O cyberbezpieczeństwie, hackerach, zagrożeniach i podatnościach mówi się ostatnio coraz częściej. Pierwszą falę wzmożonego zainteresowania zagadnieniami analizy ryzyka, identyfikacji podatności i minimalizacji zagrożeń wywołało wejście w życie przepisów RODO. Od tego czasu minął już prawie rok, a bezpieczeństwo w dalszym ciągu wydaje się być jednym z popularniejszych zagadnień w branży IT. Pod koniec ubiegłego roku kolejną falę zainteresowania wzbudziła tzw. „cyberustawa”, czyli Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Nie wzbudza ona co prawda takich emocji jak RODO, ponieważ obejmuje swoim zakresem jedynie dostawców usług krytycznych z punktu widzenia państwa, jednak w sektorach gospodarki związanych z energetyką, transportem czy ochroną zdrowia jest to jeden z gorętszych tematów. Warto też przypomnieć, że od 2015 roku w dalszym ciągu sektor finansów publicznych objęty jest rozporządzeniem o Krajowych Ramach Interoperacyjności, w którym to kwestiom bezpieczeństwa również poświęcono dosyć spory fragment.

Wszystkie wspomniane powyżej przepisy mówią o konieczności wdrażania systemów zarządzania bezpieczeństwem informacji, których zadaniem jest identyfikacja podatności i zagrożeń, analiza ryzyka z nimi związanego i wdrożenie planów postępowania mających na celu minimalizację owego ryzyka do akceptowalnego poziomu.

Czy zagrożenie atakami ze strony cyberprzestępców lub cyberterrorystów rzeczywiście jest tak poważne? Niestety wszystko wskazuje na to, że tak. Już jakiś czas temu NATO uznało cyberprzestrzeń za jeden z obszarów prowadzenia działań bojowych, do którego obrony Continue…

Poważne wycieki danych i incydenty bezpieczeństwa niekoniecznie muszą być efektem świadomego działania intruzów wymierzonego w konkretny cel. Nie zawsze też są od razu zauważone przez ofiary ataku. Często do poważnego naruszenia bezpieczeństwa dochodzi w wyniku splotu kilku zdarzeń a jego wykrycie może być efektem dociekliwości przypadkowej osoby. Poniżej przedstawiamy zapis ciekawego dochodzenia, w wyniku którego odkryliśmy bardzo poważne zagrożenie dla danych klientów dużej firmy hostingowej.

UWAGA:
W poniższym opisie zawarte są linki do stron internetowych, które padły ofiarą ataków lub są utrzymywane przez organizacje o podejrzanej reputacji. Ich otwarcie może się wiązać z zagrożeniem.

Studium przypadku

Na jednej ze stron Internetowych utrzymywanych w AZ.pl (firma hostingowa należąca do Home.pl obsługująca w Polsce największą ilość domen wg http://top100.wht.pl/) zauważyłem podejrzane zachowanie: wpisanie adresu strony w przeglądarce powodowało przekierowanie na adres http://semanticore.com.pl/admin/dropbox/proposal/, pod którym otwierała się strona udająca Dropboxa i prosząca o zalogowanie się – klasyczny phishing. Pierwsze co mi przyszło do głowy, to że przegapiłem odnowienie domeny i ktoś ją przejął. Ale nie, domena opłacona. Loguję się więc do panelu hostingowego i sprawdzam pliki strony. Kilka z nich posiada dzisiejszą datę modyfikacji, mimo iż żadnych zmian w dniu dzisiejszym nie wprowadzałem. Strona została więc zmodyfikowana w sposób nieautoryzowany. Szybka analiza możliwych wektorów ataku: Continue…

Służba zdrowia musi niezwłocznie wdrożyć profesjonalne rozwiązania zapewnienia bezpieczeństwa IT.

Zgodnie z obecnie obowiązującym stanem prawnym od dnia 1 sierpnia 2017 (czyli za niewiele więcej niż rok) dokumentacja medyczna będzie musiała być prowadzona wyłącznie w firmie elektronicznej.

Choć termin wejścia w życie zapisów dotyczących elektronicznych danych medycznych „Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia” był już nieraz przesuwany, i tak może być i tym razem, musimy jednak liczyć się z tym, że ten moment nieuchronnie się zbliża i w końcu nastąpi.

Niewątpliwie wprowadzenie w życie postanowień Ustawy i rozporządzeń kolejnych Ministrów  Zdrowia dotyczących elektronicznej dokumentacji medycznej narzuca na cały system opieki zdrowotnej gigantyczne i bardzo odpowiedzialne zadanie wdrożeniowe. Bardzo liczę na to, że całe przedsięwzięcie zakończy się sukcesem. Konsekwencją uruchomienia systemów elektronicznej informacji medycznej będą zwiększone wymagania w zakresie bezpieczeństwa systemów informatycznych w szpitalach, przychodniach i innych placówkach związanych ochroną zdrowia.

Można wymienić kilka istotnych miejsc w medycznych systemach informatycznych, które mogą być podatne i wrażliwe na cyber-zagrożenia:

• Bazy danych osobowych,
• Bazy danych dotyczące stanu zdrowia pacjentów,
• Systemy podtrzymywania życia i monitorowania stanu pacjentów,
• Systemy HIS (Health Information Systems) w części medycznej i administracyjnej,
• Urządzenia medyczne,
• Pozostałe systemy, które mogą mieć wpływ na realizację kluczowych procesów.

W styczniu 2016 rzecznik prasowy Szpitala w Ottawie poinformował, że 4 spośród prawie 10 tysięcy komputerów w szpitalu zostało zaatakowanych z użyciem oprogramowania ransomware. Ten typ złośliwego oprogramowania po kliknięciu na załącznik w przesyłce email, w łącze w emailu lub na stronie internetowej blokuje pliki na infekowanym komputerze. Po zapłaceniu okupu ofiara ataku otrzymuje klucz, który umożliwia ponowne otwarcie zaszyfrowanych plików. W przypadku tego ataku szpital nie zapłacił okupu, a służby informatyczne wyczyściły zawartość dysków i odtworzyły dane z użyciem kopii zapasowych. Szpital poinformował, że dane pacjentów nie były zagrożone.

Continue…

Ewolucja zagrożeń

Przez ostatnie kilkanaście lat dokonała się radykalna zmiana w dziedzinie zagrożeń związanych ze złośliwym oprogramowaniem. Wirusy, które pod koniec XX wieku miały formę psikusów wyświetlających zabawne komunikaty i efekty dźwiękowe lub wizualne stały się narzędziem w rękach zorganizowanych grup przestępczych. Za dzisiejszym malware’m stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, exploitpaków, backdorów a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub infekowania ransomewarem typu TeslaCrypt, CryptoLocker czy CryptoWall.

Podejście do ochrony

Niestety ewolucji, jaka dokonała się w dziedzinie zagrożeń nie towarzyszyła dotychczas zmiana naszej mentalności w podejściu do ochrony. Gdyby zapytać statystycznego administratora jak zmieniło się jego podejście do zabezpieczenia infrastruktury IT na przestrzeni ostatnich lat to najprawdopodobniej odparłby, iż dyskietkowego MKS-a zastąpił sieciowym, centralnie zarządzanym antywirusem a prostego firewalla urządzeniem typu „next generation”. Bardziej świadomi administratorzy pochwaliliby się może odebraniem praw administratora lokalnego swoim użytkownikom i stosowaniem polis GPO wymuszających bezpieczną politykę haseł. Continue…

W okresie od września do listopada firma UpGreat bierze udział w trzech konwentach informatyków (wielkopolskim, mazowieckim oraz śląskim) – cyklicznych imprezach organizowanych z myślą o pracownikach urzędów i instytucji publicznych. Podczas tych spotkań omawiane są zagadnienia związane z dostosowywaniem placówek samorządowych do wymogów regulacji prawnych dotyczących m.in. informatyzacji, ochrony danych osobowych czy Krajowych Ram Interoperacyjności. W spotkaniach biorą również udział eksperci firmy UpGreat z zakresu bezpieczeństwa teleinformatycznego, ochrony danych osobowych, audytów i polityk bezpieczeństwa. Nasi konsultanci doradzają informatykom z placówek publicznych w jaki sposób dostosować swoje systemy do wymogów rozporządzenia KRI związanych m.in. z wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji. Omawiamy kwestie dotyczących wdrażania polityk bezpieczeństwa informacji oraz szacowania i analizy ryzyka. Odpowiadamy też na pytania dotyczące znowelizowanej Ustawy o Ochronie Danych Osobowych i obowiązków Administratora Bezpieczeństwa Informacji.
Szczególną uwagę poświęcamy audytom bezpieczeństwa i testom penetracyjnym, które stanowią nieodzowny element zarządzania bezpieczeństwem w każdej organizacji.