Tag Archive | cyberprzestępczość

Księgowi kontra cyberprzestępcy. Relacja z Cambridge International Symposium on Economic Crime

Relacja lekko spóźniona, gdyż Sympozjum odbyło się w dniach 4 – 11 września, jednak ze względu na skalę i rangę wydarzenia, a także wnioski które nasunęły mi się w jego trakcie, nie mógłbym odpuścić komentarza. Konferencja odbyła się już po raz 34 w kampusie Jesus College Uniwersytetu Cambridge, brało w niej udział blisko 650 prelegentów (wykłady trwały codziennie od 8 do 18:30, zazwyczaj w formie kilku równoległych sesji), a łącznie ze słuchaczami około 1600 uczestników z 90 krajów. W tym roku po raz pierwszy miałem okazję w niej uczestniczyć, gdyż zostałem zaproszony do zasiadania w Sekretariacie Sympozjum.

Jak sama nazwa wskazuje, głównym tematem konferencji jest przestępczość gospodarcza, a w tym roku ściśle ‘where does the buck stop?’. Uczestnicy dyskutowali więc przede wszystkim o tym kto ostatecznie powinien ponosić odpowiedzialność za przestępstwa finansowe i jaki w tej odpowiedzialności powinien być udział tych którzy umożliwiali popełnianie przestępstw – księgowych, działów compliance i firm świadczących usługi finansowe. Z naszej perspektywy skupić należy się jednak na zagadnieniach skali, kierunków rozwoju i strategii zapobiegania cyberprzestępczości które także były przedmiotem wykładów i warsztatów – tym bardziej, że szczegółowa relacja z całego wydarzenia zajęłaby co najmniej arkusz wydawniczy.

Pierwsze co zwróciło moją uwagę to zdecydowana rozbieżność podejść do zjawiska do problemu pomiędzy przedstawicielami biznesu, a przedstawicielami nauki i instytucji rządowych. Philip Rutledge w swojej prezentacji dotyczącej skali zjawiska i reakcji ze strony rad nadzorczych podkreślał, że zagrożenie, lub nawet realne straty, ze strony przestępstw komputerowych traktowane są raczej jako uciążliwość niż problem wymagający systemowej reakcji. Szkody z nich wynikające są niemalże wliczane w koszty prowadzenia działalność, a dyrektorzy wykonawczy i członkowie rad nadzorczych nie są zbytnio zainteresowani otrzymywaniem informacji na temat nowych zagrożeń czy organizacją kompleksowej reakcji na włamanie (uwzględniającej nie tylko IT, ale też działu prawne i HR przedsiębiorstwa). Takie podejście nie jest jednak szczególnym zaskoczeniem, biorąc pod uwagę, że straty finansowe związane z atakiem są niższe niż koszty utrzymania skutecznego poziomu zabezpieczeń. Również Polska perspektywa potwierdza ten punkt widzenia. Podmioty które były celem bardzo głośnych i szkodliwych dla klientów jak Plus Bank czy Kancelaria Drzewiecki Tomaszek nie poniosły zasadniczo żadnych konsekwencji. Tak samo w krajach zachodnich, o ile wydarzenie nie jest naprawdę katastroficzne – jak włamanie do sieci POS Target – to kierownictwo zasadniczo nie ponosi odpowiedzialności za niewystarczające środki bezpieczeństwa stosowane w firmie.

Z drugiej strony środowiska akademickie i rządowe prezentowały zgoła przeciwne podejście. Szczególnie widoczne jest zaangażowanie rządu brytyjskiego w promocje stosowania skutecznych praktyk w zakresie bezpieczeństwa informacji czego przykładem jest choćby program ‘Cyber Essentials‘ polegający na darmowej certyfikacji przedsiębiorców którzy spełnią minimalne standardy ochrony informacji. Mając na uwadze, że w obszarze mniejszych przedsiębiorstw bardzo często nie są stosowane właściwie żadne zabezpieczenia, rozpowszechnienie takich standardów wśród małych i średnich przedsiębiorców mogłoby znacząco obniżyć ich atrakcyjność jako celów zautomatyzowanych ataków. Rząd zwraca również szczególną uwagę na branże w których bezpieczeństwo informacji ma wyjątkowe znaczenie – jak choćby kancelarie prawne. Co ciekawe według przedstawiciela rządu z którym miałem okazje dyskutować już po prelekcji ‘law society’ bardzo poważnie podchodzi do tych kwestii. Jak jednak w praktyce wyglądają polityki bezpieczeństwa wdrażane w brytyjskich kancelariach niestety.

Akademicy również są zaniepokojeni rozwojem wydarzeń. Tak jak przedstawiciele rządu zwracali uwagę na rosnącą skalę zjawiska i niemrawe reakcje ze strony podmiotów biznesowych, ale podkreślali również brak systemowego programu szkoleń dla osób które chciałyby zawodowe zajmować się bezpieczeństwem cybernetycznym. Rząd UK szacuje, że w najbliższych latach brakować będzie 2 milionów pracowników w owym sektorze. Tymczasem, według Profesora Barrego Ridera, nie ma programów dla osób chcących pracować w sektorze publicznym m.in. w obszarze analityki zagrożeń.

Kolejną refleksją, natury bardziej interdyscyplinarnej, jest różnica pomiędzy podejściem do regulacji dotyczącej bezpieczeństwa informacji i bezpieczeństwa transakcji finansowych. To co najbardziej mi się rzuciło w oczy podczas konferencji to skala regulacji w zakresie AML (anti-money laundering). Próg wymagań które muszą spełnić instytucje zajmujące się szeroko pojętym przepływem pieniędzy jest absolutnie nieporównywalny z jakimikolwiek wymaganiami dotyczącymi choćby ochrony danych osobowych. Naturalnie nie można stwierdzić, że ustanowienie takiego samego poziomu regulacji automatycznie rozwiązałoby problemy ochrony informacji jednak w mojej ocenie należy też odrzucić tezy typu ‘compliance chroni jedynie przed atakiem audytorów’. Realnie oceniając stan wymagań (a raczej ich śladowych ilości – tak naprawdę jedyną porównywalną instytucją jest obecnie PCI) trudno jest nawet wyobrazić sobie jaka rewolucja musiałaby nastąpić w działach compliance i IT firm gdyby wprowadzić regulacje porównywalne z regulacjami AML. I nawet jeżeli część wymagań byłaby jedynie uciążliwością to przynajmniej mogłaby powstać zestaw standardów stanowiących punkt odniesienia dla oceny rozwiązań stosowanych w poszczególnych przedsiębiorstwach. Zgadzam się tutaj z Brucem Schneierem, który twierdzi, że regulacje podnosiłyby poziom bezpieczeństwa poprzez motywacje ekonomiczne.

Czy jeżeli interesujemy się wyłącznie bezpieczeństwem IT warto odwiedzać takie wydarzenia? Według mnie zdecydowanie tak. Pomijając nawet rangę konferencji (Sympozjum to zdecydowanie jedno z najważniejszych, jeżeli nie najważniejsze wydarzenie tego rodzaju w zakresie przestępczości gospodarczej), to na pewno warto konfrontować wyobrażenia i oczekiwania co do wdrażania bezpieczeństwa w firmach z rzeczywistością w której infosec jest tylko jednym z trybów działania przedsiębiorstwa.

Advertisements

O włamaniu do kancelarii prawnej

Niedawne włamanie do jednej z większych w Polsce kancelarii prawnych jest zdarzeniem w wielu aspektach precedensowym i wymagającym komentarza. Nie zamierzam dokonywać tutaj analizy technicznej ataku – zarys działań napastników można znaleźć u samego źródła na ToRepublic jak i na stronie CERT, ani rozstrzygać jakie prawne konsekwencje mogą spotkać kancelarie – to zostało już przedstawione przez Konrada na portalu cyberprzestępczość.pl. Chciałbym za to rozważyć znaczenie jakie incydent może mieć dla przedstawicieli zawodów prawniczych i ich klientów. Uważam bowiem, że można zaryzykować tezę, iż włamanie jakie miało miejsce to najlepsze co w obecnej sytuacji mogło się wydarzyć.

Dlaczego najlepsze? Biorąc po uwagę poziom zabezpieczeń stosowany przez wszelakie kancelarie to tego rodzaju przypadku zwyczajnie musiało dojść. Kluczową kwestią było więc nie kiedy dojdzie do takiej sytuacji, a jak bardzo klienci ucierpią kiedy do tego dojdzie. Przeanalizujmy więc po kolei wszystkie ‘zalety’ przebiegu wydarzeń:

  1. Napastnicy zaatakowali dużą, znaną i dobrze prosperującą kancelarie. Po pierwsze pokazuje to, że nawet na szczycie kwestia bezpieczeństwa informacji jest ignorowana, a wygrywają najprostsze i zapewne najtańsze rozwiązania. Po drugie, ponieważ kancelaria była odpowiedzialna za prowadzenie tak medialnych spraw jak Amber Gold, czy sprawy kredytów we frankach, incydent może zyskać rozgłos adekwatny do jego skali.
  2. Klienci, będący w istocie głównymi ofiarami, zostali potraktowani w miarę łagodnie. Ich dane nie zostały sprzedane oszustom, co więcej napastnicy umożliwili niektórym usunięcie swoich informacji z baz.
  3. Można na żywo zaobserwować chilling effect straszenia konsekwencjami prawnymi przez kancelarie prawne – czego przykładem jest usunięcie artykułu poświęconego zdarzeniu na zaufanej trzeciej stronie i radykalna zmiana treści artykułu zamieszczonego przez Gazetę Prawną .
  4. Jest szansa na zmianę podejścia do kwestii bezpieczeństwa w kancelariach prawnych o czym mowa dalej.

Skala sukcesu napastników – całkowite przejęcie kontroli nad infrastrukturą IT kancelarii i uzyskanie nieograniczonego dostępu do wszystkich informacji będących w jej posiadaniu – sprawia również, że sytuacja będzie miarą zachowania rady adwokackiej i urzędów odpowiedzialnych ze egzekwowanie standardów ochrony informacji, jak np.: GIODO. Jeżeli bowiem w przypadku tak poważnego incydentu nie zostaną zastosowane radykalne sankcje wobec kancelarii to można będzie wysunąć smutny wniosek, iż żaden przyszły przypadek również pociągnie za sobą adekwatnych sankcji. W tym kontekście najgorszym z możliwych scenariuszy byłbym cykl życia incydentów który według jednego z użytkowników Reddita jest biznesowym standardem, a mianowicie:

  1. Firma skrajnie nieodpowiedzialnie podchodzi to kwestii bezpieczeństwa i zostaje zhakowana.
  2. Firma wynajmuje najdroższych możliwych pentestrów i audytorów aby zadowolić klientów / inwestorów.
  3. Wyniki punktu 2 są ignorowane i wracamy do punktu 1.

Oczywiście pytaniem pozostaje to czy w ogóle możliwy jest nadzór nad poziomem bezpieczeństwa stosowanym przez tego rodzaju podmioty bez zastosowania rozwiązań systemowych. Trudno jest bowiem jednoznacznie stwierdzić czy brak zastosowania odpowiedniego poziomu zabezpieczeń wynika ze zwyczajnej ignorancji w sprawach funkcjonowania sieci komputerowych (co w mojej ocenie jest niedopuszczalne przy wykonywaniu tego zawodu) czy z kalkulacji kosztów i potencjalnych spraw – w końcu jest to dopiero pierwszy taki przypadek. Osobiście uważam, że obecny stan rzeczy jest wynikiem obu tych czynników, z naciskiem na pierwszy. Konkretniej rzecz ujmując – brak wiedzy na temat bezpieczeństwa informacji skutkuje stosowaniem średniej jakości rozwiązań z zakresu bezpieczeństwa, najczęściej jako usługę outsourcowaną wraz z resztą obsługi IT. Ze względu na brak podobnych incydentów brak było z kolei bodźca zarówno dla kancelarii, aby wdrażać specjalistyczne rozwiązania, jak i dla firm zajmujących się obsługą IT – aby na poważnie zająć się kwestią bezpieczeństwa. Rezultatem jest status quo w którym bardziej opłacalna jest reakcja na dokonany atak, a nie proaktywne jemu zapobieganie. I właśnie w tym aspekcie może wyniknąć najwięcej dobrego z zaistniałej sytuacji. Połączenie sankcji ze strony administracji i zwiększenie świadomości klientów co do istotności stosowania odpowiednich środków bezpieczeństwa może popchnąć sytuację na właściwe tory.

W dniu dzisiejszym kancelaria ogłosiła, że oferuje nagrodę w wysokości 100 tysięcy złotych za wskazanie osób odpowiedzialnych i dostarczenie dowodów winy. Kwestie współmierności wysokości nagrody do potencjalnej wartości wykradzionych danych (i dowodów które miałyby zostać dostarczone) pozostawiam każdemu do własnej oceny.