Konferencja w Akademii VISTULA

 Jak bezpiecznie wykorzystywać cyberprzestrzeń służbowo i prywatnie?

Dzięki rozwojowi technologii teleinformatycznych w ciągu ostatniego ćwierćwiecza nie tylko proces komunikacji przełamał bariery czasu i przestrzeni. Systemy służące do gromadzenia i przetwarzania informacji umożliwiły internautom powszechny i nieograniczony dostęp do cyberprzestrzeni zapełnionej ich niezliczoną ilością. Ale oprócz korzyści społecznych i gospodarczych, proces ten przyniósł nieznane dotąd zagrożenia, które – jak sama cyberprzestrzeń – wymykają się jednoznacznym definicjom.

Na konferencji zorganizowanej przez Polski Instytut Kontroli Wewnętrznej, Akademię Finansów i Biznesu Vistula oraz ACFE Polska przedstawione zostały zasady bezpiecznego wykorzystywania sieci Internet w działalności gospodarczej. Najważniejszym przesłaniem spotkania było uświadomienie jego uczestnikom, że warunkiem efektywnego wykorzystania cyberprzestrzeni w działalności gospodarczej jest posiadanie stale doskonalonych kompetencji i narzędzi zapewniających bezpieczeństwo jej prowadzenia.

Konferencję otworzyli przedstawiciele organizatorów konferencji: dr, prof. nadzw. AFiB Vistula Roman Fulneczek oraz Ireneusz Jabłoński, członek zarządu Polskiego Instytutu Kontroli Wewnętrznej. W swoich wystąpieniach podkreślili wagę problemu, jakim jest bezpieczeństwo cyberprzestrzeni oraz konieczność profesjonalnej edukacji w tym zakresie, potrzebę permanentnego kontaktu i wymiany doświadczeń profesjonalistów odpowiedzialnych za bezpieczeństwo cybernetyczne różnego rodzaju organizacji.

Strategie bezpieczeństwa cybernetycznego

W pierwszym wystąpieniu Radosław Chinalski – przedstawiciel firmy doradczej Integracja Wiedzy – pokazał krajowe i międzynarodowe strategie bezpieczeństwa cybernetycznego. Wskazał najważniejsze elementy rozwiązań służących budowie systemów ochrony cyberprzestrzeni w Polsce, Unii Europejskiej i na świecie oraz źródła regulacji penalizujących wybrane kategorie czynów zabronionych popełnianych w cyberprzestrzeni.

Strategię i politykę polskiego cyberbezpieczeństwa przedstawił w kontekście strategii bezpieczeństwa narodowego RP. Przy omawianiu Doktryny Cyberbezpieczeństwa RP, podkreślił wagę działań sektora obywatelskiego, szczególnie stowarzyszenia Polska Obywatelska Cyberobrona.

Przytoczył także wyniki przeprowadzonej przez NIK w 2014 roku kontroli realizacji zadań przez administrację rządową przy budowaniu systemu ochrony cyberprzestrzeni RP. Działania podmiotów odpowiedzialnych za budowę systemu Izba oceniła negatywnie, ale jest już deklaracja nowych władz, przedstawiona przez minister Annę Streżyńską, odpowiedzialną za zbudowanie takiego systemu, że działania te nabiorą odpowiedniego wymiaru i tempa.

Chinalski przedstawił także trzy modele biznesowe, które można zastosować w zarządzaniu cyberbezpieczeństwem. Pierwszy z nich, nazwany „operator” polega na koncentracji na jednej najważniejszej aktywności - core business. Posiada on kompetencje oraz zasoby, umożliwiające zarządzanie i kontrolę całego obszaru działania. Drugi – „integrator” dokonuje zupełnie odmiennego wyboru, bowiem przyjmuje odpowiedzialność za cały łańcuch wartości. Jego wyróżnikiem jest rodzaj więzi, jakie kształtuje, by realizować swoje cele strategiczne. Trzeci, to model dyrygenta oparty o świadome skupienie się na roli koordynującej działania wielu różnych operatorów. Strategia działania opiera się na umiejętności zharmonizowania działań wielu podmiotów po to, aby dostarczyć klientowi końcowemu złożony produkt lub usługę, a realizowana jest poprzez tworzenie sieci oraz proaktywną postawę w dbaniu o tę sieć. I ten model wskazał jako najlepszy.

W podsumowaniu swego wystąpienia stwierdził, że świadomość zagrożeń w cyberprzestrzeni rośnie zarówno wśród jej indywidualnych jak i korporacyjnych użytkowników. Strategie, polityka, regulacje prawne dają solidne podstawy do właściwego działania instytucjom odpowiedzialnym za bezpieczeństwo państwa, dodatkowo wspieranym przez organizacje społeczne. Specjalistyczna edukacja i spotkania takie, jak ta konferencja – zdaniem R. Chinalskiego - będą przyczyniać się do poprawy cyberbezpieczeństwa.

W trakcie sesji pytań i odpowiedzi obecna na konferencji Małgorzata Humel-Maciewiczak, Radca Prezesa NIK, powiedziała, że tak istotne dla kraju działania z zasady nie mogą podlegać jednorazowej kontroli NIK, zatem obywatele mogą być spokojni, że budowa systemu cyberbezpieczeństwa w Polsce nie pozostanie bez kontroli.

O tym, jak ważne jest stałe monitorowanie systemów informatycznych i nadzorowanie działań poszczególnych ich użytkowników mówił kolejny prelegent – Piotr Błaszczeć, ekspert PIKW, biegły sądowy z zakresu przestępstw przy użyciu sprzętu i sieci komputerowych, audytor systemów IT. Na przykładach z własnej audytorskiej praktyki pokazał typowe błędy i niezgodności z zakresu badania systemów IT, które nie pozwalają na ustalenie osób odpowiedzialnych za powstałe szkody.

Dobre praktyki zapobiegania nadużyciom teleinformatycznym

Przedstawiciel ComCERT - Dariusz Łydziński opowiedział uczestnikom konferencji, jak zaplanować i wdrożyć dobre praktyki zapobiegania nadużyciom teleinformatycznym w organizacji. W swoim wystąpieniu podpowiadał, jak identyfikować zagrożenia pochodzące z cyberprzestrzeni oraz jak reagować na incydenty naruszenia bezpieczeństwa teleinformatycznej infrastruktury.

Na konkretnych przykładach pokazał, że największym zagrożeniem dla bezpieczeństwa informacji i systemów do ich przetwarzania nie jest skomplikowana technologia, lecz czynnik ludzki. Położył nacisk na konieczność uświadomienia pracownikom wartości informacji, jakimi dysponują oni sami i jakie pracodawca powierza im do przetwarzania, by mogli realizować swoje zawodowe zadania. Równoważnym, jeśli nie ważniejszym, według prelegenta, elementem bezpieczeństwa informacji jest nadzór przełożonych i stała kontrola przestrzegania ustalonych zasad bezpieczeństwa. Na prostych przykładach pokazał, jak łatwo osoby nieuprawnione mogą wejść w posiadanie cudzych informacji tak fizycznych jak i wirtualnych, jeśli w firmie nie ma odpowiednich procedur i nadzoru.

Zarówno fizyczna jak i wirtualna informacja może stać się obiektem ataku, któremu posiadane systemy bezpieczeństwa nie mogą zapobiec. Trzeba bowiem pamiętać, że przestępcy są zazwyczaj o krok przed poszkodowanymi, dlatego doskonalenie systemu musi uwzględnić właściwe zarządzanie incydentami. Wykryte, zarejestrowane, przeanalizowane pozwolą wypracować lepsze mechanizmy obronne przedsiębiorstwa.

Duże organizacje o rozbudowanej infrastrukturze teleinformatycznej oprócz informacji o znacznej wartości gospodarczej przetwarzają w swoich systemach dużą ilość danych wrażliwych, szczególnie chronionych prawem. Działalność instytucji finansowych czy związanych z ochroną zdrowia albo bezpieczeństwa obywateli opiera się na przetwarzaniu głównie danych wrażliwych. W razie ich utraty i niewłaściwego wykorzystania przez osoby trzecie organizacja nie tylko traci reputację i ponosi wymierne straty finansowe, ale osoby odpowiedzialne za jej działalność ponoszą także odpowiedzialność karną. Dlatego właśnie takie przedsiębiorstwa powinny powołać w swoich strukturach zespoły CERT (eksperci ds. bezpieczeństwa informatycznego, których głównym zadaniem jest reagowanie na incydenty z zakresu bezpieczeństwa komputerowego) lub korzystać z zewnętrznych usług CERT, by nie tylko rozwiązywać tego typu problemy oraz umożliwiać wznowienia normalnej działalności po ich usunięciu, ale większości takich problemów zapobiegać.

Gromadzenie i zabezpieczanie danych w celach dowodowych

Następnie Karol Szczyrbowski, specjalista informatyki śledczej w laboratorium informatyki śledczej w firmie Mediarecovery przedstawił metody gromadzenia i zabezpieczania danych w celach dowodowych oraz metody analizy i odzyskiwania danych.

Podkreślił, że zabezpieczanie dowodów elektronicznych jest najbardziej krytycznym elementem postępowania ze względu na problem autentyczności i integralności dowodów. W sądzie za autentyczny uznany zostanie tylko taki dowód, co do którego nie ma wątpliwości, że został uzyskany z danego komputera w określonym miejscu i czasie. Dlatego potrzebne są odpowiednie umiejętności i wiedza na temat nie tylko zabezpieczania, ale i sporządzania protokołu zabezpieczania dowodów. Jeśli organizacja nie dysponuje odpowiednio przeszkolonymi kadrami, powinna skorzystać z zewnętrznej pomocy specjalistycznych firm, żeby odpowiedzialność poniósł sprawca przestępstwa komputerowego, a nie organizacja czy jej zarząd.

Bezpieczeństwo urządzeń mobilnych

Marta Kusińska z FancyFon pokazała, jak przedsiębiorstwa mogą sprostać wyzwaniom z zakresu bezpieczeństwa mobilnego. Za największe zagrożenia uznała zgubione lub skradzione służbowe urządzenia mobilne, zgubione lub skradzione prywatne urządzenia mobilne, na których znajdują się dane i informacje służbowe, nieograniczone możliwości użytkowników służbowych urządzeń instalowania aplikacji i programów, źle lub wcale niezabezpieczone służbowe urządzenia mobilne.

Tylko jasne reguły i procedury, obowiązujące wszystkich pracowników, z zarządzającymi na czele, mogą zapobiec nieumyślnemu lub świadomemu wyciekowi lub utracie danych. Oddzielenie sfery prywatnej od służbowej stanowi podstawę mobilnego bezpieczeństwa organizacji. Bezpieczne urządzenia powinny wymuszać hasła dostępowe i blokować urządzenia po określonej liczbie prób nieudanego logowania. Dane dostępowe muszą spełniać określone wymagania, a możliwości instalowania przez użytkowników dodatkowego oprogramowania powinny być mocno ograniczone, a w niektórych przypadkach uniemożliwione. Mobilne urządzenia firmowe powinny łączyć się z serwerami przedsiębiorstwa przez VPN a nie otwartą sieć, a świadomość zagrożeń powinna być powszechna wśród użytkowników.

Typowe ceberprzestępstwa

O typowych przestępstwach internetowych piszą wszystkie portale informacyjne. Radio, telewizja i prasa nagłaśniają spektakularne akcje cyberprzestępcze, a społeczne czy sponsorowane akcje informacyjne przestrzegają przed zachowaniami umożliwiającymi bezkarne działanie przestępców w sieci Internet. Jednak straty spowodowane cyberatakami pokazują, że społeczna świadomość nadal nie jest powszechna, co w kolejnym wystąpieniu, na podstawie konkretnych przypadków przestępstw gospodarczych dokonanych w cyberprzestrzeni pokazał młodszy inspektor Krzysztof Makowski z Komendy Wojewódzkiej Policji w Poznaniu.

Podkreślił, że zadania postawione przed z stworzonymi na polecenie Komendanta Głównego Policji z sierpnia 2014 r. wydziałami i sekcjami do walki z cyberprzestępczością do łatwych nie należą, bowiem mimo pozornej wśród internautów znajomości mechanizmów najpopularniejszych cyberprzestępstw w samym tylko 2014 roku straty spowodowane działalnością przestępczą w sieci Internet w 2014 r. wyniosły na świecie ok. 290 mld dolarów, a w Polsce ok. 2 mld złotych. Tylko powszechna świadomość zagrożeń może podnieść poziom bezpieczeństwa cybernetycznego, dlatego pracodawcy powinni nie tylko wprowadzać mechanizmy i procedury obronne w samych systemach, ale regularnie szkolić pracowników i uodparniać ich na socjotechnikę przestępców.

Na zakończenie konferencji dr Dariusz Skalski przedstawił wybrane działania edukacyjne upowszechniające wiedzę o zabezpieczaniu cyberprzestrzeni, zwalczaniu i zapobieganiu incydentom, między innymi podyplomowe studia współorganizowane przez gospodarzy konferencji - Akademię Finansów i Biznesu Vistula oraz Polski Instytut Kontroli Wewnętrznej, przy udziale partnerów dysponujących odpowiednimi zasobami i kadrami.

KSZTAŁCENIE USTAWICZNE

 

bannerek_na_prawa_biblioteka

WYDANIA PAPIEROWE

okladki_portal