KNF ostrzega przed oprogramowaniem z Rosji i Białorusi
Software z Rosji i Białorusi "wymaga stałego monitorowania" - zaleca KNF. Problemem może być to, że nie wszyscy znają pochodzenie produktów.
KNF wysłał do instytucji nadzorowanych pismo, mające na celu uświadomienie ryzyka. Nie wskazuje jednak konkretnych programów.
Urząd Komisji Nadzoru Finansowego wydał ostrzeżenie w sprawie korzystania z oprogramowania rosyjskich i białoruskich firm.
Wskazuje na możliwe zagrożenia w związku z nasilaniem się działań mających znamiona cyberwojny, a także zwraca uwagę na ryzyka biznesowe – między innymi możliwość wystąpienia braku ciągłości aktualizacji oprogramowania lub nawet nagłego przerwania jego funkcjonowania.
Urząd zalecił, aby uznać produkty pochodzenia rosyjskiego i białoruskiego za „szczególnie wymagające stałego monitorowania”.
Oznacza to, że instytucje nadzorowane nie muszą natychmiast rezygnować z tego typu oprogramowania, ale powinny ocenić, czy dodatkowe działania monitorujące i sprawdzające oznaczają dalszą opłacalność korzystania z tych produktów.
Nie wskazano marek i produktów
KNF w swoim ostrzeżeniu nie wskazał konkretnych dostawców. Warto przypomnieć, że dalej poszły instytucje w innych krajach. Niedawno niemiecki federalny urząd ds. cyberbezpieczeństwa (BSI) ostrzegł przed używaniem oprogramowania Kaspersky’ego. Uważa, że może ono zostać użyte do cyberataków i szpiegowania. Amerykańska federalna komisja komunikacji (FCC) uznała natomiast, że oprogramowanie Kaspersky’ego zagraża bezpieczeństwu narodowemu.
„W obecnej sytuacji nikt nie zdecyduje się na korzystanie z software’u pochodzącego z Rosji lub Białorusi. Jednak problemem może być świadomość użytkowników, a raczej jej brak, na temat tego, gdzie powstał wykorzystywany program” – komentuje pismo KNF Tomasz Klecor, partner w kancelarii Legal Geek.
Na początku wojny przed korzystaniem z oprogramowania z Rosji i Białorusi ostrzegło firmy i konsumentów Polskie Towarzystwo Informatyczne.
W ocenie PTI jest ryzyko, że takie oprogramowanie może posłużyć do wrogich celów. Tutaj również nie wskazano jednak konkretnych produktów i dostawców.
Open source może być zagrożeniem
Ryzyko potęguje jednak to, że oprócz software’u znanych marek, na rynku jest obecnych sporo programów i narzędzi, których pochodzeniu mało kto się przygląda, a nawet bywa ono trudne do sprawdzenia.
Zagrożeniem mogą być technologie open-source. Tutaj problemem jest weryfikacja źródeł. Na to ryzyko KNF również wskazuje.
„Nawet systemy pisane od zera często nie są pisane od zera, bo w tle jest jakiś framework. Jeśli program korzysta z otwartych bibliotek, to przy jego kompilowaniu lub aktualizacji najczęściej sięga się do źródła w serwisach typu GitHub. A nad nimi instytucja nadzorowana przez KNF nie ma kontroli” – zauważa Tomasz Klecor.
Trzeba analizować zagrożenia
KNF rekomenduje, aby rozpocząć proces analizy od oceny ryzyka i zagrożeń.
„Warto pójść o kilka kroków dalej, by jeszcze bardziej zwiększyć bezpieczeństwo w firmie czy urzędzie. Po identyfikacji ryzyka najlepiej wykonać jeszcze skan podatności oraz manualne testy penetracyjne” – komentuje Maciej Cieśla, Head of Cybersecurity HackerU Polska.
Według niego dzięki temu można uzyskać wiedzę, od czego rozpocząć zabezpieczenie aktywów (np. czy najpierw wdrożyć zmianę w kodzie, czy zaimplementować uwierzytelnianie określonego typu do danego serwera lub aplikacji) oraz jakie dokładnie działania podjąć, aby podnieść poziom bezpieczeństwa. Takie działania można wykonać korzystając z usług firm audytowych i certyfikowanych audytorów.
Podobne aktualności
Sankcje USA na 300 celów za wsparcie Rosji. Na liście sprzedawca IT ze Słowacji
Masowe restrykcje objęły firmy, które umożliwiły Rosji zdobycie "desperacko potrzebnej technologii".
Polski kontrwywiad ostrzega przed cyberszpiegami z Rosji
Wskazano grupę, która stoi za atakami, cele i metody działania.