Komisja Nadzoru Finansowego (KNF) wydała ostrzeżenie zalecające instytucjom nadzorowanym uważne przeanalizowanie ryzyk związanych z wykorzystywaniem oprogramowania komputerowego pochodzącego z Federacji Rosyjskiej bądź Białorusi. Między innymi chodzi o możliwość wystąpienia braku ciągłości aktualizacji oprogramowania lub nawet nagłego przerwania jego funkcjonowania. KNF wskazuje na możliwe zagrożenia w związku z nasilaniem się działań mających znamiona cyberwojny.
Komisja co prawda nie wskazała produktów pochodzenia rosyjskiego, czy białoruskiego jako szczególnie niebezpieczne, ale zaleciła, aby uznać je za “szczególnie wymagające stałego monitorowania”. Tym samym urząd nie posunął się tak daleko, jak amerykańska Federalna Komisja Łączności (FCC) i niemiecki Federalny Urząd ds. Bezpieczeństwa Informatycznego (BSI), które wprost uznały za niebezpieczne programy konkretnego dostawcy, nie podając na to żadnych technicznych dowodów.
Oprócz elementów związanych z potencjalnym zaistnieniem incydentów w sferze cyberbezpieczeństwa, komisja wskazała także na ryzyka biznesowe, takie jak brak ciągłości aktualizacji bądź nagłe, związane z sytuacją geopolityczną, zakończenie subskrypcji danego oprogramowania.
“Oznacza to, że instytucje nadzorowane wcale nie muszą natychmiast rezygnować z tego typu oprogramowania, ale powinny ocenić, czy dodatkowe działania monitorujące i sprawdzające pozwalają na utrzymanie opłacalności korzystania z tych produktów” – komentuje Maciej Cieśla, Head of Cybersecurity HackerU Polska. “KNF rekomenduje, aby rozpocząć proces analizy od oceny ryzyka i zagrożeń. Warto jednak pójść o kilka kroków dalej, by jeszcze bardziej zwiększyć bezpieczeństwo w firmie czy urzędzie. Po identyfikacji ryzyka najlepiej wykonać jeszcze skan podatności oraz manualne testy penetracyjne. Dzięki temu zdobędziemy wiedzę dotyczącą tego, od czego powinniśmy rozpocząć zabezpieczenie naszych aktywów (np. czy najpierw wdrożyć zmianę w kodzie, czy zaimplementować uwierzytelnianie określonego typu do danego serwera lub aplikacji), jakie dokładnie działania podjąć, aby podnieść poziom bezpieczeństwa” – dodaje.
Wskazane przez eksperta powyższe kroki można wykonać korzystając z usług profesjonalnych firm audytowych i certyfikowanych audytorów. Dodajmy, że oprócz samego audytu i pentestów, coraz częściej specjaliści oferują również pomoc w działaniach naprawczych i zabezpieczeniach.
“Niezależność polityczna” oprogramowania
W obecnej sytuacji pewnie nikt nie zdecyduje się na korzystanie z software’u pochodzącego z Rosji lub Białorusi. Problemem może być jednak świadomość użytkowników, a raczej jej brak, na temat tego, gdzie powstał wykorzystywany program, wskazują specjaliści.
“Informacje, że antywirus Kaspersky jest rosyjski, i że różne służby ostrzegają przed instalowaniem go, są już dość rozpowszechnione. Ale co z przeróżnymi “małymi” narzędziami, których nie nazywamy nawet programami? Kto weryfikuje pochodzenie aplikacji do edycji zdjęć lub alternatywy dla notatnika, nie wspominając już o wtyczkach i rozszerzeniach do przeglądarek internetowych? Niestety tego typu oprogramowanie może też być instalowane na stacjach roboczych w instytucjach nadzorowanych przez KNF (np. w Biurach Usług Płatniczych i agentów Małych i Krajowych Instytucji Płatniczych czy agentów towarzystw ubezpieczeniowych)” – zwraca uwagę Tomasz Klecor, prawnik, partner w kancelarii Legal Geek.
Warto więc zwrócić uwagę na “niezależność polityczną” oprogramowania i hardware’u także w szerszym kontekście. “Ufamy, że dane o nas zbierane przez Google, Amazon czy Microsoft na swoich serwerach we Frankfurcie, a niektóre nawet w Warszawie, są zabezpieczone przed dostępem służb amerykańskich. Jednocześnie korzystamy z komputerów i smartfonów składanych w Chinach. Nawet te z jabłuszkiem w logo są przecież montowane w Kraju Środka. I tak naprawdę nie wiemy co ten nasz sprzęt ma w środku, bo przecież oprogramowanie szpiegujące można zaimplementować w BIOS-ie lub nawet procesorze. I nie jest to ryzyko abstrakcyjne. Mieliśmy już przykłady podobnych działań ze strony Chin” – wskazuje Tomasz Klecor.
Innego rodzaju zagrożeniem mogą być technologie open-source i na to ryzyko KNF również wskazuje. Należy pamiętać, że nawet systemy pisane “od zera” często nie są pisane od zera, bo w tle jest jakiś framework. O ile w samym otwartym oprogramowaniu nie ma nic złego, to problemem jest jednak weryfikacja źródeł. Jeśli program korzysta z otwartych bibliotek, to przy jego kompilowaniu lub aktualizacji najczęściej sięga się do źródła w serwisach typu GitHub. “A nad nimi instytucja nadzorowana nie ma kontroli. Teoretycznie przy każdym takim sięgnięciu do źródła trzeba by je ponownie weryfikować. A to nie jest zapewne powszechna procedura” – podsumowuje Tomasz Klecor.
