Gra o tron uczy jak dbać o bezpieczeństwo

Czy kultowy serial Gra o tron może dać jakieś wskazówki ekspertom w dziedzinie bezpieczeństwa? Okazuje się, że tak i że zastosowanie się do nich, uchroni niejedną firmę od potężnej katastrofy.

Gra o tron: przygarnięte małe wilkory dopiero po długich czasie okazały się poważnym zagrożeniem.

Gra o tron: przygarnięte małe wilkory dopiero po długich czasie okazały się poważnym zagrożeniem.

Małe sprawy mogą stać się wielkimi problemami

Nikt nie brał smoków i złowrogich wilków (a właściwie wilkorów) na poważnie na początku Gry o tron, ale w trzecim sezonie były one już zdolne powodować spustoszenie i zwyciężać całe armie.

Małe sprawy mogą przerodzić się w poważne komplikacje, jeśli nie są kontrolowane.

Wszystko, począwszy od dostępu pracownika do informacji, a skończywszy na regularnym zmienianiu haseł może być naprawdę ważne.

Zobacz również:

Każdego dnia w firmach używa się smartfonów i tabletów, a bezpieczeństwo mobilne nie jest wciąż tak łatwe w utrzymaniu jak w przypadku sieci komputerowych, które zostały w firmie odpowiednio skonfigurowane i przetestowane przez dział techniczny.

Nawet biblijna Pieśń nad Pieśniami mówi: "Schwytajcie nam lisy, małe lisy, co pustoszą winnice". Pamiętajcie o tym. To małe luki w zabezpieczeniach mogą być przyczyną wielkich awarii i wycieków danych.

Ludzie bez twarzy są wszędzie

Fakt, że grupa Anonymous stała się synonimem globalnej sieci hakerów i anonimowych ludzi, którzy próbują łamać zabezpieczenia sieci, nie jest niczym nowym.

Ustawodawcy i organy ścigania są prawie zawsze o krok do tyłu, podczas gdy cyberprzestępcy i hakerzy patrzą zawsze w przyszłość i już starają się naruszyć zabezpieczenia, które dopiero mają zostać wdrożone.

Aby uchronić się przed ludźmi bez twarzy nie można stanąć w miejscu. Duże i średnie firmy (a najczęściej także te niewielkie) nie mogą już pozwolić sobie na opieszałość. Koniecznością staje się wdrażanie nowych technologii, że wspomnimy tylko wśród nich o korzystaniu z chmury w modelu hybrydowym (hybrid cloud), dzieleniu danych, kryptografii i centralizacji baz danych.

Firewall to nie wszystko. Ważna jest także świadomość pracowników na temat bezpieczeństwa danych i niewłaściwych praktyk z tym związanym.

Firewall to nie wszystko. Ważna jest także świadomość pracowników na temat bezpieczeństwa danych i niewłaściwych praktyk z tym związanym.

Potężne mury nie zawsze wystarczają

Nowoczesne firewalle są złożone i zaznajomienie się z nimi może zająć miesiące. Nawet jednak najbardziej skomplikowany firewall jest tylko oprogramowaniem i jako taki posiada swoje wady.

Bramki jednokierunkowe blokują ataki z niezaufanych sieci, bez względu na ich adres IP, ale bez nich łatwo jest ominąć firewalla ze sfałszowanym adresem IP, zwłaszcza gdy haker posiada dostęp do tego samego segmentu sieci LAN, który próbuje zaatakować.

Często metodą stosowaną przez hakerów wcale nie jest skomplikowana edycja kodu, ale zwykła prośba i odrobina kłamstw. Najprostszym sposobem na włamanie się do sieci, jest po prostu kradzież haseł, a w tym napastnicy bywają bardzo przebiegli. Tzw. phisherzy swoje działania opierają na inżynierii społecznej i za swój cel nie przyjmują forsowania murów, ale wyłudzenie określonych informacji lub nakłonienie ofiary do określonych działań. Może być w tym celu użyty przekonujący mail do osób mających dostęp do haseł i protokołów. W sytuacji, gdy pracownik przez niewiedzę udostępni zbyt wiele danych oszustowi, na nic zdają się doskonałe ustawienia firewalla, szyfrowanie i uwierzytelnianie dwukierunkowe. Tak naprawdę inwestycję warto zacząć od odpowiedniego przeszkolenia pracowników w dziedzinie bezpieczeństwa sieci.

Trzymaj przyjaciół daleko, a wrogów... jeszcze dalej

Udostępnianie firmowych danych, nawet wyłącznie zaufanym pracownikom, nie zawsze jest bezpieczne. Od Marka Abene i Juliana Assange'a, po Bradleya Manninga i Edwarda Snowdena, ludzie z dostępem do zamkniętej sieci mogą wydobyć z niej ogromne ilości danych.

We wrześniu 2015 roku Morgan Stanley, jeden z największych banków inwestycyjnych na świecie, zdał sobie sobie sprawę, że 730 tysięcy numerów kont zostało ukradzionych przez pracownika, który gromadził je przez ponad trzy lata i przenosił na prywatny serwer w swoim domu. Byłoby mądrym krokiem dla firm, gdyby w sprawie bezpieczeństwa IT stosowały się do prostej zasady: "ufaj, ale sprawdzaj", przechowując dane w cyfrowych sejfach i innych bezpiecznych repozytoriach danych. Kolejnym krokiem jest opracowanie i egzekwowanie polityki bezpieczeństwa w firmie.

Dane już pozornie wymazane da się odzyskać, jeśli ich zniszczenie nie było przeprowadzone prawidłowo. Jeśli trafią w niepowołane ręce, mogą zostać użyte przeciw tobie.

Dane już pozornie wymazane da się odzyskać, jeśli ich zniszczenie nie było przeprowadzone prawidłowo. Jeśli trafią w niepowołane ręce, mogą zostać użyte przeciw tobie.

Zmarli mogą wrócić żeby cię nawiedzać

Wiele małych i średnich firm, a nawet duże korporacje zakładają, że gdy dyski twarde zostały sformatowane, komputery mogą być sprzedane lub wyrzucone bez obaw. Jak jednak dowiadujemy się z Gry o tron: martwe nie zawsze znaczy martwe. Niektóre dyski twarde ATA, IDE i SATA obejmują wsparcie dla standardu bezpiecznego wymazywania ATA już od początku XX wieku. Badania z 2011 roku wykazały jednak, że czterech z ośmiu producentów dysków twardych nie wdrożyło poprawnie tego rozwiązania. I choć metoda Gutmanna, wykorzystująca technikę nadpisywania danych 35 seriami wzorców, może być przez niektórych uznana za przesadę, jest to jednak od lat solidny i sprawdzony sposób na trwałe usunięcie danych z nośnika.

Żelazna cena

Największym problemem wśród ekspertów ds. bezpieczeństwa informacji jest brak zrozumienia bezpieczeństwa w chmurze. Zdecydowana większość firm internetowych przeznacza coraz więcej pieniędzy na programy zabezpieczające, zamiast zainwestować w sprzęt i ludzi, którzy dla nich pracują. Ogólnym trendem wśród firm przechowujących wielkie zasoby danych jest model hybrydowy, łączący w sobie przechowywanie danych (np. danych klientów i firmy) w prywatnej chmurze, zaś usług i aplikacji w chmurze publicznej i do tego centralny system przechowywania i backupowania danych. Można powiedzieć, że jest to łączenie technologii wczoraj i technologii jutra. Podczas gdy wartość danych stale rośnie, ważnym byłoby też odpowiednie docenienie ludzi mających dostęp i kontrolę nad danymi, a także zainwestowanie w ich wiedzę i świadomość dotyczącą bezpieczeństwa danych.

Starzy bogowie czy nowi bogowie

Od małych firm po gigantyczne korporacje, z każdym nowym postępem technologicznym, pojawiają się także nowe zagrożenia. Od mobilnych aplikacji po obliczenia kwantowe, bezpieczeństwo musi rozwijać się i dostosowywać, aby poradzić sobie ze zmieniającymi się czasami. Jak jednak zabezpieczyć ogromne ilości danych w chmurze bez zakłóceń i problemów?

Khalil Sehnaoui, założyciel Krypton Security (firmy zajmującej się bezpieczeństwem IT), nie wierzy w możliwość tego rozwiązania. Jak mówi: "Przyszłością ochrony danych jest bezpieczne przechowywanie danych i mocne szyfrowanie. Bezpieczne przechowywanie jest szerokim tematem, ale zasadniczo nie lubię zwykle niczego opartego na chmurze obliczeniowej. Tak jak mówimy w branży info security: przechowywanie w chmurze to po prostu zapisywanie swoich danych na czyimś komputerze."

Małe i średnie firmy nie mają, oczywiście, wielkiego wyboru jeśli chodzi o skorzystanie z ofert firm przechowujących dane .Jest to po prostu opłacalne rozwiązanie. W takich przypadkach przedsiębiorcy powinni jednak zwrócić uwagę na praktyki dotyczące bezpieczeństwa, redundancję, wielowarstwowość zabezpieczeń i procedury szyfrowania.


Zobacz również