Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Jak wynika z raportu Izby, wieloletnie zaniedbania - nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo sprawiają, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji. Jak wskazuje ekspert Stormshield prawidłowe zabezpieczenie emaili jest jednym z fundamentów cyberbezpieczeństwa.
Szczegółowa analiza wykazała, że w skrzynkach e-mailowych samorządowców niewłaściwie przetwarzano różne rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), informacje o stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, zatrudnieniu i wynagrodzeniach oraz o sytuacji rodzinnej (m.in. opisy diagnoz wystawionych przez poradnie psychologiczno-pedagogiczne).
"Skala zjawiska i charakter informacji, które przekazywane są w nieprawidłowy sposób to tykająca bomba. Samorządy są dysponentem danych niezwykle cennych z perspektywy przestępców, przy czym to właśnie informacje są istotą ich zainteresowania. Stwierdzone przez NIK złe praktyki, są dowodem nie tyle na niedbałość, co zupełny brak świadomości zagrożenia, że system cyberodporności budujemy po to by chronić zgromadzone informacje. Ta sytuacja, trzeba to jasno powiedzieć, mocno sprzyja przestępcom. Niestety „afera mejlowa”, najwyraźniej niewiele nas nauczyła" - komentuje Aleksander Kostuch, inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Kluczowym zadaniem dla JST wyłaniającym się z raportu jest zrozumienie ryzyka związanego z przetwarzaniem danych osobowych i podejmowanie odpowiednich działań zaradczych.
"Do największych wycieków danych dochodzi głównie ze względu na błąd ludzki lub niewiedzę pracowników. Samorządy potrzebują nie tylko odpowiednich polityk bezpieczeństwa, ale przede wszystkim systemów, które będą klasyfikować pliki oraz przetwarzane dokumenty w zależności od ich poufności i zawartości, a także zabezpieczać przed sytuacjami, w których pracownik, celowo lub nieświadomie, doprowadzi do wycieku danych" - tłumaczy Dawid Dziobek z Safetica i DAGMA Bezpieczeństwo IT.
„NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju i dokonuje rozpoznania w innych sferach działalności publicznej”.
Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy instytucji publicznych oraz nawet kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Z jej analizy wynika, że 43 proc. placówek oświatowych, 32 proc. publicznych zakładów opieki zdrowotnej oraz 28 proc. ośrodków pomocy społecznej wykorzystuje główne adresy mailowe w domenach komercyjnych.
Niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych. „Wskazuje to na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów, w sposób odpowiedni zabezpieczających dane osobowe obywateli” ocenia NIK, która rozszerzy kontrole na wszystkie samorządy oraz sprawdzi inne sfery działalności publicznej.
Rozwiązania wzmacniające bezpieczeństwo komunikacji za pomocą poczty elektronicznej
"Dobrą praktyką w tym obszarze powinno być zabezpieczenie dostępu do poczty, poprzez wykorzystanie dwuskładnikowego logowania, tzw. 2FA (two factor authorization). Warto wdrożyć połączenie tunelem szyfrowanym, z wykorzystaniem IPSEC VPN czy też SSL VPN. Użytkownicy mają do dyspozycji również oprogramowanie do szyfrowania danych wewnątrz maila i podpisu elektronicznego" - wymienia Aleksander Kostuch.
Wykorzystanie infrastruktury szyfrowania z parą kluczy asynchronicznych powoduje, że nawet w sytuacji, gdyby serwer padł ofiarą cyberprzestępców, to zabezpieczona w ten sposób poczta będzie niemożliwa do odczytania. Dzieje się tak za sprawą, że mail jest zaszyfrowany publiczną częścią klucza odbiorcy (podpisanej certyfikatem), zaś do odszyfrowania używa się jej prywatnej części, którą użytkownik może przechowywać na karcie elektronicznej (takiej jak używana na co dzień karta płatnicza). Dzięki temu rozwiązaniu nikt niepowołany nie odczyta wiadomości.
"Ataki, których wektor polega na podszywaniu się pod zaufanego nadawcę nie są rzadkością. W takiej sytuacji infrastruktura PKI, gdzie autoryzowany jest podpis elektroniczny z wykorzystaniem tzw. „cyfrowego notariusza”, pozwala uzyskać pewność co do tego, od kogo pochodzi wiadomość" - wyjaśnia Aleksander Kostuch.
Pamiętać o odpowiedzialności
By skutecznie przeciwdziałać zagrożeniom cyfrowym kluczowe są odpowiednie rozwiązania techniczne. Samorządy powinny wzmacniać infrastrukturę IT o nowoczesne, certyfikowane i rekomendowane przez UE firewalle, rozwiązania DLP monitorujące dane, systemy ochrony stacji końcowych, jak EDR, stosować systemy monitorowania i informowania o incydentach typu SIEM, systemy do szyfrowania danych czy też podpisu elektronicznego wraz z infrastrukturą PKI. Jednocześnie raport NIK uzmysławia jak istotne są działania miękkie, w tym edukacja pracowników. Brak mechanizmów nadzoru i kontroli, sprawia, że można stać się łatwym celem dla przestępców, a prawidłowe zabezpieczenie mejli jest jednym z fundamentów cyberbezpieczeństwa.
Jak podkreślają specjaliści należy również pamiętać o odpowiedzialności, gdyż obowiązek prawidłowego zabezpieczenia i przetwarzania danych wrażliwych spoczywa na ich dysponencie. Zaniedbania w tym obszarze mogą słono kosztować.
"Praktyka używania komercyjnych skrzynek pocztowych, bez właściwych zabezpieczeń jest proszeniem się o kłopoty. Wyciek wrażliwych danych może być dramatyczny w skutkach dla poszkodowanych, narażając jednostki samorządu i instytucje publiczne na kary wynikające z przepisów prawa a także wnioski o odszkodowania, składane przez samych poszkodowanych. Raport NIK pokazuje, że sytuacja pod względem świadomości tego problemu w instytucjach publicznych jest bardzo daleka od ideału" - podsumowuje ekspert Stormshield.
Źródło: nik.gov.pl
