania pracy, zobowiązanie zatrudnianego do udzielania wszelkich informacji o wynikach pracy czy obszarach podejmowanych działań.

Przeczytaj także:

A może masz „hakerów” w swoim zespole?

Myśląc o dokładnym zabezpieczeniu firmy, warto zastanowić się, czy w pełni wykorzystujemy własne zasoby. Organizacje zauważające i doceniające umiejętności osób tworzących aplikacje, kod czy infrastrukturę sieciową, wiele zyskują w obszarze bezpieczeństwa. Bywa, że pracownicy wiedzą o lukach, ale ich nie zgłaszają, ponieważ nie jest to uwzględnione w zakresie ich obowiązków – dla firmy to zmarnowana szansa. Decydenci potrzebują pełnego zaangażowania zespołu, a często nie zdają sobie sprawy z tego, jakie możliwości drzemią w ich organizacji.

Etyczne hakowanie staje się coraz bardziej sformalizowane, dzięki czemu ma szansę na dalszy rozwój i upowszechnienie. Hakerzy w białych kapeluszach zdobywają certyfikaty, wśród nich m.in. Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) lub Global Information Assurance Certifications, a także zrzeszają się w organizacje. Dzięki temu firmy mają pewność, że korzystają z usług odpowiednich osób. Etyczne hakowanie popularyzuje się, wraz z rosnącą potrzebą cyberbezpieczeństwa w biznesie.

Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland

Niedawne ataki DDoS przeprowadzone przy użyciu zainfekowanych urządzeń na firmę hostingową OVH są kolejnym przykładem na to, z jak ogromnym problemem musi sobie radzić obecnie biznes. Hakerzy stworzyli sieć botnet zawierającą 150,000 inteligentnych urządzeń w celu przeprowadzenia 1-terabitowego ataku, który miał być największą tego typu akcją w historii.  Poprzedni rekord należał do hakerów, którzy tydzień wcześniej przeprowadzili atak o wielkości 620 gigabitów na stronę internetową amerykańskiego dziennikarza Briana Krebsa.

Oczywistym jest, że zagrożenia zwiększają się zarówno pod względem wielkości jak i poziomu skomplikowania. To sprawia, że również potencjalne szanse na bycie zaatakowanym stają się jeszcze bardziej prawdopodobne.

Poniżej zebraliśmy pięć najważniejszych trendów, na które każdy, kto prowadzi biznes powinien zwrócić uwagę w najbliższych miesiącach:

Ataki DDoS na urządzenia Internet of Things

Urządzenia powiązane z koncepcją Internet of Things (Internet Rzeczy) są obecnie na fali wznoszącej, co niekoniecznie przekłada się na ich bezpieczeństwo.  Luki w zabezpieczeniach smart-urządzeń, które zalewają rynek, stają się łatwym celem dla cyberprzestępców wykorzystujących coraz częściej proste urządzenia, takie jak na przykład kamery przemysłowe. Wspomniany wcześniej przypadek firmy OVH stanowi instrukcję dla kolejnych hakerów, będących w stanie za pomocą kilku kliknięć wykorzystać moc tego typu urządzeń i spowodować ogromne spustoszenie, które mogą ograniczyć działanie firmowych stron internetowych i innych istotnych procesów.

Nadchodząca dyrektywa GDPR

 Mimo, że rozporządzenie o ochronie danych wejdzie w życie w maju 2018 roku, każda firma już dzisiaj powinna je mieć na uwadze, zważywszy na fakt jak długo może zająć dostosowanie się do nowych wytycznych. Z uwagi na fakt, że kary są surowe (maksymalnie 4% globalnego rocznego przychodu), przedsiębiorcy muszą jak najszybciej doprowadzić do ładu swoją infrastrukturę.

Elementy związane z ochroną danych osobowych, które nie będą umieszczone w GDPR, takie jak prawo do bycia zapomnianym czy prawo przenoszalności danych, mogą spowodować spore utrudnienia. Dzieje się tak, gdyż dla wielu organizacji zakres w jakim posiadają one dane na temat swoich klientów jest nieznany, zarówno pod względem wolumenu, jak i lokalizacji. Największym wyzwaniem stojącym przed organizacjami jest zrozumienie, za jaki wolumen danych są one odpowiedzialne. W momencie, gdy w przyszłości doświadczą wycieku danych, będą narażone na straty finansowe oraz utratę budowanej przez wiele lat reputacji.

Wygoda działań w chmurze

Wiele organizacji wybiera chmurę i przenosi do niej całą swoją infrastrukturę, gdyż ma nadzieję na rozwój biznesu. Niestety wciąż istnieje wiele wątpliwości związanych z kwestiami bezpieczeństwa rozwiązań chmurowych.

Czy firmy korzystające z rozwiązań chmurowych wiedzą jak w bezpieczny sposób korzystać z tego rozwiązania?

Czy zdają sobie sprawę, kto tak naprawdę posiada dostęp do ich informacji, biorąc pod uwagę fakt, że dane nie leżą już na serwerach wewnętrznych?

Firmy technologiczne pomagają organizacjom w zabezpieczeniu procesu przenoszenia danych do chmury. Przykładem mogą być rozwiązania Cloud Access Security Broker (CASB). Wprowadzają one polityki bezpieczeństwa przedsiębiorstwa do usług zawartych w chmurze, dając zespołom IT kontrolę nad tym, kto może mieć do nich dostęp i zapewniając jednocześnie odpowiedni poziom zaszyfrowania firmowych danych.

Bezpieczeństwo aplikacji

Organizacje, które w wysokim stopniu opierają swoją działalność na aplikacjach, powinny zwrócić szczególną uwagę na użytkownika końcowego oraz ochronę jego danych logowania.

Obecnie coraz częściej mamy do czynienia z pracownikiem mobilnym, który korzysta z wielu aplikacji na różnych urządzeniach i w różnych miejscach. Każdy słaby punkt w tej układance, jak na przykład zainfekowany telefon komórkowy, może okazać się dla cyberprzestępców kluczem do wrót królestwa. Jeśli wspomniany przestępca będzie w stanie uzyskać informacje na temat poszczególnych pracowników i ich danych logowania, dostęp do wszystkich innych danych nie będzie dla niego problemem.

Przesuwając zainteresowanie i zasoby z trochę staromodnych zabezpieczeń firewallowych na zabezpieczenia na poziomie aplikacji i świadomości samych użytkowników organizacja może skutecznie zwiększyć swoje bezpieczeństwo.

Zarządzanie dostępem

Wzrost popularności chmury doprowadził do powstania nowego ekosystemu, tworzonego przez dostawców usług zewnętrznych.

Obecnie, pracownicy mogą uzyskać dostęp do różnych portali online, od sprzedaży po usługi finansowe czy zarządzanie urlopami – wszędzie na podstawie tej samej autoryzacji użytkownika.

Gdy pracownik opuszcza firmę, powstaje obawa, że będzie on miał nadal dostęp do wewnętrznych systemów organizacji na podstawie indywidualnych danych do logowania. Jeśli nie zostaną one wykasowane na czas.

W związku z tym przedsiębiorstwa powinny inwestować w technologie, które pozwalają na uwierzytelnianie użytkownika za każdym razem, gdy loguje się on do systemu wewnętrznego. Nakładając na siebie odpowiedzialność za dane pracowników, korporacje mogą wzmocnić swoją pozycję „stróża” i przyczynić się do lepszej ochrony przeciw różnego rodzaju oszustwom.

Podsumowanie

Każda pomyłka przy rozpoznaniu czy śledzeniu aktualnych zagrożeń, których przykłady wymienione zostały powyżej, może mieć negatywne skutki dla funkcjonowania firmy.

Lata stosowania dobrych praktyk i ciężko zdobytej lojalności klientów mogą być zniweczone przez jednego hakera kilkoma kliknięciami. Dzięki szybkiej identyfikacji zagrożeń, inwestycje w odpowiednią infrastrukturę oraz edukację swoich użytkowników w dziedzinie cyberbezpieczeństwa, przedsiębiorstwa mogą być o krok przed hakerami i zwiększyć prawdopodobieństwo, że rok 2017 będzie dla biznesu pomyślny.

Autor: Ireneusz Wiśniewski, Dyrektor Zarządzający w F5 Networks

 

Eksperci

Polacy puszczają z dymem 105 tysięcy mieszkań rocznie

W bieżącym roku Polacy wydadzą na wyroby tytoniowe około 28 miliardy złotych – wynika z szacunków HR...

Na mieszkanie wydajemy co czwartą złotówkę

Najmocniej w ostatnim roku drożał wywóz śmieci. Według GUS podwyżka opłat wyniosła 31,3%, co więcej ...

To nie jest kraj dla bogatych ludzi – zmiany Małego ZUS-u

Dzięki rozszerzeniu Małego ZUS-u najmniejsi przedsiębiorcy każdego miesiąca zaoszczędzą średnio po k...

PKB Polski rośnie coraz wolniej. Opinia eksperta.

Polska gospodarka zwalnia. Od jakiegoś czasu mówi o tym ekonomiści. Kilka dni temu rządzący politycy...

Paradoksalna sytuacja na rynku obligacji

W ostatnich dniach doszło do dość kuriozalnej sytuacji, polegającej na tym, że rentowność dziesięcio...

AKTUALNOŚCI

Trendy 2020: Elastyczny styl pracy kusi coraz więcej Polaków

Z najnowszej edycji badania Antal „Aktywność specjalistów i menedżerów na rynku pracy” wynika, że el...

Dlaczego Black Friday jest czarny, czyli #walmartfights, księgowi i kryzys

Już od kilku lat czarny piątek (ang. Black Friday) rozpoczyna sezon wyprzedaży w Polsce. O wiele dłu...

Zniesienie limitu ZUS od 1 stycznia 2020 – znowu prawdopodobne

12 listopada 2019 r. do Sejmu trafił projekt ustawy, przewidującej zniesienie górnego limitu składek...

Wielka kradzież danych osobowych. Uważaj, żeby nie spłacać cudzego kredytu!

W ciągu kilkunastu dni dane osobowe kilkuset tysięcy osób trafiły w niepowołane ręce na skutek rażąc...

KONKURS: odpowiedz na pytanie i wygraj mini-prenumeratę magazynu „Personel i ZarządzanieR

Zapraszamy do udziału w konkursie współorganizowanym przez BiznesTubę oraz Infor.pl. PYTANIE KONKURS...

Wyszukiwarka prawdę Ci powie. Co Google wie o naszych świątecznych zwyczajach?

Polak przed świętami szuka w internecie oryginalnego pomysłu na życzenia, świerka i kalendarza adwen...

Sztuczna inteligencja w pierwszym w Polsce sądzie arbitrażowym on-line

Ultima Ratio, pierwszy w Polsce elektroniczny sąd arbitrażowy przy Stowarzyszeniu Notariuszy RP, pod...

Praca sezonowa: Mikołaj jest dyskryminowany, w tym roku Śnieżynka zarobi więcej

Boom na przedświąteczne prace sezonowe trwa w najlepsze. Już niedługo w galeriach handlowych zaczną ...

Sam zakup to nie wszystko. Jak finansujemy wykończenie mieszkania?

Proces zakupu mieszkania to nie tylko kwestia wyboru lokalizacji i metrażu czy dokonanie satysfakcjo...

Mikrorachunek podatkowy – każdy będzie musiał go mieć. Ministerstwo Finansów publikuje fi

Mikrorachunek podatkowy - założenia Mikrorachunek podatkowy będzie już od początku 2020 roku służył ...