Bezpieczeństwo w sieci nie istnieje. Manager powinien to wiedzieć.

Jakieś dwa, może trzy lata temu w ramach prowadzenia jeszcze wtedy biznesu opartego w dużej mierze o działalność w Internecie, zainteresowałem się podstawami cyberbezpieczeństwa.  Był to dzień kiedy zrozumiałem, jak wiele zagrożeń czyha na każdego z nas w codziennej pracy, której przecież często nie sposób wyobrazić sobie bez komputera czy dostępu do Internetu. Im dalej się zagłębiałem, tym większe było moje zdziwienie, że aż tak trudno jest się zabezpieczyć przed atakami hackerów, którzy z roku na rok stają się coraz bardziej przebiegli. Wbrew ogólnej świadomości, każdego roku rośnie skala zagrożeń atakami na urządzenia elektroniczne, co postaram się przybliżyć w ramach niniejszego wpisu.

Przyznam na wstępie, że poziom mojej wiedzy z zakresu bezpieczeństwa jest o wiele niższy, niż ten prezentowany przez przeciętnego użytkownika serwisu Niebezpiecznik.pl , który to jest największym polskim portalem internetowym oraz jednocześnie firmą szkoleniową wyspecjalizowaną w dziedzinie cyberbezpieczeństwa. Zapoznając się regularnie z treściami tam zawartymi oraz wspierając swój warsztat pozycjami książkowymi dla początkujących, udało mi się poznać podstawy, dzięki którym jestem przynajmniej mniej podatny na podstawowe ataki sieciowe o których więcej w dalszej części. Niestety do obrony przed bardziej wyrafinowanymi trickami potrzebny jest już o wiele wyższy poziom wtajemniczenia.

Najważniejszym elementem od którego zmuszony jestem zacząć jest posiadanie aktualnego programu antywirusowego. Wiele z nich jest darmowych (dobrym przykładem jest Avast Free Antivirus czy AVG AntiVirus Free), jednak bardzo często posiadają one swoje płatne odpowiedniki, które za koszt około 100 zł rocznie potrafią dać znakomite zabezpieczenie od którego warto zacząć przygodę z bezpieczeństwem w sieci. Ten wniosek może wydawać się naturalny, jednak istnieje wielu użytkowników Internetu, którzy nawet nie zajęli się tą podstawową kwestią, a codziennie na komputerze załatwiają najważniejsze dla nich sprawy od których zależy nie tylko kariera ale również ochrona sfery prywatnej ich życia.

Skoro mamy już za sobą pierwszy krok, to drugim powinny być aktualizacje. Okazuje się bowiem, że najłatwiejszym sposobem uzyskania dostępu do komputera ofiary jest wykorzystanie luk w najbardziej popularnym oprogramowaniu. Dlatego właśnie następnym razem, gdy Adobe poprosi Cię o zainstalowanie najnowszej aktualizacji wtyczki Java, to dla własnego dobra – mógłbyś rozważyć zastosowanie się do wyświetlanych wskazówek. Zdaję sobie sprawę, że może to wydawać się męczące, jednak dzięki nawykowi godzenia się na update (z ang. aktualizacja) znajomej aplikacji – hackerowi trudniej będzie wykorzystać exploit¹ do zadania nam ciosu.

Trzecim elementem jest ciekawostka, że dzisiaj coraz więcej prób ataków obydwa się na urządzenia mobilne. Współczesne smartphony posiadają nie tylko dużą moc obliczeniową ale podobnie jak komputery stacjonarne czy też laptopy, korzystają z systemów operacyjnych. Większość tego typu zagrożeń dotyczy niestety Androida, jednak nieinfekowany do niedawna iOS okazał się być też podatny na wirusy. Dlatego też dobrze jest przyjąć, że każdy sprzęt z systemem operacyjnym może być zagrożony (ba, zagrożone są nawet telewizory). Producenci oprogramowania antywirusowego posiadają już dzisiaj ofertę skierowaną do użytkowników urządzeń mobilnych, toteż w odniesieniu do nowoczesnych komórek można zastosować rady zawarte w punkcie pierwszym.

Zagrożeniem z którego mimo wszystko wiele osób zdaje sobie sprawę są wiadomości e-mail, które mogą zawierać w treści niebezpieczne linki lub też załączniki mogące spowodować wiele zagrożeń. To samo dotyczy wszelkich pobieranych z sieci plików. Dobrym założeniem jest tutaj powściągliwość, gdy plik który mamy zamiar ściągnąć pochodzi z nieznajomego źródła. Zbyt łatwo jest w ten sposób uruchomić tzw. konia trojańskiego, którego założeniem jest umożliwienie zdalnego dostępu do naszego komputera nieproszonej osobie. Jest to bardzo powszechne zagrożenie na które lekarstwem może być wspomniany już wcześniej antywirus. Zasada jest jednak taka, że trzeba go najpierw posiadać.

Nie sposób jest wymienić w tak ogólnym artykule nawet części z podstawowych zagrożeń. Dlatego też ostatnią ciekawostką o której chciałbym wspomnieć są ataki oparte o kamerki wbudowane w naszym sprzęcie. Problem jest tak powszechny, że istnieją już nawet specjalne strony internetowe na których masowo publikowane są obrazy pochodzące wprost od nieświadomych użytkowników. W związku z tym kolejnym nawykiem, którego wypracowanie warto rozważyć jest zaklejanie kamerki w każdym nabywanym urządzeniu i odklejanie taśmy z nieprzezroczystą kartką tylko wtedy, gdy mamy zamiar korzystać z funkcji podglądu. W przeciwnym razie dobrze jest pamiętać, że kamerki internetowe mogą swoim zasięgiem obejmować chociażby klawiaturę, którą to wklepujemy wiele wrażliwych danych.

Pamiętając o tym, jaki jest wątek przewodni niniejszego bloga, znajdzie się w dzisiejszym wpisie również pewna kwestia związana z rozwojem kariery. W poprzednim numerze magazynu Forbes (11/2015) znaleźć można wywiad z taką osobą, jak Clarke Murphy – prezes Russel Reynolds Associates. Firma ta zajmuje się poszukiwaniem szefów największych firm świata, gdzie proces pozyskiwania odpowiedniego pracownika może zajmować niekiedy nawet lata. Stawki w tym świecie są jednak odpowiednio wysokie. Zmierzając jednak do meritum, artykuł zawierał między innymi wzmiankę o tym jak przyszłościową specjalizacją dla managera może być bezpieczeństwo w sieci, gdyż CISO (ang. chief information security officer) jest stanowiskiem wysokiego szczebla, którego piastujący z założenia zajmuje się w korporacji omawianą tematyką.

Jeżeli interesuje Cię dziedzina cyberbezpieczeństwa, to możesz zacząć jak ja, czyli od znakomitej autobiografii legendy hackingu, Kevina Mitnicka (alias Condor) pt. „Duch w sieci”, która zaciekawić może nawet totalnego laika w temacie bezpieczeństwa teleinformatycznego. Ciekawostką jest to, że autor mógł dopiero po roku 2010 opisać swoje przygody, gdyż wcześniej objęty był zakazem zdradzania szczegółów ze swojego życia ze względu na przestępstwa popełnione przed rokiem 1995. Znakomitym dodatkiem do zestawu startowego może być Vademecum Hakingu, które pomimo że opisuje cały przekrój możliwych ataków, to w niektórych miejscach wymaga już większej znajomości tematu, przez co dla nie-informatyków (grupy osób do której sam należę) może stanowić zbyt trudny materiał. W przypadku bardziej luźnego podejścia do tematu polecam znakomity serial Mr. Robot, uznawany za jedną z najlepszych produkcji 2015 roku.

Współczesny manager powinien zdawać sobie sprawę z zagrożeń, jakie czyhają go w miejscu pracy. Takim miejscem jest bardzo często sieć komputerowa z którą większość z nas ma do czynienia. Czasem wystarczy poświęcenie zaledwie od kilkunastu do kilkudziesięciu godzin w roku, aby utrzymać znajomość podstawowych technik ataków sieciowych, by móc obronić się przed niektórymi z nich. Pomimo tego, że niektóre są bardzo zaawansowane, to w przypadku obrony przed większością z nich wystarczy po prostu zdrowy rozsądek. W odniesieniu do tych trudniejszych i tak często ciężko będzie nam cokolwiek zaradzić ale przynajmniej możemy założyć, że potencjalny atakujący wybierze łatwiejszy cel, szczególnie w sytuacji, gdy niestety ma ich tak dużo do wyboru.