Włamania z pierwszych stron gazet i wynikające z nich spektakularne wycieki danych oddziałują na wyobraźnię. Niedawna kradzież nieokreślonej puli danych z PlusBanku, awaria systemu planowania lotów linii lotniczych LOT, czy problem z lipcowym wyciekiem danych członków amerykańskiej Gwardii Narodowej miały jeden wspólny mianownik. Gdyby nie podstawowe błędy bezpieczeństwa IT, wykorzystane przez cyberprzestępców, te wydarzenia najprawdopodobniej nie miałby szansy się wydarzyć.

Według Pawła Dawidka, CTO WHEEL Systems, eksperta ds. bezpieczeństwa nie można jednak piętnować konkretnych osób:

Błędy to nie tylko domena młodych, niedouczonych administratorów. Niebezpieczne „wpadki” zdarzają się też adminom z wieloletnim stażem. – mówi Paweł Dawidek, CTO WHEEL Systems – Zwykle wynikają z pośpiechu, rutyny, swoistej, artystycznej niedbałości lub chęci ułatwienia sobie pracy. Na szczęście tylko ułamek kończy się tragicznie. Wszystkie, bez wyjątku, stanowią jednak łakomy kąsek dla cyberprzestępców, a zdecydowana większość z nich po prostu komplikuje pracę działu IT.

Oto 5 najczęściej popełnianych błędów bezpieczeństwa IT, wg Pawła Dawidka z WHEEL Systems:

1. Brak aktualnych patchy

Jeśli wierzyć relacji cyberprzestepcy, jeden z głośniejszych przypadków włamania do polskiego banku w 2015 roku rozpoczął się własnie od odnalezienia przez niego luki w postaci niezaktualizowanego oprogramowania.

To normalne, że producenci sprzętu lub oprogramowania co jakiś czas udostępniają aktualizacje, których zadaniem jest wzmocnienie działania rozwiązania (dość rzadko) lub załatanie wykrytej w produkcie luki. Trzeba zrozumieć, że moment, w którym łatka zostaje upubliczniona staje się też chwilą, w której o istnieniu dziury, dowiadują się także cyberprzestępcy (o ile o podatności nie wiedzieli wcześniej). Dlatego tak kluczowe jest dokonanie szybkiej i sprawnej aktualizacji wszystkich narażonych rozwiązań.

2. Słabe lub standardowe hasła producenta

Hasło to jednocześnie najprostsza forma zadbania o bezpieczeństwo systemu informatycznego jak i jedno z najsłabszych jego ogniw. Zastosowanie silnej frazy zmusza cyberprzestępców do szukania innego sposobu na dostanie się do systemu informatycznego firmy. Słabe hasło, lub co gorsza pozostawienie domyślnego hasła producenta to drzwi otwarte na oścież. Cyberprzestępcy doskonale wiedzą, że większość producentów np. sprzętu sieciowego nie wymusza zmiany danych dostępowych w ramach procesu konfiguracji urządzenia. Zdają sobie też sprawę, że w ferworze walki niekiedy zapominają o tym także sami administratorzy. W efekcie, nawet najlepiej zabezpieczona sieć, której jednym z elementów jest router o loginie „admin” i haśle dostępu „admin”, niepotrzebnie wystawiona jest na zagrożenia.

3. Brak odpowiedniej dokumentacji zmian i rekonfiguracji

Zdarzają się niekiedy sytuacje, w których pilnie trzeba udostępnić jakiś port, otworzyć nowy ftp, czy przekonfigurować serwer, firewall lub router. Zgodnie z protokołem i tzw. „dobrą praktyką”, wszystkie te zmiany powinny zostać odnotowane w wiadomym miejscu. Codzienność zna jednak przypadki, kiedy z braku czasu dokumentacja przekładana jest na później lub w ogóle się nie pojawia. W tak zwanym międzyczasie natomiast pojawiają się konflikty błędnie skonfigurowanych urządzeń, wobec których, pozbawiony dokumentacji administrator, mający dokonać napraw jest bezradny.

Brak dokumentacji pozornie tylko jest zmorą wyłącznie dużych firm i ich działów IT. Uznaje się, że w przedsiębiorstwach, w których cała infrastruktura znajduje się pod kontrolą jednego administratora… i to najlepiej obdarzonego doskonałą pamięcią, stanowi niewielki problem. W praktyce jednak, pojawia się ze zwielokrotnioną intensywnością, kiedy taka firma postanawia z pewnych względów przeprowadzić zmianę na stanowisku administratora infrastruktury informatycznej.

4. Uprawnienia administrator przypisane do zwykłych kont

Wygoda wynikająca z przypisania zwykłym użytkownikom firmowej sieci uprawnień administratora rzadko okazuje się współmierna do zagrożenia infrastruktury firmy, które powoduje. Przywileje tego typu zwykle trafiają w ręce użytkowników tymczasowo – aby umożliwić im wykonanie operacji wymagających autoryzacji administratora lub kiedy po dokonanej naprawie nie wylogowano się z profilu administracyjnego. W każdym wypadku powinny zostać odebrane w odpowiednim czasie.

Jeśli w ramach firmowej infrastruktury informatycznej nie działa żaden system monitorowania uprzywilejowanych użytkowników, szeregowy pracownik z uprawnieniami admina może prawie wszystko. W przypadku uprawnień tzw. Roota, może nawet zatuszować ślady własnej niepożądanej aktywności.

5. Poleganie na zaufaniu

Jesteśmy ludźmi – istotami stadnymi. Nic więc dziwnego w tym, że obdarzamy innych zaufaniem. Instynkt ten jednak może się okazać zgubny w pracy administratora systemów IT. W kontekście IT Security, chcąc zapewnić sobie spokojną pracę, trzeba się najpierw przygotować do potencjalnego naruszenia bezpieczeństwa.

Czemu więc nawet przelotne wspomnienie o poleganiu wyłącznie na rozwiązaniach typu anti-virus budzi śmiech administratorów IT, a odpowiedzią na pytanie – w jaki sposób kontrolują oni zdalnych konsultantów, mających przecież dostęp do firmowej infrastruktury sieciowej – jest cisza? Tym bardziej to zaskakujące, że przykładów nadużyć w pracy zdalnych konsultantów nie trzeba daleko szukać. Były powodem kilku najgłośniejszych wycieków danych w 2014 roku.

Włamaniu „z wewnątrz” – bo z tym mamy, de facto, do czynienia w przypadku nadużycia uprawnień przez zdalnego konsultanta IT – mógłby zapobiec, np. inteligentny system monitorowania sesji zdalnych, wspierający administratorów w zarządzaniu zasobami, automatycznie reagujący na podejrzane sytuacje, a w przypadku powodzenia ataku, dający poszkodowanemu przedsiębiorstwu materiał dowodowy, obciążający nieuczciwych podwykonawców.

Źródło: WHEEL