5 najczęstszych błędów bezpieczeństwa IT, które słono kosztują

Włamania z pierwszych stron gazet i wynikające z nich spektakularne wycieki danych oddziałują na wyobraźnię. Niedawna kradzież nieokreślonej puli danych z PlusBanku, awaria systemu planowania lotów linii lotniczych LOT, czy problem z lipcowym wyciekiem danych członków amerykańskiej Gwardii Narodowej miały jeden wspólny mianownik. Gdyby nie podstawowe błędy bezpieczeństwa IT, wykorzystane przez cyberprzestępców, te wydarzenia najprawdopodobniej nie miałby szansy się wydarzyć.

  • <strong>1. Brak aktualnych patchy</strong><br /><br />

Jeśli wierzyć relacji cyberprzestepcy, jeden z głośniejszych przypadków włamania do polskiego banku w 2015 roku rozpoczął się właśnie od odnalezienia przez niego luki w postaci niezaktualizowanego oprogramowania.<br /><br />

To normalne, że producenci sprzętu lub oprogramowania co jakiś czas udostępniają aktualizacje, których zadaniem jest wzmocnienie działania rozwiązania (dość rzadko) lub załatanie wykrytej w produkcie luki. Trzeba zrozumieć, że moment, w którym łatka zostaje upubliczniona staje się też chwilą, w której o istnieniu dziury, dowiadują się także cyberprzestępcy (o ile o podatności nie wiedzieli wcześniej). Dlatego tak kluczowe jest dokonanie szybkiej i sprawnej aktualizacji wszystkich narażonych rozwiązań.<br /><br />
  • <strong>2. Słabe lub standardowe hasła producenta</strong><br /><br />

Hasło to jednocześnie najprostsza forma zadbania o bezpieczeństwo systemu informatycznego jak i jedno z najsłabszych jego ogniw. Zastosowanie silnej frazy zmusza cyberprzestępców do szukania innego sposobu na dostanie się do systemu informatycznego firmy. Słabe hasło, lub co gorsza pozostawienie domyślnego hasła producenta to drzwi otwarte na oścież. Cyberprzestępcy doskonale wiedzą, że większość producentów np. sprzętu sieciowego nie wymusza zmiany danych dostępowych w ramach procesu konfiguracji urządzenia. Zdają sobie też sprawę, że w ferworze walki niekiedy zapominają o tym także sami administratorzy. W efekcie, nawet najlepiej zabezpieczona sieć, której jednym z elementów jest router o loginie „admin” i haśle dostępu „admin”, niepotrzebnie wystawiona jest na zagrożenia.<br /><br />
  • <strong>3. Brak odpowiedniej dokumentacji zmian i rekonfiguracji</strong><br /><br />

Zdarzają się niekiedy sytuacje, w których pilnie trzeba udostępnić jakiś port, otworzyć nowy ftp, czy przekonfigurować serwer, firewall lub router. Zgodnie z protokołem i tzw. „dobrą praktyką”, wszystkie te zmiany powinny zostać odnotowane w wiadomym miejscu. Codzienność zna jednak przypadki, kiedy z braku czasu dokumentacja przekładana jest na później lub w ogóle się nie pojawia. W tak zwanym międzyczasie natomiast pojawiają się konflikty błędnie skonfigurowanych urządzeń, wobec których, pozbawiony dokumentacji administrator, mający dokonać napraw jest bezradny.<br /><br />

Brak dokumentacji pozornie tylko jest zmorą wyłącznie dużych firm i ich działów IT. Uznaje się, że w przedsiębiorstwach, w których cała infrastruktura znajduje się pod kontrolą jednego administratora… i to najlepiej obdarzonego doskonałą pamięcią, stanowi niewielki problem. W praktyce jednak, pojawia się ze zwielokrotnioną intensywnością, kiedy taka firma postanawia z pewnych względów przeprowadzić zmianę na stanowisku administratora infrastruktury informatycznej. <br /><br />
  • <strong>4. Uprawnienia administrator przypisane do zwykłych kont</strong><br /><br />

Wygoda wynikająca z przypisania zwykłym użytkownikom firmowej sieci uprawnień administratora rzadko okazuje się współmierna do zagrożenia infrastruktury firmy, które powoduje. Przywileje tego typu zwykle trafiają w ręce użytkowników tymczasowo – aby umożliwić im wykonanie operacji wymagających autoryzacji administratora lub kiedy po dokonanej naprawie nie wylogowano się z profilu administracyjnego. W każdym wypadku powinny zostać odebrane w odpowiednim czasie.<br /><br />

Jeśli w ramach firmowej infrastruktury informatycznej nie działa żaden system monitorowania uprzywilejowanych użytkowników, szeregowy pracownik z uprawnieniami admina może prawie wszystko. W przypadku uprawnień tzw. Roota, może nawet zatuszować ślady własnej niepożądanej aktywności.<br /><br />
  • <strong>5. Poleganie na zaufaniu</strong><br /><br />

Jesteśmy ludźmi – istotami stadnymi. Nic więc dziwnego w tym, że obdarzamy innych zaufaniem. Instynkt ten jednak może się okazać zgubny w pracy administratora systemów IT. W kontekście IT Security, chcąc zapewnić sobie spokojną pracę, trzeba się najpierw przygotować do potencjalnego naruszenia bezpieczeństwa.<br /><br />

Czemu więc nawet przelotne wspomnienie o poleganiu wyłącznie na rozwiązaniach typu anti-virus budzi śmiech administratorów IT, a odpowiedzią na pytanie – w jaki sposób kontrolują oni zdalnych konsultantów, mających przecież dostęp do firmowej infrastruktury sieciowej – jest cisza? Tym bardziej to zaskakujące, że przykładów nadużyć w pracy zdalnych konsultantów nie trzeba daleko szukać. Były powodem kilku najgłośniejszych wycieków danych w 2014 roku.<br /><br />

Włamaniu „z wewnątrz” – bo z tym mamy, de facto, do czynienia w przypadku nadużycia uprawnień przez zdalnego konsultanta IT – mógłby zapobiec, np. inteligentny system monitorowania sesji zdalnych, wspierający administratorów w zarządzaniu zasobami, automatycznie reagujący na podejrzane sytuacje, a w przypadku powodzenia ataku, dający poszkodowanemu przedsiębiorstwu materiał dowodowy, obciążający nieuczciwych podwykonawców.<br /><br />
statystyki

Komentarze (2)

  • Jarosy(2015-11-17 02:13) Zgłoś naruszenie 31

    Jakie kontrolowanie konsultantów?! Przecież to protegowani Samego Prezesa i nikt nie będzie się podkładał z kontrolowaniem!

    Odpowiedz
  • afer(2015-12-01 14:59) Zgłoś naruszenie 01

    Większości błędów można uniknąć, na przeciw potrzebom młodym twórcom wyjdzie z pomocą Centrum Kreatywności w Warszawie. Wsparcie znajdą tam przede wszystkim młodzi przedsiębiorcy zajmujący się designem, modą, filmem itp.

    Odpowiedz

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!