Cyberbezpieczeństwo

Cyberzagrożenia będą skoncentrowane na cyfrowej tożsamości i urządzeniach mobilnych

Executive ViewPoint

Z Łukaszem Chudygą, dyrektorem Biura Projektowania i Wdrażania ICT, Cybersecurity Product Management w T-Mobile Polska, rozmawiamy o wyzwaniach ostatnich 2 lat z zakresu cyberbezpieczeństwa; specyfice i skali cyberataków phishingowych; ransomware czy DDoS; rozwiązaniu Cyber Guard®, istocie i skuteczności usługi SOC; zabezpieczeniach w ramach usług chmurowych i connectivity; systemach bezpieczeństwa stosowanych w centrach danych T-Mobile; a także o tym, jakie mogą być w przyszłości kolejne scenariusze lub mechanizmy działania cyberataków.

Cyberzagrożenia będą skoncentrowane na cyfrowej tożsamości i urządzeniach mobilnych

Z jakimi wyzwaniami musiało zmierzyć się T-Mobile, jeśli chodzi o ochronę własnych danych w ciągu ostatnich dwóch lat, a więc od szczytu pandemii? Które z nich były najistotniejsze?

T-Mobile musiał przede wszystkim zmierzyć się ze zmianą trybu pracy. Przed pandemią nasza organizacja działała już w modelu hybrydowym, natomiast skala zmian zachodzących w tym czasie postawiła przed nami szereg wyzwań. Musieliśmy dostosować normy i procedury bezpieczeństwa, które pozwoliły nam utrzymać wysoki poziom ochrony danych, zarówno naszych pracowników, jak i klientów. Ponadto, w związku z wojną w Ukrainie, wprowadzony został trzeci stopień alarmowy CRP-Charlie, a w niektórych województwach stopień Delta, który jeszcze bardziej zaangażował nas, jako strategiczną organizację dla funkcjonowania kraju, w procesy bezpieczeństwa. Mam tu na myśli zarówno bezpieczeństwo fizyczne, sprzętowe, jak i procesowe.

W zakresie cybersecurity jednym z najtrudniejszych wyzwań była i jest ochrona przed phishingiem. Wzrost tego rodzaju ataków rok do roku to ponad 100%. Masowość tego zjawiska jest i będzie dużym wyzwaniem, ponieważ ich mechanizmy są na styku technologii i socjotechniki. Podatny na nie użytkownik, nieświadomie udostępniający dane, może wyrządzić olbrzymie szkody dla siebie oraz całej organizacji. Za 90% przypadków naruszeń bezpieczeństwa odpowiada właśnie atak phishingowy.

A jak to wygląda w wypadku malware i ransomware?

Malware i ransomware różnią się od phishingu tym, że są atakami trudniejszymi do skutecznego przeprowadzenia. Według CERT Polska, ransomware stanowi 13% wszystkich ataków. Skoncentrowany jest jednak na konkretnych podmiotach, np. dużych przedsiębiorstwach lub infrastrukturze administracji publicznej. Istotne jest to, że takie ataki, choć celowane w konkretny element infrastruktury IT, wtórnie obejmują większy obszar, paraliżując w ten sposób całe przedsiębiorstwo.

Dlatego wprowadzając jakiekolwiek rozwiązanie ochrony, musimy spojrzeć holistycznie na całą infrastrukturę klienta. Jednym z ważnych jej elementów są urządzenia mobilne, które definiujemy dziś jako brzeg sieci. I to jest olbrzymia zmiana w podejściu do określania obszarów ryzyk w infrastrukturze. Telefonia komórkowa w zasadzie zawsze kojarzona była z prostym urządzeniem służącym do dzwonienia i SMS-owania. Dziś zmieniamy to podejście, definiując ją jako ważny element architektury sieci.

W jaki sposób zapewniacie jego ochronę?

Zaprojektowanym przez nas, unikatowym rozwiązaniem o nazwie Cyber Guard®. Osadziliśmy je w naszej sieci, w miejscu, które nie jest możliwe do pominięcia, w ruchu transmisji danych. Obudowaliśmy je zaawansowaną technologią. Jest ono wspierane przez algorytmy sztucznej inteligencji oraz uczenia maszynowego. Dokładając do tego np. usługi klasy MDM – pozwalające zarządzać telefonami, aplikacjami czy politykami bezpieczeństwa – budujemy kompleksowy model ochrony urządzeń mobilnych.

Z jednej strony mamy więc osadzoną w sieci cyberochronę, a z drugiej – aplikację zarządzającą całą flotą telefonów. W ten sposób jesteśmy w stanie ochronić brzeg sieci nawet w kontekście wspomnianych celowanych ataków i zapewnić kompleksową ochronę ekosystemu IT naszych klientów. Całość dopełniają dodatkowe usługi, jak zarządzane firewalle, Security Operations Center (SOC) oraz Network Operations Center (NOC), które działają nieprzerwanie 365 dni w roku, 7 dni w tygodniu i 24 godziny na dobę.

Wspomniałeś o SOC. Na czym polega istota tej usługi i jaka jest jej skuteczność?

SOC wspiera oraz monitoruje działanie całej organizacji. Bazuje na trzech kluczowych filarach – zespole kilkudziesięciu inżynierów IT pracujących na trzech liniach wsparcia, wiodących rozwiązaniach technologicznych oraz procesach zgodnych z uznanymi standardami i dobrymi praktykami. Potwierdzeniem skuteczności tego rozwiązania są certyfikaty oraz akredytacje CERT. Dodatkowo, jakość świadczonej usługi gwarantowana jest umową o poziomie świadczenia usługi.

Jaka jest dziś skala zagrożeń?

Co do skali zagrożeń, z którymi się mierzymy, to w styczniu tego roku, przed inwazją Rosji na Ukrainę odnotowaliśmy 40-proc. wzrost incydentów, głównie krytycznych, a tych jeszcze poważniejszych, na poziomie 8%. Zatem z wszystkich incydentów, blisko 50% miało wysoki status niebezpieczeństwa. Z kolei w lutym 2022 roku odnotowaliśmy 20-proc. wzrost ataków w porównaniu ze styczniem.

Niezmiennie obserwujemy ciągłe cyberataki typu DDoS na infrastrukturę naszą i klientów. Od wybuchu wojny zaobserwowaliśmy ich wzrost zarówno pod względem ilości o 60%, jak i wolumenu, który wzrósł aż o 300%. Zwracamy szczególną uwagę na analizę danych z różnych naszych źródeł i dla uwiarygodnienia skali poddaliśmy analizie 3,5 mln sesji pochodzących z jednej z naszych usług, w krótkim okresie. Konsekwencją tego było prawie 70 tys. zablokowanych, nieautoryzowanych prób dostępu. Wykryliśmy też ponad 60 niebezpiecznych kategorii URL. Nasze usługi nie są więc jakimś bytem teoretycznym, tylko są przećwiczone w boju, sprawdzane na co dzień i to na dużą skalę.

Wprowadzając jakiekolwiek rozwiązanie ochrony, musimy spojrzeć holistycznie na całą infrastrukturę klienta. Jednym z ważnych jej elementów są urządzenia mobilne, które definiujemy dziś jako brzeg sieci. I to jest olbrzymia zmiana w podejściu do określania obszarów ryzyk w infrastrukturze. Telefonia komórkowa w zasadzie zawsze kojarzona była z prostym urządzeniem służącym do dzwonienia i SMS-owania. Dziś zmieniamy to podejście, definiując ją jako ważny element architektury sieci.

Z jakimi atakami musicie się jeszcze mierzyć poza phishingiem i DDoS?

Są to ataki malware oraz typu brute force. Mając jednak wdrożoną odpowiednią infrastrukturę, procesy i wykwalifikowany zespół inżynierów, możemy poradzić sobie ze wspomnianą skalą ataków. Istotą jest tu ciągły proces podnoszenia kwalifikacji. Obecnie możemy pochwalić się 20 certyfikatami bezpieczeństwa na różnych poziomach, o różnych standardach międzynarodowych.

Chętnie też dzielimy się tym zasobem, oferując szereg usług opartych właśnie o SOC. Jest to istotne dlatego, że przy 80-proc. wzroście wszystkich incydentów bezpieczeństwa w 2021 roku, tylko 20% firm zwiększyło budżet na cyberbezpieczeństwo. A koszty związane ze zbudowaniem własnego SOC są poza zasięgiem większości organizacji. Dlatego opracowaliśmy model Managed Shared Services, który daje klientom dostęp do naszej technologii w modelu abonamentowym. Poziom tej ochrony dostosowujemy oczywiście do rangi i skali danego przedsiębiorstwa.

Jakie zabezpieczenia oferuje T-Mobile w ramach usług chmurowych i connectivity?

Zarówno na poziomie chmurowym, jak i dostępu do internetu, istotna jest przede wszystkim ciągłość działania. W tym kontekście kluczowe są dwa elementy. Jednym z nich jest Disaster Recovery as a Service (DRaaS). W ramach usługi zapasowego centrum danych zapewniamy możliwość awaryjnego odtworzenia środowiska IT na infrastrukturze T-Mobile. Usługa ta jest oparta o rozwiązania VMware i chmurę.

Drugi element to usługa backupu, który zapewnia wysoką ochronę i dostępność krytycznych danych biznesowych oraz umożliwia tworzenie kopii zapasowych danych naszych klientów i ich sprawne odzyskiwanie, według reguł ustalonych przez samych klientów. Dodajmy, że kopie zapasowe mogą być stworzone zarówno z danych przechowywanych w centrum przetwarzania danych T-Mobile, jak i w data center klientów.

Z kolei infrastrukturę sieciową i łącza internetowe możemy zabezpieczyć firewallem nowej generacji. Dodatkowo oferujemy również rozwiązania SD-WAN. Upraszczamy w ten sposób zarządzanie siecią rozległą, pozwalając na integrację zasobów chmurowych i podnosząc bezpieczeństwo ruchu sieciowego oraz umożliwiając jego kontrolę. Kombinacja tych elementów stanowi bardzo dobrą ochronę usług chmurowych i connectivity.

40-proc.

wzrost incydentów, głównie krytycznych, a tych jeszcze poważniejszych, na poziomie 8%  odnotował T-Mobile Polska w styczniu 2022 roku. Zatem z wszystkich incydentów, blisko 50% miało wysoki status niebezpieczeństwa. Z kolei w lutym 2022 roku odnotowaliśmy 20-proc. wzrost ataków w porównaniu ze styczniem.

T-Mobile ma kilka centrów danych w Polsce. W jakie systemy bezpieczeństwa na poziomie procesów oraz infrastruktury IT są one wyposażone?

T-Mobile posiada sześć komercyjnych data center w Polsce. Wszystkie zbudowane są zgodnie z wymogami standardów ANSI/TIA na poziomie od 1 do 4. Przy czym im wyższa cyfra, tym wyższy poziom zabezpieczeń. Najnowszy obiekt – DC Szlachecka – zbudowaliśmy zgodnie z poziomem 3. Oznacza to, że we wszystkich obszarach działania – architektonicznego, mechanicznego, klimatyzacyjnego, wentylacyjnego, energetycznego i telekomunikacyjnego – dublujemy zasoby.

Jeśli chodzi o bezpieczeństwo sieciowe to mamy kilka różnych dróg dojścia światłowodem i niekrzyżującą się transmisję. Jest to bardzo ważne – zwłaszcza że ta transmisja jest w 100% nasza. Kolejny element to bezpieczeństwo fizyczne, za które odpowiadają m.in. podnoszone zapory, żelbetowe ściany grube na kilkadziesiąt centymetrów, drzwi o najwyższych certyfikatach antywłamaniowych oraz zabezpieczenia przeciwpożarowe. Za te ostatnie odpowiada system VESDA, który analizuje cząstki pyłu w powietrzu i jeśli wykryje potencjalne zagrożenie, uruchamia odpowiednie procedury. W wypadku konieczności gaszenia, odbywa się ono za pomocą obojętnego dla człowieka gazu, który wypycha tlen z danego pomieszczenia. Nie gasimy więc całego obiektu, tylko miejsca potencjalnie zagrożone. Mamy też fizyczną ochronę obiektu 24h na dobę. Wykorzystujemy rentgeny skanujące wnoszone bagaże, biometryczne rozpoznawanie twarzy, inteligentne systemy telewizji dozorowej, laserowe systemy włamania, czujniki rozbicia szyb, monitoring energii elektrycznej, składu powietrza, wilgotności, temperatury itd. A do tego posiadamy certyfikaty ISO 27001 oraz ISO 22301.

Postpandemiczna rzeczywistość biznesowa i międzynarodowe cyberataki, obserwowane zwłaszcza na początku 2022 roku, zmuszają odpowiedzialne organizacje do zweryfikowania dojrzałości stosowanych zabezpieczeń. Na czym powinna polegać ta weryfikacja i w jaki sposób uzyskać odpowiedni poziom odporności przed cyberatakami?

Odpowiedni poziom odporności zastąpiłbym raczej słowem odpowiedzialny. Wydaje mi się to prostsze do zdefiniowania dla każdej organizacji. Tak czy inaczej, aby go określić, niezbędne jest uświadomienie sobie aktualnego poziomu wrażliwości na ataki cybernetyczne. W T-Mobile definiujemy wrażliwość jako kombinację skali podatności w danym obszarze technologicznym lub procesowym, ich krytyczności, również w ujęciu potencjalnego wykorzystania, ich korelacji i oczywiście potencjalnego wpływu na ciągłość biznesową. Dopiero wykonanie takiego badania wrażliwości dla kilku kluczowych obszarów – infrastruktury IT, punktu styku z internetem czy systemów pocztowych – uświadamia nam, na jakie obszary architektury cyberbezpieczeństwa powinniśmy zwrócić szczególną uwagę i jak najefektywniej wykorzystać środki, które chcemy zainwestować w zniwelowanie wykrytych luk.

Rozmawialiśmy o phishingu, malware, ransomware czy atakach DDoS, wybiegając nieco w przyszłość – jakie mogą być kolejne scenariusze lub mechanizmy działania zagrożeń? Czy da się je przewidzieć i przed nimi zabezpieczyć?

Zanim odpowiem na to pytanie, przytoczę kilka statystyk mówiących o tym, co dzieje się dziś w sieci mobilnej. Już 60% populacji świata jest online. Okazuje się, że prawie 4 godziny dziennie spędzamy, korzystając z urządzeń mobilnych – więcej niż oglądając telewizję – aż 90% tego czasu przeznaczamy na korzystanie z aplikacji. W Chinach 94% całej transmisji internetowej to ruch generowany z urządzeń mobilnych. To jest niesamowita zmiana w naszej rzeczywistości. Nawet w Polsce średnio na jednego użytkownika przypada 1,5 karty SIM. Zaznaczam, że statystyka ta nie obejmuje urządzeń Smart City i IoT, czyli komunikacji Machine-to-Machine. Nasza tożsamość cyfrowa zdefiniowana jest zatem przez aplikacje mobilne i nasz ruch w internecie. Ten nowy standard życia powoduje, że tracimy czujność i otwieramy drogę dla cyberprzestępców.

Co do przyszłości, to nikt nie jest w stanie jej przewidzieć. Wiemy jednak, że będzie mocno skoncentrowana na naszej tożsamości cyfrowej i urządzeniach mobilnych. A także na konieczności uświadomienia sobie, że nie jesteśmy w stanie zabezpieczyć się w 100% przed zagrożeniami cybernetycznymi. Ataki, takie jak choćby Zero Day, będą występować zawsze. Ważne jest, abyśmy byli na nie gotowi.

Dlatego, oprócz rozwiązań chroniących przed różnymi wektorami ataków, musimy mieć wdrożone mechanizmy odzyskiwania danych, backupu czy przywrócenia zdolności operacyjnej przedsiębiorstwa. Co szczególnie istotne, powinniśmy mieć stworzone procedury weryfikacji, czy nasze rozwiązania backupowe rzeczywiście działają.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.