Internet stał się dla nas niemalże drugą przestrzenią życia, co pokazało stworzenie gry second life. Wzrost popularności portali społecznościowych i łatwość z ją publikujemy prywatne dane jest zaskakująca. Polacy mają świadomość, czym jest GIODO (Główny Inspektorat Ochrony Danych Osobowych), ale nie łączymy tego z profilami na portalach typu Nasza Klasa. Warto w tym momencie uświadomić sobie, że 2,5 miliona Polaków pada ofiarą kradzieży tożsamości, czyli 7 % społeczeństwa.
Internet w tym roku obchodzi 20 urodziny jako technologia. W Polsce ma nieco krótszy staż, bo tylko 10 letni. Jego narodziny datujemy na lata 1999 – 2000.Gdy spojrzymy na Polskich internatutów to możemy zauważyć podział według miejsca zamieszkania. Zachodnia część Polski zrzesza znacznie większą liczbę internatów niż wschodnia. Obecnie mam 17-20 milionów Polaków korzystających z Internetu, a wzrostu tej liczby spodziewamy się na przestrzeni miesięcy. Liczba korzystających z sieci wzrasta liniowo. Niestety nie idzie za tym świadomość tego jak zabezpieczać się przed zagrożeniami płynącymi z Internetu. Polscy przedsiębiorcy w czasach kryzysu przedkładają oszczędność nad bezpieczeństwo informacji. Wyraźnie wskazuje na to fakt ze pomimo dynamicznie wzrastającej informatyzacji wzrost budżetów przeznaczonych na bezpieczeństwo obszarze IT jest znikomy. Sami zdaje się zainteresowani, czyli przedstawiciele biznesu nie wykazują zainteresowania bezpieczeństwem informacji. Również na boku pozostają proceduralne i i organizacyjne aspekty bezpieczeństwa informacji, bezpośrednio łączące się z ryzykiem związanym z czynnikiem ludzkim. Najprostszą metodą zabezpieczania się wydają się być rozwiązania techniczne, często mało umiejętnie lub niecelnie wykorzystywane. Wielu przedsiębiorców korzysta z mało zaawansowanych technologii takich jak zarządzanie tożsamością. Tutaj mamy do czynienia z inżynierią socjalną. O to, czym o na jest oraz jakie niebezpieczeństwa niesie ze sobą brak zapytaliśmy Cezarego Piekarski, Manager Secrity & Privacy Enterprise Pisk Services, Deloitte:
Czym jest inżyniera socjalna?
Inżyniera socjalna jest to sposób uzyskania określonej korzyści przy pomocy perswazji i sprytu. W wypadku bezpieczeństwa informacji taką korzyścią może być np. hasło. Inaczej mówiąc, jest to sposób na przekonanie danej osoby do ujawnienia tajemnicy, którą posiada.
Czy jest to duże zagrożenie i jak często mamy do czynienia z tego rodzaju wyłudzeniami informacji?
Bardzo duże, ponieważ atakujący przy pomocy tej techniki działa w sposób celowy. Nie spotykamy się z chaotycznym atakiem, jakim jest np. atak wirusów, ale z celowym działaniem, którego powodzenie będzie niosło dla nas określone straty. Inżynieria socjalna jest bardzo częstym zjawiskiem – można powiedzieć, że większość firm spotyka się z takimi, czy innymi formami inżynierii socjalnej. Nie zawsze zmierzają one do przełamania zabezpieczeń, ale bardzo często są drogą do uzyskania przez osobę wykorzystującą tą technikę drobnych korzyści.
Na ile internauci i pracownicy firm są świadomi zagrożeń? Dlaczego jeśli mają taką wiedzę to nie przeciwdziałają niebezpiecznym sytuacjom? Czego brakuje?
Myślę, że brakuje usystematyzowanej edukacji. Internauci są świadomi zagrożeń, ale postrzegają je przez pryzmat doniesień medialnych. Badania prowadzone przez firmę Deloitte pokazują, że internauci widzą zagrożenia związane z kartami kredytowymi czy kradzieżą danych osobowych, ale sami nie czują się zagrożeni. Jest to mechanizm podobny do obawy przed klęskami żywiołowymi – wiemy, że gdzieś są, ale nie żyjemy w jakiejś specjalnej obawie, że nas to osobiście dotknie. Wątpimy, aby zagrożenia miały na nas jakiś bezpośredni wpływ.
Jak można powiększyć tę świadomość? Co można zmienić?
Myślę, że jest to rola wielu organizacji zarówno prywatnych jak i państwowych. Po pierwsze powinniśmy pracować u podstaw – w szkole uczymy informatyki, ale nie pokazujemy, w jaki sposób bezpiecznie poruszać się w Internecie. Swoje miejsce w systemie edukacji w zakresie bezpieczeństwa mają też organizacje państwowe takie jak np. Główny Inspektorat Ochrony Danych Osobowych, a także firmy. Polskie firmy prowadzą bardzo ograniczoną akcję edukacyjną dla swoich pracowników i klientów związaną z bezpieczeństwem. Często mówią o tym, żeby nie podawać nikomu hasła, ale nie pokazują, w jaki sposób należy zabezpieczać swój komputer. Dopiero stworzenie kompleksowego systemu edukacji w zakresie bezpieczeństwa pozwoli przygotować nasze społeczeństwo na zagrożenia, których liczba dynamicznie rośnie.
Jakie zagrożenia są najsilniejsze?
Zaobserwowaliśmy, że firmy przeznaczają coraz mniej pieniędzy na ochronę informacji. Oznacza to, że firmy bardzo oszczędzają na bezpieczeństwie swoim, swoich klientów i społeczności informacyjnej. Istnieje niebezpieczna bariera, która oddziela rozsądne zarządzanie ryzykiem w obszarze bezpieczeństwa informacji od planu minimum polegającego jedynie na spełnianiu wymogów prawa. Przekroczenie tej granicy spowoduje, że zarządzanie bezpieczeństwem nie będzie usystematyzowane i oparte o rzeczywiste potrzeby organizacji oraz jej apetyt na ryzyka, a zostanie ograniczone tylko i wyłącznie do spełniania wymagań prawnych. Istnieje niebezpieczeństwo, że w obszarach nieuregulowanych lub niedostatecznie uregulowanych przepisami zauważymy znaczne obniżenie poziomu ochrony informacji. Mechanizm ten jest niebezpieczny również, dlatego, że trudno go zaobserwować w krótkim czasie – degradacja poziomu bezpieczeństwa następuje w dłuższym horyzoncie czasowym, przez co czasem trudno powiązać ten efekt z naszymi konkretnymi działaniami lub zaniedbaniami.
Czego możemy się spodziewać w przyszłości? Jakie scenariusze, zarówno pozytywne jak i negatywne, są najbardziej prawdopodobne?
Są dwa scenariusze. Pierwszy – pesymistyczny to taki, gdzie ośrodki kosztowe związane z bezpieczeństwem zostaną radykalnie zredukowane. Tym samym zdecydowanie obniży się bezpieczeństwo konsumentów korzystających z Internetu. W tym scenariuszu mamy coraz mniej bezpieczne komputery i coraz mniej informacji o tym, w jaki sposób bezpiecznie poruszać się w sieci. Powoduje to realne straty: ujawnione informacje, ukradzione pieniądze. Istnieje też scenariusz optymistyczny, w który nieco bardziej wierzę – nastąpi pewne przemodelowanie alokacji pieniędzy, które wydajemy na bezpieczeństwo. Zaczniemy się głębiej zastanawiać nad każdą złotówką, którą poświęcamy na to zagadnienie. Wtedy wydamy je w sposób rozsądniejszy, z uwzględnieniem naszych potrzeb i realnych zagrożeń, a wtedy zyskamy zarówno my jak i nasi klienci.
Prostą metodą wprowadzenia wirusa do firmy to pozostawienie płyty CD opisanej „pensje zarządu”. Osoby, które przykładowo opuszczą biuro by zapalić papierosa z ciekawością „zaopiekują” się płytą. Gdy tylko ponowienie usiądą przy komputerze otworzą płytę i tym samym mogą zainfekować cały system w danej firmie. Bark realnego poczucia zagrożeń, mimo wysokiego poziomu świadomości nie daje, więc wystarczających efektów. Klauzura bezpieczeństwa dotycząca ochrony informacji pociągająca za osoba konsekwencje prawne także często jest zbyt ograniczona. Podpisanie odpowiedniego dokumentu o tajności danych nie jest gwarantem bezpieczeństwa, a bez idącej daleko edukacji, nieświadomość może być brzemienna w skutkach. Bezpieczeństwo informacji jest czymś wyżej niż bezpieczeństwo IT, o czym niestety wielu przedsiębiorców zdaje się nie wiedzieć. Jakie będą dalsze losy bezpieczeństwa informacji przekonamy się w najbliższym czasie. Pozostaje tylko mieć nadzieję, że spełni się optymistyczny scenariusz Cezarego Piekarskiego.
Barbara Koziar, Bankier.pl
Źródło: Bankier.pl
Wojciech Boczoń
