Włamania do banków, telekomów i innych firm to jej codzienność. Na życzenie klientów hakuje ich infrastrukturę informatyczną, by znaleźć słabości systemu zabezpieczeń. Kontrolowane ataki hakerskie nierzadko stanowią zimny prysznic, który mobilizuje organizacje do lepszego przygotowania na cyfrowe zagrożenia.
Paula Januszkiewicz, CEO CQURE, Polka z dostępem do kodu źródłowego Windows, honorowa dyrektorka regionalna Microsoftu na Europę Środkowo‑Wschodnią, opowiada o atakach hakerskich, mitach na temat cyberbezpieczeństwa oraz pracy etycznego hakera. Rozmawia Joanna Koprowska.
PRZECZYTAJ CAŁY ARTYKUŁ <a href=”https://download.ican.pl/006_MIT_Inspiracje_Januszkiewicz_mini_114752.pdf rel=”nofollow”>W WERSJI PDF
Kilkanaście minut przed naszym spotkaniem otrzymałam SMS od banku z ostrzeżeniem dotyczącym ataków hakerskich. Niestety, przestępcy internetowi nie zapadli w koronawirusowy sen, a wręcz odwrotnie. Do tego, jak wskazuje Global Risk Report opublikowany przez Światowe Forum Ekonomiczne, cyberataki są dziś potencjalnie tak destrukcyjne jak poważne klęski żywiołowe. A jak pani ocenia sytuację?
Generalnie widać wzmożoną liczbę cyberataków, ponieważ hakerzy zyskali nowy pretekst w postaci pandemii. Na porządku dziennym jest phishing (podszywanie się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań – przyp. red.). Jednym z przykładów są SMS‑y czy e‑maile nakłaniające do wsparcia walki z koronawirusem. Przestępcy internetowi wykorzystują ludzką chęć pomocy, która jest silniejsza w zaistniałych okolicznościach.
Oczywiście koronawirus to nie jedyny pretekst. Do najpopularniejszych sposobów na wyłudzenie danych lub pieniędzy są maile dotyczące uregulowania niezapłaconych faktur. Pracownik otrzymuje wiadomość z fakturą i ponagleniem, czasami wygląda ona tak autentycznie i profesjonalnie, że wystarczy chwila nieuwagi, by taką fakturę przekazać do realizacji. Hakerzy bywają bardzo kreatywni i często żerują na ludzkiej nieostrożności. Łatwo dać się nabrać, udostępnić wrażliwe dane przestępcom, a potem gorzko tego żałować. Niestety, firmy zbyt często nie przygotowują się na takie sytuacje, działają dopiero wtedy, gdy reakcja jest konieczna, aby zapobiec katastrofie wizerunkowej.
Zaczęłyśmy rozmowę od tych złych hakerów, ale po drugiej stronie są osoby takie jak pani, eksperci od cyberbezpieczeństwa, których często nazywa się etycznymi hakerami. Czym się pani zajmuje na co dzień?
Prowadzę firmę, która przeprowadza kontrolowane ataki hakerskie. Są to tak zwane testy penetracyjne czy – jeszcze krócej – pentesty. Włamujemy się na zlecenie firmy do środka jej systemu, po czym dokumentujemy wiele dróg dojścia do celu oraz rekomendujemy środki bezpieczeństwa.
Pentesty mają kilka typów. Najprostszy podział jest na pentesty zewnętrzne i wewnętrzne. Można się dostać do systemu z zewnątrz, np. za pośrednictwem aplikacji webowej czy aplikacji mobilnej. Albo można też zrobić testy penetracyjne wewnętrzne, moje ulubione. Wtedy trzeba się znaleźć w danej infrastrukturze i od środka patrzeć, w jaki sposób połączyć różne kropki, by wykraść potrzebną informację albo przejąć kontrolę nad systemem.
Ostatnio współpracowaliśmy z jednym z największych graczy dostarczających produkty do cyberbezpieczeństwa. Włamywaliśmy się na jego zlecenie do jego systemów. Mieliśmy wyznaczone obszary, musieliśmy sprawdzić, czy włamanie jest możliwe, a reprezentanci klienta mieli za zadanie wyłapać nasze wszystkie aktywności. Na koniec każdego dnia spotykaliśmy się, by o tym porozmawiać i zweryfikować, czy system wewnętrznych zabezpieczeń zarejestrował, co i jak zrobiliśmy.
Odnoszę wrażenie, że nie może pani narzekać na nudę.
Sytuacji w infrastrukturze jest bardzo dużo. Mimo że niektóre rzeczy są do siebie podobne, to nie ma znaczenia, bo gdy się ze sobą łączą, dochodzi do wielu nowych, ciekawych konfiguracji. Już są dostępne rozwiązania, które w ogromnym stopniu zabezpieczają przed działaniami hakerów, ale firmy dopiero zaczynają na nie zwracać uwagę. Na przykład rozwiązania anti‑exploitation przeciwdziałają uruchomieniu czegoś w nietypowy sposób w systemie. Są, zawsze były, ale dopiero teraz zwraca się na nie uwagę. Cyberbezpieczeństwo stało się chodliwym tematem. Dobrze podążać za tym trendem, bo jeszcze trochę potrzeba, by nasze infrastruktury były bezpieczne.
Zainteresowanie kwestiami cyberbezpieczeństwa jest podyktowane megatrendem transformacji cyfrowej, którą napędziła pandemia COVID‑19. Firmy z rozwiązań analogowych przechodzą na rozwiązania chmurowe. Coraz większe obszary ulegają cyfryzacji, ale wciąż panuje przekonanie, że do każdego systemu można się włamać. Jaka jest prawda?
Właśnie taka. Można się włamać wszędzie. Jest to tylko kwestia czasu i umiejętności. Bywa tak, że zhakowanie jakiegoś systemu jest zbyt pracochłonne, przez co przedsięwzięcie staje się mniej opłacalne dla przestępców. Wtedy zazwyczaj zostawiają ten system i namierzają coś łatwiejszego. Chyba że mają na celowniku tylko jeden wyznaczony cel, wtedy prędzej czy później dostaną się do systemu i narobią w nim szkód.
W tej całej układance istotny jest również czynnik ludzki. Przed zagrożeniem związanym z niefrasobliwością ludzi można się zabezpieczyć, ale to wymaga holistycznego podejścia do bezpieczeństwa w organizacji. Nie jest to łatwe, ponieważ często w IT poszczególne produkty czy obszary są zarządzane przez różne zespoły. Od niedawna powstaje coraz więcej działów bezpieczeństwa, ale zazwyczaj takie komórki nie mają pełnej wiedzy o produktach wykorzystywanych przez całą firmę.
Często się mówi, że najsłabszym ogniwem w tej całej układance związanej z bezpieczeństwem cyfrowym jest człowiek. Czy pani to potwierdzi?
Zależy od perspektywy. Jeżeli ktoś o to pyta, odpowiadam „nie”. Myśląc holistycznie o zabezpieczeniu infrastruktury, powinniśmy mieć wdrożone takie rozwiązania, żeby człowiek nie był najsłabszym ogniwem. Człowiek nie jest technologią, a wykorzystując technologię, można zamknąć człowiekowi dostęp do czegoś.
Z drugiej strony, jeżeli spojrzymy na zagadnienie z lotu ptaka, ktoś zawsze tę technologię wybiera, wdraża, konfiguruje. A to sprawia, że koniec końców można poprosić tego kogoś, by wszystko wyłączył. Odpowiedź na pani pytanie zależy od głębokości spojrzenia. Patrząc technologicznie, ja się z tym nie zgadzam. Mamy rozwiązania, które sprawiają, że człowiek przestaje być najsłabszym ogniwem.
A czy są jeszcze jakieś mity na temat cyberbezpieczeństwa, które panią denerwują, przekazują fałszywy obraz tego świata?
Jestem nieco znudzona tym, że zdaniem wielu osób z branży tylko jeden system jest najlepszy, a jest nim Linux. Niektórzy twierdzą nawet, że nie można być dobrym z cyberbezpieczeństwa, używając Windowsa, którego osobiście jestem fanką. Jedno to jest kwestia systemu, którego się używa na co dzień, a drugie – jakie systemy się testuje i z jakich systemów ma się wiedzę. Na co dzień pracuję na różnych systemach, ale swoje czynności bazowe wykonuję na Windowsie. Nie znaczy to, że nie mogę mieć 10 dodatkowych wirtualnych maszyn z różnymi systemami, które wspomagają moją pracę. Poza tym uważam, że Windows sam w sobie nie jest prostym systemem operacyjnym.
Porównywanie Linuksa z Windowsami jest jak porównywanie iOS‑a z Androidem. Każdy znajdzie coś dla siebie. Trudno mówić, który wybór jest bezpieczniejszy. Czasy porównywania systemów dawno się skończyły, ponieważ systemy z reguły bezpieczne są.
PRZECZYTAJ TAKŻE: Bijemy na alarm »
Cyberbezpieczeństwo biznesu w 2020 roku – nowe trendy i nowe zagrożenia
W zeszłym roku zanotowano rekordowo wysoką liczbę incydentów związanych z zagrożeniem bezpieczeństwa cyfrowego. Pojawiają się również nowe sposoby ataków i wyłudzania danych, niektóre naprawdę wyrafinowane.
Ale mimo to można się do nich włamać?
Wszystko jest kwestią konfiguracji. Gdyby hakerzy dokonali udanego ataku na bank, który korzysta z Windowsów, od razu pojawiłyby się komentarze, że wszystko jasne i że to wina Windowsa. Tymczasem, żeby atak był możliwy, potrzebna jest interakcja albo podatność. Jeżeli one występują, a dodatkowo nie został zaktualizowany system, to niezależnie od jego nazwy ktoś może się do niego włamać. Nikt nie pozwala sobie na taką sytuację w biznesie, by nie mieć zaktualizowanych systemów operacyjnych. To znaczy, nie powinien sobie pozwalać.
Dlatego, gdy słyszymy informacje na temat zaatakowanego systemu, powinniśmy najpierw zadać pytanie, czy był zaktualizowany?
Aktualizacja to jest dobry mechanizm zapobiegania oczywistym włamaniom. Są też podatności, które nazywamy zero day, czyli takie, które wychodzą na jaw po raz pierwszy, gdy przestępcy wykorzystują jakąś lukę, której nikt nigdy nie znał. Po takim zajściu powstaje aktualizacja. Czasami researcherzy ubiegną hakerów. Moi pracownicy ciągle szukają luk w systemach. Zgodnie z kodeksem etycznym, gdy uda się coś znaleźć, odzywamy się do vendora z rekomendacją aktualizacji. Gdy wyjdzie łatka (aktualizacja), możemy się pochwalić publicznie, że to za naszą sprawą. Mamy na swoim koncie już kilka „zero days”.
Obecnie zarządza pani międzynarodową firmą. Ale jakie były pani początki w branży?
Moja pierwsza praca polegała na administrowaniu siecią, potem pracowałam w różnych miejscach, by ostatecznie trafić do firmy konsultingowej. Wtedy dotarło do mnie, że chciałabym się zajmować stricte cyberbezpieczeństwem. Brałam udział w różnych wdrożeniach jako konsultant bezpieczeństwa IT, podczas gdy chciałam się skupić na pentestach, które nie sprzedawały się tak dobrze. Przełożeni grali w otwarte karty, twierdząc, że z samych pentestów firma się nie utrzyma. Wtedy postanowiłam się usamodzielnić i założyłam CQURE, które działa od 11 lat i utrzymuje się w dużej mierze właśnie z pentestów.
CQURE ma oddziały w Polsce, Szwajcarii, Arabii Saudyjskiej, Stanach Zjednoczonych. Pani od razu miała globalne spojrzenie na prowadzenie firmy, co nie było takie popularne kilkanaście lat temu. Skąd taki rozmach od początku?
Jeszcze 15 lat temu cyberbezpieczeństwo nie było tak popularne. Zauważyłam też, że polscy klienci mieli wtedy specyficzne podejście, że jak za coś płacili, lubili to mieć w formie materialnej. A bezpieczeństwo jest wirtualną usługą. Gdy płaci się za pentest, otrzymuje się raport, a z niego zazwyczaj wynika, co jest jeszcze do zrobienia. Kilkanaście lat temu polskie firmy były na innym etapie, miały inne priorytety, musiały jeszcze inwestować w infrastrukturę. Dlatego myślałam od razu o rozszerzeniu działalności.
Gdy zaczęłam robić projekty międzynarodowe, okazało się, że firmy z obszaru GCC premiują lokalnych dostawców. Ominęło mnie kilka ciekawych zleceń tylko dlatego, że reprezentowałam firmę z Polski. Wtedy uruchomiłam oddział w Dubaju. Kolejne otwierałam na podobnej zasadzie. Obecnie pracownicy są porozrzucani po świecie, większość prac wykonują zdalnie, tak naprawdę mogliby mieszkać gdziekolwiek. W tym roku mieliśmy jeszcze otworzyć biuro w Singapurze, ale na razie się wstrzymujemy z powodu pandemii.
Przez ten czas podejście polskich firm do kwestii bezpieczeństwa cyfrowego zmieniło się na lepsze?
Jesteśmy bardzo świadomi zagrożeń cyberświata, ale za tą świadomością nie idą działania. Wynika to z niskich budżetów na zabezpieczenia. Jest coraz lepiej, ale to nadal kropla w morzu potrzeb. Czasami znane i poważane firmy mają duże niedociągnięcia w obszarze zabezpieczeń cyfrowych. Zdarza się, że mniej rozpoznawalne, niepozorne marki wypadają o wiele lepiej na tle gigantów. Czasami takie zaniedbania wręcz szokują.
Zdarzają się pracownicy, którzy nie mają pokory, a ona w tej branży jest niezwykle istotna. W cyberbezpieczeństwie trzeba mieć absolutny szacunek do niewiedzy. Po pierwsze, można w ogóle czegoś nie wiedzieć, po drugie, wiele rzeczy bardzo szybko się zmienia. To wymaga elastyczności i wyzbycia się wszelkich założeń. Konieczne staje się otwarcie umysłu na rzeczy, których jeszcze nie znamy. Nazywam to hiperaktywnością. Trzeba chcieć wiedzieć, a nie oceniać czy prezentować silny, jedyny słuszny, pogląd na sprawę. To, że ktoś zainwestuje w superzespół, wcale nie oznacza, że będzie mieć superpoziom cyberbezpieczeństwa. Wszystko zależy od kontekstu i podejścia.
Środowisko profesjonalistów zajmujących się bezpieczeństwem firm często odwołuje się do zasady stay in the shadow (pozostań w cieniu). Z kolei pani chętnie dzieli się wiedzą, występuje na konferencjach, takich jak RSA USA, RSA Pacific Asia & Japan czy Black Hat Europe, gdzie błyszczy na scenie. Skąd takie podejście?
Bezpieczeństwo firmy to szerokie zagadnienie, gdzie jednym z obszarów jest cyberbezpieczeństwo. Mamy wiele specjalizacji, są fachowcy zamknięci w serwerowniach, są etyczni hakerzy działający zdalnie, są osoby dzielące się wiedzą i przyciągające nowe osoby do branży. Trudno zapewnić adeptom cyberbezpieczeństwa zadania, które pozwolą im rozwinąć skrzydła na tym początkowym etapie kariery, ale dobrym punktem wyjścia jest inspiracja.
Pani stara się jej dostarczać?
Lubię dzielić się wiedzą i robię to już od 12 lat. W zasadzie szkolenie innych pochłania 40% mojego czasu. W Polsce dialog jest przepełniony kontekstami, ogląda się te same seriale, śmieje z tych samych reklam, posługuje tymi samymi sloganami. Od zawsze szukałam pracy, która polega na wykorzystaniu wiedzy. Nie ma tu tak wielkiego znaczenia sympatia, czynnik lokalny czy flow w komunikacji. Choć lubię ludzi, z natury jestem introwertyczna. Jestem z IT.
Przydzielono pani dostęp do kodu źródłowego Windows. To spore wyróżnienie, biorąc pod uwagę, jak niewiele osób na świecie ma ten przywilej. Ale czy pani często do tego kodu zagląda?
Dobre pytanie. Nie zaglądam często. Ten dostęp pomaga odpowiedzieć na trudne pytania, których pojawia się coraz mniej. Myślę, że na świecie jest około tysiąca osób, którym umożliwiono taką weryfikację u źródeł.
To ścisłe grono zaufanych ekspertów. A przecież na jednej z konferencji powiedziała pani, że „zaufać to niezbyt popularne słowo w cyberbezpieczeństwie”. Może pani wyjaśnić, co miała na myśli?
Posłużę się przykładem certyfikatów dostarczanych przez firmy. Jeżeli cenimy jakiegoś dostawcę certyfikatów i ufamy niemalże w ciemno wszystkim sugestiom z jego strony, wierzymy, że wykonał odpowiednia procedurę, by zweryfikować dany podmiot. Automatycznie ufamy. Czy to jest dobre? Z pewnością to wiele ułatwia. Ale z punktu widzenia cyberbezpieczeństwa nie jest to najrozsądniejsze podejście. Trzeba zawsze pamiętać, że istnieje minimalne prawdopodobieństwo, że zawiodą jakieś procedury. Że np. ktoś nie dopełni obowiązku sprawdzenia, czy ostateczny produkt faktycznie jest finalną wersją, lub czy to, co trafia na rynek, jest tym, co powinno wyjść. Zaufanie jest bardzo wygodne, ale raczej nie jest dobre.
Czy spotyka pani wielu sfrustrowanych nadmiarem obowiązków i brakiem czasu administratorów IT?
Zdarza się, że administrator to jedyne stanowisko w firmie, nie ma bezpośrednio oddelegowanych osób do bezpieczeństwa. Spotykam administratorów przepracowanych i przeciążonych. Zdarza się, że nim opowiem im o wykrytych mankamentach systemu, oni sami je wymieniają, kwitując, że zdają sobie z tego sprawę, ale na razie mają inne priorytety. To dość odważne podejście, bo do bazy tej firmy mógłby się włamać każdy. Nie ma tutaj usprawiedliwienia, że brakuje czasu na załatanie dziur w systemie zabezpieczeń. Z tym należy coś zrobić natychmiast. Zdarzało się, że administrator wykonywał źle działania. Nie tylko wykrywaliśmy błąd, ale też sprawdzaliśmy, do jakich komponentów infrastruktury ma on dostęp, czyli de facto gdzie może zaszkodzić.
W takim razie w co powinny inwestować firmy, chcące zabezpieczyć się przed atakami? Jaki zaproponowałaby pani szybki pakiet bezpieczeństwa?
Bardzo upraszając, proponowałabym trzy rzeczy. Po pierwsze, należy zrobić podstawowy pentest, by zweryfikować tzw. cybersecurity posture, czyli nasz zewnętrzny obraz bezpieczeństwa. Po drugie, warto się dowiedzieć, jakiego rodzaju rozwiązania z zakresu bezpieczeństwa domyślne oferuje platforma, której używamy. Ta wiedza pozwoli nam znaleźć ewentualne luki w systemie bezpieczeństwa. A po trzecie, powinniśmy zwracać uwagę przede wszystkim na aktualizowanie systemów.
Co panią ostatnio bardzo zdziwiło? Na jakie zaniedbania natrafiła pani podczas pentestów?
Moja praca jest źródłem nieustannych zdziwień. Niemal zawsze zdarza się coś interesującego. Niedawno w znanej firmie z głównego urzędu certyfikacji wyeksportowano plik pfx, który znajdował się na serwerach. Hasłem dostępu była litera „A”. Czasami ręce opadają, ale zazwyczaj w takich sytuacjach uśmiecham się pod nosem i przechodzę do dalszych poszukiwań. Szukam, dopóki nie natknę się na nowe znalezisko.
PRZECZYTAJ TAKŻE: Jak tworzyć dobrą przyszłość »
W kwestii technologii bądź realistą, żądaj niemożliwego
W dobie kryzysu prawdziwi inwestorzy zwykli mawiać: „rozsiądź się wygodnie i rozkoszuj kryzysem”. Wiemy już, że pandemia przyspieszyła cyfrową rewolucję, ale czy związany z nią kryzys będzie szansą na demokratyczny dostęp do technologii i innowacji?
