Ataki polegające na zablokowaniu dostępu do strony internetowej takie jak te w ubiegłym tygodniu w Polsce są efektowne, ale rzadko powodują rzeczywiste straty, poza wizerunkowymi. Znacznie poważniejsze są skutki ataków polegających na infiltracji sieci wewnętrznej. Te biorą na cel najsłabszy element systemu człowieka pisze Grzegorz Mucha, ekspert ds. bezpieczeństwa informatycznego RSA, EMC Computer Systems.
Blokowanie dostępu do strony internetowej jest bardzo widowiskowe medialnie. Jest też łatwe do nagłośnienia, przez co może nadwerężyć wizerunek zaatakowanej organizacji. Z wyjątkiem dość specyficznych przypadków rzadko jednak powoduje rzeczywiste straty. Znacznie poważniejsze są skutki mniej widowiskowych, ale za to dużo bardziej bolesnych ataków polegających na infiltracji sieci wewnętrznej. Te są nagłaśniane dość rzadko. Mimo to do opinii publicznej dotarły wieści np. o serii włamań do Google i kilkudziesięciu innych amerykańskich firm czy o włamaniu do Departamentu Obrony USA, skąd niezidentyfikowany napastnik w ciągu trzech lat skopiował ponad 20 TB danych.
Współczesne systemy obrony przed bezpośrednim atakiem z zewnątrz są na tyle skuteczne, że napastnicy coraz częściej atakują najsłabszy element systemu: człowieka. Tego typu działania są wymierzone w konkretną firmę, a niejednokrotnie wręcz w konkretnego pracownika, i wykorzystują niepublikowane luki w systemach. Dlatego bardzo trudno jest je wykryć i zneutralizować. Atak może np. przybrać formę wiarygodnie wyglądającego e-maila z działu kadr, od przełożonego czy z banku albo może być związany z zainteresowaniami ofiary, prowadzonymi przez nią pracami itp. Tymczasem w rzeczywistości zawiera on malware, czyli szkodliwe oprogramowanie, które przekształci komputer ofiary w cyberszpiega dającego napastnikom dostęp do wewnętrznych zasobów firmy. Tego typu zdarzenia często są wykrywane z dużym opóźnieniem, np. gdy cyberszpieg (albo zainfekowana przez niego cała cyberszpiegowska siatka złożona z komputerów innych pracowników) już zacznie wysyłać tajne dokumenty.
Specjaliści zajmujący się bezpieczeństwem (nie tylko informatycznym) wiedzą, że nie istnieje 'pełne bezpieczeństwo' ani 'stuprocentowa pewność'. W pewnym sensie naruszenia bezpieczeństwa informatycznego przypominają wypadki lotnicze: gdy już zaszło zdarzenie, najważniejsze staje się wykrycie jego przyczyn, przebiegu i wyciągnięcie wniosków na przyszłość. W tego typu przypadkach przydają się rozwiązania działające na podobieństwo lotniczych czarnych skrzynek: rejestratory zawierające szczegółowy zapis wszystkich zdarzeń w kluczowych miejscach sieci i całego ruchu, który przez nie przechodził. Umożliwia to nie tylko potwierdzenie, czy rzeczywiście mamy do czynienia z atakiem (co wbrew pozorom nie zawsze jest oczywiste), ale też prześledzenie jego przebiegu. Może być potrzebne np. sprawdzenie zawartości stron, na które wchodził pracownik, czy ściąganych przez niego plików, zidentyfikowanie zaatakowanych komputerów i przede wszystkim wyciągnięcie wniosków, czyli np. uszczelnienie systemu ochrony lub doszkolenie pracowników.
Współczesne systemy obrony przed bezpośrednim atakiem z zewnątrz są na tyle skuteczne, że napastnicy coraz częściej atakują najsłabszy element systemu: człowieka. Tego typu działania są wymierzone w konkretną firmę, a niejednokrotnie wręcz w konkretnego pracownika, i wykorzystują niepublikowane luki w systemach. Dlatego bardzo trudno jest je wykryć i zneutralizować. Atak może np. przybrać formę wiarygodnie wyglądającego e-maila z działu kadr, od przełożonego czy z banku albo może być związany z zainteresowaniami ofiary, prowadzonymi przez nią pracami itp. Tymczasem w rzeczywistości zawiera on malware, czyli szkodliwe oprogramowanie, które przekształci komputer ofiary w cyberszpiega dającego napastnikom dostęp do wewnętrznych zasobów firmy. Tego typu zdarzenia często są wykrywane z dużym opóźnieniem, np. gdy cyberszpieg (albo zainfekowana przez niego cała cyberszpiegowska siatka złożona z komputerów innych pracowników) już zacznie wysyłać tajne dokumenty.
Specjaliści zajmujący się bezpieczeństwem (nie tylko informatycznym) wiedzą, że nie istnieje 'pełne bezpieczeństwo' ani 'stuprocentowa pewność'. W pewnym sensie naruszenia bezpieczeństwa informatycznego przypominają wypadki lotnicze: gdy już zaszło zdarzenie, najważniejsze staje się wykrycie jego przyczyn, przebiegu i wyciągnięcie wniosków na przyszłość. W tego typu przypadkach przydają się rozwiązania działające na podobieństwo lotniczych czarnych skrzynek: rejestratory zawierające szczegółowy zapis wszystkich zdarzeń w kluczowych miejscach sieci i całego ruchu, który przez nie przechodził. Umożliwia to nie tylko potwierdzenie, czy rzeczywiście mamy do czynienia z atakiem (co wbrew pozorom nie zawsze jest oczywiste), ale też prześledzenie jego przebiegu. Może być potrzebne np. sprawdzenie zawartości stron, na które wchodził pracownik, czy ściąganych przez niego plików, zidentyfikowanie zaatakowanych komputerów i przede wszystkim wyciągnięcie wniosków, czyli np. uszczelnienie systemu ochrony lub doszkolenie pracowników.