odwiedź i dołącz do nas

  • Facebook
  • Twitter
  • Blip
  • YouTube

Bezpieczeństwo obrotu gospodarczego w internecie

dlahandlu.pl (Małgorzata Bożym) - 08-06-2012
Fot. PTWP (Andrzej Wawok)
Na bezpieczeństwo informatyczne składa się wiele odrębnych zagadnień, których nie można uwzględniać niezależnie. Jest to dziedzina multidyscyplinarna i trzeba ją traktować kompleksowo. Jaka jest jego świadomość, a jakie są realia - na te pytania postaramy się dzisiaj odpowiedzieć - tymi słowami Marcin Szymczak, sędzia Sądu Rejonowego Katowice-Wschód rozpoczął debatę poświęconą bezpieczeństwu obrotu gospodarczego w internecie.
- Z punktu widzenia bezpieczeństwa obrotu gospodarczego poziom świadomości użytkownika - zarówno tego, który dostarcza daną usługę, jak i klienta banku, odgrywa kluczowe znaczenie. Poziom świadomości Polaków w tej dziedzinie nie odbiega od poziomu świadomości w innych państwach. Natomiast ogólny poziom świadomości określiłbym jeszcze jako niedojrzały - powiedział Andrzej Koweszko, przedstawiciel Związku Banków Polskich oraz dyrektor departamentu zarządzania ryzykiem operacyjnym w ING Banku Śląskim. Jego zdaniem klienci korporacyjni reprezentujący organizacje, gdzie bezpieczeństwo usług jest fragmentem kultury tej organizacji, prezentują wyższy poziom wiedzy w tym zakresie. Natomiast jeśli chodzi o klienta indywidualnego rozróżnia się dwie grupy: grupę posiadającą wiedzę podstawową (dla nich wystarczającą) o funkcjonowaniu internetu oraz grupę, która dopiero przygotowuje się do świadomego korzystania z internetu.



Jakub Pepłoński, dyrektor ds. Bezpieczeństwa w Grupie Allegro zaznaczył , że jego firma dysponuje szeroką wiedzą na temat zachowań przeciętnego Polaka w internecie. Jego zdaniem świadomość użytkowników wzrasta, ale ciągle jest tak, że zarówno najsilniejszym, jak i najsłabszym ogniwem systemu bezpieczeństwa jest człowiek. - Mamy szereg specjalnych programów edukacyjnych o bezpieczeństwie w internecie, które są dedykowane użytkownikom. Proszę zwrócić uwagę, że bezpieczeństwo jest strasznie zdradliwe - dowiadujemy się o nim dopiero wtedy, gdy zostaje naruszone np. gdy doszło do wycieku naszych danych. W świecie rzeczywistym jesteśmy dużo bardziej ostrożni, niż w internecie - podkreślił Jakub Pepłoński.



- Czy zatem oznacza to, że końcowy użytkownik usługi internetowej powinien być bardzo wyedukowany w sprawie potencjalnych zagrożeń? Czy powinien posiadać niemal taką samą wiedzę jak informatyk?- zapytał Krystian Mączka reprezentujący Politechnikę Śląską oraz Krajową Szkołę Sądownictwa i Prokuratur.



- Oczywiście, że nie. Praktyka pokazuje, że użytkownicy podają ofiarą najłatwiejszych do zweryfikowania ataków. Serwisy takie jak my, czyli działające na wysoką skalę, praktycznie nie mają dnia, aby nie były celem ataków. Należy jednak pamiętać, że aby dbać o bezpieczeństwo musi zajść prawdziwa synergia. Dwie strony są odpowiedzialne za bezpieczeństwo - firma oferująca usługę, jak i użytkownik - powiedział przedstawiciel Allegro.



- Ja chciałbym powiedzieć, że w zasadzie te ataki im prostsze, tym większą skuteczność odnoszą. Atak na klienta może rodzić jednak bardzo poważną konsekwencję - utratę zaufania - powiedział Andrzej Koweszko. Zwrócił również uwagę na rolę mediów w przypadku wiadomości o atakach hakerów. Jego zdaniem media nie wykorzystują swojej siły nośnej, aby ostrzegać przed potencjalnym atakiem, nie informują jak należy się chronić. Jak zaznaczył, przestępcy przenieśli się ze sfery „tradycyjnych oszustw” do internetu. - Na przykład w tej chwili dostarczenie mailingu do kilkudziesięciu tysięcy osób nie stanowi dla nich żadnego problemu - zaznaczył Andrzej Koweszko. Podkreślił również coraz większą współpracę ze strony klientów banków. - W ciągu ostatnich 2-3 lat gwałtownie wzrosła liczba klientów, którzy zgłaszają nam swoje podejrzenia odnośnie oszustwa. Należy jednak dbać o to, aby klient nie został zniechęcony do dostarczania kolejnych informacji. Obecnie dysponujemy grupą wykwalifikowanych konsultantów, z którymi klienci mogą się kontaktować w przypadkach prób oszustwa. Procent klientów banku, którzy zgadzają się na udostępnienie swoich komputerów do naszej analizy jest naprawdę bardzo wysoki - wyjaśnił Andrzej Koweszko.



- Chciałbym zaznaczyć, że identyfikujemy tę przestępczość z informatyką. Nie zapominajmy przy tym wszystkim o ludziach - to oni stwarzają największe zagrożenie. Ofiarami np. spamów czy podobnych ataków są ludzie z zasobnym portfelem. Oszuści wybierają osoby zamożne. Ludzie często są nieświadomi, że uczestniczą w procederze prania pieniędzy - powiedział Jerzy Kosiński reprezentujący Zakład Studiów Nad Przestępczością Zorganizowaną i Terroryzmem oraz Wyższą Szkołę Policji w Szczytnie.



Kwestię jak zatem chronić dane wrażliwe dla firmy poruszył Peter Böhret, wiceprezes ds. usług w zakresie odzyskiwania danych na Europę w firmie Kroll Ontrack. Jego zdaniem świadomość zagrożenia w firmach jest na niskim poziomie. - Największe zagrożenie czai się wewnątrz. Często pracownicy nie zdają sobie sprawy z tego co robią, często ujawniają dane firmowe w mailach. Jestem jednak zdania, że pracownicy zadowoleni z pracy w danej firmie dokładają starań, by dane firmowe nie wyciekały na zewnątrz - twierdzi przedstawiciel firmy Kroll Ontrack. Jego zdaniem należy skupić się na szkoleniach dla pracowników małych i średnich firm. Mają oni słaby dostęp do zabezpieczeń. W małych firmach pracownicy nie wiedzą, jakie mają uprawnienia.



Zdaniem Marcina Chruszczyńskiego, członka zarządu spółki Nasza Klasa świadomość użytkowników internetu rośnie, ale nadal jest wiele do zrobienia. Najważniejszą kwestią jest edukowanie. - Prowadzimy programy edukacyjne dla gimnazjalistów. Jeździmy praktycznie po całej Polsce i szkolimy uczniów. Ciężko jest dotrzeć natomiast z tym przekazem do użytkowników starszych. W ich przypadku problem tkwi głównie w podszyciach.



Marcin Szymczak zapytał co w takim razie z edukacją ogólną. Głos w tym zakresie zabrał prof. Andrzej Kwiecień z Politechniki Śląskiej. - Na uczelni prowadzimy badania i zajęcia , które mają przygotować twórców oprogramowania, do tego by tę edukację zminimalizować. Prowadzimy badania dotyczące certyfikowania software’u w celu wyeliminowania luk pozostawionych w nim przez programistów, uczymy studentów jak pisać software, aby był jak najmniej podatny na tzw. inżynierię wsteczną, czyli możliwość poznania technik wykorzystanych podczas tworzenia programu. Bardzo często sami programiści stwarzają zagrożenia pisząc program - podkreślił profesor Kwiecień.



Problem niebezpieczeństwa w internecie odnoście administracji publicznej podjął Michał Gramatyka, zastępca Prezydenta Tychów ds. Gospodarki Przestrzennej. - W sektorze publicznym największym problemem jest świadomość zagrożeń. Pracownicy nie wiedzą jakie pliki mogą być niebezpieczne - powiedział Michał Gramatyka. Zwrócił on uwagę na miejskie hot-spoty. Niosą one ze sobą niebezpieczeństwo ze strony anonimowości użytkowników. Podczas korzystania z internetu w takich punktach nie ma żadnej weryfikowalności użytkownika, nie podają oni żadnych danych.



Jerzy Kosiński zwrócił również uwagę, że w przypadku firm, niechętnie oddają sprzęt do ekspertyzy policji. Firmy prowadzące działalność związaną z internetem nie mogą sobie również pozwolić na nawet chwilowe zaprzestanie działalności w sieci.



Przedstawiciel Grupy Allegro podkreślił, że w spółce pracuje aż 11 osób, które zajmują się kontaktem z policją w przypadku ataków. Peter Böhret zwrócił uwagę, że tylko 10 proc. firm w przypadku ataków współpracuje z policją czy agencją detektywistyczną. Firmy często boją się o tym, że wyjdzie na jaw fakt, że w doszło w niej do przestępstwa.



- Żaden polski bank nie traktuje kwestii bezpieczeństwa jako konkurencji. Środowisko bankowe spotyka się ze sobą i wymienia informacje odnośnie zagrożeń. W Związku Banków Polskich istniej program ZORO, który służy wymianie informacji i ostrzeganiu przed niebezpieczeństwem - zaznaczył Andrzej Koweszko.



- Również wszystkie platformy naszego typu współpracują ze sobą przy wymianie informacji o zagrożeniach. Jest to jednak współpraca zamknięta i nieformalna. Nie mamy programu typu ZORO, ale wymieniamy informacje na ten temat - dodał Marcin Chruszczyński.



Drugą część panelu rozpoczęto od omówienia rozwoju komunikacji elektronicznej pomiędzy przedsiębiorcą, a urzędami. Michał Gramatyka zaznaczył, że coraz więcej urzędów zaczyna dostosowywać usługi do potrzeb klientów i ich wygody. - Elektroniczna komunikacja urzędu z klientem to jednak trudna sprawa. Wstrzymano projekt elektronicznych dowodów osobistych z chipem, który pozwoliłby na identyfikację danej osoby w kontakcie z administracją. Tak naprawdę EPUAP, czyli elektroniczna platforma usług administracji publicznej, to jedyny system, który jest oddany do naszej dyspozycji. Cieszy się on zaufaniem ok. 40 tys. osób - tzn. tyle zostało zarejestrowanych tzw. profili zaufania. Powstała lista spraw, które można załatwić posługując się takim profilem. Jego utworzenie to tylko jedna wizyta we właściwym urzędzie. Osoba zainteresowana dostaje identyfikator i hasło, za pomocą których może się kontaktować się z urzędem. Przyznam jednak, że tak naprawdę to trudno za jego pomocą załatwić konkretną sprawę - powiedział uczestnik panelu.



Michał Gramatyka zwrócił uwagę na zasadniczy problem w Polsce - brak wymiany danych pomiędzy systemami tworzonymi na użytek poszczególnych organów administracji publicznej. - Są programy, które powiodły się w Polsce wręcz wzorcowo - np. dotyczące zakładania firmy czy przesyłania PIT-ów przez internet. Natomiast pomiędzy tymi systemami nie ma wymiany informacji. W Polsce nie ma takiego narzędzia, które istnieje chociażby w Estonii, gdzie funkcjonuje system wymiany informacji X-Road. Jest to platforma, na której dochodzi do wymiany danych pomiędzy wszystkimi systemami rządowymi. - Dopóki takie narzędzie w Polsce nie powstanie nie będziemy mogli mówić o skutecznym załatwianiu spraw urzędowych przez internet - podsumował Michał Gramatyka.



Estonia jest często stawiana za wzór w tej kwestii. Jednak stanowi ona również doskonały przykład potencjalnych zagrożeń. - Estonia była celem ataków hakerów. Teraz funkcjonuje tam NATO-wskie centrum doskonałości z zakresu cyberprzestępczości, które tak naprawdę koordynuje cyberbezpieczeństwo w całym rejonie Europy Środkowej i Wschodniej. Jest ono stawiane jako wzorzec dla centrum, które powstaje w Brukseli. Takie centra łączą trzy obszary: organy ścigania, naukę oraz przemysł. W Europie oprócz wspomnianego centrum istnieją jeszcze trzy takie ośrodki - wszystkie działają przy uniwersytetach. Są one finansowane w dużej mierze przez przemysł. W Polsce były próby powstania takiego centrum, ale niestety nieudane. Moim zdaniem jest ono potrzebne - powiedział Jerzy Kosiński.



O możliwości zaangażowania naukowców w powstanie takiego centrum i czy uczelnia mogłaby się zaangażować w ten projekt zapytano Tadeusza Wieczorka, kierownika Katedry Zarządzania i Informatyki Politechniki Śląskiej. - Formalnie oczywiście jest taka możliwość. Problem leży jednak po stronie zrozumienia przez państwo samej potrzeby stworzenia takiego centrum przeciwdziałania przestępstwom internetowym. Obawiam się, że weszłoby to w sferę decyzji politycznych, na jakie my jako uczelnia mamy bardzo niewielki wpływ. Natomiast ze względu na to, że idea jest naprawdę bardzo ciekawa sądzę, że po Europejskim Kongresie Gospodarczym moglibyśmy spróbować wyjść z taką propozycją.



O bezpieczeństwie systemów o architekturze chmury, kiedy do końca nie potrafimy zlokalizować miejsca danych czy informacji opowiedział Paweł Odor z firmy Kroll Ontrack. - Te firmy, których biznes jest związany z bezpieczeństwem np. systemami transakcyjnymi rzeczywiście inwestują w nie. Natomiast pozostałe przedsiębiorstwa nie traktują inwestycji w bezpieczeństwo jako koniecznego wydatku - często jest to pierwszy element w którym dokonuje się cięcia kosztów. Chmura jest tutaj doskonałym narzędziem do redukcji kosztów np. stanowisk pracy. Firmy, które korzystają z infrastruktury zewnętrznej nie są do końca w stanie określić gdzie są ich dane i czyją są one własnością . Często również nie wiadomo gdzie zlokalizowane są firmy oferujące takie usługi - mówi Paweł Odor. Jak podkreśla, bezpieczeństwo jest zawsze o dwa kroki w tył w stosunku do nowych technologii, które się pojawiają.



- My przez trzy lata budowaliśmy własną infrastrukturę. Nie korzystamy z chmury, ponieważ nie mamy takiej potrzeby. Jednak dla firmy, których biznes nie opiera się na internecie może to być dobre rozwiązanie - powiedział Marcin Chruszczyński.



- Allegro również korzysta z własnego zaplecza technicznego. Ale nie mogę zaprzeczyć, że początkowo nie rozważaliśmy takiej opcji. Jednak im większa organizacja, tym więcej aspektów przemawia za tym, aby rozwijać własną infrastrukturę - dodał Jakub Pepłoński.



- Administracja publiczna coraz głośniej mówi o tym, aby korzystać z chmury jako miejsca przechowywania danych. Chmura z punktu widzenia oszczędności może być rewelacyjnym rozwiązaniem. Problemem jest jednak kwestia prawna oraz odpowiedzi na pytanie kto jest tak naprawdę właścicielem tych danych oraz gdzie one są. Korzystanie z chmur jest powszechne w przypadku administracji w innych państwach np. z chmur korzysta rząd USA. Problem mógłby się pojawić natomiast w przypadku danych wrażliwych - dodał Michał Gramatyka.



W sprawie przestępczości związanej z wykorzystaniem tego zjawiska głos zabrał Jerzy Kosiński. - Dla policji jest to duże wyzwanie. Już widzimy, że przestępcy, którzy w Polsce dokonują przestępstw działają z terenu innych krajów. Przechowują swoje dane na serwerach, które często są przez nich dzierżawione, ale poprzez podstawione zagraniczne firmy. Funkcjonują hurtownie danych przestępczych, które znajdują się na uniwersytetach w różnych krajach, a tak naprawdę nikt na uniwersytecie nie wie kto za te dane odpowiada. Kolejny problem dla nas to kwestia dowodów. O ile jesteśmy w stanie przeprowadzić analizę na rzeczywistych nośnikach, to w momencie kiedy będziemy mieli do czynienia z danymi, które są przechowywane poza naszą jurysdykcją, możemy polegać albo na współpracy międzynarodowej, która będzie trwała bardzo długo, albo na administratorze danych.