Trzeba zrozumieć zagrożenia bezpieczeństwa IT, aby wiedzieć, jak im zapobiegać


Z Paulą Januszkiewicz, ekspertem zagadnień związanych z bezpieczeństwem komputerowym rozmawiamy o tym, jak zabezpieczać wrażliwe dane w chmurach oraz o tym, jakie zagrożenia dla bezpieczeństwa danych niosą smartfony.


Paula, działasz w obszarze usług biznesowych. Jaka jest Twoja opinia na temat stanu bezpieczeństwa infrastruktury w polskich firmach?


Mam bardzo ogólny obraz, ponieważ przede wszystkim prowadzę projekty za granicą. Widzę natomiast, że poziom świadomości bezpieczeństwa (ang. security awareness) w Polsce systematycznie się podnosi. Nie pozostajemy w tyle w kwestii nowoczesnych rozwiązań, mamy dużo uporu i chęci do zmian. Firmy rozumieją zagrożenia wynikające z nieodpowiedniego poziomu zabezpieczeń, widzą też wymierne korzyści z usprawniania i ulepszania stosowanych przez nie rozwiązań.

W ostatnim czasie było głośno o wielu wyciekach z różnych firm na całym świecie. Najgłośniejszą sprawą, która niedawno odbiła się szerokim echem na całym świecie, była kradzież zdjęć celebrytów z chmury iCloud. Czy to hackerzy są coraz sprytniejsi, czy nasze dane są coraz gorzej zabezpieczone?


Ciężko przewidzieć spryt hakerów i znaleźć idealny sposób zabezpieczania danych. W Polsce mówimy czasem, że ktoś szuka „dziury w całym” i dokładnie taką rolę ma osoba, która zamierza zaatakować usługi takie jak iCloud i inne. Zadaniem CISO (managera odpowiedzialnego za bezpieczeństwo infrastruktury IT) i jego zespołu jest dostarczenie wytycznych lub zapewnienie, aby wszystkie rozwiązania IT były bezpieczne. To brzmi jak całkiem skomplikowana rola, prawda? Zadaniem osoby atakującej jest znalezienie jednego problemu i maksymalne wykorzystanie go. Bezpieczeństwo składa się z wielu zależnych od siebie warstw i mówiąc ogólnym językiem, należy zapewnić, aby te warstwy były od siebie niezależne. Jest wiele rozwiązań na wielu poziomach, aby zabezpieczyć dane w chmurze. Zawsze należy pamiętać o stosowaniu (skomplikowanego) hasła, korzystaniu z oprogramowania tylko z zaufanych źródeł. A z takich zupełnie zdroworozsądkowych zasad – nie zapominajmy o aktualizacji naszego urządzenia, niezależnie od systemu operacyjnego oraz nielogowaniu się w miejsca podejrzane korzystając z danych uwierzytelniających się z innego serwisu. Wybierając chmurę do przechowywania danych zwróćmy uwagę na dostępność, to, jakie dane przetwarzamy i gdzie efektywnie one się będą znajdować. Czyli jak zwykle – trzeba z pełną świadomością podejść do tematu bezpieczeństwa.

Czy smartfony są zagrożeniem dla bezpieczeństwa danych? Jakie widzisz zagrożenia związane z wykorzystywanymi na coraz większą skalę technologiami mobilnymi?


Stosowanie urządzeń mobilnych związane jest z wieloma zagrożeniami, które stanowią realną groźbę dla danych firmowych. Podobnie jak komputery stacjonarne, smartfony i tablety są podatne na ataki cyfrowe, nie można jednak wykluczyć też ataków fizycznych ze względu na mobilność tych urządzeń. W przypadku zaginięcia lub kradzieży urządzenia mobilnego przekazujemy niepożądanym osobom dostęp do danych korporacyjnych, takich jak adresy mailowe, bazy danych klientów, prezentacji, planów biznesowych, itp. Dlatego też bardzo istotne jest podnoszenie poziomu świadomości wśród pracowników – mam tu na myśli nie tylko specjalistów od zabezpieczeń, ale wszystkie osoby posiadające dostęp do danych firmowych. CQURE przychodzi tu z pomocą organizując kampanie Security Awareness dla wszystkich poziomów zatrudnionych, zaczynając od kadry zarządzającej, przez dział bezpieczeństwa, aż do szeregowych pracowników firmy, nie mających często nawet służbowego komputera.


Paula, posiadasz poważany tytuł MVP Enterprise Security i Microsoft Security Trusted Advisor, na czym polegają takie wyróżnienia?


MVP to skrót od (Microsoft) Most Valuable Professional. To wyróżnienie przyznawane tym, którzy zdaniem Microsoft posiadają wyjątkową wiedzę techniczną i talent do dzielenia się tą wiedzą w swojej społeczności technicznej. Są to zazwyczaj pasjonaci z ogromnym zaangażowaniem. W ramach MVP mam specjalizację Enterprise Security. Tutaj chciałabym również zaznaczyć, że tytułem MVP mogą pochwalić się wszyscy członkowie zespołu konsultingowego w zespole CQURE. Stawiamy na zaangażowanie, pasję i profesjonalizm. Microsoft Security Trusted Advisor to natomiast zaufany doradca Microsoft. Jest to tytuł nadawany bezpośrednio przez centralę firmy Microsoft w Redmond nielicznym osobom na świecie charakteryzującym się olbrzymią wiedzą w obszarze bezpieczeństwa informacji i umiejętnością wykorzystywania tej wiedzy w praktyce. Od 13 lat zajmuję się zawodowo wykonywaniem tak zwanych testów penetracyjnych – ‘włamuję’ się do sieci na życzenie klienta sprawdzając, co należy usprawnić, wzmocnić. Pracowałam już dla licznych organizacji rządowych, międzynarodowych korporacji, dzięki temu mogę dzielić się swoim doświadczeniem z innymi i odkrywać wraz z zespołem nowe, nieznane obszary bezpieczeństwa.


Czy w najbliższym czasie planujesz jakieś wystąpienia w Polsce?


Tak. W najbliższej przyszłości odbędzie się kilka dedykowanych szkoleń przygotowanych i dopasowanych do potrzeb klienta. W czerwcu z firmą Hexcode poprowadzę m.in. 2-dniowe, intensywne warsztaty Hacking Windows Infrastructure a w sierpniu 5-dniowy bardzo przekrojowy warsztat Troubleshooting Windows Infrastructure – From Zero to Hero, którego uczestnicy będą mieli okazję poznać bardzo dokładnie mechanizmy, które mogą wywołać problemy z bezpieczeństwem w systemach Windows 7, Windows 8 / 8.1, Windows Server 2008 R2 i Windows Server 2012 / R2.

Dziękuję za rozmowę.
Marcin Dulnik

Paula Januszkiewicz
Paula Januszkiewicz

O Pauli Januszkiewicz

Paula Januszkiewicz to ekspert zagadnień związanych z bezpieczeństwem komputerowym. Jako jedna z dwóch osób w Polsce, należy do programu Microsoft Security Trusted Advisor. Jest osobą opiniotwórczą w obszarze bezpieczeństwa, swoją wiedzą dzieli się na wielu światowych konferencjach m.in. TechEd North America, TechEd Europe, TechEd Middle East, RSA, TechDays, CyberCrime i innych znaczących na rynku ‘security’. Zawodowo przeprowadza audyty bezpieczeństwa, wykonuje testy penetracyjne, konsultuje firmy, począwszy od korporacji, skończywszy na małych firmach, z zakresu budowania bezpiecznej infrastruktury oraz rozwiązywania bieżących problemów.

źródło: Hexcode