W 3 minuty dostaliśmy się do komputera, ale… to że można wyciągnąć dane, nie jest wystarczającym argumentem, by coś zmienić.

Mentalność jest często niedocenianym parametrem co najmniej ważnym tak jak inne zabezpieczenia. To ona pozwala na nieskrępowane działania i pozyskanie danych z firmy. Jednakże nie ma w tym temacie zbyt rozwiniętej literatury, stąd uważam, że warto dzielić się obserwacjami i przemyśleniami.

Poniżej krótka historia placówki, w której w ramach testu doszło do prostego kontrolowanego incydentu, który ujawnił, że wyciągnięcie danych z tej firmy/instytucji jest banalnie proste. Jak się okazało problem był i zazwyczaj jest głębszy – to mentalność i mindset kierownictwa i pracowników, która jest wspaniałą okazją dla intruza.

To było już dobrych kilka lat temu. Jednorazowe zlecenie na wykonanie corocznego audytu bezpieczeństwa. Placówka przetwarzała dużo danych osobowych. Osoba, której niedawno powierzono dbanie o bezpieczeństwo informacji miała świadomość, że potrzebna jest obiektywna ocena i zatrudniła firmę zewnętrzną. Wartość zlecenia była niska co już zapowiadało problemy, ale rękawicę podjęto. Szybki audyt i krótki temat, który jak się ostatecznie okazało jednak dał sporo do myślenia.

W ramach audytu wykonano prosty test bezpieczeństwa polegający na wejściu do budynku w ciągu dnia roboczego.

10:00 Przyjazd do placówki, krótki rekonesans i dopicie kawy.

10:10 Audytorzy wchodzą do placówki standardowo głównym wejściem.

Na parterze znajdowała się sala obsługi petentów. Stojący przy wejściu pracownik ochrony grzecznie zapytał w jakiej sprawie przyszliśmy, a my grzecznie skłamaliśmy, po czym skierował nas w odpowiednim kierunku. Pierwszy problem, który rzucił się w oczy to, że ochroniarz z pozycji swojego biurka/stróżówki nie widzi całej sali. W związku z tym można było przemieszczać się swobodnie. Co prawda miał on podgląd na kamerach, ale nie był nim specjalnie zainteresowany.

10:11 Przeszliśmy przez całą salę i zbliżamy się do drzwi prowadzących do częściu biura wewnętrznego. Chwytamy za klamkę…. i drzwi były otwarte, zatem wchodzimy. Na schodach prowadzących na piętro mijamy pracowników i wymieniamy uśmiechy.

10:12 Jesteśmy na długim korytarzu a przed nami ściana drzwi z lewej i prawej. Jedne z nich były otwarte na oścież, a więc wchodzimy do otwartego gabinetu, w którym nikogo nie było.

10:13 Stoimy przed komputerem, który nie został zablokowany przez pracownika, który chwilę wcześniej opuścił stanowisko. Mamy dostęp do plików, systemu obsługi petentów i poczty e-mail. Tym razem wykonujemy tylko zdjęcie, nie mniej okoliczności pozwalały na przeglądanie danych, wysłanie plików, zainstalowanie szkodliwego oprogramowania i wszystko innne co przyjdzie na myśl.

10:20Czekamy na pracownika, ale nikt nie przychodzi. Udajemy się na spotkanie ws. audytu.

Na spotkaniu prosimy o wykaz zabezpieczeń. Doświadczenie mówi, że listy zabezpieczeń są często tworzone wyłącznie w celu spełnienia wymogów formalnych, a nie dla faktycznej ochrony. Podobnie jak ankiety bezpieczeństwa uspakajają one dział compliance, prawników oraz kierownictwo. Natomiast bezpiecznik z krwi i kości nie nabiera się na tego typu dokumenty i założenia nie powinien im wierzyć. W wykazie zabezpieczeń placówki mamy między innymi:

1.        Telewizja dozorowana CCTV
2.        Ochrona obiektu – personel bezpieczeństwa
3.        System sygnalizacji włamania i alarmu SNiW
4.        Grupa interwencyjna
5.        System podwójnych drzwi
6.        Polityka bezpieczeństwa i polityka haseł
7.        Polityka czystego ekranu
8.        Regularne audyty bezpieczeństwa
9.        Szkolenia z ochrony danych osobowych
10.  Blokada ekranu uruchamiana po czasie
11.  System antywirusowy
12.  SIEM – system monitorowania zdarzeń.

Wykaz bardzo ładny (oczywiście był dłuższy). Zatem ocena ryzyka nie mogła wyglądać lepiej. Jak oceniono ryzyko wtargnięcia?  Prawdopodobieństwo – 2/5, Skutek 3/5 a więc Ryzyko = 6/25 (niskie). Skuteczność zabezpieczeń: wysoka. Wartość po zastosowaniu zabezpieczeń: 2/25. Kierownictwo placówki uznało, że wtargnięcie do budynku i kradzież danych jest mało prawdopodobna i nie spowoduje wysokich konsekwencji.

Prosty test pokazał, że ocena ryzyka jest raczej niedoszacowana, ponieważ wejście do tej placówki było proste jak przysłowiowa bułka z masłem, a żadne z zabezpieczeniem nie było skuteczne. Pojawia się pytanie o sens takiej analizy ryzyka? Celem było tylko spełnienie wymogu posiadania dokumentu, a nie faktyczne bezpieczeństwo. Nie od dziś wiadomo, że papier wszystko przyjmie, jednakże tak zwana „jazda po bandzie” i cała zabawa jeszcze przed nami.

I teraz w zasadzie najważniejsze odkrycie tego audytu, do którego doszliśmy podczas rozmowy z zespołem na miejscu.

Wystarczyło poprawić drobne elementy, aby znacznie podnieść bezpieczeństwo, jednakże… na absolutnie każdą podatność i uwagę istniało wytłumaczenie: To musi wyglądać w ten sposób, tego nie da się zmienić, to nie przejdzie.

Kiedyś miałem przekonanie, że jeżeli udowodnimy w ramach testu, że atak lub włamanie staje się faktem to jest to wystarczająco silny argument, aby poprawić bezpieczeństwo. Nic bardziej mylnego! Nikt nie chciał żadnych zmian i można było zakończyć audyt stwierdzeniem: To nie ważne, że można wyciągać dane petentów/klientów tak już jest i będzie.

Zobaczmy teraz jak placówka sama się rozbroiła i dlaczego nie zdecydowano się na poprawę bezpieczeństwa.

1. Ochrona – Jak się okazało jest od czegoś innego niż kontrola nad osobami w obiekcie. Ochroniarz nie jest wstanie ogarnąć wzrokiem całej sali z miejsca, w którym jest jego stanowisko. Kierownik placówki stwierdził: – nie będziemy teraz przestawiać mu biurka, ponieważ on musi stać przy wejściu i odpowiednio kierować ludzi, ponieważ bez tego jest zamieszanie.  Ochroniarz wyjaśnił, że nie jest w stanie jednocześnie śledzić obrazu kamer i tego co się dzieje na sali. Dodał, że do systemu kamer ma dostęp firma zewnętrza, która dba o bezpieczeństwo i w razie czego przyjeżdża z interwencją. – Nic dziwnego, że to zabezpieczenie nie działa.

2. Drzwi do części wewnętrznej. W związku z tym, że nie możemy polegać na personelu bezpieczeństwa linia zabezpieczeń buduje się teraz na poziomie drzwi prowadzących do wewnętrznego segmentu placówki. Doradca proponuje rozważyć montaż systemu ESKD (opartego o karty dostępu i czytnik).

Odpowiedź: – Za duży temat. Nie ma na to obecnie budżetu.

W związku z tym wydaje się zasadne, aby każdy z pracowników miał klucz? Tu następuje zdziwienie:

– Jak to za każdym razem, gdy przechodzimy do sali petentów musielibyśmy zamykać drzwi na klucz? To nie przejdzie. Poza tym co z tego, że ktoś wejdzie i tak nie będzie miał dostępu do komputerów, ponieważ mamy hasła, a biura są zamykane po godzinach pracy.

Dochodzimy zatem do punktu, w którym nie istnieje żadna zabezpieczenie ograniczające wejście do części wewnętrznej budynku, ponieważ ochrona tego nie monitoruje a drzwi są otwarte.

3. Identyfikatory.Pojawia się propozycja, aby wdrożyć identyfikatory służbowe i uwrażliwić pracowników na osoby postronne poruszające się bez identyfikatora – czyli formuła miękkiej kontroli wewnętrznej. I tu pada odpowiedź:

– Nie ma sensu wszyscy się znamy.

Zwróciliśmy uwagę, że to nie działa, ponieważ dzisiaj osoby postronne weszły do biura i nikt nie reagował. Odpowiedź:

– Tak, ponieważ dzisiaj zatrudniamy nowych pracowników i wszyscy wiedzą, że na początku miesiąca kręcą się nowe osoby po biurze…

Wspaniałe podejście prawda?

4. Odpadła również propozycja zamykania gabinetów. Jeden z kierowników powiedział:

–skoro mamy kamery i ochronę to nie popadajmy w paranoję.

5. W takim razie pozostaje zabezpieczenie szafek w gabinetach i zasada blokowania ekranów komputerów przed opuszczeniem stanowiska– lub techniczne wymuszenie blokady komputera po czasie. Audytor zwrócił uwagę, że dzisiejszy test pokazał, że można spokojnie dostać się do tej części biura i do Waszego systemu. Odpowiedź:

– ale przecież my mamy poustawiane wygaszacze przez naszego informatyka.

6. Sprawdzamy zatem komputer, do którego udało nam się dzisiaj dostać.Okazuje się, że komputer ma wyłączoną funkcje blokady po czasie. Pracownik wyjaśnił, że:

-wygaszacz jest niepotrzebny, ponieważ to jest niemożliwe, aby ktoś tu się dostał. Jest ochrona i kamery, poza tym rzadko kiedy jest sytuacja, w której gabinet pozostaje pusty.

7. Rozmawiamy zatem z informatykiem o możliwości zmiany ustawienia polityki komputerów w sieci w tym wymuszenia blokowania komputera po czasie nieaktywności użytkownika.

Poruszyliśmy także temat switcha, który stał niechroniony w publicznej części budynku. W między czasie, podczas rozmowy nasz skaner zgodnie z zamówieniem analizował podatności w sieci. Pan informatyk w dość podeszłym wieku przyznał otwarcie, że jemu został rok do emerytury i wolałby nic nie zmieniać. Tym bardziej, że:

– w zeszłym roku audytor stwierdził, że skoro mamy SIEM, to oznacza wysoki poziom zabezpieczeń. Nie ma potrzeby zabezpieczenia switcha, ponieważ jeżeli ktoś się wepnie do sieci to i tak system SIEM to wykryje.

– Aha.. Tu nastąpiło kolejne moje zdziwienie. Przecież właśnie skanujemy waszą sieć! Czy dostał pan jakieś alerty? Odpowiedź:

– Ja tego nie ruszam, to nam jakaś firma instalowała.

To było trudne spotkanie. Szybko zdałem sobie sprawę, że fakt, iż dostaliśmy się do komputera ma dla tego zespołu niewielkie znaczenie. Rozpatrując poszczególne argumenty przeciw zmianie stanu obecnego wydaje się, że kierownictwo placówki wykazuje się racjonalnym podejściem, które pozwala uniknąć dodatkowych kosztów. Jest dużo zabezpieczeń, a poprzedni audytorzy nie mieli uwag. Z punktu widzenia zgodności wszystko jest w porządku. Biznes/operacja oceniła ryzyko, ktoś je zaakceptował, dokumentacja jest podpisana, audyty są realizowane i w zasadzie każdy wykonał swoje zadanie a nawet jest certyfikat zgodności z czymś tam… W powietrzu wisiało pytanie, dlaczego uważasz, że jest coś nie porządku? Jakby nie istniał fakt, że kilka godzin wcześniej udowodniliśmy, że zabezpieczenia nie działają.

Nie chciałbym, aby w takim miejscu były moje dane osobowe, jednakże jestem realistą. Takich miejsc jest wiele – jak nie większość.  W takich przypadkach nie ma pewności czy placówka była wcześniej przedmiotem ataków i czy dane się wyciągane regularnie. Nie istnieją mechanizmy monitorowania, które pozwalałby w ogóle rejestrować takie sytuacje.

Dlaczego pracownik wyłączył funkcję blokady komputera po czasie? Ponieważ widział ochronę i kamery i tak sobie nieświadomie ocenił ryzyko. Uznał, że jest bezpiecznie, a wielokrotne wpisywanie długiego hasła było niewygodne. Doświadczenie pokazuje, że pracownicy sami oceniają ryzyko ze swojej perspektywy i na podstawie własnych doświadczeń w następstwie czego wyłączają lub zmieniają zabezpieczenia.

Zazwyczaj nie posiadają umiejętności szerszego spojrzenia na wartość i właściwości zabezpieczeń w kontekście całej organizacji i oceny kolorytu zagrożeń. Najczęściej jest to myślenie na tak zwany „chłopski rozum”. To jest prawdziwy problem niejednej organizacji. Skoro jest ochrona i kamery to nie musimy zamykać szafek i drzwi i dajmy sobie spokój z blokadą komputera. Niejednokrotnie tego typu osoby są bardzo pewne tego co mówią (pewny ton wypowiedzi). Wskazuje to na brak świadomości istnienia zagrożenie wewnątrz budynku/organizacji, oraz z braku rozumienia specyfiki i ograniczeń zabezpieczeń. Dzięki takiemu podejściu firma staje się łatwym celem.

Jest to mindset pojedynczego zabezpieczenia (Single Layer security mindset) , czyli przeciwieństwo Defence in depth oraz Castle Model, które opierają się na strategii łączenia zabezpieczeń warstwowo. Niewłaściwy mindset u pracowników niweluje wysiłki podjęte na rzecz bezpieczeństwa. Jego obecność jest sygnałem, że pilnie są potrzebne działania uświadamiające (awareness). Wiele pytań dotyczących mentalności bezpieczeństwa pozostaje niedostatecznie zbadanych empirycznie, nie mniej temat wymaga pogłębiania.

Problem dotyczy także obszaru IT. Pytanie jak często mówimy sobie, że z pewnych zabezpieczeń możemy zrezygnować a podatności zignorować, skoro aktywa i tak są dostępne jedynie po VPN? Temat na osobny artykuł, ale problem jest tej samej natury – mindset. Założenie, że aplikacja nie musi być dopracowana, ponieważ jest wewnątrz sieci to przejaw takiego podejścia. Tak jakby nie było zagrożenia penetracji sieci i możliwości ataku od wewnątrz.

Single Layer security mindset przyczynił się do awarii w Czarnobylu, gdy podczas testu w elektrowni atomowej świadomie ignorowano wszystkie zasady bezpieczeństwa, ponieważ zakładano, że zawsze można skorzystać z awaryjnego przycisku AZ5.  Ten de facto doprowadził do wybuchu reaktora. Co z tego, że ktoś zaprojektował bezpieczeństwo i szereg procedur, skoro pracownicy uznali, że wystarczy oprzeć się tylko na jednym zabezpieczeniu – które niestety nie zadziałało – czego oczywiście nie mogli przewidzieć. Podobnie katastrofa Challengera była pokłosiem akceptowania ryzyka na niższym poziomie pomimo oczywistych przesłanek, aby je eskalować wyżej do osób decyzyjnych. Tymczasem dzisiaj w wielu dziedzinach (np. w lotnictwie) zabezpieczenia buduje się warstwowo.

Jak widać w bezpieczeństwie na równie z mechanizmami i procedurami ważny jest mindset. Gdy formalnie wszystko jest w porządku może się okazać, że w praktyce zabezpieczenia są iluzoryczne. Pomimo kamer i ochrony, możesz wejść pobrać dane i wyjść, a organizacja będzie wierzyć, że to jest niemożliwe. Gdy jednak okaże się, że jest to możliwe to przeszkodą będzie brak chęci zmiany.

Warstwowe podejście do bezpieczeństwa to fundament: Defence in depth wymaga nie tylko technicznych i proceduralnych zabezpieczeń, ale także odpowiedniego mindsetu pracowników i liderów.

Reasumując:

1.        Bezpieczeństwo zgodne z dokumentacją nie oznacza rzeczywistego bezpieczeństwa – weryfikują to tylko testy oraz incydenty 😉

2.        Skuteczność zabezpieczeń nie zależy od ich ilości, ale od ich prawidłowego działania.

3.        Mentalność opierania się na jednym zabezpieczeniu to najkrótsza droga do katastrofy.

4.        Deep defence to mindset, a nie tylko technologia – wymaga rozwijania świadomości i zrozumienia złożonej rzeczywistości zagrożeń oraz ograniczonej natury zabezpieczeń.

5.        Zabezpieczenia to nie tylko technologia, ale również zmiana w kulturze organizacyjnej polegająca na tym, że pracownicy nie wyłączają zabezpieczeń, ale stosują zasady higieny – prewencyjnie.

Wracając do naszej placówki – Luka była oczywista a ludzie powierzali tej placówce swoje dane osobowe. Wystarczyły proste rozwiązania, aby znacznie ograniczyć ryzyko, ale na wszystko było wytłumaczenie. To było przykre.  Takich firm i urzędów w naszym kraju jest naprawdę wiele i myślę, że ich właściciele nawet nie wiedzą, że na ich pokładzie dochodzi do incydentów i wyciągania danych.

Poniżej garść podpowiedzi dla bezpieczników 🙂

 

Jak wdrożyć odpowiedni mindset i zwiększyć bezpieczeństwo?

Zmień sposób myślenia o bezpieczeństwie i Buduj kulturę warstwowego bezpieczeństwa (Defence in Depth):

1. Uświadom pracownikom, że każdy element systemu zabezpieczeń jest ważny, a ignorowanie nawet najmniejszych zasad może prowadzić do katastrofy.
2. Pokaż im faktyczne przykłady skutków zaniedbań – zarówno technicznych, jak i mentalnych.
3. Pokaż ciąg przyczynowo skutkowy – konkretny scenariusz, który może ich dotknąć. – Scenariusz bardziej przekonuje niż zagrożenia.
4. Gdy ktoś ignoruje ryzyko zadawaj pytania: A co jeśli?
5. Wdrażaj środki ochrony w taki sposób, aby ich brak lub awaria nie prowadziły do pełnego otwarcia organizacji na zagrożenia. Gdy rozmawiasz o ryzyku zwróć uwagę, że ludzie zazwyczaj nieświadomie zakładają istnienie zabezpieczeń, których nie ma lub może w danej sytuacji nie być. Pokazuj im to.
6. Zainspiruj się modelem Castle Model, który pokazuje, że wiele warstw obronnych (od fizycznych po proceduralne) współpracuje, by chronić dane.
7. Pokazuj, że parasol chroni cię przed deszczem, ale nie przed przeziębieniem, kask to nie to samo co hełm. Podobnie antywirus, filtr spamu, czy ochrona i kamery nie stanowią antidotum na wszystko co może się wydarzyć.
8. Wyjaśnij, że każde zabezpieczenie może zawieść i wówczas inne staje się krytyczne – przesuwająca się linia krytyczna zabezpieczeń.
9. Nawet najlepsze systemy (np. SIEM, antywirusy) będą nieskuteczne, jeśli nie będą prawidłowo używane lub monitorowane.
10. Wprowadź elementy symulacji ataków (np. phishing, testy penetracyjne, testy ochrony fizycznej), aby pokazać, jak łatwo mogą zostać przełamane zabezpieczenia.
11. Pokazuj konkretnie jak skutki ataku mogą dotknąć firmę lub osoby, których dane dotyczą.
12. Wzbudzaj empatię wobec osób, których dane dotyczą – tak często to jest problemem, że ludzie od strony etycznej nie czują potrzeby ochrony danych innych osób.
13. Wspierają integrację pracowników z organizacją – Osoba które integruje się z misją organizacji, chętniej dokłada starań aby była bezpieczna.
14. Zachęcaj do zgłaszania problemów i uwag bez obawy o konsekwencje. Każdą uwagę pracownika traktuj jako ważną, aby wzmacniać nawyk informowania, który może zaowocować w przyszłości.

 

I na koniec nie poddawaj się zbyt szybko gdy słyszysz, że to co proponujesz bez sensu. Ludzie zazwyczaj potrzebują czasu, aby coś zrozumieć. Stosują różne metody aby „torpedować” to czego nie rozumieją lub po prostu wymagają konkretnego uzasadnienia. Nie można odbierać tego osobiście. Praca z mindsetem to powolny proces, który wymaga cierpliwości, ale ostatecznie się opłaca.