Modny w dzisiejszych czasach temat cyberbezpieczeństwa w zestawieniu z cennikiem sprzętowych firewalli lub licencji na oprogramowanie zapewniające bezpieczeństwo informatyczne wywołuje grymas na twarzach małych przedsiębiorców. Oliwy do ognia dolewa fakt, że potężne organizacje wydają na cyberbezpieczeństwo miliony dolarów, a i tak co jakiś czas słyszymy o udanych atakach na ich sieci IT. Nic dziwnego, że w głowach właścicieli mniejszych firm rodzi się pytanie – co ja jako mały biznes mogę zrobić bez wielkiego budżetu, nie mając scenariusza na awarię, zapasowych serwerowni, porządnych kopii zapasowych. Ja nie mam się jak bronić, a jak stracę dane – zamykam biznes. Podsumowując – małego boli bardziej, a nie ma narzędzi obrony. Dużego boli mniej, a dodatkowo ma też czym się bronić. Ta narastająca frustracja powoduje często wyparcie tematu cyberbezpieczeństwa i brak jakichkolwiek działań w kierunku poprawy stanu rzeczy.
Pixabay
Brak dbałości o bezpieczeństwo informatyczne to jak otwarte drzwi dla złodzieja
To bardzo złe podejście, ponieważ przypomina zostawianie otwartych drzwi do mieszkania w nadziei, że złodziej nie zauważy i najpierw będzie chciał okraść tych bogatszych sąsiadów z 3 piętra. Oczywiście – jest jakaś szansa, że się uda, jednak osobiście zachęcam raczej do poczynienia jakichkolwiek, choćby niedużych kroków, jak choćby instalację zamka w drzwiach. Ktoś powie – prosty zamek nie jest przeszkodą dla złodzieja. To jednak jedynie półprawda.
Ostatnimi czasy popularne są kradzieże w mieszkaniach na zasadzie „ślepego trafu”. Dość głośno było w mediach o przypadkach, w których złodzieje po prostu chodzą po klatce schodowej i lekko naciskają każdą klamkę. Jeśli natrafią na otwarte mieszkanie – wchodzą, biorą co lepsze z brzegu i wychodzą. Metoda ta była popularna w czasach pandemii (2020-2021), gdy wiele osób pracowało w domach i siedziało na spotkaniach online w słuchawkach, odcinając się od otoczenia, jednocześnie nie zamykając drzwi mieszkania. Można byłoby więc powiedzieć, że taki złodziej nie wiedział, co mamy i czy będzie miał co ukraść, ale próbował znaleźć otwarte drzwi. Nie musiał umieć otwierać zamków wytrychem ani mieć specjalistycznych narzędzi.
Statycznie podchodząc, w którymś otwartym mieszkaniu na pewno będzie na półce w przedpokoju leżeć gotówka, kluczyki od auta albo portfel z kartami. Bo ludzie kładą takie rzeczy w przedpokoju. A ten złodziej nie zamierza wcale wchodzić głębiej do mieszkania, bo nie chce być zauważony przez siedzącego w gabinecie, pracującego zdalnie właściciela mieszkania.
Przekujmy to teraz na cyberbezpieczeństwo…
Według Ministerstwa Cyfryzacji (źródło: https://www.gov.pl/web/cyfryzacja/phishing-jako-najczesciej-spotykana-forma-cyberatakow) większość ataków to ataki na ślepo, z wykorzystaniem tzw. phishingu, czyli fałszywych wiadomości email wyłudzających informacje (np. dane logowania). Atakujący nie wie, kogo atakuje – wysyła phishing do wszystkich, których ma w bazie adresów email. Statystycznie, jeśli dokonamy ataku na kilkadziesiąt tysięcy osób, ktoś musi się nabrać. Przy odpowiednio dużej próbie zadziała więc mechanizm:
- Z grupy X adresów ktoś musi się nabrać. Tych, co się nabrali, nazwijmy zbiorem Y.
- Jeśli zbiór X jest odpowiednio duży, zbiór Y również będzie duży
- Z dużego zbioru Y, czyli tych, którzy się nabrali, musi istnieć zbiór Z, czyli tych, którzy mają coś wartościowego.
- Jeśli grupa Z będzie odpowiednio duża, to statystycznie znajdzie się w tej grupie ktoś, kogo będzie stać na zapłacenie okupu za przywrócenie danych.
Analogia do pociągania za klamkę na klatce schodowej staje się aż nazbyt widoczna!
Aby zbiór osób, które zapłacą okup był odpowiednio duży (opłacalny dla atakującego), zbiór początkowy (X) adresów atakowanych musi być gigantyczny. Nie ma czasu na selekcję, atakuje się po prostu wszystkich. Właśnie z tego powodu twierdzenie małych przedsiębiorców (tak często wypowiadane przez nich w kontekście cyberbezpieczeństwa), które brzmi: „mnie to nie dotyczy, kto by chciał mnie zaatakować, ja prowadzę zakład fryzjerski a nie instytucję rządową” jest zwyczajnie nieprawdziwe. Internerowi przestępcy atakują wszystkich, nie wiedząc, czy to przysłowiowy Pentagon, czy salon fryzjerski. I kto nie ma broni służącej do odpierania tych ataków – zwija biznes z powodu utraty danych lub płaci okup.
Na szczęście ataki „na ślepo” jest relatywnie łatwo odeprzeć
Wróćmy na chwilę do analogii złodzieja okradającego mieszkania. Żeby pociągnąć za klamkę bez szarpania się z zamkiem, nie potrzeba wysokich kwalifikacji. Ryzyko wpadki jest znikome, bo w razie napotkania w przedpokoju mieszkańca, można grzecznie powiedzieć „przepraszam, pomyliłem piętra” i się wycofać. Praktycznie bez możliwości wpadki. Szansa na skarb mała, ale ryzyko żadne. A siła skali (statystyka) znów robi swoje – ktoś w końcu będzie mieć ten portfel na półce koło szafy przy drzwiach. Zarobek złodzieja mały i niepewny, ale nie jest obarczony wysokim ryzykiem.
Co innego, jeśli złodziej wie, czego i u kogo szuka. Jeśli jako złodziej wiem, że masz w domu dzieła sztuki, złoto, papiery wartościowe lub drogi sprzęt – przyjdę zupełnie inaczej przygotowany. I będzie to ode mnie – jako złodzieja – wymagało praktyki, przezorności i długiego przygotowania. Początkujący złodziej tego nie zrobi, bo pokona go system alarmowy, ochrona, a może fosa z krokodylami czy most zwodzony. W skrajnym przypadku wilcze doły lub smoła. Po duże skarby idzie wykwalifikowany złodziej. Im większy skarb, tym bardziej doświadczony złodziej jest potrzeby. I przed tymi najlepszymi praktycznie nie ma skutecznej ochrony.
Tak samo jest w cyberbezpieczeństwie. Ataki kierowane, w których atakujący wie, kogo atakuje i jakie szkody chce wyrządzić/jakie informacje zdobyć są rzadsze i dotyczą raczej dużych organizacji lub takich, których dobra (dane) są wiele warte. Taki atak wymaga przygotowania, jest więc drogi w przeprowadzeniu. Musi się opłacać, bo czasem proces przygotowania do ataku kierowanego trwa wiele miesięcy, a nawet lat. Skarb czekający na końcu musi więc być duży, by wysiłki się opłaciły. W dodatku istnieje duże ryzyko wpadki, jeśli atakujący kiepsko się przygotuje (bo wielkie firmy mają systemy i armię ludzi, którzy namierzają próby ataków na żywo, 24/7).
Jak chronić się w Internecie?
Czy obronimy się przed atakiem kierowanym jako mali przedsiębiorcy, z niskim budżetem? Na pewno nie. Pytanie jednak brzmi, czy szansa na materializację ryzyka jest wysoka? Raczej też nie. Skupmy się więc na atakach „na ślepo”, których przeprowadza się tysiące dziennie i mogą nas dotyczyć.
Pamiętajmy, że dokonuje ich często automat (bo żaden człowiek nie jest w stanie wykonać np. miliona ataków w 1 dzień z powodu posiadania tylko dwóch rąk i jednej głowy), a dodatkowo ze względu na to, że skala musi być naprawdę duża, nie ma czasu na łamanie zabezpieczeń, tylko jak drzwi są zamknięte – automat idzie dalej. I tu właśnie z pomocą przychodzą proste rzeczy, które w zerowym lub minimalnym budżecie, możemy zrobić, aby ten „automat poszedł dalej”.
Po pierwsze – szkolenia z cyberbezpieczeństwa dla personelu
Zatrudniając pracowników zapewne załatwiasz im szkolenie BHP, bo takie są przepisy. Uczą się na nim wielu podstawowych zasad, które mają uchronić ich przed wypadkiem przy pracy. Nikt jednak nie uczy ludzi takiego „BHP” w pracy w sieci komputerowej, w Internecie. A to powinna być podstawa!
Atakujący doskonale wiedzą, że jest relatywnie trudno obejść zabezpieczenia sieci i traci się na to czas. Zdecydowanie łatwiej jest zostać zaproszonym przez kogoś z wewnątrz, kto otworzy drzwi. Dlatego bazują na niewiedzy użytkowników, którzy są na ogół najsłabszym ogniwem w tym łańcuchu zabezpieczeń. Ile byśmy nie mieli rygli, kłódek, fos i krokodyli, finalnie ktoś ze środka po prostu nabierze się na dostawę pizzy i po prostu otworzy wrota do zamku złodziejowi. Dlatego trzeba ludzi edukować.
Po drugie – procedury, instrukcje i standardy, przynajmniej te podstawowe
Jeśli mamy ustandaryzowane środowisko pracy, trudniej popełnić błąd. Każdy wie, co ma robić, jak reagować w przypadku zagrożenia. Każdy pracownik wie, co robić z podejrzaną wiadomością lub jak udostępniać dane w sposób bezpieczny, z jakiego oprogramowania korzystać, a z jakiego nie. To minimalizuje możliwości wycieku danych lub ich utraty.
Po trzecie – brak uprawnień administracyjnych na kontach służących do codziennej pracy
Mówiąc w dużym uproszczeniu, w przypadku pobrania złośliwego oprogramowania na komputer, posiada ono takie same uprawnienia jak aktualnie zalogowany użytkownik. Jeśli więc jesteś administratorem – złośliwy kod tez jest administratorem. I może wszystko, a na pewno WIĘCEJ niż mogłoby, gdyby takich uprawnień nie miał.
Dodatkowa kwestia to instalowanie czegokolwiek, bez sprawdzania. Pobieranie czegokolwiek z internetu i instalowanie na komputerze. Większość personelu nie jest wykwalifikowana w namierzaniu potencjalnie groźnego oprogramowania i nie jest w stanie odróżnić prawdziwego 7zipa od tego fałszywego 7zipa. Lepiej, żeby sami nie instalowali programów.
Powodów jest więcej – np. możliwość przechwycenia z pamięci chronionej poświadczeń administratora domeny Active Directory – jednak ten artykuł piszę dla osób spoza branży IT, więc oszczędzę tego typu technicznych, dogłębnych analiz. W każdym razie – zezwolenie na pracę użytkownikom na prawach administratora to podstawowy błąd i jedno z największych naruszeń zasad cyberbezpieczeństwa.
To dokładnie to samo, jakbyście wszystkim swoim gościom i ekipom budowlanym oraz gościom tych ekip dawali kopię kluczy do mieszkania. Nawet, jeśli wszyscy oddali klucze, to przy takiej skali osób, które miały do nich dostęp, nie jesteście w stanie stwierdzić, czy w międzyczasie ktoś ich nie skopiował, by wejść do Was za pół roku po złote klamki.
Po czwarte – zarządzanie tożsamością
Komputery można podłączyć pod domenę Active Directory, ale wymaga to inwestycji w serwer i odpowiednie licencje. Nie każdy jednak wie, że dla mikrobiznesu może wystarczyć darmowa Entra ID w chmurze Microsoft. Pozwala na zarządzanie scentralizowane użytkownikami, członkostwem w grupach zabezpieczeń, nadawanie uprawnień, zarządzanie polityką haseł. Jak ktoś zapomni hasła – administrator może je zresetować. Można także zablokować dostęp do komputera i danych użytkownikowi, który odchodzi z pracy lub mamy co do niego podejrzenia o nieuczciwość.
Nie zapominajmy o WiFi. Jeśli standardem jest jedno hasło dla wszystkich, to gdy ktoś odchodzi z pracy i formalnie nie ma związku z naszą firmą, po podjechaniu pod płot nadal może połączyć się z naszą siecią. Ostatecznie hasła do WiFi nikt nie zmienia przy każdej zmianie personelu. Jest jedno dla wszystkich, więc wszyscy je znają. Z pomocą Active Directory i odpowiedniej klasy punktów dostępowych WiFi powinniśmy zadbać o to, by dostęp do sieci bezprzewodowej bazował na centralnym zarządzaniu użytkownikami, gdzie każdy wpisuje swój login i hasło, by się połączyć. Wyłączenie użytkownika powoduje wtedy nie tylko odcięcie dostępu do komputera, ale także do sieci bezprzewodowej. Ta zmiana wymaga inwestycji w punkty dostępowe obsługujące standard WPA2/3-Enterprise oraz w serwer RADIUS, którym może być nasz kontroler domeny (jeśli go mamy) w połączeniu z doinstalowaną rolą NPS. Może się jednak okazać (i często ma to miejsce), że mamy wszystkie potrzebne składniki, by to wprowadzić – wystarczy skonsultować się ze specjalistą, który to sprawdzi.
Po piąte – poczta jako podstawa cyberbezpieczeństwa
Twoja poczta to skarbnica wiedzy o firmie – są tam maile od klientów, wspólników, księgowej, prawników, a także dostawców i pracowników. Uzyskując dostęp do Twojej skrzynki pocztowej, najpewniej znajdę wszystko, czego potrzebuję, by Ci zaszkodzić i wcale nie muszę uzyskiwać dostępu do Twojej sieci komputerowej czy serwerów. Wystarczy dostęp do maila.
Tymczasem, aby się do niego dostać, wystarczy znać login i hasło. Loginem na ogół jest adres mailowy, więc 50% informacji już mam. Hasło – na ogół jest utworzone na starcie, wbije w program do obsługi poczty i zapomniane. Na ogół łatwe do zapamiętania – więc i do rozgryzienia. Niechronione przez MFA. Dodatkowo czasem zapisane na żółtej karteczce na monitorze.
Większość popularnych hostingów poczty nie ma praktycznie żadnych zabezpieczeń. Uwierzytelnianie wieloskładnikowe jest rzadkością, a jeśli jest – działa tylko przez przeglądarkę. Konfigurując pocztę w kliencie poczty (np. w popularnym Outlooku) już MFA nie mamy. Hostingi na ogół nie oferują skanerów antywirusowych czy możliwości tworzenia zaawansowanych przepływów poczty.
Ochrona poczty to podstawa cyberbezpieczeństwa. Mamy do dyspozycji wiele rozwiązań, ale najrozsądniej zainteresować się profesjonalną, biznesową pocztą e-mail oferowaną często razem z innymi usługami – np. Microsoft365 lub Google Workspace lub inne tego typu usługi. Wybór między tymi dwoma gigantami nie jest oczywisty i wymaga analizy potrzeb, ale każdy z tych mechanizmów zapewnia przyzwoity poziom bezpieczeństwa poczty e-mail. Koszty zaczynają się od kilkunastu złotych miesięcznie za użytkownika.
Po szóste – szyfrowanie danych
Dane mogą zostać uszkodzone/utracone, ale niebezpieczeństwem jest także ich wyciek. Szyfrujmy to, co się da, ale z głową. Nie każdy np. wie, że samowolne użycie mechanizmu szyfrowania wbudowanego w Windows (tzw. EFS) to proszenie się o kłopoty po reinstalacji systemu. EFS bazuje na certyfikatach i jeśli nie mamy domeny Active Directory i własnego urzędu certyfikacji (specjalnego serwera), certyfikaty te są przechowywane lokalnie. Są one potrzebne do odszyfrowania danych. Jeśli przeinstalujemy system lub stracimy komputer- dane są nie do odszyfrowania, dokładnie tak, jakbyśmy ich po prostu nie mieli. Można używać EFS, ale z głową, np. eksportując i tworząc kopię bezpieczeństwa certyfikatu. To jednak znów głębokie technikalia, nie będę więc dalej się zagłębiać.
Innym narzędziem szyfrującym w Windows, jest BitLocker, którzy służy do szyfrowania całych dysków twardych. Ten mechanizm obroni nas przed scenariuszem, w którym ktoś ukradnie nam komputer i próbuje uzyskać dostęp do danych. Komputer jest chroniony kontem domenowym (bo wdrożyliśmy punkt 4 – ochronę tożsamości), więc nie będzie łatwo przez to przejść. Można natomiast wykręcić dysk z komputera, przełożyć do innego i ominąć zabezpieczenia domeny. Otóż nie! Tu właśnie ochroni nas BitLocker, który sprawi, że w innym komputerze dysk będzie nieodczytywalny bez specjalnego klucza odzyskiwania.
No i na koniec – istnieje oprogramowanie typu IRM/RMS (rights management). To specjalny soft, za pomocą którego możemy szyfrować pliki w taki sposób, by decydować, które osoby i na jakich warunkach mogą plik otwierać, edytować, kopiować czy drukować. To oprogramowanie kosztuje, ale nie jest tak drogie, jak się wydaje – a jeśli ktoś korzysta np. z Microsoft365 – być może ma je już w swoim pakiecie, tylko o tym nie wie.
Po siódme – kopia zapasowa
Dobry backup to podstawa, pewnie powinien być w punkcie 1, jednak gdybym umieścił ten punkt na początku, zapewne wielu z Was nie doczytałoby reszty artykułu sądząc, że piszę tu o oczywistościach i nie ma sensu tego czytać.
Dobra kopia zapasowa to taka, która nie jest podatna na atak, czyli jest offline. Dobra kopia to także taka, która jest odporna na czynniki mechaniczne-fizyczne, jak pożar, zalanie, włamanie – czyli znajduje się w innej lokalizacji. Dobra kopia to także taka, która pozwala w miarę szybko odtworzyć dane bez konieczności odbudowywania całej infrastruktury i wielogodzinnych procesów odtwarzania całych serwerów, gdy szukamy 1 pliku. No i na koniec – dopasowana do potrzeb. Tzw. RTO (recovery-time-objective) i RPO (recovery-point-objective) to parametry, które należy sobie określić przed dobraniem odpowiedniej kopii zapasowej. Mówiąc językiem nieinformatycznym – musimy określić ile danych wstecz jesteśmy gotowi poświęcić w razie awarii (czy backup robiony np. raz dziennie jest wystarczający – będziemy mieć dane z wczoraj w razie awarii, a dzisiejsze dane tracimy) oraz jak długo maksymalnie może trwać proces przywracania (jak długo firma może nie pracować i czekać na dane z kopii zapasowej). Te dwa parametry determinują wybór rozwiązania. W małych firmach często panuje zasada „proszę zrobić JAKIŚ backup”, a potem okazuje się, że jest nie do pomyślenia, że odtwarzanie trwa tak długo i w dodatku mamy dane sprzed tygodnia, a nie sprzed chwili. To nie wina backupu, tylko tego, że nikt nie zastanowił się nad RPO i RTO.
Siedem i pół – oprogramowanie antywirusowe.
Dlaczego siedem i pół, a nie osiem? Bo to taki „mały punkt, jakby pół punktu”, gdyż każdy z nas ma antywirusa w systemie Windows wbudowanego i nie ma potrzeby instalowania niczego innego, jeśli nie mamy budżetu na profesjonalne, centralnie zarządzane oprogramowanie z większym poziomem ochrony. Darmowe programy antywirusowe, które można znaleźć w sieci najczęściej w niczym nie wyprzedzają systemowego Defendera. Sens jest tylko iść w oprogramowanie wyższej klasy, płatne – jeśli nie mamy budżetu, pozostańmy przy tym, co jest – czyli nic nie musimy robić w tym zakresie poza odpowiednią konfiguracją (czy wiesz, że Defender ma np. domyślnie wyłączony moduł ochrony przed ransomware? Warto go włączyć).
Jak widać, pewne drobne kroki można poczynić w ramach darmowych usług lub niewielkim nakładem kosztów. Oczywiście inne te koszty będą dla kogoś, kto np. ma już potrzebne licencje i sprzęt, a jedynie nie wiedział o pewnych jego funkcjach, a inny dla kogoś, kto nie ma takich zasobów – jednak w jednym i drugim przypadku koszty są niewielkie w porównaniu do strat, jakie mogą się wydarzyć, jeśli tych kosztów nie poniesiemy.
To trochę jak z ubezpieczeniem. Ubezpieczamy telefony od zbitej szybki, której wartość to 100-200zł. Ubezpieczamy szyby samochodowe podczas, gdy wymiana szyby w aucie to kwota 1000-2000zł. Więc dlaczego nie ubezpieczamy swoich danych inwestując w dobre IT i narzędzia do ochrony, skoro ich utrata to koniec naszego biznesu, pracy dla naszego zespołu (to ludzie, którzy też mają swoje zobowiązania, kredyty, rodziny i mogą to stracić przez nasze zaniedbania), naszego źródła dochodów, a często także problemy z wywiązaniem się ze zobowiązań?
Bibliografia:
https://www.gov.pl/web/cyfryzacja/phishing-jako-najczesciej-spotykana-forma-cyberatakow
Kurek, J. (2021). Cyberbezpieczeństwo – teoria i praktyka. Warszawa: PWN.
Nowak, M. (2022). Zarządzanie bezpieczeństwem informacji w organizacjach. Kraków: Wydawnictwo Uniwersytetu Ekonomicznego.
Stallings, W. (2020). Cybersecurity: Principles and Practice (2nd ed.). Pearson Education.
Singer, P. W., & Friedman, A. (2014). Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press.