Koncentrujemy się na przekuwaniu stosowanych w T-Mobile Polska zasad bezpieczeństwa w usługi dla klientów końcowych. Ochroną chcemy objąć wszystkich użytków naszej sieci, w tym ich komputery i urządzenia mobilne. Ochrona najprostszych urządzeń, jest pierwszym krokiem do zapewnienia bezpieczeństwa zaawansowanych rozwiązań, jak np. autonomiczny transport czy inteligentne miasta.
Jako CLO w T-Mobile Polska koordynuję wszystkie projekty związane z bezpieczeństwem, także te przygotowywane dla naszych klientów. Zgodnie z naszą strategią, docelowo wszyscy abonenci naszej sieci zostaną objęci zwiększoną ochroną. Będziemy w stanie zidentyfikować nawet pojedyncze, zainfekowane komputery. Nasze usługi obejmować będą także zapewnienie bezpieczeństwa użytkowników telefonów i smartfonów. Chcemy też oferować specyficzne usługi dla sektora bankowego i energetycznego.Jednym z pierwszych kroków będzie uruchomienie Security Operations Center, oferującego usługi związane z bezpieczeństwem IT i działającego w ścisłej współpracy z Network Operations Center.
W kontekście bezpieczeństwa bardzo dużo zmieni wdrożenie unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Wiele zagrożeń z tym związanych dotyczy niedookreślonych wymagań na temat tego jak ją wdrożyć. W RODO pojawiają się tak ogólne stwierdzenia, jak: „odpowiednio”, „w wymaganym stopniu” czy „należycie”. Mamy dziś do czynienia z wieloma spotkaniami, debatami, konferencjami, na których pokazywane są różnorodne punkty widzenia. Z powodu nieprecyzyjnych wymogów RODO, właściwie każdy punkt widzenia jest właściwy, dlatego podjęliśmy decyzje o wdrożeniu maksymalnie restrykcyjnych procedur. Jedyną, pewną radą jest to, aby wszystkie dane osobowe były przechowywane i przesyłane w formie zaszyfrowanej. Wówczas, nawet gdy je stracimy, nikt z nich nie skorzysta. Ważna jest też ich anonimizacja, a więc pokazywanie niepełnych danych osobowych.
Ważne są procedury oraz edukacja i monitorowanie działań użytkowników
Zanim jednak zdecydujemy się na wyjście z ofertą na zewnątrz, musimy uporządkować i dostosować wewnętrzne procedury związane z cyberbezpieczeństwem. Jednym z najważniejszych działań jest wprowadzenie bezwzględnej dyscypliny pracy i przestrzegania procedur. Równolegle wprowadziliśmy kilka systemów wspierających, związanych głównie z monitorowaniem działań użytkowników i administratorów. Dzięki temu możemy uniknąć ok. 90% zagrożeń. Warto przy okazji zauważyć, że np. separacja sieci nie jest dokonywana obecnie w sposób fizyczny, lecz logiczny. Zawsze istnieje więc tzw. tylne wejście dla administratora lub serwisanta. Dlatego właśnie zwiększamy bezpieczeństwo związane z monitoringiem działań tego typu uprzywilejowanych użytkowników.
Jednym, z uznawanych dziś za najpoważniejsze, jest zagrożenie ze strony są pracowników. Nie chodzi wyłącznie o ich celowe, zabronione działania, ale także te związane z brakiem wiedzy lub wynikające z błędów lub zaniedbań. Często złe nawyki pochodzą jeszcze z czasów szkolnych.Wśród nich są: klikanie bez zastanowienia w otrzymywane w mailach linki, wchodzenie na strony z podejrzanymi promocjami, niewylogowanie się z komputera, gdy od niego odchodzimy, czy też nie wyłączanie go tygodniami. To ostatnie działanie jest bardzo dobrą wiadomością dla hakera zarządzającego siecią botnet, bo całą dobę ma do dyspozycji dużą liczbę dostępnych komputerów.
Jednym, z uznawanych dziś za najpoważniejsze, jest zagrożenie ze strony są pracowników. Nie chodzi wyłącznie o ich celowe, zabronione działania, ale także te związane z brakiem wiedzy lub wynikające z błędów lub zaniedbań. Często złe nawyki pochodzą jeszcze z czasów szkolnych. Wśród nich są: klikanie bez zastanowienia w otrzymywane w mailach linki, wchodzenie na strony z podejrzanymi promocjami, niewylogowanie się z komputera, gdy od niego odchodzimy, czy też nie wyłączanie go tygodniami. To ostatnie działanie jest bardzo dobrą wiadomością dla hakera zarządzającego siecią botnet, bo całą dobę ma do dyspozycji dużą liczbę dostępnych komputerów. Dobrych nawyków uczymy więc nie tylko naszych pracowników, ale także ukierunkowujemy się na dzieci i młodzież. Współpracujemy w tym zakresie m.in. z Fundacją Coder Dojo Polska. O bezpieczeństwo obywateli zadbać mogą właśnie operatorzy. Chcemy robić to monitorując brzegi własnej sieci, wykrywając np. zarażone komputery.
Większość urządzeń IoT ma bardzo słabe zabezpieczenia lub w ogóle ich nie posiada
Użytkownicy to jednak nie jedyne zagrożenie. Innym – na razie mało docenianym aspektem, który w ciągu następnych latach spędzi nam sen z powiek – będzie bezpieczeństwo urządzeń Internetu Rzeczy (IoT). Operator, taki jak T-Mobile, to naturalny partner, dla wszystkich, którzy będą korzystać z technologii IoT, stąd też nasze zainteresowanie tym segmentem. Urządzenia Internetu Rzeczy w większości będą bowiem komunikować się poprzez sieć bezprzewodową. Już za 2 lata liczba urządzeń IoT ma przewyższyć liczbę osób podłączonych do Internetu. Znacznie zwiększy się więc zapotrzebowanie na przepustowość sieci. Dlatego wdrażamy w Polsce technologię NarrowBand IoT (NBIoT) tylko na potrzeby Internetu Rzeczy, by z jednej strony nie obciążać sieci abonenckiej a z drugiej strony by częściowo odseparować potencjalnie groźne IoT od sieci abonenckiej.Duża część IoT to sensory i urządzenia przekazujące małe paczki danych. Zapewnienie im sieci o odpowiedniej przepustowości to łatwiejsza część, robimy to poprzez NBIoT. Trudniejszym elementem jest zagwarantowanie bezpieczeństwa urządzeń IoT, które wymagają szerokiego pasma np. kamery czy autonomiczny transport. Jest to o tyle ważne, że tego typu urządzenia zwykle w standardzie nie posiadają zabezpieczeń. Coraz częściej stają się więc elementami sieci botnet. Atak DDoS wymierzony 2 lata temu w OVH osiągnął natężenie prawie 800 Gb/s, a jego źródłem okazał się botnet złożony ze 145 tys. zhackowanych kamer i urządzeń DVR.
Jednym ze sposobów zapewnienia bezpieczeństwa IoT jest stworzenie odseparowanej części sieci na potrzeby urządzeń IoT. Można stworzyć w niej kanały o mniejszych przepływnościach niż te, dedykowane dla zwykłych użytkowników. Operatorzy mogą także stworzyć dedykowany, wirtualny LAN, który łączy wszystkie elementy sieci IoT na jakimś obszarze. Utrudnia to ewentualne złamanie zabezpieczeń i przejęcie kontroli nad urządzeniami IoT.
Duża część IoT to sensory i urządzenia przekazujące małe paczki danych. Zapewnienie im sieci o odpowiedniej przepustowości to łatwiejsza część, robimy to poprzez NBIoT. Trudniejszym elementem jest zagwarantowanie bezpieczeństwa urządzeń IoT, które wymagają szerokiego pasma np. kamery czy autonomiczny transport. Jest to o tyle ważne, że tego typu urządzenia zwykle w standardzie nie posiadają zabezpieczeń.Coraz częściej stają się więc elementami sieci botnet. Atak DDoS wymierzony 2 lata temu w OVH osiągnął natężenie prawie 800 Gb/s, a jego źródłem okazał się botnet złożony ze 145 tys. zhackowanych kamer i urządzeń DVR.
Specyficzną kategorią IoT są tzw. inteligentne urządzenia, jak np. Smart TV. Dziś nie mamy pewności, czy to my oglądamy to, co pokazywane jest na naszym telewizorze, czy też jesteśmy obserwowani za jego pośrednictwem. Telewizor podłączony do sieci Internet jest zagrożeniem dla naszej prywatności, ponieważ nie posiada odpowiednich zabezpieczeń, które gwarantowałyby nam kontrolę nad tym co z telewizora wysyłane jest do sieci.
Jak chronić urządzenia nie posiadające zaawansowanych zabezpieczeń?
Rozbudowując ofertę koncentrujemy się na tym, aby zabezpieczyć systemy nie posiadające wbudowanych zabezpieczeń, jak wcześniej wspomniane urządzenia IoT. A nie posiadają zabezpieczeń, ponieważ obecnie, nikt tego od producentów tych urządzeń nie wymaga. Dlatego też producenci IoT pozostają np. przy standardowych hasłach dla całej serii swoich produktów. Tymczasem różnica w koszcie wyprodukowania wersji np. inteligentnej żarówki ze standardowym i indywidualnym hasłem to zaledwie 0,05 euro, czyli ok. 20 groszy. Działania tego typu dotyczą jednak nie tylko inteligentnych żarówek, ale i infrastruktury związanej z budową Smart City – systemów zarządzania oświetleniem, sygnalizacją świetlną czy inteligentnych liczników.
Być może zmianę w podejściu do bezpieczeństwa IoT wymusi przygotowywana Ustawa o krajowym systemie cyberbezpieczeństwa. Jednym z jej celów jest wprowadzenie dyrektywy NIS (Network & Information Systems) dotyczącej wdrożenia środków na rzecz zapewnienia wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów IT oraz usług uznanych za krytyczne, na terytorium Unii Europejskiej. NIS zakłada poszerzenie współpracy państw członkowskiej w kwestii cyberbezpieczeństwa, jest więc nadzieja, że sprawa IoT zostanie w najbliższych latach objęta regulacją zwiększającą bezpieczeństwo w tym segmencie.
Kolejne cele Ustawy o krajowym systemie cyberbezpieczeństwa to określenie zakresu współpracy służb krajowych oraz zadbanie o obywateli, a nie tylko bezpieczeństwo infrastruktury krytycznej. W Polsce IT dla infrastruktury krytycznej stanowi zaledwie 10% tego, co jest podłączenie do sieci Internet. W czarnym scenariuszu, gdyby 90% zainfekowanych urządzeń należących do obywateli (czyli do każdego z nas) zaatakowało te „bezpieczne 10%”, to nie potrzeba by było już żadnej ingerencji z zewnątrz (np. przez inne państwo), aby doprowadzić do pełnego paraliżu państwa. Dobrą wiadomością jest to że wiele instytucji państwowych, ośrodków naukowych i firm związanych z telekomunikacją i informatyką nieustannie doskonali systemy bezpieczeństwa więc jest szansa, że czarnego scenariusza unikniemy, ale naprawdę trzeba się spieszyć, bo nasze życie w coraz większym stopniu zależy od „SIECI”.
Włodzimierz Nowak, członek zarządu, dyrektor ds. prawnych, bezpieczeństwa i zarządzania zgodnością w T‑Mobile Polska
Opinie innych członków CIONET Polska w specjalnym wydaniu magazynu ITwiz
Podzieliliśmy je na 6 głównych działów: kreowanie wartości i przychodów; Customer Experience; automatyzacja; cyberbezpieczeństwo; Business Leadership i Talent Management. Doświadczenia swoich organizacji z tym związane opisało 17 liderów cyfryzacji reprezentują: PKO BP; Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji we Wrocławiu; BEST SA; AmRest Holding SE; Liberty Global (właściciela UPC Polska); Zarząd Morskich Portów Szczecin i Świnoujście; Nowa Itaka; Rossman; Grupa Kęty; Optima; Nordea; Idea Bank; Grupa Onet; Moneygram; T-Mobile Polska i Tauron Polska Energia.
