Te zahteve uvajajo zavezujoče obveznosti v zvezi s:

• kibernetsko varnostjo (3.3 d),
• zaščito osebnih podatkov (3.3 e),
• zaščito pred goljufijami (3.3 f).

Storitve SIQ na področju skladnosti s kibernetsko varnostjo

V SIQ Ljubljana nudimo širok in celovit nabor storitev s področja kibernetske varnosti, ki pokrivajo tako potrebe na ravni izdelkov kot organizacij. Naše dejavnosti vključujejo:

• Preskušanje kibernetske varnosti izdelkov (trenutno predvsem po standardih EN 18031-x in ETSI EN 303 645 ter v skladu s prihajajočimi zahtevami RED). SIQ je tudi priglašeni organ za področje 3.3 d, e, f v okviru Direktive RED.
• Izvajanje penetracijskih testov (kibernetskih testov) na omrežjih, spletnih in mobilnih aplikacijah (za bančni sektor, zavarovalnice, proizvajalce ipd.).
• Ocenjevanje in certificiranje sistemov informacijske varnosti po standardih ISO 27001, ISO 22301.
• Izvedba pregledov in preverjanj skladnosti informacijskih sistemov z lokalno in evropsko zakonodajo po naročilu.
• Usposabljanje kadrov za procese informacijske varnosti.

Ozadje 3. člena Direktive RED – kaj se spreminja?

Direktiva Evropske komisije o radijski opremi (2014/53/EU) določa osnovne zahteve za:

• varovanje zdravja in varnost,
• elektromagnetno združljivost (EMC),
• učinkovito uporabo radijskega spektra.

1. člen (3.3) uvaja dodatne zahteve za določene kategorije radijske opreme. Dne 12. januarja 2022 je EU sprejela Delegirano uredbo (EU) 2022/30, ki aktivira 3.3 (d), (e) in (f) z obveznim datumom skladnosti 1. avgusta 2025. Ta uredba uveljavlja ključne določbe glede:

• kibernetske varnosti,
• zaščite osebnih podatkov in
• preprečevanja goljufij

za vse ustrezne brezžične naprave, ki vstopajo na trg EU.

Proizvajalcem je bil namenjen 42-mesečni prehodni rok, od februarja 2022 do avgusta 2025, da uskladijo svoje izdelke in dokumentacijo z novimi zahtevami.

V primeru preskušanja skladnosti ali sodelovanja priglašenega organa so za natančno oceno potrebni določeni začetni tehnični podatki in dokumentacija o izdelku. Naši strokovnjaki vas bodo z veseljem vodili skozi celoten postopek.

Naj vam pomagamo zagotoviti, da bodo vaši izdelki pripravljeni na kibernetske izzive prihodnosti.

Več informacij:

Jože Novak
E-pošta: joze.novak@siq.si
Tel.: +386 1 4778 034

The post Kibernetska varnost in Direktiva o radijski opremi (RED): v veljavi nove zahteve s področja kibernetske varnosti appeared first on SIQ.

Povezljivost naprav (IoT) je eden ključnih elementov sodobnega digitalnega ekosistema tako v vsakdanjem življenju kot tudi v poslovanju. Ko govorimo o pametnih domovih, povezljivih industrijskih sistemih ali uporabi v zdravstvu, postaja varnost teh naprav glavno in najpomembnejše vprašanje tako proizvajalcev kot tudi končnih uporabnikov. Razvoj kibernetske varnosti budno spremljajo in usmerjajo različne regulative, izvajanje varnostnih pregledov in penetracijskih testov na strani proizvajalcev pa je bistvenega pomena za zagotavljanje varnosti in zanesljivosti.

V zadnjih letih je Evropska unija doživela izjemno povečanje kibernetskih napadov, ki so ogrozili varnost in stabilnost digitalnega prostora. Od leta 2022 do danes je bilo zabeleženih več milijonov napadov na različne sektorje in organizacije. Posebej zaskrbljujoče je povečanje števila kibernetskih napadov, usmerjenih neposredno na povezljive naprave, ki so postale del našega vsakdanjega življenja in gospodarstva. Čeprav natančna statistika o številu napadov na povezljive naprave morda ni na voljo, pa je jasno, da te predstavljajo pomembno tarčo za kibernetske napadalce, saj lahko napadi nanje povzročijo škodo tako na individualni kot na sistemski ravni.

Proizvajalci bodo morali dokazovati skladnost s standardi

Prvi praktičen obramben korak na strani EU je bil dodatek 3.3 k obstoječi direktivi za radijsko opremo RED 2014/53/EU, ki postavlja zahteve za radijsko opremo, vključno s povezljivimi napravami. Medtem ko je bil prvotni poudarek te direktive na tehnični združljivosti in učinkovitosti radijskega spektra, je vedno bolj v ospredju tudi varnost. Nove zahteve direktive bodo stopile v veljavo predvidoma s 1. 8. 2025, ko bodo proizvajalci širokega spektra povezljive opreme postali primorani dokazovati skladnost tudi na področju kibernetske varnosti.

Proti koncu leta 2024 se pričakuje tudi potrditev Akta o kibernetski odpornosti (Cyber Resilience Act – CRA), ki bo še dodatno okrepil zahteve za varnost povezljivih naprav. Zahteval bo celovit pristop k varnosti v digitalnem prostoru, vključno z rednimi pregledi in testiranjem, da bi se zagotovila sistemska odpornost proti kibernetskim napadom.

Poglaviten izziv za celoten ekosistem je, kako zagotoviti skladnost in kateri so relevantni standardi. Regulativa namreč opisuje veliko aktivnosti in ciljev, ki bodo morali biti izpolnjeni, ne opredeljuje pa dejanskih metod in postopkov. Prav tako ni še veliko primerov dobrih praks niti jasnih navodil nacionalnih regulatorjev (primer FDA za medicinske naprave v Združenih državah Amerike). Na tehničnem nivoju bo potreben razvoj dodatnih standardov za pokritje različnih novih storitev in izdelkov (na primer spletne ali mobilne aplikacije).

Trenutno se uporabljajo obstoječi standardi, ki pokrivajo določene aspekte ali proizvode, a bodo ti v večji meri v bližnji prihodnosti nadgrajeni. Najdemo jih v različnih industrijah, vključno s potrošniško elektroniko, medicinsko tehnologijo in industrijsko avtomatizacijo.

Standardi

• Standard EN 303 645 se osredotoča na varnost povezljivih naprav v potrošniškem sektorju. Določa zahteve glede varnosti podatkov, varnosti komunikacijskih povezav in zagotavljanja zasebnosti uporabnikov.
• Standard ISA/IEC 62443 je namenjen varnosti industrijske avtomatizacije in nadzora. Vključuje celovit pristop k varnosti, ki zajema tako tehnične kot organizacijske vidike varnosti informacijskih sistemov.
• Standard IEC/EN 81000-5-1 se osredotoča na zahteve za varnost programske opreme v medicinskih napravah in je ključnega pomena za zagotavljanje procesov in izpolnjevanja osnovnih tehničnih zahtev varnosti. Standard predvideva tudi penetracijske teste na samih medicinskih napravah.

Penetracijski testi za učinkovito borbo proti grožnjam in sistemski pristop k upravljanju varnosti

Organizacija OWASP (Open Web Application Security Project) redno izdaja sezname najpogostejših ranljivosti v različnih digitalnih okoljih, vključno z internetom stvari (IoT). Njihov seznam OWASP IoT Top 10 identificira najbolj kritične ranljivosti, ki ogrožajo varnost povezljivih naprav in njihovih sistemov. Da bi se učinkovito borili proti tem grožnjam, je ključno izvajati ustrezne teste, ki odkrivajo in odpravljajo te ranljivosti.
Medtem ko je izvajanje varnostnih pregledov in penetracijskih testov pomembno za zagotavljanje varnosti povezljivih naprav, pa je na drugi strani pomembno tudi, da organizacije vzpostavijo celovite sisteme upravljanja informacijske varnosti. Med najbolj priznanimi je standard ISO 27001.

ISO 27001 zagotavlja okvir za vzpostavitev, izvajanje, vzdrževanje in stalno izboljševanje sistema upravljanja informacijske varnosti v organizaciji. Ta standard zajema širok spekter dejavnosti, vključno s politikami, postopki, varnostnimi ukrepi in upravljanjem tveganj, ki so bistveni za učinkovito zaščito informacijskih sredstev. S celovitim pristopom standard zajame celotno organizacijo, ne le IT oddelek. Koristi uvedbe imajo ljudje, tehnologija in procesi.

Kam se lahko obrnete po pomoč?

Na SIQ Ljubljana podjetjem in organizacijam nudimo celovite storitve na področju informacijske varnosti, s katerimi vam pomagamo zagotoviti najvišjo raven varnosti vašega poslovanja. Od običajnih penetracijskih testov do testov IoT naprav ter varnostnih in revizijskih pregledov, certificiranja sistemov vodenja informacijske varnosti in usposabljanja zaposlenih.

Varnostni pregledi, penetracijski testi in drugi varnostni postopki so pomembni koraki pri doseganju skladnosti z zakonskimi zahtevami in zagotavljanju trajne odpornosti proti kibernetskim grožnjam. Rezultat celovitega pristopa je zagotavljanje neprekinjenega poslovanja, ki je danes ključnega pomena za ohranjanje ugleda in zaupanja.

Več informacij

The post Kibernetska (ne)varnost povezljivih naprav appeared first on SIQ.

• kako dosegati pričakovanja in zahteve kupcev avtomobilske industrije,
• kako zagotavljati visoko kakovostne izdelke, ki izpolnjujejo ali presegajo pričakovanja strank,
• kako ravnati z informacijami občutljive narave, kako zagotavljati zahtevano raven varovanja informacij ter
• kako ohranjati in nadgrajevati znanje ter kompetence zaposlenih, da bomo lahko izpolnjevali vsa ta pričakovanja in zahteve.

V AVTOMOBILSKI INDUSTRIJI podjetja izmenjujejo ogromno INFORMACIJ OBČUTLJIVE NARAVE, ki  jih je treba ZAŠČITITI pred krajo, izgubo ali nepooblaščenim dostopom in spreminjanjem. INFORMACIJSKA VARNOST zato postaja eden ključnih DEJAVNIKOV KONKURENČNOSTI in celo že ODLOČILEN dejavnik pri odločanju kupcev za določenega dobavitelja.

Danes večina avtomobilskih proizvajalcev od dobaviteljev zahteva poznavanje, razumevanje in implementacijo zahtev izhodiščnega standarda za sistem upravljanja informacijske varnosti ISO/IEC 27001. Zato lahko le organizacije, ki imajo vpeljane ustrezne varnostne mehanizme in katerih zaposleni imajo ustrezna znanja in dokazljivo stopnjo kompetenc, svojim naročnikom zagotavljajo, da bodo njihove zahteve po kakovosti in informacijski varnosti izpolnjene.

Dogodek smo organizirali skupaj s SRIP ACS+, s katerim nas povezuje dolgoročno sodelovanje. Cilj tokratnega sodelovanja je povezovanje partnerjev SIQ in članov SRIP ACS+.

Gostje iz prakse so podali aktualne in v prakso prenosljive informacije.

Prvi gost strokovnega srečanja mag. Janez Bauer (vodilni presojevalec in predavatelj na SIQ) je poudaril pomen dviga ravni varovanja informacij in zaupanja v partnerski verigi avtomobilske industrije. V avtomobilski industriji, kjer podjetja izmenjujejo ogromno podatkov občutljive narave, ki jih je treba zaščititi pred krajo, izgubo ali spreminjanjem, je informacijska varnost odločilen dejavnik konkurenčnosti.

Srečanje je nadaljeval Anton Petrič (SIQ-predavatelj, strokovni vodja Šole kakovosti – Skrbnik sistema vodenja kakovosti in direktor direkcije za skupne zadeve v TPV Automotive d.o.o., ki je član SRIP ACS+).

TPV Automotive je nosilec različnih certifikatov za sisteme vodenja (IATF 16949, 9001, 14001, 45001). Je razvojni dobavitelj v avtomobilski industriji. V njihovih programih razvijajo in proizvajajo izdelke, ki pomembno vplivajo na vozno dinamiko, varnost, ekološkost in udobje pri vožnji.

Anton Petrič je na kratko orisal proces pristopa k implementiranju zahtev TISAX®. Poudaril je, da so k bolj sistematičnemu pristopu implementacije pripomogle izkušnje iz že uvedenih  sistemov vodenja ter predhodno že implementirane zahteve informacijske varnosti po ISO 27001, kar jim je služilo kot odlična opora za nadgradnjo sistema. Izpostavil je tudi, kako pomembni so podpora vodstva, razumevanje kompleksnosti implementacije zahtev v prakso ter ozaveščanje zaposlenih in pridobivanje ustreznih kompetenc oziroma strokovnih znanj.

Srečanje je zaključil Mišo Pavič (vodja IT službe v odelo Slovenija d.o.o.). Odelo je eden vodilnih proizvajalcev avtomobilskih svetlobnih teles z visokokakovostnimi izdelki, prvovrstno storitvijo in inovativnimi tehnologijami. Skupina odelo razvija in proizvaja sisteme zadnjih luči za avtomobilsko industrijo na desetih lokacijah po vsem svetu. Tudi odelo je nosilec različnih certifikatov za sisteme vodenja (IATF 16949, ISO 9001, 14001, 27001, 45001, 50001 in TISAX®). Mišo Pavič je predstavil, kako so se v njihovi praksi lotili izziva, ki jim ga je zastavil kupec. Poudaril je pomen uvedbe TISAX®-a v organizacijo, saj s tem dokazujejo, da je njihovo upravljanje informacijske varnosti skladno z opredeljeno ravnijo varnosti.

Vabljeni, da si ogledate posnetek strokovnega srečanja.

The post Izvedli smo e-strokovno srečanje: Zagotavljanje zahtevane informacijske varnosti v avtomobilski industriji – sistem upravljanja varovanja informacij po zahtevah nove izdaje TISAX® VDA ISA 6.0 appeared first on SIQ.

S sofinanciranjem ključnega področja digitalizacije, kibernetske varnosti, bo vaša organizacija povečala konkurenčnost in kompetence ter s tem povišala prihodke od prodaje. Na voljo je do 9.999,00 EUR nepovratnih sredstev za penetracijsko testiranje ter 5.000,00 EUR nepovratnih sredstev za sistemski varnostni pregled.

Cilj varnostnih pregledov je identificirati področja, ki jih je s stališča varnosti informacijskih sistemov potrebno izboljšati. SIQ Ljubljana s svojo ekipo izkušenih strokovnjakov s področja informacijske varnosti izvaja celovit nabor varnostnih pregledov. Kontaktirajte nas in skupaj bomo našli najboljšo rešitev za vašo organizacijo.

Več informacij najdete tudi na DIH Slovenija ali Slovenski podjetniški sklad.

The post Vavčerji za kibernetsko varnost so ponovno na voljo appeared first on SIQ.

Zahvaljujemo se vam, da ste bili ponovno z nami, v živo in on-line.

SIQ Ekipa informacijske varnosti

Infosek 2020

The post Veliki: koliko jim lahko zaupamo? appeared first on SIQ.

Omenili smo že, da v praksi naletimo tudi na zgledno varnostno utrjene sisteme, ki ne dovoljujejo poljubne komunikacije z zunanjimi, zaupanja nevrednimi viri. V najboljšem primeru izvajalec varnostnega preizkusa, v najbolj črnih scenarijih pa heker ali vnesena škodljiva koda, skušajo potemtakem svojo priložnost iskati v legitimnih komunikacijskih poteh (npr. HTTP(S), RDP, SMTP ipd.).

Z modernejšimi varnostnimi pristopi je mogoče zakrivanje poskusov t.i. tuneliranja relativno enostavno zaznati in ustrezno preprečiti že na omrežni ravni. Enako velja tudi za protokolno ter aplikativno inspekcijo protokola DNS, kjer pa se ta pogosto – enako smo nanjo namerno pozabili v predhodnem blogu – znajde na stranskem tiru. Za nazornejši prikaz problematike podajamo atraktiven opis orodja, sicer prosto dostopnega na svetovnem spletu, ki omogoča prikrito upravljane oddaljenega sistema oz. eksfiltriranje podatkov iz njega.

Najprej pa se vrnimo k osnovam. Podporna storitev DNS velja v internetnem svetu za nepogrešljivo in jo v razlagah radi primerjamo s tradicionalnim telefonskim imenikom. Omogoča namreč razreševanje spletnih naslovov (npr. naprav ali storitev) v njihove dejanske internetne naslove, ki jih povezani informacijsko-komunikacijski sistemi uporabljajo za medsebojno sporazumevanje. Ugotavljamo, da je prav razširjenost koncepta DNS najverjetnejši razlog za ustvarjeno zaupanje vanj ter njegovo šibko obvladovanje z vidika kibernetske varnosti. Izhodiščno ugotovitev želimo na tem mestu še nadgraditi; menimo, da je analiza DNS povpraševanj v tipičnih organizacijah vse prej kot izkoriščen potencial.

Navajamo tri bistvene argumente za neprekinjeno spremljanje prometa DNS:

• Razširitev varnostne vidljivosti znotraj organizacije na poljuben tip komunikacije, ki za razreševanje izvorov in ciljev uporablja DNS (npr. HTTP(S), RDP, SSH oz. poljuben poskus odhodne povezave iz okužene naprave).
• DNS razreševanje uporablja tudi napredna škodljiva koda (npr. DGA – Domain Generation Algorithm).
• Integracija hibridnih varnostnih rešitev z namenskimi rešitvami za prepoznavanje domen s slabim ugledom (strok. Threat Intelligence).

Dobra novica za hekerja, tako etičnega kot zlonamernega, je praviloma dovoljena uporaba koncepta DNS tudi v najbolj zaprtih informacijskih okoljih. Prav slednje je zadosten vzvod za njegovo zlorabo v okoliščinah, ko oddaljeno upravljanje prek drugih (bolj intuitivnih) poti ni dovoljeno. Izkaže se, da velja za dovolj ohlapno že na pogled konservativnejša robna varnostna politika, ki dovoljuje navzgornjo komunikacijo izključno prek vrat UDP/53, z zgolj zaupanja vrednim primarnim strežnikom DNS. Še več, hierarhična zasnova koncepta DNS omogoča zanesljivo interakcijo med (ne)nadzorovano škodljivo kodo (v notranjem omrežju organizacije) in C2 komandnim strežnikom napadalca, četudi neposredna povezljivost z žrtvijo napada ne obstaja, ni dovoljena oz. je ta eksplicitno prepovedana z robno varnostno politiko (npr. požarne pregrade). Posebnost nazorneje prikažimo na primeru:

Napadalec mora za izvedbo takšnega napada registrirati domeno (zadošča enkraten strošek 2$), katere avtoritativni DNS strežnik obrne na C2 komandni strežnik v njegovi posesti. Na slednjem namesti zlonamerno orodje, katerega poslanstvo ni streženje legitimnih DNS odgovorov temveč interakcija z (ne)nadzorovano kodo na strani žrtve.

Z namenom prikaza tehnike smo registrirali domeno siq.best in uredili zapise po meri:

V nadaljevanju podajamo strnjen prikaz eksfiltracije občutljive datoteke z uporabo opisane tehnike:

Posebnost tehnike, ki jo naredi še toliko bolj prepričljivo ter učinkovito, je zakrivanje identitete (naslov IP ali FQDN) C2 komandnega strežnika skozi celoten potek eksfiltracije. Opazite, da je v zgornjem ukazu podano le ime domene, ne pa tudi naslov strežnika?

Kot je razvidno iz zajema prometa (uporaba orodja Wireshark) na strani simulirane žrtve, ta neposredno komunicira le s primarnim, zaupanja vrednim strežnikom DNS. Internetni naslov C2 komandnega strežnika, ki ima hkrati vlogo avtoritativnega strežnika DNS za napadalčevo domeno siq.best, v zajeti komunikaciji ne nastopa. Slednje korenito oteži zaznavo in preprečitev takšnega napada.

Iz posnetega prometa je razvidna dejanska interakcija in ustvarjen šum v procesu eksfiltracije občutljive datoteke. Indikatorje prevzema (strok. Indicator of Compromise) oz. odstopanja od legitimnega DNS povpraševanja gre očitno iskati drugod, kot npr. v visoki entropiji iskanih pod-domen krovne domene siq.best, v intenziteti povpraševanja iz enega samega izvora, v ustvarjeni količini DNS prometa ipd.

Na tem mestu se ustavimo in povabimo k deljenju svojih izkušenj tudi vas, bralce. Ter nenazadnje tudi specializirane »blue-teame«, varnostno operativne centre (Security Operations Center – SOC) in pristojne informatike, ki na drugi strani opisane tehnike neprekinjeno zaznavate in preprečujete. Stay tuned …

The post Tudi hekerji nosijo (zaščitne) maske, 2. del appeared first on SIQ.

V seriji prispevkov – v vlogi neodvisnega preizkuševalca informacijskih tehnologij – izpostavljamo značilne pomanjkljivosti v zasnovah informacijskih sistemov, ki (pre)pogosto ne zagotavljajo zadostnih zmogljivosti zaznavanja in preprečevanja tovrstnih napadov. V prvem delu bralcu približamo problematiko šibkega omejevanja odhodnih komunikacij v tipičnih informacijskih sistemih organizacij. V osrednjem delu opisujemo naprednejšo zlonamerno tehniko, ki temelji na zlorabi povsem legitimnega in uveljavljenega protokola DNS (Domain Name Service), omogoča pa popoln prevzem zlorabljenega sistema oz. odtekanje na njem hranjenih podatkov. V sklepnem delu podajamo priporočila za utrditev obstoječih varnostnih mehanizmov, da ti minimizirajo učinek uveljavljenih hekerskih tehnik.

Enostaven test, ki ga v informacijskem sistemu naročnika storitve (npr. pentest, red teaming) sistematično izvedemo že v sklopu spoznavanja okolja (strok. reconnaissance), je preizkus omejevanja odhodne (angl. egress) spletne komunikacije. Ta poteka v smeri od uporabnika, npr. zaposlenega v podjetju ali delavca, ki svoje delo opravlja od doma, proti internetu. V spodnjem zgledu smo uporabili ukazno lupino Powershell. Orodje je privzeto podprto v vseh modernejših različicah operacijskega sistema MS Windows in je kot takšno (lahko) dostopno ne le uporabnikom temveč tudi uspešnemu napadalcu ali injicirani škodljivi kodi:

Z enostavnim eno-vrstičnim ukazom preverimo nabor odprtih komunikacijskih poti v smeri od uporabnika proti spletu. Nekdo bi se vprašal o pravem pomenu ali smiselnosti izvedbe takšnega testa. Napadalci se vendar nahajajo zunaj varovanih informacijskih okolij, zato bi tudi njihove poskuse pričakovali uperjene v obratni smeri. Številne neodvisne študije in specialisti na področju informacijske varnosti na drugi strani opozarjamo na prevladujoč delež kibernetskih napadov z notranjim izvorom. Tipični komponenti takšnega napada sta:

[1] ohranjanje dostopa (strok. persistency) in
[2] zmožnost nadaljnjega upravljanja (strok. Command and Control – C2) prevzetega sistema.

Tehnika C2 [2] temelji na vzpostavitvi vzvratne komunikacijske poti med žrtvijo ter napadalčevim nadzornim strežnikom in je običajno posledica zagona škodljive kode (npr. uporabnika, ki klikne na škodljivo priponko) oz. izrabe kritične ranljivosti orodja ali aplikacije na kompromitiranem sistemu. Zlonamerna vzvratna povezava je vzpostavljena v smeri od uporabnika proti internetu, kar dodatno oteži njeno prepoznavo in zajezitev v (vsaj) na videz legitimni spletni komunikaciji med notranjimi uporabniki in svetovnim spletom. Upoštevaje prevladujočo ugotovitev varnostnih pregledov, da so odhodne varnostne politike robnih varnostnih naprav bistveno ohlapnejše od dohodnih, je tudi uspešnost C2 povezave do napadalčevega nadzornega strežnika verjetnejša.

Vprašajmo se na tem mestu, katere odhodne komunikacijske poti so na robnih varnostnih sistemih organizacij običajno dovoljene. Pentesterji se na terenu prej izjemoma kot praviloma srečujemo z varnostno utrjenimi konfiguracijami, kjer je nabor dovoljenih komunikacij zaposlenih selektivno omejen na izključno spletno (npr. HTTP/HTTPS) in poštno storitev (npr. IPAM, MAPI, SMTP). Slednji veljata za najbolj ustaljeni obliki sporočanja in izmenjave informacij v poslovnih subjektih, zato je njun obstoj praktično nujen.

Pa je omejevanje komunikacijskih poti (na izključno spletne in poštne) že zadostno tudi z vidika učinkovite kibernetske obrambe? Izkaže se, da utečeni komunikacijski kanali, posebej kadar so ti dodatno še šifrirani (npr. HTTPS, IMAPS), nudijo idealen poligon tudi za zakrivanje zlonamernih aktivnosti vse spretnejših kibernetskih napadalcev. Opažamo tudi drug ekstrem, ko nazivno šifrirani protokoli (npr. HTTPS), zavestno in prav zaradi vprašljivega učinka inspekcije niso predmet poglobljene analize na namenskih varnostnih napravah. Menimo, da povsem neupravičeno, kar si lahko zopet ogledamo na primeru. Vključena protokolna in aplikativna inspekcija na transportnih vratih TCP/80 bi nedvo(u)mno morala prepoznati spodnji »glasen« poskus vzpostavitve vzvratne ukazne lupine.

Iz zajetega prometa (uporaba orodja Wireshark) je jasno razvidno tuneliranje ukazne lupine preko transportnih vrat TCP/80, ki so v običajnih okoliščinah namenjena spletni komunikaciji (HTTP):

Varnostni sistemi naslednje generacije imajo prav v ta namen vgrajeno sposobnost prepoznave protokolnih in/ali aplikativnih odstopanj na poljubnih transportnih poteh. Organizacije z uveljavljeno učinkovito strategijo obrambe pred najbolj naprednimi kibernetskimi napadi izvajajo podrobno inspekcijo vsakršne interakcije z uporabniki storitev, neodvisno od uporabe:

• transportnega protokola (TCP ali UDP),
• transportnih vrat (TCP/80, TCP/443) ali
• šifriranja transportne poti (HTTP, HTTPS).

Ne pozabimo. Vsi od zgoraj naštetih komunikacijskih kanalov so lahko v primeru šibke protokolne in aplikativne inspekcije napadalčevo okno priložnosti za neopazno:

• dostavo škodljive kode,
• njeno nadaljnje širjenje in / ali plemenitenje in
• odtekanje občutljivih podatkov.

Pentesterji se na terenu le poredko srečujemo z informacijskimi okolji z izrazito selektivno odhodno varnostno politiko, ki bi v celoti preprečila uporabo omenjenih tehnik. In vendar smo pripravljeni tudi na izjemne okoliščine, kjer pentesterjeva (napadalčeva) interakcija z zunanjimi spletnimi viri ni dovoljena ali verjetna.

V drugem delu (2. del) serije prispevkov bomo pokazali naprednejšo tehniko izrabe protokola DNS, uporaba katerega v večini organizacij velja za nepogrešljivo. Uspešna zloraba protokola na drugi strani omogoča napadalčev oddaljen nadzor, celovito upravljanje in odtekanje podatkov tudi iz okolij z vzpostavljeno izjemno konservativno varnostno politiko. Stay tuned …

The post Tudi hekerji nosijo (zaščitne) maske, 1. del appeared first on SIQ.

The post Delo od doma – nova običajna praksa? appeared first on SIQ.

T. i. kiberfizični sistemi (angl. Cyber-Physical Systems) Industrije 4.0 plemenitijo ustaljene in pogosto toge industrijske procese s številnimi novostmi. Izboljšave se odražajo predvsem v smereh:
• avtomatizacije proizvodnih procesov ter celovite podpore odločanju,
• večje prožnosti pri ustvarjanju ponudbe in povpraševanja,
• usmerjenega prilagajanja izdelkov kupcem ter
• učinkovite izmenjave informacij med vsemi deležniki dobavne verige (proizvajalci, dobavitelji, kupci).

Novi pristopi dvigajo kakovost, spodbujajo konkurenčnost ter povečujejo dodano vrednost industrijskih proizvodov. Posredno pa dajejo več izbire, zadovoljstva ter zaupanja nam, kupcem in končnim uporabnikom izdelkov. Zaupanje pa je potrebno upravičiti in ga vsaj v enaki meri tudi ohraniti.

Številnim pozitivnim učinkom digitalne preobrazbe industrijskih panog nasprotuje vse večja pojavnost usmerjenih kibernetskih napadov. Ti vse pogosteje ciljajo na industrijska okolja in organizacije s kritično infrastrukturo. Takšni napadi so zlasti posledica večje izpostavljenosti industrijskih obratov, ki v podporo digitalizaciji odpirajo in povezujejo še do nedavnega privzeto zaprte sisteme. Sodobne, t. i. »pametne tovarne« (angl. Smart Factories) že v svoji zasnovi zagotavljajo potrebno informacijsko podporo poslovnim procesom. Uveljavljena je uporaba koncepta industrijskih, spletno povezanih naprav IIOT (angl. Industrial Internet of Things) v obliki integriranih senzorjev in aktuatorjev, ki omogočajo spremljanje in nadzor proizvodnih obratov ter njihovo optimalno uravnavanje. Operativnim (OT) in informacijskim (IT) okoljem skupna podatkovna odlagališča, oblačne storitve in odprti programski vmesniki (API) omogočajo shranjevanje ter neprekinjeno analitiko ogromnih količin podatkov (angl. Big Data). Ti so uporabnikom kadarkoli na voljo v želeni obliki in v podporo hitremu odločanju.

Strnemo lahko, da površino kibernetskih tveganj Industrije 4.0 v največji meri oblikuje prav eksponentna rast spletno povezanih deležnikov. Ti postanejo v konvergenčnih okoljih IT-OT tudi lažje dostopni. Upoštevaje še druge, praviloma konzervativne zakonitosti okolij OT, kot so daljši življenjski cikli obratovanja sistemov, podhranjenost varnostnih zmogljivosti strojnih in programskih komponent ter zahtevnost obvladovanja dobavne verige (angl. Supply Chain), lahko prav področju kibernetske varnosti pripišemo temeljno vlogo v nadaljnjem razmahu Industrije četrte generacije. Industrijska okolja, naj na tem mestu izpostavimo kritično infrastrukturo, ki zagotavlja bistvene dobrine in storitve na nacionalni ravni (V Sloveniji to področje ureja Zakon o informacijski varnosti.), predstavljajo izjemno zanimivo tarčo za motivirane napadalce. Ne pozabimo tudi na orodja, ki jih hekerji uporabljajo za ohromitev ali druge oblike kibernetskih napadov. Ta orodja (p)ostajajo široko dostopna in se tudi nenehno izpopolnjujejo.
Industrija 4.0 obvladovanju kibernetskih groženj pripisuje visok pomen. Poudarjen je pristop »Security in Depth«, ki predvideva varno zasnovo vseh omenjenih komponent, njihovo redno utrjevanje in neodvisno varnostno preskušanje skozi njihov celotni življenjski cikel. Spodbudna je raziskava, ki jo je v letu 2019 na globalni ravni opravila neodvisna institucija SANS na reprezentativnem vzorcu anketiranih ICS/IT/SCADA strokovnjakov. V raziskavi je ugotovljeno, da je v letu 2019 kar 69 % organizacij izvedlo neodvisni varnostni pregled sistema ICS/SCADA oz. preverilo varnostno skladnost po vsaj enem od uveljavljenih industrijskih standardov (IEC 62443, NIST 800-82, CIS Critical Security Controls). Statistiko, za katero menimo, da na nacionalni ravni ni vodena oz. širši javnosti znana, bi bilo zanimivo videti, saj ocenjujemo, da je ta delež v Sloveniji izrazito manjši.

SIQ Ljubljana s svojim kompetenčnim centrom znanja s področja kibernetske varnosti in največjo lastno ekipo izkušenih strokovnjakov v regiji izvaja celovit nabor varnostnih pregledov. Izvajamo standardne varnostne preglede (zunanji in notranji varnostni pregled, avtomatiziran pregled ranljivosti) in specializirane preglede glede na potrebe naročnika (kot so varnostni pregled industrijskih okolij in sistemov SCADA, revizijski in tehnični pregled skladnosti spletno povezljivih naprav, sistemov in procesov po standardu IEC 62443, pregled skladnosti s PCI DSS – ASV in QSA, varnostni pregled aplikacij, pregled mobilnih naprav, pregled igralniških sistemov, pregled izvorne kode, socialni inženiring, revizijski pregled informacijskega sistema ter sistemov ISO/IEC 27001, ISO/IEC 20000 in ISO 22301).
SIQ Ljubljana, kot strokovna, neodvisna in nepristranska institucija, izpolnjuje vse zahteve po neodvisnosti, ki jih zahteva Uredba za kibernetsko varnost (EU) 2019/881.

Članek je bil prvotno objavljen v reviji Monitor: https://www.monitor.si/novica/industrija-4-0-kibernetski-parni-stroj/195631/

Informacije:
SIQ Ljubljana, Preverjanje informacijskih tehnologij
T: 01 4778 345
E: infosec@siq.si
W: infosec.siq.si

The post Industrija 4.0 – kibernetski parni stroj appeared first on SIQ.

Dr. Andrej Rakar, mag. Matevž Mesojednik, Andrej Gornik in mag. Edvin Rustemagić so delili svoje bogate izkušnje s področja informacijske varnosti. V predstavitvi so poudarili pomembnost preprečevanja, zaznave in ukrepanja v primeru varnostnega incidenta, kot del poslovne strategije konkurenčnega in uspešnega podjetja. Krajšo izjavo dr. Andreja Rakarja o kibernetskih grožnjah znotraj organizacij si lahko ogledate na MMC RTV Slovenija: https://4d.rtvslo.si/arhiv/porocila/174654711

Izpostaviti gre tudi nagrado varnostni inženir leta, ki jo je prejel mag. Miha Ozimek, vodja operacij preverjanja informacijskih tehnologij. Miha Ozimek je leta 2015 na SIQ uspešno vzpostavil področje preverjanja informacijskih tehnologij in združil najboljše strokovnjake. Laboratorij kibernetske varnosti vodi uspešno in usmerjeno v razvoj, kar se odraža na vsakoletni rasti kadrov, prihodkov in partnerjev v Sloveniji in tujini. Da delo opravlja strokovno in kakovostno, potrjujejo tudi številna priznanja naših partnerjev.

The post Informacijska varnost kot del poslovne strategije podjetja appeared first on SIQ.