Październik to europejski miesiąc cyberbezpieczeństwa. EXATEL, jak co roku, wykorzystuje ten czas do popularyzowania wiedzy o bezpieczeństwie w cyberprzestrzeni. Naszym celem jest nie tylko przestrzeganie przed potencjalnymi zagrożeniami, ale również promowanie odpowiedzialnego korzystania z sieci. W ramach cyklu podcastów porozmawiam z ekspertami z departamentu cyberbezpieczeństwa na temat trendów i zagrożeń w obszarze security oraz o tym, jak EXATEL wychodzi im naprzeciw. Zapraszam, Sylwia Buźniak, Senior HR Business Partner EXATEL.

Dzień dobry. Moim i państwa gościem w dzisiejszym odcinku jest Kamil Lunda, ekspert do spraw bezpieczeństwa. Dzisiaj z Kamilem chciałabym porozmawiać o bezpieczeństwie OT. Cześć, Kamil.

• Cześć, Sylwia, dzień dobry państwu.

Kamil, zaczynając standardowo, chciałabym ogólnie, wysokopoziomowo, dowiedzieć się od ciebie, czym jest sieć OT.

• Yhm, sieć OT jest to, jak sama nazwa wskazuje, sieć, w której zebrane są przełączniki, urządzenia przemysłowe oraz wszelkiej maści przesył informacji związanych z tą siecią, które informują użytkowników, inżynierów o zachodzących procesach związanych z automatyką przemysłową.

Yhm, czyli generalnie, rozwijając skrót, OT to automatyka przemysłowa, tak?

• Tak

A czym się różni od sieci IT?

• Przede wszystkim tym, że masz tam zamiast komputerów jako takich głównie przełączniki logiczne oraz systemy typu SCARA, które agregują informacje i przekazują to w formie wizualnej dla administratora.

Czy bezpieczeństwo wówczas dla takich sieci jest inne niż dla sieci IT?

• Jest inne. Nie powiem, że jest diametralnie inne, bo byłoby to kłamstwo, ale przede wszystkim, jeżeli chcemy, chcemy rozdzielić jedno i drugie zagadnienie ze względu na to, że w momencie ataku przejście w jedną, wejścia w jedną sieć, jeżeli nie są one podzielone, to nieautoryzowany napastnik ma dostęp już do wszystkiego. W momencie, gdy ograniczamy dostępy poprzez segmentację sieci, jeżeli już ktoś wejdzie, to ma dostęp tylko do wąskiego wycinka informacji, a nie od razu właśnie do całości.

Czyli to, co jest ważne dla firm, które posiadają również automatykę przemysłową, to po prostu segmentacja i wydzielenie sieci IT od OT, tak?

• Trzeba pamiętać też o tym, że w momencie, gdy masz już w tej sieci wiele urządzeń, to jeżeli wszystkie trzymasz w jednym miejscu, to porównam to trochę do sytuacji na drodze: każdy ruch można porównać do takiego samochodu. W momencie, gdy masz jedną drogę, wszystkie się kumulują w jednym miejscu, robią ci się korki. W momencie, gdy masz automatykę przemysłową, zależy ci głównie na czasie przesyłu informacji między jednym a drugim punktem. Często jest to spowodowane tym, że jeżeli będziesz miała opóźnienia właśnie związane z transmisją informacji, może to doprowadzić do wielkich uszkodzeń, nawet w ostatecznych… w ostatecznym rozrachunku nawet do wybuchów różnych.

Powiedz na jakie usługi, albo na jakie kwestie bezpieczeństwa powinny zwracać uwagę takie firmy? Posiadające jakby automatykę przemysłową.

• Przede wszystkim na to… Powinny zdawać sobie sprawę z tego, co w ogóle u nich w sieci się znajduje, co tam krąży, do czego jest to używane, żeby nie było sytuacji właśnie, że okej, mam postawioną sieć, w sieci sobie jest wszystko, nie zmieniłem żadnego hasła, więc wszystko dalej lata na admin admin. Są strony internetowe, które właśnie wyłapują takie smaczki. Poprzez adresy IP wysyłane są  dostępne informacje, że „ej patrzcie, tutaj ten host dalej działa na domyślnym logowaniu”. Jeżeli nie chcemy właśnie, żeby nieautoryzowany użytkownik wszedł do nas i zaczął, nie daj Bóg, robić różne zmiany, to trzeba pamiętać o podstawowych aspektach bezpieczeństwa, takich jak właśnie zmiana haseł, utrzymywanie ciągłości oprogramowania oraz ich aktualności.

Jakiego typu usługi powinny wykorzystywać firmy?

• Dobrym początkiem jest zatrudnienie specjalisty, który rozumie, co robi i w jakim celu to robi. W momencie, gdy już mamy specjalistę typu administratora sieci, warto byłoby sprawdzić, czy to co robi, to co on twierdzi, że jest zrobione dobrze, jest aby na pewno dobrze zrobione. Tutaj wchodzą działania audytowe i kontrolne.

A z jakich typów usług takich firm jak EXATEL, mogłyby skorzystać tego typu przedsiębiorstwa?

• Możemy zacząć od rekonesansu cyberbezpieczeństwa, żeby sprawdzić czy osoba zatrudniona przez organizację wykonuje swoje działania poprawnie oraz jeżeli jesteśmy pewni właśnie tego, że on wykonuje to poprawnie, poprzez wskazanie mu różnych jeszcze elementów, które wymagają poprawy lub nawet zwrócenia uwagi specjalnej na jakieś niedoróbki ewentualnie, po prostu przeoczenia.

[00:05:02]

A mógłbyś coś więcej opowiedzieć jak ta usługa wygląda w EXATEL? Bo pracujesz w zespole, który wykonuje takie rekonesansy.

• Tak, dzieli się to na dwa elementy. Element techniczny, którą wykonują Pentesterzy zarówno z formacji obronnej, jak i ofensywnej oraz część procesowo-proceduralną, w której właśnie określone są czy, w której właśnie określane są czy działania proceduralne odpowiadają stanu faktycznemu, a jeżeli takich działań nie ma, to wskazać właśnie co należy zauważyć, co należy podjąć.

Jaka jest twoja ocena tej sytuacji? Jak oceniasz, na podstawie swoich doświadczeń i projektów, w których brałeś udział, bezpieczeństwo w tego typu firmach. Oczywiście bez nazw, tylko subiektywna ocena sytuacji z twojej perspektywy.

• Jest to bardzo podchwytliwe pytanie, z jednej strony trzeba pamiętać, że jeżeli już się ktoś zgłasza z prośbą o działania właśnie typu pentestowego to ma już jakąś świadomość tego, że „coś robię, ale czy aby na pewno robię to słusznie i właściwie?”. Jeżeli już mamy ten pierwszy element w postaci świadomości, że „a, dobra, tędy wychodzą zagrożenia, tutaj trzeba podjąć jakieś działania” to już ta firma jest na dużym plusie. Wielkim problemem są właśnie firmy, które działają z polską mentalnością „jakoś to będzie”.

Czy jesteś w stanie powiedzieć o jakimś casie bądź incydencie, którego doświadczyłeś, w którym brałeś udział?

• Pomidor.

Kamil, a jakie jest twoje zdanie, co rekomendowałbyś firmom, które mają małe budżety na cyberbezpieczeństwo?

• Mały budżet to najczęściej też mały zespół osób, które zajmują się kwestiami cyberbezpieczeństwa, więc zamiast mówić, że „ej, zatrudnijcie więcej ludzi”, ważnym elementem z mojego punktu widzenia jest, tak jak już wcześniej wspominałem, określenie kto ma dostęp do czego w naszych sieciach, jakie mamy urządzenia w naszych sieciach oraz określenie dostępów różnych użytkowników, wszak osoba, która zajmuje się wrzuceniem na stronę naszą internetową zmiany ceny, wcale nie potrzebuje mieć dostępu do kodu źródłowego aplikacji, którą tworzymy.

Czyli to, co byś rekomendował, podsumowując, z tego, co zrozumiałam…

• Ograniczenie maksymalne dostępu dla pracowników do rzeczy niezbędnych, które są im wymagane do sprawowania swoich obowiązków służbowych.

Czyli ten aspekt procesowo-proceduralny, tak? Bo gdzieś to trzeba spisać.

• No, moja działka.

Okej, czyli gdzieś to trzeba spisać, tak?

• Tak, nie tyle spisać co po prostu mieć świadomość tego jakie mamy informacje, jakie mamy w ogóle pozio… jakich wymagamy poziomów dostępu do informacji właśnie, że, okej, mamy jedną aplikację, przypuśćmy, w której coś kodujemy i tutaj należy zauważyć właśnie, że można tam dać ograniczone dostępy do tych informacji, że osoba, która ma kodować, przypuśćmy, skakanie postaci w grze, wcale nie potrzebuje mieć dostępu od razu do całej warstwy muzycznej oraz warstwy graficznej tego.

Yhm. A jeżeli firmy nie mają zatrudnionych takich specjalistów, czy wtedy taka firma jak EXATEL może świadczyć taką usługę, czy rekomendowałbyś skorzystanie z firmy zewnętrznej, żeby spisać procedury, procesy dostępów?

• Jak najbardziej, nie każdy musi być specjalistą od wszystkiego, zresztą my też nie jesteśmy specjalistą od wszystkiego.

Yhm.

• Trzeba brać pod uwagę właśnie zarówno budżet, często właśnie wynajęcie zewnętrznego specjalisty jest, lub grupy specjalistów, jest dużo tańsze od utrzymywania całego swojego działu związanego z bezpieczeństwem.

Czyli taka firma korzy…

• U nas można właśnie skorzystać właśnie z usług SOCowych, można skorzystać ze wsparcia procesowo-proceduralnego, czy też, jak już mamy właśnie swój dział bezpieczeństwa, wsparcia Pentesterów, którzy sprawdzą, czy to, co zrobiliśmy do tej pory ma przysłowiowe ręce i nogi.

Yhm. Jeżeli chodzi o rekonesanse bezpieczeństwa i tworzenie dokumentacji tej audytowej procesowo-proceduralnej, to jak wygląda ten proces? Czy wy fizycznie jedziecie sobie wówczas do tego klienta i do tej firmy?

• To zależy od ustaleń z klientem. Możemy właśnie pojechać na miejsce, sprawdzić zabezpieczenia fizyczne, jakie obecnie stosują, sprawdzić czy mają, czy pracownicy mają świadomość zagadnień bezpieczeństwa, czy przypadkiem nie ma sytuacji, że, no, jest wymuszona zmiana hasła co miesiąc, więc nowe hasło przeklejam sobie żółtą karteczką na środku monitora.

Bywa i tak, tak?

• Bywa i tak.

Szczególnie gdzieś tam na stanowiskach administracyjnych.

• No ale to bardziej bym patrzył wtedy pod klawiaturę, a nie na monitor.

Tak, awareness w organizacjach też jest bardzo ważny, tak? Budowanie świadomości, ale to już jest inny, inny wątek i być może ten wątek zostawimy sobie na kolejną rozmowę. Kamil, zdanie podsumowujące, co rekomendowałbyś takim organizacjom, co powinny zrobić, na co uważać?

• Zacznijmy od świadomości.

Okej, dzięki bardzo.

• Dzięki.