Urząd Komisji Nadzoru Finansowego w nowym piśmie sektorowym zaleca instytucjom nadzorowanym uważne przeanalizowanie ryzyk związanych z wykorzystywaniem oprogramowania komputerowego pochodzącego z Federacji Rosyjskiej bądź Białorusi. W obecnej sytuacji nikt nie zdecyduje się na korzystanie z software’u pochodzącego z Rosji lub Białorusi. Jednak problemem może być świadomość użytkowników, a raczej jej brak, na temat tego, gdzie powstał wykorzystywany program – komentuje Tomasz Klecor, prawnik, partner w kancelarii Legal Geek, specjalizującej się w obsłudze rynku finansowego.
Informacje, że antywirus Kaspersky jest rosyjski, i że różne służby ostrzegają przed instalowaniem go, są już dość rozpowszechnione. Ale co z przeróżnymi “małymi” narzędziami, których nie nazywamy nawet programami? Kto weryfikuje pochodzenie aplikacji do edycji zdjęć lub alternatywy dla notatnika, nie wspominając już o wtyczkach i rozszerzeniach do przeglądarek internetowych? Niestety tego typu oprogramowanie może też być instalowane na stacjach roboczych w instytucjach nadzorowanych przez KNF (np. w Biurach Usług Płatniczych i agentów Małych i Krajowych Instytucji Płatniczych czy agentów towarzystw ubezpieczeniowych).
KNF wskazuje na konieczność samooceny ryzyka związanego z używaniem oprogramowania pochodzącego z Rosji lub Białorusi. Pisma sektorowe Komisji nie są formalnie wiążące. Jestem jednak przekonany, że jeśli w którejś z nadzorowanych instytucji doszłoby teraz do incydentu w związku z wykorzystywaniem takiego oprogramowania, ocena tego zdarzenia byłaby zupełnie inna, niż jeszcze przed opublikowaniem tego pisma.
Warto przy tym zwrócić uwagę na “niezależność polityczną” oprogramowania i hardware’u w szerszym kontekście. Ufamy, że dane o nas zbierane przez Google, Amazon czy Microsoft na swoich serwerach we Frankfurcie, a niektóre nawet w Warszawie, są zabezpieczone przed dostępem służb amerykańskich. Jednocześnie korzystamy z komputerów i smartfonów składanych w Chinach. Nawet te z jabłuszkiem w logo są przecież montowane w Kraju Środka. I tak naprawdę nie wiemy co ten nasz sprzęt ma w środku, bo przecież oprogramowanie szpiegujące można zaimplementować w BIOS-ie lub nawet procesorze. I nie jest to ryzyko abstrakcyjne. Mieliśmy już przykłady podobnych działań ze strony Chin.
Innego rodzaju zagrożeniem mogą stanowić technologie open-source, które dziś są wszędzie. Na to ryzyko Komisja również wskazuje. Nawet systemy pisane „od zera” często nie są pisane od zera, bo w tle jest jakiś framework. O ile w samym otwartym oprogramowaniu nie ma nic złego, to problemem jest weryfikacja źródeł. Jeśli program korzysta z otwartych bibliotek, to przy jego kompilowaniu lub aktualizacji najczęściej sięga się do źródła w serwisach typu GitHub. A nad nimi instytucja nadzorowana nie ma kontroli. Teoretycznie przy każdym takim sięgnięciu do źródła trzeba by je ponownie weryfikować. A to nie jest zapewne powszechna procedura.
Urząd Komisji Nadzoru Finansowego wydał ostrzeżenie w kontekście korzystania z oprogramowania rosyjskich i białoruskich firm. Urząd wskazuje na możliwe zagrożenia w związku z nasilaniem się działań mających znamiona cyberwojny, a także zwraca uwagę na ryzyka biznesowe – między innymi możliwość wystąpienia braku ciągłości aktualizacji oprogramowania lub nawet nagłego przerwania jego funkcjonowania – komentuje Maciej Cieśla, Head of Cybersecurity HackerU Polska.
Urząd Komisji Nadzoru Finansowego wysłał do instytucji nadzorowanych pismo mające na celu uświadomić i uczulić adresatów na ryzyka i zagrożenia związane z korzystaniem z oprogramowania pochodzącego z Rosji lub Białorusi. UKNF wskazuje na nie w związku z nasileniem się działań mających znamiona cyberwojny. Nie posunął się jednak tak daleko, jak amerykańska Federalna Komisja Łączności (FCC) i niemiecki Federalny Urząd ds. Bezpieczeństwa Informatycznego (BSI), które wprost uznały za niebezpieczne programy konkretnego dostawcy, nie podając na to żadnych technicznych dowodów.
UKNF nie wskazał produktów pochodzenia rosyjskiego, czy białoruskiego jako szczególnie niebezpieczne, ale zalecił, aby uznać je za „szczególnie wymagające stałego monitorowania”. Tego typu informacja jest niezwykle cenna dla organizacji i firm. Pozwala zwiększyć świadomość oraz zaplanować dalsze kroki w kierunku tworzenia coraz bardziej bezpiecznych infrastruktur i aplikacji. Oprócz elementów związanych z potencjalnym zaistnieniem incydentów w sferze cyberbezpieczeństwa, UKNF wskazał także na ryzyka biznesowe, takie jak brak ciągłości aktualizacji bądź nagłe, związane z sytuacją geopolityczną, zakończenie subskrypcji danego oprogramowania.
Oznacza to jednocześnie, że instytucje nadzorowane wcale nie muszą natychmiast rezygnować z tego typu oprogramowania, ale powinny ocenić, czy dodatkowe działania monitorujące i sprawdzające pozwalają na utrzymanie opłacalności korzystania z tych produktów.
UKNF rekomenduje, aby rozpocząć proces analizy od oceny ryzyka i zagrożeń. Warto jednak pójść o kilka kroków dalej, by jeszcze bardziej zwiększyć bezpieczeństwo w firmie czy urzędzie. Po identyfikacji ryzyka najlepiej wykonać jeszcze skan podatności oraz manualne testy penetracyjne. Dzięki temu zdobędziemy wiedzę dotyczącą tego, od czego powinniśmy rozpocząć zabezpieczenie naszych aktywów (np. czy najpierw wdrożyć zmianę w kodzie, czy zaimplementować uwierzytelnianie określonego typu do danego serwera lub aplikacji), jakie dokładnie działania podjąć, aby podnieść poziom bezpieczeństwa. Wszystkie te kroki można wykonać korzystając z usług profesjonalnych firm audytowych i certyfikowanych audytorów. Oprócz samego audytu i pentestów, coraz częściej specjaliści oferują również pomoc w działaniach naprawczych i zabezpieczeniach. A wszystko to w kierunku coraz lepszego i skuteczniejszego cyberbezpieczeństwa w naszym otoczeniu.
Źródło: Legal Geek / HackerU Polska
Wojciech Boczoń
