W publikacji "CYBERTERRORYZM - nowe wyzwania XXI wieku" powstałej po ubiegłorocznej konferencji pod tym samym tytułem przedstawiłem referat "Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego".
Wymieniłem w nim między innymi kilka potencjalnych zagrożeń dla całego sektora bankowego, na których nadejście należy być przygotowanym. Cyberterrorystyczne ataki skierowane na sektor bankowy mogą między innymi skutkować:
- Zakłóceniem swobodnego przepływu środków pieniężnych;
- Zafałszowaniem danych dotyczących bieżącej sytuacji gospodarczej i finansowej;
- Manipulowaniem notowaniami kursowymi bądź giełdowymi;
- Odebraniem firmom i osobom prywatnym bieżącego dostępu do zgromadzonych środków;
- Zafałszowaniem informacji dotyczących poziomu zadłużenia;
- Kradzieżą i legalizacją znacznych sum.
Źródło: Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703
Najlepszą metodą zabezpieczenia się przed tego typu atakami jest przeciwdziałanie - wykrycie ataku zanim nastąpi i skuteczne przeciwdziałanie. Co jednak jeśli nie uda się go wykryć wcześniej? Czy banki są przygotowane na reakcję post factum?
23 lipca 2010
"Co", "Jak" i "Dlaczego"
Trafiłem ostatnio na kolejne ze świetnych (moim zdaniem) wystąpień na TED. Simon Sinek wyjaśnia w bardzo prosty sposób jak zdobywać innych, jak przekonywać ich do kupna produktów, zachęcać do swoich idei. Nie chodzi tu o komunikowanie "co" i "jak" należy robić ale o docieranie do wnętrza człowieka, do tłumaczenia "dlaczego".
To co mnie cieszy to fakt, że w swoich prezentacjach i artykułach dotyczących roli komunikacji w zarządzaniu bezpieczeństwem również zwracam uwagę na ten aspekt, jako kluczowy dla właściwego zabezpieczania informacji.
To co mnie cieszy to fakt, że w swoich prezentacjach i artykułach dotyczących roli komunikacji w zarządzaniu bezpieczeństwem również zwracam uwagę na ten aspekt, jako kluczowy dla właściwego zabezpieczania informacji.
22 lipca 2010
Symantyczne wyszukiwanie w praktyce
Gazeta.pl podała, że Google właśnie zakupiło kolejną firmę: Metaweb, która opracowała technologię symantycznego wyszukiwania.
Wygląda na to, że będzie to kolejna rewolucyjna składowa systemu. Cała idea opiera się na trosce by tym samym :obiektom" w sieci nadawać to samo znaczenie, niezależnie od formy w której jest to przedstawiane. Brzmi skomplikowanie? polecam obejrzenie krótkiej reklamówki firmy metaweb.
Wygląda na to, że będzie to kolejna rewolucyjna składowa systemu. Cała idea opiera się na trosce by tym samym :obiektom" w sieci nadawać to samo znaczenie, niezależnie od formy w której jest to przedstawiane. Brzmi skomplikowanie? polecam obejrzenie krótkiej reklamówki firmy metaweb.
21 lipca 2010
Walka z terroryzmem - "Przedobrzyliśmy"
Uruchomienie polskiego portalu zajmującego się antyterroryzmem zbiegło się w czasie z debatą o skali amerykańskiego programu walki z terroryzmem. Gazeta.pl opisała wyniki analiz zrobionych przez Washington Post z których wynikają między innymi następujące fakty:
- walką z terroryzmem zajmuje się 45 organizacji (nie licząc prywatnych firm)
- 854 tys. osób ma dostęp do tajnych informacji
- nikt nie potrafi zapanować nad tymi działaniami
Potężne wrażenie zrobił na mnie następujący wykres zbierający zakres zainteresowań poszczególnych 45 agencji:
Wniosek jest jeden i stale ten sam. Na bezpieczeństwo tak jak na technologie można wydać każde pieniądze, wykorzystać praktycznie nieograniczone zasoby. Jednak nie sztuka wydawać bez opamiętania - zarządzać bezpieczeństwem trzeba z głową, metodycznie, zgodnie z najlepszymi praktykami. Inaczej efekty będą zgoła przeciwne do zamierzonych - nie tylko agencje udławią się ilością przetwarzanych informacji i prowadzonych śledztw, ale równocześnie znacznie zwiększy się ryzyko infiltracji agentów przez nieprzyjaciół.
- walką z terroryzmem zajmuje się 45 organizacji (nie licząc prywatnych firm)
- 854 tys. osób ma dostęp do tajnych informacji
- nikt nie potrafi zapanować nad tymi działaniami
Potężne wrażenie zrobił na mnie następujący wykres zbierający zakres zainteresowań poszczególnych 45 agencji:
Wniosek jest jeden i stale ten sam. Na bezpieczeństwo tak jak na technologie można wydać każde pieniądze, wykorzystać praktycznie nieograniczone zasoby. Jednak nie sztuka wydawać bez opamiętania - zarządzać bezpieczeństwem trzeba z głową, metodycznie, zgodnie z najlepszymi praktykami. Inaczej efekty będą zgoła przeciwne do zamierzonych - nie tylko agencje udławią się ilością przetwarzanych informacji i prowadzonych śledztw, ale równocześnie znacznie zwiększy się ryzyko infiltracji agentów przez nieprzyjaciół.
20 lipca 2010
Cyfrowy dowód osobisty
Wolność panująca obecnie w internecie mnie przeraża. Nie, ze względu za zapędy rodem z Wielkiego Brata mające na celu kontrolowanie wszystkich aspektów życie czy brak poszanowania dla prywatności. Ze względu na panującą niekiedy w sieci pełną anarchię.
Można w sieci anonimowo pluć na przeciwników, korzystać łatwo z technik ukrycia swojej tożsamości podczas dokonywania przestępstw internetowych, umieszczać fałszywe informacje.
W dyskusjach często zwracałem uwagę na prawdopodobieństwo wytworzenia pewnych mechanizmów zaufanego uwierzytelniania się w sieci. Stworzenia jakiegoś rodzaju elektronicznych dowodów tożsamości, które zapanują nad istniejącą anarchią. No i okazało się, że rozwiązanie jest bliżej niż się spodziewałem. Howard Schmidt już zaproponował założenia dla takiego systemu.
Jestem zwolennikiem wolności, ale widzę równocześnie znaczną różnicę między wolnością a anarchią. Różnica polega na poszanowaniu wspólnych zasad etycznych. Gdy są ustalone i przestrzegane możemy mówić o wolności. Gdy mamy do czynienia z samowolką w stylu "hulaj dusza, piekła nie ma" mamy do czynienia z destrukcyjną anarchią. Mam wątpliwości czy "cyfrowe dowody osobiste" są najlepszym możliwych rozwiązaniem, niemniej w tym momencie nie znam alternatyw. Poszanowania dla innego człowieka i zasad etycznych nie można wymusić.
Można w sieci anonimowo pluć na przeciwników, korzystać łatwo z technik ukrycia swojej tożsamości podczas dokonywania przestępstw internetowych, umieszczać fałszywe informacje.
W dyskusjach często zwracałem uwagę na prawdopodobieństwo wytworzenia pewnych mechanizmów zaufanego uwierzytelniania się w sieci. Stworzenia jakiegoś rodzaju elektronicznych dowodów tożsamości, które zapanują nad istniejącą anarchią. No i okazało się, że rozwiązanie jest bliżej niż się spodziewałem. Howard Schmidt już zaproponował założenia dla takiego systemu.
Jestem zwolennikiem wolności, ale widzę równocześnie znaczną różnicę między wolnością a anarchią. Różnica polega na poszanowaniu wspólnych zasad etycznych. Gdy są ustalone i przestrzegane możemy mówić o wolności. Gdy mamy do czynienia z samowolką w stylu "hulaj dusza, piekła nie ma" mamy do czynienia z destrukcyjną anarchią. Mam wątpliwości czy "cyfrowe dowody osobiste" są najlepszym możliwych rozwiązaniem, niemniej w tym momencie nie znam alternatyw. Poszanowania dla innego człowieka i zasad etycznych nie można wymusić.
19 lipca 2010
Czemu i jak zarządzać ryzykami IT
Zarządzanie ryzykiem IT wciąż jest często traktowane jako coś innego, dziwnego, niezwykłego i często zbyt skomplikowanego lub zbyt odległego od profilu działalności organizacji. Wciąż znaczna część organizacji nie zarządza tymi ryzykami w sposób właściwy.
ISACA od jakiegoś czasu stara się zmienić ten stan, pokazuje, że de facto ryzyka IT mają wpływ na działalność każdego z przedsiębiorstw, że są nie tylko integralną częścią ryzyka operacyjnego, którym coraz częściej organizacje zaczynają zarządzać, a jest częścią wszystkich składowych systemu zarządzania ryzykiem w przedsiębiorstwach (Enterprise Risk Management). Wydała w tym celu zbiór dokumentów wchodzących w skład Risk IT Framework. Bardzo zachęcam do zapoznania się z tymi dokumentami, w szczególności z dokumentami:
- The Risk IT Framework
- The Risk IT Practitioner Guide
Ponieważ technologie IT dotykają wszystkich obszarów działalności organizacji nie można ich zastawiać samym sobie. Przedsiębiorstwa zarządzają ryzykiem kredytowym czy finansowym, z punktu widzenia operacji troszczą się o zapewnienie ciągłości, o bezpieczeństwa pracy, przeciwpożarowe... A bardzo często zupełnie pomijają to, co spina wszystkie obszary w jedną całość - technologie IT. Oraz wszystkie związane z tym podatności, które co rusz przypominają o swoim istnieniu, oczywiście w najmniej spodziewanych momentach.
ISACA od jakiegoś czasu stara się zmienić ten stan, pokazuje, że de facto ryzyka IT mają wpływ na działalność każdego z przedsiębiorstw, że są nie tylko integralną częścią ryzyka operacyjnego, którym coraz częściej organizacje zaczynają zarządzać, a jest częścią wszystkich składowych systemu zarządzania ryzykiem w przedsiębiorstwach (Enterprise Risk Management). Wydała w tym celu zbiór dokumentów wchodzących w skład Risk IT Framework. Bardzo zachęcam do zapoznania się z tymi dokumentami, w szczególności z dokumentami:
- The Risk IT Framework
- The Risk IT Practitioner Guide
Ponieważ technologie IT dotykają wszystkich obszarów działalności organizacji nie można ich zastawiać samym sobie. Przedsiębiorstwa zarządzają ryzykiem kredytowym czy finansowym, z punktu widzenia operacji troszczą się o zapewnienie ciągłości, o bezpieczeństwa pracy, przeciwpożarowe... A bardzo często zupełnie pomijają to, co spina wszystkie obszary w jedną całość - technologie IT. Oraz wszystkie związane z tym podatności, które co rusz przypominają o swoim istnieniu, oczywiście w najmniej spodziewanych momentach.
Subskrybuj:
Posty (Atom)