Robert Witeska: Testowanie podatności systemów pierwszą zaporą bezpieczeństwa

Robert Witeska: Zajmujemy się chronieniem naszych klientów pod kątem dziur systemowych, czyli ewentualnych podatności, które występują. Nasze rozwiązanie potrafi skanować wszystko, co ma adres IP i pokazać jakie są ewentualne dziury, podatności w aplikacji, urządzeniach sieciowych typu firewall, serwer, czy chociażby komputer PC. Zalecane jest wykonanie skanowania raz w tygodniu i wtedy jest generowany szczegółowy, bardzo zaawansowany raport, który posiada certyfikat ISO 2701, możemy wygenerować też certyfikat PCE. Raport pokazuje jak ważne są dziury w naszych aplikacjach, systemach, co haker mógłby z nimi zrobić, w skali od 1 do 10 jak ważne są te podatności i link do ich rozwiązania. To jest łatanie dziur, stary IOS, podatne hasło na serwerze, standardowe hasło na ruterze. W przypadku klientów, którzy nie posiadają takiego rozwiązania trudno zweryfikować czy infrastruktura IT jest bezpieczna czy nie. Nie możemy do końca spać spokojnie. Możemy mieć bardzo zaawansowany system firewall, bardzo rozbudowaną infrastrukturę  -wisienką na torcie jest skanowanie podatności, aby sprawdzić mimo wszystko czy na naszych nowych serwerach, ruterach jest na pewno najnowszy IOS – ważne aby był świeży.

Maciej Małek: Jeżeli klient chce mieć dostęp do swoich pieniędzy online to skąd wynika proponowana częstotliwość abyśmy co tydzień kompleksowo powtarzali całą operację?

RW: Jeśli chodzi o klienta to jest dla niego najważniejsze, aby bank, z którego korzysta, był bezpieczny. Nie zdaje sobie sprawy jaką bank posiada infrastrukturę. Pod względem prestiżu ważne jest to dla banku. Cały czas słyszymy, że na świecie mają miejsce ataki hakerów. Proszę pamiętać o tym, że jeszcze 15 lat temu hakerzy włamywali się do różnego rodzaju organizacji rządowych, finansowych tylko po to, aby pozostawić swój nick – nazwę – aby się pochwalić tym, jakiego wirusa skonstruowali, w celu pokazania swojej rangi. W tym momencie nikt nie ujawnia takich informacji bo każdy wie, że atak hakerów przeprowadza się po to, aby zarabiać pieniądze. Można na chińskich stronach wykupić atak dedos czy sql, który można wykonać za 10 dolarów. Atak na organizację, której nie lubimy, na konkurencję. Wszystko po to, aby pokazać ich słabość – o to głównie chodzi, aby pokazać, że nasza organizacja jest bezpieczna.

MM: Awers opisanego przez pana procesu stanowi reputacja, która podobno nie ma ceny. Jej rewersem jest tożsamość. Kluczem do problemu jest kradzież tej tożsamości. Jak ją zatem skutecznie chronić?

RW: Chronić bardzo zaawansowanymi systemami bezpieczeństwa, jak również najnowszymi updatami wszystkich softwearowych urządzeń w naszej infrastrukturze. To właśnie robimy i dzięki naszemu rozwiązaniu jesteśmy w stanie wiedzieć jak wygląda nasza infrastruktura i mieć na tym panowanie. Nie można myśleć, że nasza infrastruktura jest bezpieczna bo kupiliśmy sprzęt informatyczny i nic więcej już nie musimy przy nim robić. Proszę pamiętać, że podatności pojawiają się każdego dnia. Jeśli dziś zrobimy update systemu, nie jesteśmy do końca pewni czy mimo wszystko jutro czy pojutrze nie pojawią się nowe podatności.

MM: Czyli jest to praca ciągła i nie momentu, w którym moglibyśmy ją uznać za zakończoną?

RW: Nigdy nie będziemy w 100 procentach bezpieczni. Musimy zatem jak najbardziej minimalizować ryzyko włamania przez hakerów. Pamiętajmy, że jest to ogromny biznes. Nie będzie więc sytuacji, kiedy wszystko się ustabilizuje. Wszystko rośnie lawinowo, rok do roku nawet o 15 procent – jeśli chodzi o systematyczność i wielkość ataków hakerów. Zatem róbmy wszystko abyśmy byli bezpieczni.

MM: Rozwój bankowości mobilnej sprawia, że tym rynkiem zainteresowały się chociażby telekomy. Czy w tym zakresie wymogi bezpieczeństwa i pewien poziom dojrzałości, na którą banki pracowały przez lata również jest zachowywany?

RW: Musimy pamiętać o tym, że smartfony to w tym momencie komputery. Nie jest to już telefon, który służył do rozmów i wysyłania smsów. Teraz jest to komputer, za pomocą którego możemy się zalogować do swojego banku i musimy pamiętać, aby smartfon również chronić pod względem bezpieczeństwa. Nasza firma akurat tego nie robi ale polecam rożnego rodzaju programy antywirusowe aby zabezpieczać telefony przed ewentualnymi atakami i wirusami, które mogą wyłudzić od nas hasło lub doprowadzić do tego, że przekierujemy pieniądze do niewłaściwych odbiorców.

MM: Jak szeroki – myślę o zasięgu zjawiska –  jest proceder, który polega na tym, że ktoś się loguje do strony i nie zauważa, że to nie jest strona jego banku?

RW: Nie wiem. Trzeba by doczytać badania na ten temat. Ale myślę, że to jest duże zagrożenie – wszystkie banki teraz o tym informują. Na pewno jest to duży problem u ludzi starszych, którzy nie mają dużego doświadczenia, nie są oczytani w prasie, którą powinni czytać i są to osoby, które mogą być narażone. Tym bardziej, że osoby starsze nie do końca zabezpieczają swoje komputery. Często jest tak, że nie mają nawet antywirusa na komputerze.

MM: Czyli chciałoby się powiedzieć: „Wnuczku edukuj dziadka”.

RW: Myślę, że tak.  

aleBank.pl

Zobacz rozmowę w wersji wideo: „Robert Witeska: Testowanie podatności systemów pierwszą zaporą bezpieczeństwa „