Cyberbezpieczeństwo – socjotechnika vs. edukacja

Ostatnie letnie spotkanie w tym roku zorganizowaliśmy na bajecznym tarasie w siedzibie KPMG, z panoramą Warszawy w tle.

This slideshow requires JavaScript.

Na spotkaniu powitał nas Leszek Wroński, Szef Działu Usług Doradczych, KPMG w Polsce, a dyskusję o cyberbezpieczeństwie otworzył Piotr Muszyński, Advisory Board President CIONET Polska, Wiceprezes ds. Strategii, Transformacji i Innowacji, Orange Polska.

Już po raz drugi tematem spotkania naszej społeczności było cyberbezpieczeństwo. Podczas panelu dyskusyjnego, w którym udział wzięli: Adam Danieluk (CEO ISSA Polska i CSO First Data Polska), Piotr Konieczny (założyciel Niebezpiecznik.pl), Adam Marciniak (Dyrektor Departamentu Rozwoju Aplikacji PKO BP), Gen. Włodzimierz Nowak (Pełnomocnik Ministra Cyfryzacji ds. Cyberbezpieczeństwa) oraz Krzysztof Frydrychowicz jako moderator, staraliśmy się zawęzić ten rozległy temat do kradzieży tożsamości.

Sektor finansowy zdominował dyskusję, ale też jest on najbardziej narażony na ataki. Aby przeciwdziałanie cyberprzestępczości było efektywniejsze, przedstawiciele instytucji finansowych postanowili działać w tym obszarze wspólnie.

Kradzieże tożsamości to ważny temat, incydenty tego typu są codziennością, a przestępcy najczęściej wykorzystują metody socjotechniczne.

Czy w starciu z takimi metodami edukacja może przynieść dobre efekty?

Jest konieczna – co do tego zgodni byli wszyscy uczestnicy dyskusji. Potrzebna jest zarówno dzieciom w szkole, zwykłym użytkownikom serwisów internetowych jak i samym inżynierom systemów, którzy często bardziej koncentrują się na funkcjonalności, niż na bezpieczeństwie rozwiązania. Część szkoleń daje jednak tylko krótkotrwały efekt, wzmacnia go jedynie rzeczywisty atak. Edukacja musi być ciekawa, trzeba mieć na nią pomysł.

Czy cyberbezpieczeństwo to jeszcze jest temat dla CIO, czy dla osoby wyspecjalizowanej?

W ankiecie przeprowadzonej przed spotkaniem, 60% uczestników swoje umiejętności związane z bezpieczeństwem IT oceniło na 3 (w szkolnej skali ocen).

Za bezpieczeństwo w każdej firmie odpowiedzialny jest każdy pracownik, włącznie z CIO. Jednak, jako całość powinno podlegać CIO, ponieważ to zapewnia synergię, a w razie sprzeczności interesów – arbitra.

Jeśli zdarzył się atak, jak należy zareagować? Jakie są dobre praktyki, doświadczenia?

Trzeba szybko i kompetentnie poinformować użytkowników, nie należy kłamać. Warto współpracować w ramach sektora i ostrzegać się przed atakami. Dobrą drogą jest budowanie Narodowego Centrum Cyberbezpieczeństwa, jest to otwarta inicjatywa Ministerstwa Cyfryzacji, która ma koordynować wszystkie sektory i podmioty, informacje o zdarzeniach.

W drugiej części spotkania Piotr Konieczny z Niebezpiecznik.pl opowiadał nam i prezentował mechanizmy testów penetracyjnych, które jego firma wykonuje w przedsiębiorstwach, chcących sprawdzić swoją podatność na ataki. Piotr opiera się przede wszystkim na metodach socjotechnicznych, które jego zdaniem mają 100-proc. skuteczność. W ciągu kilku tygodni pracownicy firmy, którą sprawdzał Niebezpiecznik, złamali wszelkie możliwe zasady bezpieczeństwa, dobrowolnie udostępnili mu swoje hasła. Udało się „ukraść” z firmy 13 mln zł.

Kolejne spotkanie naszej społeczności What’s Next Annual Conference CIONET Polska odbędzie się w Warszawie, 27 października. Zapraszamy!

Leave a Reply

Your email address will not be published. Required fields are marked *