(Cyber)bezpieczeństwo przede wszystkim

W czasach, gdy do prowadzenia firmy może być potrzebny wyłącznie komputer i dostęp do internetu, zmienia się podejście do kwestii dbania o kluczowe, zdigitalizowane zasoby, takie jak choćby dane klientów czy informacje finansowe. O tym, jaki wpływ na ich bezpieczeństwo może mieć zwykły pracownik, specjalista IT i kierownik przedsiębiorstwa, opowiada mgr inż. Marek Janiszewski, prowadzący zajęcia w ramach studiów podyplomowych Ochrona Informacji w Sieciach i Systemach Teleinformatycznych:  Projektowanie i Audyt Zabezpieczeń na Wydziale Elektroniki i Technik Informacyjnych PW.

Jaki jest najczęstszy błąd w myśleniu o bezpieczeństwie w sieciach i systemach teleinformatycznych?

Najbardziej ogólna, ale i nieco przewrotna odpowiedź, to brak wiedzy. U różnych użytkowników wyraża się on jednak w odmienny sposób.

W czym ten brak wiedzy może się przejawiać i jakie ma konsekwencje?

W przypadku zwykłych użytkowników kluczowym problemem jest brak świadomości zagrożeń, a także przesadna wiara w skuteczność i wszechstronność standardowych rozwiązań do zapewnienia bezpieczeństwa użytkowników, takich jak chociażby programy antywirusowe. W działaniach programistów brak wiedzy może być powodem brzemiennego w skutkach pomijania aspektu bezpieczeństwa od samego początku procesu tworzenia oprogramowania. Na poziomie administratorów systemów IT braki w wiedzy mogą objawiać się niewystarczającą analizą danego systemu pod kątem bezpieczeństwa w perspektywie całej organizacji, będącą na przykład wynikiem nieprzeprowadzania rzetelnych audytów oraz braku ciągłego nadzoru. Z kolei na poziomie kadry zarządzającej i właścicieli przedsiębiorstw niewiedza najczęściej skutkuje przekonaniem, że aby zwiększyć poziom bezpieczeństwa, wystarczy zakupić nowe narzędzie. Zapomina się o konieczności jednoczesnego wdrożenia odpowiednich procesów zarządzania i kompleksowego spojrzenia na bezpieczeństwo.

Czy istnieje schemat, który może pomóc rozwiązać wymienione problemy?

To może być zastosowanie paradygmatu bezpieczeństwa wielowarstwowego, zwanego potocznie cebulowym. Zakłada on, że odpowiedni poziom cyberbezpieczeństwa może być zapewniony jedynie w sytuacji, gdy będzie istniało wiele współdziałających mechanizmów, procesów i narzędzi. Podążając dalej tym tokiem rozumowania, ważna jest zarówno świadomość oraz edukacja użytkowników, jak i systemy bezpieczeństwa działające na stacjach roboczych, serwerach i w ramach sieci. Tworzenie oprogramowania z uwzględnieniem aspektu bezpieczeństwa ma także niebagatelne znaczenie. Ponadto szczególnie istotny jest nadzór nad zdarzeniami i incydentami bezpieczeństwa. Bardzo ważne jest także dokonywanie kompleksowych audytów, testów infrastruktury i oprogramowania oraz zarządzanie bezpieczeństwem. Odpowiedni poziom bezpieczeństwa może być zapewniony tylko dzięki połączeniu wymienionych elementów.

Skoro brak wiedzy jest grzechem głównym prowadzącym do zaniedbań, wydaje się, że edukowanie może być skuteczną bronią w walce o zapewnienie cyberbezpieczeństwa.

Ważne jednak, żeby edukacja w tym zakresie uwzględniała różnorodne perspektywy: zwykłego użytkownika, programisty, administratora, kierownictwa przedsiębiorstwa. Nie wolno zapominać o kontekście bezpieczeństwa krajowego i międzynarodowego. 

Wiele kursów w dziedzinie cyberbezpieczeństwa – także tych, które wykorzystują aspekt praktyczny – ma znaczną wartość, jednak zwykle skupiają się tylko na wybranym aspekcie, np. testowaniu aplikacji webowych czy białym wywiadzie (OSINT). Studia podyplomowe Ochrona Informacji w Sieciach i Systemach Teleinformatycznych:  Projektowanie i Audyt Zabezpieczeń wyróżniają się na ich tle wieloaspektowością. To studia zarówno dla osób, które już mają pewne doświadczenie w tym obszarze i chcą znacząco rozbudować, a przede wszystkim ustrukturalizować i poszerzyć swoją wiedzę i umiejętności, ale także dla tych, którzy chcą zdobyć umiejętności przydatne w codziennej pracy związanej z szeroko pojętą sferą IT.

Czy rośnie świadomość dotycząca kwestii bezpieczeństwa w świecie cyfrowym? 

Kiedy 6 lat temu rozpoczynaliśmy pierwszą edycję studiów podyplomowych, ta tematyka nie była aż tak popularna jak obecnie. Rozwój technologiczny i coraz silniejsza zależność od ogromnych, cennych zbiorów danych sprawiła, że użytkownicy na każdym szczeblu zaawansowania zaczęli zdawać sobie sprawę z konieczności zadbania o kwestie bezpieczeństwa. Widzimy to prowadząc studia dla kolejnych grup uczestników, nabraliśmy dużego doświadczenia w efektywnym przekazywaniu wiedzy przez naszych wykładowców, ekspertów w swojej dziedzinie. 

* * * 

Studia podyplomowe Ochrona Informacji w Sieciach i Systemach Teleinformatycznych:  Projektowanie i Audyt Zabezpieczeń łączą w sobie zagadnienia z obszarów takich jak: kryptografia, teleinformatyka, przeprowadzanie testów penetracyjnych, tworzenie oprogramowania, zarządzanie bezpieczeństwem oraz aspekty prawne. Każdy z przedmiotów prowadzonych w ramach studiów cechuje się unikalną wartością. 

Doskonałym przykładem jest przedmiot Audyt Sieci i Bezpieczne Oprogramowanie. Oprócz zajęć czysto wykładowych, zredukowanych do niezbędnego minimum, kładzie się nacisk na zajęcia w formie warsztatów i laboratoriów, w ramach których uczestnicy realizują, przy wsparciu prowadzącego, zadania polegające na rzeczywistej ocenie poziomu bezpieczeństwa badanych systemów lub oprogramowania. Zadania mają rosnący poziom trudności, a jednocześnie w efektywny sposób odwzorowują złożoność realnych systemów. Uczestnicy zaznajamiają się z technikami i narzędziami praktycznej weryfikacji bezpieczeństwa oprogramowania, systemów i sieci w odniesieniu do poszczególnych faz procesu audytu. Omawiane są specyficzne techniki ataków i mechanizmy zabezpieczeń w odniesieniu do różnych typów aktywów. 

W ramach wszystkich zajęć prowadzący służą wskazówkami, a na końcu każdego z nich przedstawiają całościowe rozwiązanie wraz ze szczegółowym omówieniem wyników. 

Ukoronowaniem przedmiotu jest ośmiogodzinne laboratorium: testy kompleksowe, podczas których uczestnicy otrzymują dostęp do złożonego środowiska, składającego się z różnorodnych maszyn IT. Są w nim zastosowane różne mechanizmy bezpieczeństwa (także bardzo niestandardowe i unikalne), ale także występują różne podatności umożliwiające zdobycie dostępu do poszczególnych maszyn. Pewną część z tych podatności uczestnicy mają okazję poznać w ramach poprzedzających zajęć, natomiast część z nich jest całkowicie nowa. W ramach wykonywanego audytu uczestnik musi zastosować szerokie spektrum technik i narzędzi poznanych wcześniej w ramach przedmiotu. Musi także wykazać się spostrzegawczością i nieszablonowym myśleniem, niezbędnym w zawodzie audytora/testera bezpieczeństwa. Ponieważ laboratorium jest całkowicie zwirtualizowane, istnieje możliwość korzystania z niego nawet kilka miesięcy po zakończeniu studiów, co samo w sobie stanowi cenną wartość i pozwala na dalsze ćwiczenie umiejętności (szczególnie jeśli ze względu na złożoność środowiska nie byłoby możliwe przećwiczenie wszystkich szczegółowych aspektów w trakcie zajęć).

Zapisy na kierunek trwają do 15 października. Więcej informacji znajduje się na stronie studiów podyplomowych.