Wpis dzisiejszy nie będzie moim manifestem jako zwolennika albo przeciwnika jakiegokolwiek obozu politycznego. Wpis ten będzie szeregiem osobistych spostrzeżeń dotyczących tego, co funkcjonuje nie tak jak powinno nie tylko w strukturach naszego państwa, ale również w sektorze prywatnym – jakkolwiek rozumianym.
bezpieczeństwo przedsiębiorstwa
Heartbleed i 2FA
Znajomi pytają mnie co myślę o ostatnim katakliźmie interenetowym związanym z luką OpenSSLa, więc dziś chciałbym podzielić się z Tobą jedną z moich refleksji. Trzeba się pogodzić z tym, że co jakiś czas jakieś hasło gdzieś z czegoś wycieknie – taka jest natura technologii oraz mnogich i skomplikowanych rozwiązań z nimi związanych. Nie da się przed tym uciec. Ale można potenacjalne ryzyko zminimalizować. I tutaj nie wskażę na nic odkrywczego – dla każdego konta inne hasło powinno być takim samym standarem higieny jak zakładanie codziennie rano świeżych skarpetek. Ale czy można zrobić coś więcej? Oczywiście, że tak.
Advanced Persistent Threats (APT)
Ostatnimy czasy coraz wyraźniej dostrzec można rosnącą liczbę ofiar zagrożeń jakimi są APT. Tłumacząc dosłownie to zaawnsowane trwałe zagrożenia. Tłumaczenie to jest dalekie od ideału, ale pozwala wskazać o co w przypadku APT chodzi – cyberprzestępcy wybierają sobie na ofiarę jeden konkretny podmiot, np. instytucję lub przedsiębiorstwo. W tym konkretnym podmiocie, po wstępnej inwigilacji, bardzo często wybierają jedną konkretną osobę, która stanie się wektorem ataku i posłuży do tego, by na strannie wyselekcjonowanej ofierze po prostu zarobić możliwie jak najwięcej (nie czarujmy się – wiekszość tego typu ataków to dobrze skalkulowane przedsięwzięcia zarobkowe). Co się dzieje dalej?
Z laptopem przez granicę (prawa)
Ten widoczny po lewej stronie mężczyzna nazywa się Howard Cotterman i jest bohaterem historii, o której Tobie dziś opowiem. Nie będę tutaj pisał o różnicach w prawie amerykańskim czy objaśniał tamtejszych instytucji. Chcę pokazać Tobie krótką historię wraz z morałem, która pokazuje do czego przydatna może być kryptografia w życiu prywatnym jak i zawodowym. Żeby było jasne – absolutnie potępiam pedofilów, do których zalicza się Cotterman. Co nie oznacza, iż uważam wchodzenie z buciorami przez Państwo i jego służby w naszą prywatność, za uzasadnione.
O prognozach zagrożeń na 2014 rok w branży ICT
Jak co roku, od pewnego czasu pojawiają się kolejne prognozy wskazujące jaka cybernetyczna plaga tym razem będzie najgorszą i najbardziej krwawą dla naszych kieszeni i przedsiębiorstw. W ich natłoku można się zagubić (często bowiem raporty od siebie odbiegają), a po drugie zapomnieć o najważniejszym – tak jak rozwijają się i powstają nowe formy znanych wcześniej lub pionierskich zagrożeń, tak my po jasnej stronie mocy musimy rozwijać nie tylko oprogramowanie czy urządzenia zabezpieczające.
Kryptografia a SZBI
Gospodarki i firmy z całego świata przetwarzają dziś coraz więcej informacji. Ale zwiększa się nie tylko ilość informacji, ale przede wszystkim jej wartość. Dziś opowiem trochę o roli, jaką pełni kryptografia w Systemach Zarządzania Bezpieczeństwem Informacji (SZBI) wdrażanych w przedsiębiorstwach.
SZBI to takie zasady BHP mówiące jak obchodzić się z informacją w organizacji.
Czym i jak bezpiecznie szyfrować dane
W poprzedniej notce wskazałem na istotny brak w zabezpieczeniach systemów informatycznych wielu przedsiębiorstw polegający na fizycznym nieszyfrowaniu przetwarzanych danych. Dziś omówię najważniejsze zagadnienia związane z wyborem typu oraz sposobu rozwiązań kryptograficznych możliwych do wdrożenia. Zasygnalizuję też najważniejsze problemy, które należy wziąć pod uwagę, by uniknąć niebezpiecznych dla Ciebie sytuacji już po wdrożeniu kryptografii. Aby to zrobić, musisz odpowiedzieć sobie na trzy podstawowe pytania: jak szyfrować, czym szyfrować i jak to wdrożyć.