Cyberbezpieczeństwo – nie tylko gaszenie pożarów

Wiele dziewczyn z IT, z którymi do tej pory rozmawiałam, usłyszało od nauczyciela matematyki czy informatyki w szkole, że nie nadają się do przedmiotów ścisłych. Wiele wzięło to sobie do serca i wybrało inny kierunek studiów, a potem zawód. Programowaniem, testowaniem czy zarządzaniem projektami IT zajęły się później i często uczyły się wszystkiego na własną rękę. Z Kasią Rusą-Mikurendą było całkiem inaczej: – Moje zainteresowanie IT zaczęło się w liceum, choć byłam w klasie o profilu dziennikarsko-lingwistycznym. Przedmioty humanistyczne pociągały mnie do czasu, aż zaczęły się zajęcia z informatyki. To wydało mi się dużo ciekawsze! Miałam fantastycznych nauczycieli, dla których to była pasja. – mówi Kasia, dziś Analityk SOC w firmie Exatel. SOC, czyli Security Operations Center – dział w firmie zajmujący się cyberbezpieczeństwem. Zatrudnieni w nim specjaliści z różnych dziedzin informatyki wynajdują i zwalczają zagrożenia, które już pojawiły się w systemie, albo szukają “dziur”, przez które system może zostać zaatakowany.

Na studiach informatycznych Kasia zaczynała od nadrobienia zaległości w matematyce, bo profil humanistyczny miał bardzo okrojony program przedmiotów ścisłych. Potem przyszła kolej na naukę programowania. Nie była pewna, w jakim kierunku chce pójść. Trochę “metodą eliminacji” wybrała informatykę w telekomunikacji. – Były to głównie tematy stricte techniczne, jak np. budowa i konfiguracja central, projektowanie systemów, sieci kablowych czy radiowych. To było ważne, bo, żeby w ogóle zajmować się telekomunikacją, trzeba wiedzieć, jak takie systemy są tworzone od podstaw. Tylko że umiarkowanie mnie to pociągało. Bardziej interesowała mnie administracja serwerami, sieciami, takie codzienne rzeczy. Tym zajęła się w pierwszej pracy. Ze względu na kierunek studiów, wybrała firmę telekomunikacyjną. Jeszcze nie miała planu, żeby pójść w stronę cyberbezpieczeństwa: – Zaczynałam jako help desk, wsparcie użytkownika. Z czasem, gdy poznałam różne rozwiązania i systemy, zaskoczyła mnie ich złożoność, jak wiele jest różnych dróg wejścia do firmy i zaatakowania jej. Zaczęła interesować się rodzajami zagrożeń. Szybko się jednak okazało, że zapobieganie im wymaga nie tylko wiedzy technicznej. Trzeba być też niezłym socjo- i psychologiem: – Najsłabszym elementem jest zawsze człowiek! Systemy można “utwardzić”, wykluczyć wszystkie drogi wejścia. Człowieka da się pokonać socjotechniką: przy odpowiednim podejściu, można od niego wyciągnąć mnóstwo informacji. – podsumowuje Kasia. Tak działa choćby phishing, czyli maile doskonale imitujące np. korespondencję z banku. Jednak pole do ataku często stwarzają sami pracownicy firmy. Choć wszyscy wiemy, że należy ustawić jak najmniej oczywiste hasła, i blokować komputer po odejściu od biurka, czy rzeczywiście to robimy? Przecież ufamy koleżankom i kolegom z firmy. Kasi to nie dziwi, bo zaniedbania zdarzają się i na wyższych szczeblach: – Nawet administratorzy podchodzą z pewną beztroską np. do backupów, testów odtwarzania czy regularnych aktualizacji zarządzanych przez nich systemów. Wychodzą z założenia, że, jak coś działa, to działa, nie trzeba tego ruszać. – przyznaje Kasia. Analizowanie potencjalnych niebezpieczeństw wciągnęło ją do tego stopnia, że od półtora roku zajmuje się cyberbezpieczeństwem w swoim kolejnym miejscu pracy – firmie Exatel. Jej dział robi to zarówno na potrzeby własnego pracodawcy, jak i klientów zewnętrznych. Mogą oni wykupić w Exatelu zarówno skrojony na miarę system do walki z zagrożeniami, jak i usługi zespołu ekspertów (m.in. programistów, administratorów sieci, specjalistów od malware’u czy pentesterów), którzy będą na bieżąco go monitorować.

Kasia nie ma co liczyć na brak zajęcia. Z raportu „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”, który w lutym tego roku przedstawiła firma doradcza PwC, wynika, że groźnych incydentów związanych z bezpieczeństwem informatycznym doświadczyło w ubiegłym roku 65 proc. ze 120 badanych firm różnej wielkości i działających w różnych branżach. Aż 44 proc. poniosło straty w wyniku cyberataków. Mimo to, cyberbezpieczeństwo nie jest priorytetem dla przedsiębiorców na polskim rynku. Tylko 8 proc. z nich ma odpowiednie narzędzia i systemy zabezpieczeń oraz specjalny zespół do spraw cyberbezpieczeństwa, i przeznacza na cele z nim związane co najmniej 10 proc. wartości całego budżetu IT. Średnio firmy wydają na ochronę przed cyberatakami 3 proc. środków na IT, jedna piąta z nich nie zatrudnia (również na zasadach outsourcingu) żadnego specjalisty od cyberbezpieczeństwa, a 46 proc. nie stworzyło nawet procedur reakcji na incydenty. – Wielu przedsiębiorców wychodzi z założenia, że nie ma sensu wydawać na to pieniędzy, dopóki nie dojdzie do ataku. Tymczasem to jest tylko kwestia czasu! Prędzej czy później KAŻDA firma zostanie zaatakowana. Nawet te najmniejsze mogą być źródłem cennych danych. – tłumaczy Kasia. Według niej, wiele przedsiębiorstw, których działalność nie przynosi milionowych zysków, jest przekonanych, że mogą czuć się bezpiecznie. Jednak, choć wciąż spora liczba cyberataków służy wyłudzeniu pieniędzy wprost (stare numery typu phishing wcale nie straciły na popularności), najcenniejszym łupem dla przestępców stają się nasze dane! Czy to może dziwić w czasach, gdy coraz więcej legalnie działających firm, jak np. Facebook, jest oskarżanych o ich bezprawne wykorzystanie? – Nie miejmy złudzeń, dane wprost przekładają się na pieniądze, na czyjś zysk. – mówi Kasia. – Z tej perspektywy, nie ma znaczenia, czy firma, która nie dba o cyberbezpieczeństwo, to międzynarodowy bank, czy zakład stolarski. Według niej, samo wdrożenie procedur bezpieczeństwa i zatrudnienie specjalistów do walki z cyberatakami to połowa sukcesu. Warto też regularnie szkolić pracowników, np. nauczyć ich, żeby nie wpuszczali obcych osób do firmy (co często robi się z grzeczności), a podejrzane maile zgłaszali działowi bezpieczeństwa czy IT. Taka wiedza może się im przydać nie tylko w pracy. Kasia przypomina o zasłanianiu kamery w laptopie, kiedy się jej nie używa. Bo komuś, kto sądzi, że we własnym domu może się czuć swobodnie, można zrobić kompromitujące zdjęcia i później szantażować go ich ujawnieniem: – Nie zawsze byłam tak wyczulona na tym punkcie. Ale odkąd mam świadomość, jak często zdarzają się ataki i na ile sposobów można ich dokonać, poziom paranoi rośnie! – śmieje się Kasia. I podpowiada sposoby, jak każdy z nas może chronić się przed atakami. Np. na stronach typu VirusTotal ustalimy, czy przesłany nam link został rozpoznany przez znane silniki jako niebezpieczny. Możemy też sprawdzić nagłówek e-maila, dzięki czemu upewnimy się, czy rzeczywiście wysłała go osoba wymieniona jako nadawca. Bo zdarza się, że przychodzi do nas wiadomość teoretycznie od szefa, ale wysłana z serwera na drugim końcu świata.

Ponieważ do ataków dochodzi non stop, a ich sprawcy potrafią korzystać z najróżniejszych luk w systemie, specjaliści od cyberataków są trochę tak strażacy czy policjanci. Kasia pracowała w święta, ma dyżury w weekendy: – Przy dwójce dzieci to nie jest łatwe, ale wszystko jak dotąd udało mi się poukładać. Na pewno pomaga w tym fakt, że mąż Kasi też jest związany z IT i zna specyfikę jej pracy. A ona sama, jak podkreśla, kocha to, co robi.

Czy przytrafiły jej się ekscytujące akcje znane z filmów o hakerach? – W mojej karierze jeszcze nie zdarzyła się sytuacja, która – ze względu na wagę zagrożenia – wymagałaby interwencji organów ścigania. Na szczęście! To znaczy, oczywiście nie życzę tego klientom, choć dla mnie na pewno byłoby to ciekawe doświadczenie. – przyznaje. Za to w momencie, gdy już dochodzi do ataku, “wszystkie ręce na pokład”. Bywa, że pracuje się wtedy 24 godziny na dobę przez siedem dni w tygodniu. – Zazwyczaj udaje się szybko wyeliminować niebezpieczeństwo, od tego mamy szereg systemów wspomagających naszą pracę. Jeśli jednak okaże się, że mamy do czynienia np. z APT (Advanced Persistent Threat), atak może trwać niezauważenie przez długi czas! Nie dość, że trzeba powstrzymać dalsze działania atakującego, to jeszcze ustalić, jakie są straty. – wyjaśnia Kasia.

Na co dzień praca całego SOC polega na analizowaniu zapisów ruchu sieciowego i logów, prowadzeniu audytów i testów penetracyjnych. Zespół korzysta z systemów klasy SIEM. Działają one w oparciu o reguły korelacyjne, czyli analizują w czasie rzeczywistym zdarzenia i przepływy danych u klientów i – w oparciu o zadane kryteria – generują alerty o potencjalnym zagrożeniu: Musimy zweryfikować, czy dana sytuacja może być groźna, czy to już atak, a może tzw. false positive, czyli zbieżność różnych zmiennych, którą system tylko interpretuje jako zagrożenie, a która wcale niebezpieczna nie jest. – tłumaczy Kasia. Oczywiście, baza reguł dostarczonych przez producenta jest ograniczona, a bez przerwy pojawiają się nowe typy zagrożeń. Te, których SIEM nie zna, trzeba opisać manualnie, i tak też z nimi walczyć.

Inne narzędzie pracy to system antyDDos, który na bieżąco analizuje ruch sieciowy u klienta, wykrywa i, jeśli zajdzie potrzeba, eliminuje ten nieprawidłowy, spełniający kryteria ataku. Jest jeszcze Threat Hunting, nazywany przez Kasię “ręczną robotą” analityków: pomaga w projektowaniu nowych reguł korelacyjnych i wychwytuje zdarzenia, których regułą opisać się nie da.

Kolejne zadanie to projektowanie systemów dla klientów i monitorowanie pracy tych, które oni sami stworzyli: – Sprawdzamy infrastrukturę i proponujemy pomoc przy wdrożeniu zmian. Jesteśmy w takiej sytuacji zespołem outsource’owanym na rzecz innych firm, mamy dostęp do ich systemów. Często też tworzą takie systemy od podstaw. Ich firma oferuje nawet “starter pack” dla klientów, którzy dopiero chcą zainwestować w cyberbezpieczeństwo i szukają najlepszych dla siebie rozwiązań.

W swoim dziale Kasia jest jedyną kobietą. – Nigdy nie czułam się z tego powodu inaczej traktowana. Zdarzyło mi się gdzieś na etapie studiów usłyszeć tekst: “Kobieta-informatyczka jest jak świnka morska: ani świnka, ani morska”, ale to był jedyny oczywisty przejaw seksizmu, który mnie spotkał. W pierwszej pracy byłam na początku traktowana z dystansem, ale mogło chodzić o mój brak doświadczenia, a nie o płeć. – mówi Kasia, choć przyznaje, że sama była dumna z ukończonych studiów informatycznych, bo oprócz niej “tylko jedna czy dwie dziewczyny dotrwały do końca”. – Teraz jestem w super zespole, który widzi we mnie najpierw fachowca, a potem kobietę. Muszę pracować tak samo ciężko, jak inni, bez taryfy ulgowej. Szkoda tylko, że nie mam żadnej koleżanki.

Choć praca zmianowa i życie rodzinne nie zostawiają jej dużo czasu na rozwijanie swoich zainteresowań, stara się ciągle rozwijać. Motywacyjnego “kopa” dał jej ostatnio certyfikat potwierdzający wiedzę z zakresu cyberbezpieczeństwa, który zdobyła. Kolejny planuje na jesień. A na razie… uczy się autoprezentacji. Chce dobrze przygotować się do przekazywania swojej wiedzy innym. Na szczęście, znalazła też czas na odpoczynek: kiedy ten tekst się ukaże, Kasia od tygodnia będzie na urlopie na działce z rodziną.

Karolina Wasielewska

Pracuję w radiu i od czasu do czasu w prasie. Lubię: jesień, książki Lema, sporty przeróżne, koty, niespieszne pichcenie w wolne dni, czerwone wino, wesołe miasteczka, historie o superbohaterach, czasami Beastie Boys, a czasami Dianę Krall. Nie lubię: upałów, agresji, gotowania w pośpiechu i wielu innych rzeczy, których nie lubię, więc nie chcę nawet o nich pisać.