Bezpieczeństwo pracy zdalnej
Jakie aspekty bezpieczeństwa warto zweryfikować po przyspieszonej transformacji cyfrowej
(21.05.2020)

— Karol Wróbel —
Co rozumiemy przez przyspieszoną transformację cyfrową – co ona nam dała i z czym się zetknęliśmy? Jeszcze dwa miesiące temu, mało kto przewidywał jak będą wyglądały następne kroki, jeśli chodzi o charakter naszej pracy. Ów charakter zmienił się w sposób drastyczny. Największe zmiany nastąpiły w kwestii komunikacji wewnątrz zespołów oraz komunikacji z klientami. Nierzadko przestaliśmy mieć możliwość – w dużej mierze, choć nie w każdej firmie – spotykania się twarzą w twarz. Z perspektywy czasu mogę powiedzieć, że są takie zagadnienia – w szczególności gdy podchodzimy do zupełnie nowych tematów – gdzie taka bezpośrednia praca była niezastąpiona. Musieliśmy się jednak szybko przestawić na tryb pracy zdalnej. Istotną kwestią były również przyspieszone zmiany w architekturze systemów i sieci oraz zwiększony apetyt na ryzyko. W obecnej sytuacji apetyt ten był stosunkowo duży i w całości procesów związanych z transformacją, nasz departament cyberbezpieczeństwa, widział dużą analogię pomiędzy tym co się dzieje, a obsługą zdarzeń w trybie incydentu. Jest to w dużej mierze dla nas chleb powszedni, wobec czego, emocje nie brały nad nami góry i byliśmy w stanie pomagać w zaadresowaniu pewnego rodzaju działań, w wyznaczaniu kierunków i asystować w transformacji organizacji. Główny ciężar był tutaj położony na departament sieci, informatyki i pion ogólnego wsparcia, wobec czego mieliśmy przyjemność pełnić rolę doradczo-wspomagającą. Na etapie w którym się obecnie znajdujemy, czyli powiedzmy półtora miesiąca od momentu w którym rozpoczęła się transformacja, możemy dojść do kolejnych przemyśleń, co warto by było zrobić i na co szczególnie zwrócić uwagę, żeby zapewnić bezpieczeństwo systemów teleinformatycznych i ogólnie pracy zdalnej, w odniesieniu do tego z czym się spotkaliśmy, a mianowicie: wiele systemów uległo modyfikacji, transformacji i zwiększeniu pojemności, natomiast w związku z tym, że wszystkie działania były podejmowane z kluczowym priorytetem – czyli zachowania ciągłości działania biznesu – bezpieczeństwo miało trochę dalszy priorytet. Zarówno wśród naszych klientów, jak i na podstawie tego co ogólnie dzieje się na rynku, zaobserwowaliśmy, że otwierają się obecnie takie możliwości, które wcześniej ze względów bezpieczeństwa właśnie, były blokowane. Temat, nad którym musimy się obecnie mocno zastanowić, to jak podejść do całości przedsięwzięcia i w sposób usystematyzowany wrócić do pewnego rodzaju „strefy komfortu”, jeśli chodzi o kwestię podejmowanego ryzyka. Bardzo często największą wartością firmy, są jej pracownicy. Zmiana charakteru pracy i w dużej mierze przeniesienie jej do domu, nie było zbyt komfortową sytuacją dla części pracowników. Niektórzy mogli odczuć duży niepokój, zwłaszcza w sytuacji, gdy mają w domu dużą liczbę rozpraszaczy. Warto jest więc skupić się nieco głębiej na aspekcie ludzkim transformacji, ponieważ jeszcze przed przejściem w tryb pracy zdalnej, przewidywania były takie, że w krótkim czasie będziemy mieli do czynienia z trzema fazami tego, co będzie działo się z relacjami interpersonalnymi. Faza pierwsza – po pierwszych trzech dniach wszyscy cieszą się z możliwości pracy zdalnej. Faza druga – po trzech tygodniach od przejścia na nowy tryb, pracownicy chcieliby wrócić do „normalnego” trybu pracy. Te dwie fazy mamy już za sobą, ale jest i trzecia, czyli to, co dzieje się po pierwszych trzech miesiącach. Pracownicy mogą wtedy stwierdzić, że pracują już w zupełnie innej firmie niż pracowali wcześniej. Zmienił się charakter pracy, kwestia komunikacji interpersonalnej i nie wszyscy muszą czuć się tak samo dobrze jak czuli się pierwotnie w organizacji. Miejmy na uwadze, że część sposobów prowadzenia biznesu, które aktualnie widzimy, znamy i jesteśmy w ich środku – ona pozostanie, pomimo procesu odmrażania gospodarki i wzrastającej z powrotem aktywności. Wobec tego kwestia zadbania o pracownika i umożliwienia mu komunikacji analogicznej do tego, co było pierwotnie – tj. utrzymywanie relacji międzyludzkich, utworzenie pewnego rodzaju wspólnej przestrzeni dla zespołów, odtworzenie możliwości formalnych kontaktów – jest bardzo ważnym elementem długoterminowego planowania wydajnej pracy. Bardzo popularnym tematem obecnie, jest kwestia podejmowania urlopów w czasie pandemii – warto czy nie? Wiele osób z którymi rozmawiam, twierdzi, że pracując zdalnie, pracujemy o wiele więcej niż pracowaliśmy będąc w biurze. Wiele firm do tej pory nie opierało się na pracownikach zdalnych, tym bardziej warto rozważyć temat tego, jak mocno eksploatujemy swoje organizmy w takim trybie pracy. Czasami wzięcie dwóch czy trzech dni wolnego, a nawet tygodnia, może znacząco pomóc nam w uspokojeniu myśli i przystosowaniu się do nowych warunków. Starajmy się więc nie zaniedbywać tej kwestii. — Paweł Krawczyk — Aspekt proceduralny może sie kojarzyć – całkiem słusznie – z systemowym podejściem do zarządzania bezpieczeństwem, gdzie wymagane jest często powstanie szeregu nowych procesów biznesowych, a w istniejących już procesach, należy uwzględnić aspekty bezpieczeństwa. Jeśli zaś chodzi o to z czym aspekt proceduralny może się kojarzyć, to jest to szereg pracochłonnych czynności realizowanych na wszelki wypadek. W jaki sposób poradzić sobie z takim zagadnieniem, kiedy mamy do czynienia ze znacznie szybszymi działaniami realizowanymi przez biznes? Zanim zagłębimy się w tę tematykę, chciałbym jeszcze wspomnieć o dokumentach niższego rzędu, tj. instrukcjach i procedurach. Dokumenty te są niedoceniane w normalnych czasach, a w trudnych bardzo poszukiwane. Kiedy juz takie procedury mamy, to powinniśmy pamiętać by były one łatwe w użyciu i przydatne. Gdy już warunki te zostaną spełnione, to każdy potrzebujący powinien wiedzieć gdzie te dokumenty może znaleźć. Dlaczego jest to takie ważne? Ponieważ w trudnych czasach dopada nas tzw. ZKC czyli w wolnym tłumaczeniu: „zawsze kurczę coś”. Teraz można to przełożyć na popularne prawo Murphy’ego, które mówi o tym, że jeśli coś się może nie udać, to nie uda się na pewno. Doświadczenia nasze i kolegów z innych firm pokazują, że jest to taki czas, kiedy kończą się limity gigabajtów w telefonie, VPNy przestają działać i nie mamy w domu prądu, bo akurat trwają prace konserwacyjne, albo sąsiad spowodował zwarcie. Żeby tego było mało, takie rzeczy dzieją się w najmniej sprzyjających ku temu warunkach i okolicznościach. Jak poradzić sobie w takich czasach, które są niestandardowe dla naszego typu działalności i kultury organizacyjnej? Musimy umieć skomunikować się ze sobą, zwłaszcza wtedy, kiedy prawo Murphy’ego jest aktywne. Jeżeli mamy ustalone możliwe kanały komunikacji, w tym te awaryjne, i wiemy do kogo zadzwonić w danej sprawie, to choć na pewno nie rozwiąże to wszystkich naszych problemów, to będzie jednak krokiem naprzód i otworzy nam część zamkniętych drzwi. Jeżeli mielibyśmy zastanowić się co będzie nam potrzebne, to powinniśmy pomyśleć o tym, co będzie na końcu, kiedy będziemy wychodzić z tej pandemii. Będziemy musieli zadać sobie pytania, np.: czy decyzje które podejmowaliśmy w kryzysie, były właściwe i czy wydatki, które ponosiliśmy, były zasadne. W jaki sposób powinniśmy zaktualizować nasze plany ciągłości działania? W firmie nazywamy to „lesson learned”, czyli co mogliśmy zrobić lepiej. Żeby jednak mieć materiał na takie przemyślenia, należy pamiętać, że materiał zapisany musi równać się materiałowi zapamiętanemu. Im skrzętniej będziemy notować i zapisywać nasze działania, tym więcej materiału będziemy mieli na to, aby nasze procedury i instrukcje organizacji pracy wewnętrznej, były lepiej zorganizowane. Jakie to ma więc przeniesienie na procedury i organizację? Przykład: zapewne każdy z państwa posiada w firmie dokument, który nazywa się listą odstępstw od polityki bezpieczeństwa. Jest to dokument, który w dobie szybkich działań, powinni państwo aktualizować w miarę często. To samo tyczy się inwentaryzacji aktywów, które można przełożyć wprost np. na listę systemów udostępnionych do sieci Internet, bądź zmodyfikowanych po to, żeby biznes mógł świadczyć swoje podstawowe funkcje. Jeżeli więc chodzi o takie elementy, to warto również zachować ścisłą współpracę i wzajemne zrozumienie potrzebnych działań i priorytetów dla działania biznesu. Bo to tak naprawdę jest kluczem – kiedy możemy komplementarnie pracować razem z pozostałymi działami. — Karol Wróbel — Kwestia materiału zapisanego i zapamiętanego jest bardzo istotna. Jesteśmy w takim stabilnym momencie w którym rzeczywiście można podjąć prace porządkowe i co ważne, w trakcie podejmowania wszelkiego rodzaju zmian, powinniśmy sporządzać choćby najdrobniejsze notatki, aby móc później wrócić do tego co zostało zmienione, jakie usługi zostały wystawione, jakie modyfikacje wewnątrz systemów miały miejsce. Tylko wtedy możemy ze spokojem podejść do kwestii przechodzenia kolejnych obszarów weryfikowania ich pod kątem tego na ile i czy są one bezpieczne.

— Andrzej Milewski —
Epidemia koronawirusa wymusiła w większości firm zmiany, które w wielu przypadkach do tej pory nie były możliwe, bądź też były trudne do zrealizowania. Mam tu na myśli temat przejścia na pracę zdalną i z jednej strony problem technologiczny tego przejścia, a z drugiej kwestia procesowa. W wielu firmach nie istniały do tej pory procesy, które uwzględniałyby tryb takiej pracy. Chciałbym więc podjąć kwestię wyboru narzędzi komunikacji zdalnej. Osoba, która ma w firmie powierzone zadanie wyboru narzędzia, na którym przez czas pandemii ma pracować firma, nie ma łatwego zadania, ponieważ tych narzędzi jest na rynku naprawdę dużo. Do najpopularniejszych platform dostępnych na rynku, należy zaliczyć Zoom, Microsoft Teams, Cisco Webex czy też Skype. Są to narzędzia, które są w stanie zastąpić narzędzia tradycyjne, dając możliwość wirtualnego spotkania, prowadzenia dyskusji, prezentowania materiałów czy też prowadzenia rozmów rekrutacyjnych. Są jeszcze inne aplikacje z których możemy korzystać, nie tylko w czasie trwania pandemii – np. Signal i WhatsApp. Warto zwrócić szczególną uwagę na tę pierwszą, ponieważ aplikacja ta zapewnia poufność, jak również daje możliwość pracy w grupie (tworzenie tzw. grup zadaniowych dzięki którym mamy możliwość zaadresowania konkretnego tematu do danych osób). Dodatkowo informacja dystrybuowana w ramach grupy, jest szybko dostępna. Poza tym aplikacja jest dostępna na telefon, a te urządzenie mamy zwykle ze sobą, więc w razie potrzeby szybkiej wymiany informacji w danej grupie, jest to super rozwiązanie. Ostatnim, najbardziej rozpowszechnionym narzędziem, jest poczta elektroniczna. W tym przypadku nie ma żadnych rewolucyjnych zmian. Jedyna zmiana, którą mogą odczuć osoby pracujące w okresie pandemii jest taka, że korespondencja może być trochę bardziej obszerna. Wiąże się to z tym, że nie mamy jak do tej pory okazji bezpośredniego spotkania i rozmowy na firmowym korytarzu, w kuchni itd. To co jest ważne przy obsłudze tych narzędzi, to kwestia ich znajomości. W sytuacji w której wiele osób musiało przejść na pracę zdalną, bardzo ważnym jest by dobrze poznać te narzędzia i ich parametry. Nie zapominajmy o tym, nie ulegajmy pośpiechowi i myśli, że „musimy szybko zacząć pracę”. Szczególnie gdy jesteśmy osobami, które prowadzą jakieś zamknięte spotkania, podczas których są dystrybuowane ważne informacje. Powinniśmy wtedy zadbać o kwestię kontroli dostępu do spotkań, by nie każdy mógł mieć do nich dostęp. Może w tym pomóc uwierzytelnianie i kontrolowanie przez gospodarza spotkania osób, które się podłączają. Dobrą opcją, choć – jak niektórzy twierdzą – nie zawsze możliwą jest wykorzystanie kamerek w naszym sprzęcie. Warto się po prostu uwierzytelnić sobą, pokazać swoją twarz, że wiemy z kim rozmawiamy. Dlaczego? Ponieważ w przypadku dużego spotkania, podczas którego nie każdy uczestnik musi się wypowiadać, może dojść do sytuacji, że ktoś nieproszony dostanie się na spotkanie, nie pokaże swojej twarzy i usłyszy informacje, których de facto nie powinien usłyszeć. W ten sposób może dojść do incydentu wycieku informacji w sposób – przynajmniej do tej pory – nietypowy. Phishing jest ciągle aktualnym tematem. Atakujący lubią wykorzystywać każdą nadarzającą się sytuację – pandemia również taką jest. Mieliśmy w ostatnim czasie do czynienia z dużą ilością fejkowych zaproszeń na spotkania. W takich zaproszeniach trzeba zwracać szczególną uwagę na linki które otrzymujemy – czy są to linki, które prowadzą faktycznie do spotkań. Powinniśmy być na to wyczuleni zwłaszcza w przypadku wiadomości typu html, w których możemy natrafić na link, który na pierwszy rzut oka jest w porządku i prowadzi do spotkania, a pod spodem mamy adres url, który kieruje do złośliwej strony. Czym może się skończyć kliknięcie w złośliwy link? Może się to skończyć tym, że ktoś będzie chciał wyłudzić od nas dane uwierzytelniające, albo po prostu będzie nam w treści wiadomości wskazywał na potrzebę zainstalowania jakiegoś dodatkowego oprogramowania do przeprowadzenia spotkania. Uważajmy więc na takie informacje, ponieważ atakujący tylko czyhają na to by nas w ten sposób oszukać i byśmy takie oprogramowanie zainstalowali. Nie ulegajmy pośpiechowi – jeżeli mamy wątpliwości co do otrzymanego zaproszenia, to zadzwońmy do osoby od której je otrzymaliśmy. Jeżeli mamy sytuację w której ktoś podaje się za naszego kolegę i wysyła nam jakieś dziwne zaproszenie, zadzwońmy do niego, korzystając najlepiej z innego kanału niż podany w wiadomości i potwierdźmy, że takie spotkanie ma się odbyć. Poza tym, jeżeli mamy podejrzenie otrzymania fejkowego linku, zgłośmy to w firmie do zespołu, który reaguje na incydenty bezpieczeństwa. To że działamy w czasie pandemii i pracujemy zdalnie, nie oznacza, że takie zespoły nie działają. One powinny działać, reagować i dalej nam pomagać. Kolejna ważna kwestia jest związana ze sprzętem, który używamy. Jeżeli mamy możliwość korzystania ze sprzętu służbowego w domu, to starajmy się zachować taką higienę pracy, że sprawy służbowe wykonujemy na sprzęcie służbowym, a prywatne raczej na prywatnym. Zwracajmy również uwagę na to, by sprzęt służbowy był użytkowany tak, jakbyśmy byli w biurze, tj. by nie był on współdzielony przez innych użytkowników (domowników). Jeżeli mamy potrzebę odejścia od sprzętu i zrobienia sobie przerwy, to dobrym nawykiem będzie skorzystanie z blokady ekranu.

— Karol Wróbel —
Podsumowując: ważne jest dobre poznanie narzędzia, z którego korzystamy, albo inaczej mówiąc, poprawne przeszkolenie i wdrożenie osób, które mają z niego korzystać i przygotowanie dobrych praktyk użytkowania rozwiązania. Może zdarzyć się, że z dnia na dzień, będziemy musieli zacząć korzystać z danego rozwiązania wszyscy. Część pracowników może być w pełni świadoma wykorzystania tej klasy rozwiązań, natomiast część mogła nie mieć do czynienia z nimi, więc starajmy się nie traktować tego jako rzeczy zupełnie oczywistych. Z jednej strony dbajmy o to, żeby pracownicy mieli świadomość jak korzystać z tych narzędzi, z drugiej strony przygotujmy te rozwiązania w taki sposób, by były one bezpieczne. W samym EXATEL takie kompetencje występują na bardzo wysokim poziomie, stąd też jesteśmy w stanie Państwu zaproponować kompetentne wdrożenie, włącznie z dokumentacją i szkoleniami. Pozwolę sobie jeszcze zaadresować temat związany z tym jak zmienił się krajobraz, a właściwie co było pod maską zmiany krajobrazu korzystania z systemów biznesowych, ponieważ ciągłość działania firmy i skuteczność przynoszenia nowych przychodów zależy od tego, na ile narzędzia biznesowe – które do tej pory istniały w firmie – są bezawaryjne, na ile mamy do nich dostęp i czy ich pojemność jest wystarczająca. W związku ze zmianą charakteru pracy, z którą mieliśmy do czynienia, różne firmy dowiedziały się np., że pan z helpdesku nie może do nas podejść i pomóc, ponieważ pracuje zdalnie. Dlatego tak ważnym aspektem jest transfer wiedzy do pracowników, np. poprzez stworzenie ogólnego kanału informacyjnego. W EXATEL dużo wcześniej zaczęliśmy korzystać z rozprzestrzeniania informacji do wszystkich pracowników. Zapewnienie takiego przepływu informacji, stanowi istotny szkielet kultury organizacyjnej. Wracając do aspektów technicznych – podczas transformacji zmiany pojemności różnego rodzaju systemów, były realizowane bardzo szybko. Wydajność systemów, rozumianych jako kwestie pojemności wirtualizacji, pojemności maszyn fizycznych itd., powodowały, że część z Państwa rozważała migracje różnego rodzaju z systemów biznesowych czy do kolokacji, do serwerowni, zmiany miejsca ich położenia, dokupywania sprzętu, który nie zawsze też był dostępny bo pamiętajmy, że łańcuchy dostaw nie są już tak wydajne jak były wcześniej. W wielu przypadkach musimy sobie radzić w obrębie tych zasobów, które już posiadamy i ważne jest by pomóc kompetentnie dostroić wydajność tych systemów, w czym EXATEL może Państwu pomóc. Jako operator telekomunikacyjny widzimy ogromny wzrost zapotrzebowania na przepustowość, widzimy kwestię migracji do różnego rodzaju data center czy korzystania z usług chmurowych. Pamiętajmy jednak o tym, że migracja na usługi chmurowe też niesie ze sobą wiele ryzyka, poczynając od chociażby wykorzystania tego faktu w przygotowywanym i utylizowanym przez atakujących phishingu i spear phishingu. Poprawna implementacja, weryfikacja dostępów na poziomie sieci i systemów – w ostatnim czasie wiele firm przeżyło rewolucję jeśli chodzi o te aspekty. Mając tego świadomość, jesteśmy w stanie w tych kwestiach Państwu pomóc.

— Rafał Litwińczuk —
Mając na uwadze obecną sytuację, najważniejszą kwestią było zapewnienie ciągłości biznesowej. Musieliśmy zadbać by nasz interes mógł dalej istnieć na rynku. W związku z tym w naszej infrastrukturze zaczęły pojawiać się nowe systemy. Pojawiały się też zmiany w już istniejących systemach. Jako dział bezpieczeństwa, bardzo często nie mieliśmy czasu na dogłębną analizę tego co jest stawiane, w jaki sposób jest to robione, ponieważ priorytetem było zapewnienie ciągłości. Pozostałe kwestie, jak integralność i poufność, stały w dalszej kolejności. Mieliśmy też bardzo często problemy komunikacyjne, ze względu na to, że wszyscy byli bardzo obciążeni. Czasami ciężko było przekazać informacje odnośnie jakichś nowych systemów. W infrastrukturze pojawiły się nowe rozwiązania. Wielu zapewne niejednokrotnie zjeżył się włos na karku i pojawiło się pytanie „czy nasz VPN da radę”. Pół biedy jeżeli to była kwestia softwarowa – wtedy klikamy, dokupujemy licencję i działa. Gorzej jeżeli okazywało się, że np. nasz hardware niestety nie daje rady albo co gorsza hardware lub software nie były dawno aktualizowane i przez to nie mamy np. supportu. Pojawiły się nowe rozwiązania pracy grupowej, różnego rodzaju czaty, pokoje dyskusyjne, wideokonferencje. Pojawiły się też systemy, które umożliwiały wymianę plików między nami, a naszymi klientami. Czasami musimy jednak przesłać dużą ilość danych i niestety nie upakujemy tego w maila. Pojawiły sie np. platformy do shareowania plików. Nie jeden z Państwa przekonał się też zapewne, że jego łącze internetowe nie jest wystarczające żeby obsłużyć aktualną ilość użytkowników. Gdy mieliśmy przykładowo dziesięciu, dwudziestu pracowników pracujących zdalnie, to zdawało to egzamin. Teraz na pracę zdalną przeszła setka osób i pojawia się problem, ponieważ musimy dokupić pasmo i tym samym rozwiązania anty-DDoS, żeby ktoś nam tego pasma nie zabrał. Niestety często te nowe usługi i modyfikacje, wystawiane były z tzw. domyślną konfiguracją. Nie mniej przyszedł czas, gdy zapewniliśmy już dostępność, nasz interes funkcjonuje, zrobiliśmy to szybko i teraz musimy nadrobić zaległości w pozostałych aspektach, czyli poufności i integralności. Pierwszym krokiem, który byśmy rekomendowali, to wspomniana już przez Karola inwentaryzacja. Musimy jednak wiedzieć, co się pojawiło nowego albo co zostało zmienione w naszej infrastrukturze. Niemniej najłatwiej jest to osiągnąć jeżeli będziemy mieli możliwość porozmawiania z administratorami różnych rozwiązań, bo są oni skarbnicą wiedzy i informacji o tym co zostało faktycznie zrobione. Tu więc musimy odbudować relacje pomiędzy Cyber i IT. Skoro już wspominamy o nowych usługach, to warto by też spojrzeć, co nowego pojawiło się w naszej adresacji, przeprowadzić proste skanowanie, przejrzeć dostępną u nas pulę adresową, ewentualnie z serwerów DNS wyciągnąć informacje jakie wystawiamy domeny i je też przeskanować żeby sprawdzić czy nie pojawiły się nadmiarowe usługi. Gdy już sprawdziliśmy mniej więcej co zostało wystawione, to warto sprawdzić tę konfigurację pod kątem podstawowych ustawień. Skoro wystawiliśmy ją z domyślnymi ustawieniami bo nam się spieszyło, to czy np. nie ma tam domyślnych użytkowników i haseł typu „admin”. Czy certyfikaty zostały też podmienione, czy dalej widnieją tam certyfikaty producenta danego rozwiązania. Warto zapoznać się również z dokumentacją i wychwycić takie domyślne ustawienia. Dobrze jest przyjrzeć się, czy dane rozwiązanie wpisuje się w przyjęte przez nas standardy, np. mamy serwer VPN, ale musieliśmy dostawić drugi – zupełnie inne rozwiązanie. W takiej sytuacji należałoby się upewnić czy użytkownik, który będzie się logował na pierwszym serwerze VPN, będzie miał takie same uprawnienia na drugim, czy też np. nie ma takiej sytuacji, że logując się na jednym, nagle widzi dużo więcej naszej sieci. Dobrze sprawdzić też inne kwestie, np. jedno rozwiązanie wspiera multi-factor authentication i mamy założenia w naszych standardach, a drugie np. aktualnie nie zostało jeszcze wdrożone, to musimy to nadgonić i też jak najszybciej ten temat zaadresować. Oczywiście niejednokrotnie będziemy musieli działać w trybie projektowym. Musimy również uzupełnić dokumentację, zaktualizować przede wszystkim architekturę, bo później jak przyjdzie już właściwy incydent, no to nie chcemy mieć takiej sytuacji w której odkryjemy coś, a to coś okazuje się, że to stoi tutaj od sytuacji „covidowej”. Tym samym tracimy czas na obsługę tego incydentu. Wszyscy zapewne monitorujemy bezpieczeństwo i w tym obszarze również musimy spojrzeć też na zmiany i pewne aspekty uwzględnić w kontekście transformacji cyfrowej. Przede wszystkim powinniśmy zweryfikować czy nasze systemy bezpieczeństwa obejmują również nowe, bądź też zmodyfikowane rozwiązania, tzn. np.: mamy wystawione serwery VPN, to czy logi z niego, płyną jednak do naszego serwera SIEM. Mogą później pojawić się jakieś incydenty, w których zauważymy nieudane logowania, szukamy punktów wejścia, widzimy serwer VPN, coś o nim wiedzieliśmy, ale nie monitorujemy go i nie wiemy, że ktoś tam próbował logować się od pół roku znanymi hasłami. Warto jeszcze sprawdzić, jeżeli mówimy o systemach bezpieczeństwa, czy rozwiązania na komputerach użytkowników mogą się zaktualizować, czy sam system operacyjny ma możliwość zaktualizowania się czy też mamy tak zamknięte polityki na naszych komputerach służbowych, że jest to tylko możliwe gdy podepniemy się kablem do sieci firmowej. Czy tak samo nasze rozwiązania bezpieczeństwa które posiadamy, typu EDR na końcówce, może się połączyć swobodnie z serwerem zarządzania i inne antywirusy także. Musimy też upewnić się w kontekście monitorowania czy mamy przygotowane, nastawione i skonfigurowane odpowiednio rozwiązania bezpieczeństwa, ale w kontekście pracy zdalnej, np.: mamy aktualnie zamknięte granice i wiemy, że pracownicy pracują tylko z Polski. W takim przypadku powinniśmy starać się wykrywać nieudane lub udane próby logowania spoza granic Polski i to będzie faktyczna oznaka, że możemy mieć do czynienia z incydentem. Musimy także – posiadając systemy typu anty-DDoS czy innego rodzaju behawioralne, wykrywające anomalie – uwzględnić to, że progi czułości tych systemów muszą zostać podniesione, tak by uwzględnić, że np.: dotychczas w rozwiązaniu anty-DDoS użytkownicy korzystali z 5 megabitowego pasma, ale teraz ten próg się jednak podniósł i żeby się nam nie wyzwalał alarm DDoS – powiedzmy po przekroczeniu tych pięciu megabitów – bo użytkownicy korzystają aktualnie z pasma 10 megabitowego. Pojawić się także może, zapewne u wielu z Państwa, potrzeba dodania wyjątków różnego rodzaju. Należy je uwzględnić, wyjaśnić czy faktycznie mają być i co bardzo ważne – określić na jak długo mają być dodane. Adam Haertle podczas swojej prezentacji wspomniał o bardzo ciekawym rozwiązaniu, a mianowicie – jeżeli pracownicy działają na domowym sprzęcie, to by korzystali do pracy z systemu operacyjnego na pendrivie – podpinali go, wyłączali komputer i bootowali niejako z tego pendriva żeby zapewnić czysty system i mieć pewność, że nie jest on w żaden sposób zainfekowany. Warto tu również wspomnieć, że jeżeli pracownik łączy sie VPN-em do naszej infrastruktury, to dobrze jest sprawdzić czy nasze rozwiązanie to wspiera, a jeżeli tak to czy np. ten klient VPN-owy może zweryfikować – przed podłączeniem się do naszej infrastruktury – czy posiadamy aktualną wersję systemu i mamy włączoną ochronę antywirusową. Co będzie dalej, gdy skończy się pandemia i przejdziemy do normalnego trybu pracy? Mamy doświadczenie, że rzeczy i usługi, które wystawiliśmy, lubią z nami pozostawać na dłużej. W związku z tym warto poświęcić trochę czasu na skanowanie podatności, którą możemy mieć w związku z tymi nowymi produktami. Najlepiej by było, gdybyśmy mogli usiąść i przeprowadzić pentesty całkowicie z zewnątrz, symulujące atak rzeczywisty.

— Tomasz Podłucki —
Na co dzień zajmuję się obszarem cyberbezpieczeństwa automatyki przemysłowej i chciałbym państwu zaproponować pewien materiał do przemyślenia na temat naszych planów wobec bezpieczeństwa w tym obszarze. Cyfryzacja to oczywiście szanse i potwierdzają to badania. Według IHS World Industry Services, przedsiębiorstwa zaawansowane cyfrowo rosną kilkukrotnie szybciej od organizacji cyfrowo zacofanych. W przypadku transformacji cyfrowej w kierunku przemysłu 4.0, szanse wniosły ryzyka, natomiast w przypadku pandemii COVID-19, ryzyka niosą szanse. Tak czy inaczej, jeżeli chodzi o cyfryzację, musimy mieć na względzie taki aspekt, że może zjeść nas rynek, natomiast ignorując COVID-19, mamy dużą szansę utracić zdolność prowadzenia działalności operacyjnej. Jedno i drugie niesie nowe zagrożenia specyficzne dla obszaru rozwiązań IT wprost pod próg OT. Aby zachować dostępność, środowisko przemysłowe musi być bezpieczne zarówno pod względem security jak i safety. Safety – zazwyczaj w Państwa organizacjach rozumiane jako BHP – jest zaadresowane. Trudniej natomiast o cyberbezpieczeństwo, szczególnie w rozrastających się o komponenty przemysłu 4.0 realiach, w których IT oplata coraz szczelniej automatykę przemysłową. Stawiając kolejne kroki na drodze do ciągłego doskonalenia, musimy pamiętać, że dbanie o bezpieczeństwo to również proces ciągłego doskonalenia. Pierwszym krokiem jaki mógłbym państwu zaproponować jest wspomniana już przez kolegów inwentaryzacja Państwa organizacji, także w obszarze OT. Musimy wiedzieć co i gdzie mamy i jak to obsługujemy oraz jak poszczególne urządzenia się ze sobą komunikują. Dobrze jest się przyjrzeć i zaktualizować dokumentację techniczną i procesową, co także na marginesie często ułatwia optymalizację i cyfryzację, wyciągając kolejną wartość dodaną z włożonej przez państwa pracy w te procesy. Dobrze jest również wiedzieć co dzieje się w elementach infrastruktury sieciowej, ze szczególnym naciskiem na infrastrukturę przemysłową, co jest dostępne w sieci, jakie urządzenia z jakimi się komunikują. Dobrą praktyką jest monitorowanie zagrożeń, pojawiających się monitów i komunikatów o kolejnych zagrożeniach na horyzoncie obszaru OT oraz implementacja aktualizacji blokujących możliwość wykorzystania podatności. Kolejnym krokiem może być kontrola stanu sieci na warstwie fizycznej i logicznej, zarówno tych szerzej znanych w środowisku IT ethernetopodobnych jak i opartych o komunikację szeregową. Należy monitorować ich kondycję, zlecać audyty, weryfikować rezultaty i wdrażać zalecenia. Takie postępowanie pomaga wyprzedzić wystąpienie sytuacji kłopotliwych i niepożądanych, jak awarie w Państwa infrastrukturze, a często nawet wyprzedzać te awarie. Nieodzownym elementem jest zmodernizowanie procesu, wspierając utrzymanie kluczowych systemów i doposażenie ich o komponent Cyber. Musimy wiedzieć jakie ryzyka nam grożą i w sposób akceptowalny jest minimalizować. Dobrze opracowany business continuity plan pomaga poprawić OEE (Overall Equipment Effectiveness) parku maszynowego, przy czym jedno stanowczo chciałbym tutaj podkreślić – nie warto odkładać zmian na przyszłość, bo jest to próba uniknięcia nieuniknionego przy okazji tworząc efekt śnieżnej kuli. Dostosowując obszar przemysłowy do procedury transformacji, staniecie państwo przed wieloma szansami i ryzykami i na każdym z tych etapów EXATEL może państwu świadczyć usługę wsparcia. Zachęcamy więc do zapoznania się z naszą ofertą.

— Karol Wróbel —
Głównym twierdzeniem Tomka było to, by mimo tego co dzieje się w charakterze pracy i jakie zmiany występują jeżeli chodzi o transformację cyfrową, by nie hamować i nie odkładać projektów cyberbezpieczeńtwa, także w obszarze automatyki przemysłowej. Jeszcze pół roku temu, większość społeczeństwa nie przewidywała, że obecna sytuacja związana z COVID-19, będzie tak wyglądała. Plany ciągłości działania też nie we wszystkich aspektach uwzględniały tę sytuację z którą mamy do czynienia teraz. Niemniej jednak skąd możemy mieć pewność, że w perspektywie kolejnych trzech lat nie nastąpi innego typu zdarzenie, którego na chwilę obecną nie jesteśmy w stanie przewidzieć i nie będzie ono gorsze niż te z którym mamy do czynienia teraz? Dlatego mimo wszystko warto zakasać rękawy i nie zaprzestawać chociażby przygotowywania się na działania optymalizacyjne.

— Propozycja działań i plan gry (omówienie slajdu – 59:50) —
Lewy dolny róg slajdu, to miejsce od którego zaczynamy, ponieważ zaadresowaliśmy tam pewną ilość potencjalnych kłopotów z którymi mierzyliśmy się, mierzymy bądź możemy się zmierzyć. W departamencie cyberbezpieczeństwa naszej firmy, myśląc nad tym w jaki sposób możemy Państwu pomóc, zaproponowaliśmy pewnego rodzaju działania i ich priorytety w odniesieniu do tego, w jaki sposób możemy nawiązać relację i współpracę w tych aspektach. Zaczynamy od zapoznania się i zweryfikowania najbardziej podatnych sfer Państwa infrastruktury. W EXATEL robimy to przy użyciu rekonesansu bezpieczeństwa. Jest takie zwinne podejście do zweryfikowania bezpieczeństwa Państwa architektury przez najwyższej klasy ekspertów, czyli zespół pentesterów i analityków procesowo-proceduralnych. Jest to działanie które jest realizowane w ciągu dwóch-trzech dni, które w krótkim czasie dostarcza nam informację/podsumowanie: czy do Państwa infrastruktury można się włamać oraz jakie są najbardziej newralgiczne elementy podatności, które znaleźliśmy i zweryfikowaliśmy. Następnie przekazujemy Państwu raport, omawiamy prace które można dalej robić i jest to działanie zamknięte. Jeżeli współpraca z nami się Państwu spodoba, to idziemy dalej. Jeżeli będą Państwo uważali, że możecie sami w znalezionych błędach sobie pomóc – nie ma kłopotu. Kolejnym z działań może być skanowanie podatności. Jakkolwiek trywialne to by nie było, to w sferze przyspieszonej transformacji – kwestii włączania różnego rodzaju systemów, o których wspominał Rafał, a które nie zawsze były pod kontrolą – nie zawsze ten przepływ informacji pomiędzy komórkami występował w sposób poprawny, bo priorytetem było właśnie zapewnienie ciągłości działania biznesu. I to jest miejsce na skanowanie podatności. Znalezienie tych zasobów, posiadanie o nich świadomości, znalezienie właściciela biznesowego – to jest bardzo ważne. Sama kwestia podatności tych rozwiązań też jest bardzo istotna, ale przede wszystkim musimy mieć świadomość tego, że one występują w sieci, by móc dalej planować pracę w odniesieniu do bezpieczeństwa. Jeżeli znaleźliśmy luki podczas rekonesansu bezpieczeństwa i skanowania podatności, to teraz warto by było by mogli mieć Państwo możliwość odezwania się do kogoś kto w takim zdarzeniu, podejrzeniu incydentu bezpieczeństwa, może pomóc. EXATEL Assistance, to niskokosztowy produkt który działa w taki sposób, że możecie nam Państwo zgłosić podejrzane zdarzenie, a nasza firma w krótkim czasie, powoła zespół ekspertów, który oceni w trybie doraźnym to zdarzenie. Konsultujemy je na bieżąco, pomagamy i zamykamy ten etap działań, proponując działania następcze, już w trybie projektowym. Jest to bardzo dobra formuła współpracy, której główną zaletą jest to, że ma niewielki próg wejścia, niewiele kosztuje, a można mieć już porządny back-up, w postaci kompetentnego, dużego, wyspecjalizowanego zespołu do reakcji na zdarzenia teleinformatycznego incydentu. Można to w pewnym sensie traktować jako pewnego rodzaju ubezpieczenie, dzięki któremu mamy możliwość szybkiego zareagowania na Państwa problemy bieżące. Przydaje się to w takich mniejszych sytuacjach jak np.: „Czy ten mail nie jest phishingiem? Czy załącznik jest złośliwy?”. Może też zdarzyć się sytuacja w której zgłoszą Państwo, że: „Coś się stało, zaszyfrowało mi pół organizacji. Czy da się odszyfrować te dane? W jaki sposób do tego podejść i jak zminimalizować kwestię rozszerzania się tego zagrożenia po organizacji?”. Jest to zupełnie podstawowy schemat, propozycja współpracy. Kolejnym etapem jest zdecydowane rozszerzenie działań, choć nadal pozostajemy tutaj w takiej w miarę bezpiecznej strefie jeśli chodzi o kwestię pieniędzy. Miesięczna opłata abonamentowa wynikająca z tego rodzaju działań nie jest drastycznie wysoka, a mówimy tutaj o działaniach takich jak analiza architektury i konfiguracji systemów i sieci. Jesteśmy też w stanie wykonać kontrolę bezpieczeństwa procesów księgowych i badanie podatności na phishing. W związku z tym, że zmian było dużo, część osób mniej świadomych musiała zmienić charakter swojej pracy i tryb pracy na bardziej cyfrowy. Kanał komunikacji mailowej stał się o wiele bardziej istotny, wobec czego wszystkie organizacje są bardziej podatne na phishing. W związku z tym trzeba pracownikom pomóc zrozumieć jak się zachowywać, np. przez zorganizowanie szkolenia awareness z zakresu cyberbezpieczeństwa. Przede wszystkim takim niezbędnym minimum byłoby zabezpieczenie kluczowego obszaru z którego mogą bezpośrednio wyciec pieniądze. W reakcji na incydenty tej klasy, również mamy doświadczenie, wobec czego mocno się na nich skupiamy, ponieważ one się po prostu dzieją. Tego rodzaju działania mają miejsce, a lekiem na nie jest kontrola, weryfikacja, pomoc w zabezpieczaniu procesów księgowych i szkolenia pogłębiające świadomość pracowników z korzystania z narzędzi i tego na co uważać. Ważne jest by zwracać uwagę pracowników na to, że bezpieczeństwo organizacji w dużej mierze zależy od ich świadomości i czujność. To, że mamy portale cyberbezpieczeństwa, oficera bezpieczeństwa czy nawet CISO albo jednego informatyka, który też musi zadbać o systemy i bezpieczeństwo, to być może wydaje się, że to jest tylko jego kompetencja. To nie jest jednak prawda – to jest odpowiedzialność wszystkich pracowników. Co jest równie ważne, to doraźne doradztwo procesowo-proceduralne. Departament bezpieczeństwa EXATEL, posiada wydzielony zespół ekspertów proceduralnych, więc w takich bieżących konsultacjach również jesteśmy w stanie pomóc. Identyfikacja luk w procesie zarządzania bezpieczeństwem informacji jest także ważnym elementem i działaniem naprawczym w obrębie architektury. Trzecim z pięciu etapów, są wszystkie te działania, które realizujemy w departamencie cyberbezpieczeństwa. Jest to jednak propozycja z której można skorzystać tu i teraz, na etapie na którym jesteśmy, czyli półtora miesiąca od początku zmian, które występowały. W kolejnym etapie naszą propozycją byłaby zmiana gęstości, częstotliwości skanowania podatności, np. comiesięczne, choć można to robić częściej, w sposób zaplanowany, co jest nawet zalecane dla dużych, dojrzałych firm. Kluczowym, choć niedocenianym elementem całości przedsięwzięcia, jest monitorowanie zdarzeń bezpieczeństwa. Tu jeszcze nie mówimy o pełnej usłudze Security Operations Center tylko o pewnego rodzaju uproszczonym rozwiązaniu. Super że możemy mieć pełny stack technologiczny różnego rodzaju rozwiązań i każde z nich może być wyspowo monitorowane, ale jeżeli nie mamy centralnego punktu gromadzenia logów i jeżeli ktoś kompetentny (nawet cyklicznie, nie musi to być 24/7) nie patrzy w te logi, to jeżeli coś pójdzie nie tak, to skąd będziemy o tym wiedzieli? Na tym etapie proponujemy więc takie uproszczone monitorowanie, ale jednak monitorowanie, które pozwala na zapewnienie bezpieczeństwa różnego rodzaju systemów. Aktualizacja kluczowych dokumentów normatywnych to ścieżka, która może wyniknąć Państwu z doraźnego doradztwa procesowo-proceduralnego. Warto byłoby zaktualizować te dokumenty, które aktualne nie są, ponieważ kluczem było do tej pory zachowanie ciągłości biznesowej różnego rodzaju podmiotów i komórek Państwa firmy. Dokumenty muszą nadążyć za tymi zmianami, a jak wspomniał wcześniej Paweł, w chwili potencjalnego kryzysu, wiedza która została pierwotnie spisana, jest bardzo poszukiwana. To co jeszcze pojawiło się w tym etapie, to ocena stanu i podniesienie sprawności obecnych w organizacji technologii cyberbezpieczeństwa, czyli to co mieliście już Państwo zaimplementowane, warto by było zweryfikować. Czy te rozwiązania działają tak jak powinny? Czy przy tej transformacji i przeniesieniu części pracowników do trybu pracy zdalnej, rozwiązania nadal widzą tyle ile powinny widzieć? Czy nie należy zmodyfikować reguł, polityk, które są tam zaimplementowane? W jaki sposób dowiedzielibyśmy się, że coś jest nie tak? Właśnie przez monitorowanie bezpieczeństwa, gromadzenie logów w jednym miejscu i cykliczny threat hunt. To jest punkt wejścia. Etap czwarty to dość wysoki poziom dojrzałości, w którym zdecydowanie poszerzamy działania na wielu obszarach, zaczynając od kwestii szacowania ryzyka i planowania prac zabezpieczenia najistotniejszych obszarów. W wielu dojrzałych podmiotach wychodzimy w ogóle z szacowania ryzyka i na podstawie tego zaczynamy dopiero jakiekolwiek działania, natomiast w trybie incydentalnym dopiero na stosunkowo wysokim poziomie dojrzałości, inwentaryzujemy to co mamy teraz, szacujemy ryzyko i układamy pracę względem tego, jaki jest stan zastany. Jesteśmy też w stanie zaoferować bieżące wsparcie i doradztwo architektów w tych najistotniejszych obszarach, bo jeszcze cały czas te etapy są podzielone w kwestii tego, żeby nie próbować od samego początku zaczynać jakiś niesamowicie wielki całościowy program poprawy bezpieczeństwa. Tu nie o to chodzi. Trzeba się dopasować do realiów, do Państwa potrzeb i pewnej zwinności tych prac, które są podejmowane. Niemniej jednak takie doradztwo pod kątem architektury w rozumieniu planowania i rozwoju sieci, jest również w naszej ofercie. Kolejnym ważnym zagadnieniem, jest zmiana częstotliwości wykonywania rekonesansu bezpieczeństwa, czyli wykorzystanie kompetencji pentesterskich i proceduralnych do tego, by rozpoznawać kolejne obszary. Kwartał jest okresem umownym i bardzo dużo zależy od tego, jak duża jest organizacja, jak potencjalnie duży może mieć kłopot i jak duży obszar jest do rozpoznania. Niemniej jednak rekonesans bezpieczeństwa jako taka zamknięta ilość czasu ekspertów, w którym w zwinny sposób muszą sobie poradzić z rozpoznaniem jakiegoś aspektu architektury systemów. Może to nie być praca kompletna, ale będzie to praca wskazująca najbardziej istotne podatności i ryzyka, z którymi możemy się spotkać, tak pod kątem systemów teleinformatycznych jak i pod kątem aspektu proceduralnego ale bardzo zwinnie prowadzonego. Dochodzimy w końcu do propozycji SOC Startera. Wcześniej mieliśmy kolekcjonowanie logów i threat hunting na tych logach. Kolejnym etapem jest zmiana między kolekcją logów, a monitorowaniem i SOC Starter jest też bardzo ważny. Ostatni etap obejmuje ciągłe doskonalenie architektury systemów i sieci. Jest również pełny SOC oraz wdrażanie i strojenie zaawansowanych platform cyberbezpieczeństwa. Dzięki podjęciu takich działań, możemy dojść do o wiele wyższego poziomu świadomości bezpieczeństwa w organizacji, czego Państwu życzę i zapraszam do współpracy.

— Pytania —

„Czym różnią się testy penetracyjne od rekonesansu bezpieczeństwa?”
Testy penetracyjne wykonywane w EXATEL różnią się tym od rekonesansu bezpieczeństwa, że umawiając się na testy, analizujemy obszar, który mamy przebadać i badamy go kompleksowo, od początku do końca. Przy rekonesansie bezpieczeństwa, z góry zakładamy, że będzie to jakaś ilość czasu w której wykonujemy badanie, czyli skupiamy się na znajdowaniu tych „najniżej wiszących owoców”, najważniejszych aspektów bezpieczeństwa i skupiamy się na tzw. quick-win.

„Czy w dobie pandemii obsługiwali Państwo złożone incydenty bezpieczeństwa?”
Tak, zdarzało się nam obsługiwać złożone incydenty bezpieczeństwa. Złożony incydent bezpieczeństwa, to coś, co z mojej perspektywy trwa tydzień, dwa, trzy, a czasem miesiąc, dwa, trzy. Więc tak, pomagaliśmy naszym klientom w obsłudze tego rodzaju zdarzeń. Charakter tej pracy był nieco inny niż w standardowych czasach, gdzie możemy szybko przemieścić się na miejsce i korzystać z faktu kooperacji i pracy bezpośrednio z ludźmi. Niemniej jednak, podejmujemy się takich działań i wpływ pracy zdalnej na czas dostarczenia rozwiązania, analizy, nie jest tak duży jak pierwotnie się nam wydawało.

„Czy złożoność rekonesansu bezpieczeństwa może być zmieniana? Czy może być zaplanowany na większy badany obszar?”
Staramy się aby rekonesans bezpieczeństwa był jakimś zamkniętym okresem czasu i ten produkt ma już swoje mocne założenia. Faktycznie, jeżeli byłaby uzasadniona potrzeba to myślę, że bylibyśmy w stanie go zmodyfikować, ale chyba lepiej podzielić tę pracę na dwie iteracje, wykonać dwa rekonesanse bezpieczeństwa na różnych obszarach i starać się jednak pilnować tego, że praca ma być wykonana w założonym czasie, by móc skorzystać z efektów i znalezisk tej pracy.