Tag Archive | konferencja

Księgowi kontra cyberprzestępcy. Relacja z Cambridge International Symposium on Economic Crime

Relacja lekko spóźniona, gdyż Sympozjum odbyło się w dniach 4 – 11 września, jednak ze względu na skalę i rangę wydarzenia, a także wnioski które nasunęły mi się w jego trakcie, nie mógłbym odpuścić komentarza. Konferencja odbyła się już po raz 34 w kampusie Jesus College Uniwersytetu Cambridge, brało w niej udział blisko 650 prelegentów (wykłady trwały codziennie od 8 do 18:30, zazwyczaj w formie kilku równoległych sesji), a łącznie ze słuchaczami około 1600 uczestników z 90 krajów. W tym roku po raz pierwszy miałem okazję w niej uczestniczyć, gdyż zostałem zaproszony do zasiadania w Sekretariacie Sympozjum.

Jak sama nazwa wskazuje, głównym tematem konferencji jest przestępczość gospodarcza, a w tym roku ściśle ‘where does the buck stop?’. Uczestnicy dyskutowali więc przede wszystkim o tym kto ostatecznie powinien ponosić odpowiedzialność za przestępstwa finansowe i jaki w tej odpowiedzialności powinien być udział tych którzy umożliwiali popełnianie przestępstw – księgowych, działów compliance i firm świadczących usługi finansowe. Z naszej perspektywy skupić należy się jednak na zagadnieniach skali, kierunków rozwoju i strategii zapobiegania cyberprzestępczości które także były przedmiotem wykładów i warsztatów – tym bardziej, że szczegółowa relacja z całego wydarzenia zajęłaby co najmniej arkusz wydawniczy.

Pierwsze co zwróciło moją uwagę to zdecydowana rozbieżność podejść do zjawiska do problemu pomiędzy przedstawicielami biznesu, a przedstawicielami nauki i instytucji rządowych. Philip Rutledge w swojej prezentacji dotyczącej skali zjawiska i reakcji ze strony rad nadzorczych podkreślał, że zagrożenie, lub nawet realne straty, ze strony przestępstw komputerowych traktowane są raczej jako uciążliwość niż problem wymagający systemowej reakcji. Szkody z nich wynikające są niemalże wliczane w koszty prowadzenia działalność, a dyrektorzy wykonawczy i członkowie rad nadzorczych nie są zbytnio zainteresowani otrzymywaniem informacji na temat nowych zagrożeń czy organizacją kompleksowej reakcji na włamanie (uwzględniającej nie tylko IT, ale też działu prawne i HR przedsiębiorstwa). Takie podejście nie jest jednak szczególnym zaskoczeniem, biorąc pod uwagę, że straty finansowe związane z atakiem są niższe niż koszty utrzymania skutecznego poziomu zabezpieczeń. Również Polska perspektywa potwierdza ten punkt widzenia. Podmioty które były celem bardzo głośnych i szkodliwych dla klientów jak Plus Bank czy Kancelaria Drzewiecki Tomaszek nie poniosły zasadniczo żadnych konsekwencji. Tak samo w krajach zachodnich, o ile wydarzenie nie jest naprawdę katastroficzne – jak włamanie do sieci POS Target – to kierownictwo zasadniczo nie ponosi odpowiedzialności za niewystarczające środki bezpieczeństwa stosowane w firmie.

Z drugiej strony środowiska akademickie i rządowe prezentowały zgoła przeciwne podejście. Szczególnie widoczne jest zaangażowanie rządu brytyjskiego w promocje stosowania skutecznych praktyk w zakresie bezpieczeństwa informacji czego przykładem jest choćby program ‘Cyber Essentials‘ polegający na darmowej certyfikacji przedsiębiorców którzy spełnią minimalne standardy ochrony informacji. Mając na uwadze, że w obszarze mniejszych przedsiębiorstw bardzo często nie są stosowane właściwie żadne zabezpieczenia, rozpowszechnienie takich standardów wśród małych i średnich przedsiębiorców mogłoby znacząco obniżyć ich atrakcyjność jako celów zautomatyzowanych ataków. Rząd zwraca również szczególną uwagę na branże w których bezpieczeństwo informacji ma wyjątkowe znaczenie – jak choćby kancelarie prawne. Co ciekawe według przedstawiciela rządu z którym miałem okazje dyskutować już po prelekcji ‘law society’ bardzo poważnie podchodzi do tych kwestii. Jak jednak w praktyce wyglądają polityki bezpieczeństwa wdrażane w brytyjskich kancelariach niestety.

Akademicy również są zaniepokojeni rozwojem wydarzeń. Tak jak przedstawiciele rządu zwracali uwagę na rosnącą skalę zjawiska i niemrawe reakcje ze strony podmiotów biznesowych, ale podkreślali również brak systemowego programu szkoleń dla osób które chciałyby zawodowe zajmować się bezpieczeństwem cybernetycznym. Rząd UK szacuje, że w najbliższych latach brakować będzie 2 milionów pracowników w owym sektorze. Tymczasem, według Profesora Barrego Ridera, nie ma programów dla osób chcących pracować w sektorze publicznym m.in. w obszarze analityki zagrożeń.

Kolejną refleksją, natury bardziej interdyscyplinarnej, jest różnica pomiędzy podejściem do regulacji dotyczącej bezpieczeństwa informacji i bezpieczeństwa transakcji finansowych. To co najbardziej mi się rzuciło w oczy podczas konferencji to skala regulacji w zakresie AML (anti-money laundering). Próg wymagań które muszą spełnić instytucje zajmujące się szeroko pojętym przepływem pieniędzy jest absolutnie nieporównywalny z jakimikolwiek wymaganiami dotyczącymi choćby ochrony danych osobowych. Naturalnie nie można stwierdzić, że ustanowienie takiego samego poziomu regulacji automatycznie rozwiązałoby problemy ochrony informacji jednak w mojej ocenie należy też odrzucić tezy typu ‘compliance chroni jedynie przed atakiem audytorów’. Realnie oceniając stan wymagań (a raczej ich śladowych ilości – tak naprawdę jedyną porównywalną instytucją jest obecnie PCI) trudno jest nawet wyobrazić sobie jaka rewolucja musiałaby nastąpić w działach compliance i IT firm gdyby wprowadzić regulacje porównywalne z regulacjami AML. I nawet jeżeli część wymagań byłaby jedynie uciążliwością to przynajmniej mogłaby powstać zestaw standardów stanowiących punkt odniesienia dla oceny rozwiązań stosowanych w poszczególnych przedsiębiorstwach. Zgadzam się tutaj z Brucem Schneierem, który twierdzi, że regulacje podnosiłyby poziom bezpieczeństwa poprzez motywacje ekonomiczne.

Czy jeżeli interesujemy się wyłącznie bezpieczeństwem IT warto odwiedzać takie wydarzenia? Według mnie zdecydowanie tak. Pomijając nawet rangę konferencji (Sympozjum to zdecydowanie jedno z najważniejszych, jeżeli nie najważniejsze wydarzenie tego rodzaju w zakresie przestępczości gospodarczej), to na pewno warto konfrontować wyobrażenia i oczekiwania co do wdrażania bezpieczeństwa w firmach z rzeczywistością w której infosec jest tylko jednym z trybów działania przedsiębiorstwa.

Ataki Sieciowe 2016 – relacja z pierwszego dnia konferencji

Brak aktywności na blogu w ciągu ostatnich miesięcy bynajmniej nie był spowodowany wypoczynkiem. Wręcz przeciwnie – już po raz drugi, razem z koleżankami i kolegami z Koła Naukowego Prawa Nowych Technologii UMK, byłem odpowiedzialny za organizację konferencji Ataki Sieciowe. Tegoroczna edycja była już szóstą odsłoną wydarzenia, w tym drugą podczas której gościliśmy prelegentów reprezentujących ośrodki zagraniczne. W tym roku zresztą było z nami wyjątkowo szerokie grono podmiotów – od firm z branży IT, poprzez kancelarie zajmujące się na co dzień kwestiami związanymi z regulacją nowych technologii aż do organizacji pozarządowych i międzynarodowych, i ośrodków akademickich. Niestety niektórym prelegentom nie udało się dotrzeć na konferencje, z czym zawsze trzeba się liczyć podczas organizacji takiego wydarzenia. Podczas tegorocznej edycji  sytuacja ta dotyczyła Tomasza Soczyńskiego z GIODO oraz Macieja Ziarka z Kaspersky Lab. Tematyka Ataków Sieciowych zawsze związana jest z najnowszymi trendami w dziedzinie bezpieczeństwa IT i legislacji związanej z tym tematem. W tym roku, niestety, musieliśmy również zwrócić uwagę na brak implementacji wyroku Trybunału Konstytucyjnego w zakresie dostępu do danych telekomunikacyjnych i postępujące rozszerzanie uprawnień przysłuchujących agencjom rządowym.

Konferencję otworzyło wystąpienie Profesora Andrzeja Adamskiego dotyczące zagrożeń związanych z wzrostem popularności płatności elektronicznych. Profesor opisał problem od strony kryminologicznej, ze szczególnym uwzględnieniem statystyk dotyczących skali zjawiska i metod ataków. Jak nietrudno zgadnąć z roku na rok ilość przypadków takich przestępstw wzrasta, a przestępcy chętnie wykorzystują fakt coraz powszechniejszego wykorzystania technologii NFC do dokonywania płatności za pomocą smartphonów. Kolejny wykład wygłosił Profesor Wojciech Filipkowski reprezentujący Uniwersytet w Białymstoku, który poruszył problematykę wykorzystania data miningu przez organy ścigania. Prelekcja skupiała się przedstawieniu modeli stosowania DM w zakresie wykrywania i zwalczania przestępczości oraz roli tworzenia schematów wzorów zachowań we wspomaganiu pracy organów ścigania. Co istotne, podkreślono również konieczność zachowania ograniczonego zaufania do rezultatów uzyskiwanych za pomocą DM, a także konieczność oceny proporcjonalności jego stosowania. Warto pamiętać o tym w kontekście tego jak często służby specjalne próbują uzyskać dostęp do coraz to nowych narzędzi umożliwiających tworzenie obszernych baz danych.

Następnie gościliśmy przedstawicieli dwóch organizacji pozarządowych – Amnesty International i Fundacji Panoptykon.  Fundacje Panoptykon reprezentował Wojtek Klicki, którego wystąpienie dotyczące badań nad dostępem służb specjalnych i policji do danych internetowych potwierdziło jak ważną rolę Panoptykon pełni w roli watchdoga. Liczba zapytań sięgająca i 2mln rocznie i brak implementacji mechanizmów kontrolnych których obowiązek wprowadzenia wynika z wyroku Trybunału Konstytucyjnego, sprawia, że problem retencji danych będzie aktualny w najbliższych latach. Dla mnie najbardziej zatrważająca była informacja, że Służba Kontrwywiadu Wojskowego konsekwentnie odmawia udzielenia informacji co do statystyki zapytań o dane billingowe, uzasadniając to faktem, że nie są zobowiązani do udzielenia informacji w ramach dostępu do informacji publicznej, gdyż SKW nie korzysta z pieniędzy publicznych. Doprawdy interesujące jest skąd w takim razie Służba pozyskuje fundusze na swoje funkcjonowanie. Na szczęście jednak, dowiedzieliśmy się, że w związku z tym SKW dwukrotnie przegrało sprawę przed sądem administracyjnym który zobowiązał ją do ujawnienia informacji. Agnieszka z Toruńskiej grupy Amnesty przedstawiła zarys kampanii #unfollowme, a także wytłumaczyła dla czego problem inwigilacji to problem praw człowieka. Wystąpienie połączone było z przygotowanym przez mnie i Tomka Ciborskiego (również członka Koła) krótkim wykładem dotyczącym narzędzi umożliwiających ochronę prywatności. Pierwszy blok zamknęło wystąpienie Janusza Urbanowicza z CERT Polska, który opowiedział o działaniu polskich trojanów banków. Pan Janusz przedstawił mechanizmu działania złośliwego oprogramowania,  zaprezentował ich obsługę na przykładzie paneli kontrolnych zagrożeń wykrytych przez CERT, a także opisał sposoby przechwytywania informacji wprowadzanych przez użytkownika.

Drugi panel, który miałem zresztą przyjemność poprowadzić, miał bardziej międzynarodowy charakter. Rozpoczął się od wystąpienia Billa Tupmana – kryminologa zajmującego się problematyką terroryzmu, przestępczości zorganizowanej i przestępczości transgranicznej. Bill, zainspirowany słowami Donalda Rumpsfelda o ‘nieznanych nieznanych’, postarał się zarysować cele do jakich agencje rządowe, terroryści, przestępcy i media mogą wykorzystać umiejętności hakerów. W prezentacji zostało zaznaczone również to jakie motywacje mogą mieć przyszłe pokolenia hakerów – postępujące informatyzacja biednych krajów, połączona z frustracją wynikającą z relatywnie niskiego poziomu życia sprawia, że młodzi ludzie mogą stać się docelową grupą dla rekrutacji przez grupy terrorystyczne. Następną prelekcję wygłosił Komandor Porucznik Wiesław Goździewicz z Joint Force Training Centre w Bydgoszczy. Tegoroczny wykład dotyczył faz ataku APT, a konkretnie ich zakwalifikowania jako ataku zbrojnego na gruncie prawa międzynarodowego. Rozważania teoretyczne poparte były analizą trzech przypadków – wykorzystania Stuxnetu do ataku na ośrodki wzbogacania uranu, operacji izraelskich sił powietrznych w której wykorzystano malware do unieszkodliwienia obrony przeciwlotniczej oraz ataku na hutę stali w Niemczech. Po wystąpieniu Komandor odpowiedział na szereg pytań od słuchaczy – największe zainteresowanie wzbudziła kwestia ćwiczeń jednostek wojskowych z zakresu cyberbezpieczeństwa oraz współpracy pomiędzy agencjami wojskowymi i cywilnymi. Blok zamknęło wystąpienie Profesora Arkadiusza Lacha, kierownika katedry postępowania karnego i Centrum Badań nad Cyberprzestępczością UMK. Profesor omówił kwestie implementacji dyrektywy o atakach na systemy informatyczne do prawa polskiego. Szczególną uwagę zwrócił na statystyki ilości przestępstw – niektóre czyny penalizowane przez obecny kodeks karny w rzeczywistości bowiem wcale nie występują. Kuriozalna jest zwłaszcza sytuacja art. 269b – który zakazuje posiadania właściwie wszystkich narzędzi służących do pentestingu, pomimo tego jednak jest on właściwie nie stosowany w praktyce.

Ostatni blok pierwszego dnia konferencji poświęcony był bardziej biznesowej stronie cyberbezpieczeństwa. Otworzyło go wystąpienie Mecenas Artura Piechockiego, który reprezentował Fundacje Bezpieczna Cyberprzestrzeń. Mecenas opowiedział o nadchodzących zmianach w unijnych przepisach dotyczących bezpieczeństwa sieciowego i ochrony danych osobowych. Szczególne zainteresowanie wzbudziła kwestia znacznego wzrostu potencjalnych kar finansowych (sięgających nawet kilku milionów euro, bądź kilku procent całości obrotu) które będą mogły być nałożone na podmioty nie przestrzegające przepisów ochrony danych osobowych. Drugim prelegentem był Marcin Ulikowski z Atos, który przedstawił case study dotyczące ataku polegającego na skasowaniu danych z serwerów pewnej firmy. Marcin opisał jak żmudna praca umożliwiła skuteczne zidentyfikowanie sprawcy pomimo niesprzyjających warunków (pracownicy firm w trakcie śledztwa pracowali wciąż na kontach z których przeprowadzono atak…). W końcu dzień zamknęła prezentacja Jakuba Masłowskiego z Allegro. Jakub opowiedział o zaufaniu w branży bezpieczeństwa korporacyjnego – zarówno zaufaniu do oprogramowania jak i użytkowników, a także o końcu ery antywirusów które już bardzo słabo radzą sobie z rozpoznawaniem większości zagrożeń.

I tak zakończył się pierwszy dzień o konferencji. O drugim (również wypełnionym interesującymi prezentacjami) napisze jak tylko znajdę czas.