Ludzie to najsłabsze ogniwo - dla WP ekspert od zabezpieczeń
To ludzie są najsłabszym ogniwem w systemie. Tak jak w sytuacji "listy Wildsteina" zawiniła organizacja. Najsłynniejsi hakerzy świata, wyciągali potrzebne im informacje od pracowników poszczególnych firm. Po prostu dzwonili i pytali - powiedział Wirtualnej Polsce Kacper Nowicki, twórca jednego z pierwszych w Polsce serwisów www, specjalista z Doliny Krzemowej, obecnie szef pionu usług informatycznych firmy Altkom.
Niedawno dziennikarz wyniósł z Instytutu Pamięci Narodowej część zbiorów tej instytucji. Nie włamywał się, nie był hakerem. Po prostu skopiował prawdopodobnie za pomocą wtyczki USB katalog i nie niepokojony przez nikogo wyszedł. Czy to oznacza, że organizacje tego typu jak IPN nie zabezpieczają swoich informacji?
Kacper Nowicki: W naszym państwie mamy klasyfikacje rodzajów informacji, a ta informacja nie była a w jakikolwiek sposób zakwalifikowana jako niejawna, co najwyżej poprzez ustawę o danych osobowych. Technicznych sposobów zabezpieczenia podobnej informacji jest bardzo wiele. Najprostsza to zabezpieczenie dysku przed kopiowaniem. Jednak to nie techniczne zabezpieczenia decydują o bezpieczeństwie informacji. Nasze doświadczenia w zabezpieczaniu systemów wskazują jednoznacznie, że to ludzie są najsłabszym ogniwem w tym systemie. Tak jak w sytuacji „listy Wildsteina” zawiniła prawdopodobnie organizacja.
Najsłynniejsi hakerzy świata, wyciągali potrzebne im informacje od pracowników poszczególnych firm. Po prostu dzwonili i pytali. Dlatego na naszych szkoleniach powtarzamy do znudzenia: bezpieczeństwa nie buduje się poprzez planowanie sposobów ataków, ale szybkie reagowanie na nie. Takie sytuacje zdarzają się w wielu firmach. Jednak chyba w tym konkretnym przypadku nie zdawano sobie do końca sprawy jak bardzo ta informacja jest cenna, że wypływając wywoła to, co wywołała. Tutaj niewątpliwie można było działać bardziej świadomie, ale nie ukrywam, że to nie jest łatwe.
A jak wygląda techniczne zabezpieczenie przed atakiem hakerów w instytucjach, z których wypłynięcie informacj może zagrozić bezpieczeństwu państwa, jak ABW, AW czy wojsko?
Kacper Nowicki: Standardowo wygląda to tak, że komputery podłączone są jedynie do wewnętrznej sieci. W szczególnych przypadkach systemy nie są z niczym połączone i na przykład zdarza się, że kod źródłowy programu przepisuje się ręcznie z jednego ekranu na klawiaturę drugiego i koniec, nie ma żadnego połączenia. To naturalnie tylko jeden ze sposobów uniemożliwienia dostępu do informacji z zewnątrz.
Czy są jakieś sposoby szybkiego zlokalizowania miejsca wypływu informacji z firmy?
Kacper Nowicki: Informacje tekstowe oczywiście jest trudnej zabezpieczyć, ale są i na to sposoby. Niektóre firmy bardzo dbające o swoje bazy danych znaczą katalogi poprzez wpisywanie do list fałszywych danych. Wplecenie do prawdziwych danych kilku fałszywych wpisów, w razie ich wypłynięcia poza firmą może od razu wskazać źródło wycieku.
Ciekawe rzeczy dzieją się na rynku rozpowszechniania filmów. Do niedawna następował totalny wypływ wszystkich ciekawszych tytułów i rozpowszechnianie ich niezgodnie z prawem. Teraz firmy znajdują na to sposoby. Znakują na przykład każdą kopię unikalnym znacznikiem i w razie czego szybko znajdują osobę i źródło wypływu. Nie jest to oczywiście stuprocentowe zabezpieczenie ale znacznie ułatwia walkę z piratami.
Czasami winna jest po prostu ludzka głupota. Swego czasu zgłosił się do nas pewien bank, którego nazwy z oczywistych względów nie wymienię, z problemem wycieku informacji o klientach. Zaczęliśmy sprawdzać na początku najsłabsze ogniwo, bo wszystko jedno gdzie jakby nie były potężne ściany i druty kolczaste się wybuduje, najsłabsze ogniwo puszcza. Okazało się, że bank przy okazji wymiany komputerów, pozbył się starych. Oczywiście ktoś wiedział co jest na tych twardych dyskach i robił z tego użytek. Tak więc widać, że nawet w dobrze zabezpieczonych korporacjach, objętych prawem bankowym i nadzorem może się też wszystko wydarzyć.
Rozmawiał Jarosław Parjaszewski.