Urząd Komisji Nadzoru Finansowego wydał ostrzeżenie w sprawie korzystania z oprogramowania rosyjskich i białoruskich firm.

Wskazuje na możliwe zagrożenia w związku z nasilaniem się działań mających znamiona cyberwojny, a także zwraca uwagę na ryzyka biznesowe – między innymi możliwość wystąpienia braku ciągłości aktualizacji oprogramowania lub nawet nagłego przerwania jego funkcjonowania.

Urząd zalecił, aby uznać produkty pochodzenia rosyjskiego i białoruskiego za „szczególnie wymagające stałego monitorowania”.

Oznacza to, że instytucje nadzorowane nie muszą natychmiast rezygnować z tego typu oprogramowania, ale powinny ocenić, czy dodatkowe działania monitorujące i sprawdzające oznaczają dalszą opłacalność korzystania z tych produktów.

Nie wskazano marek i produktów

KNF w swoim ostrzeżeniu nie wskazał konkretnych dostawców. Warto przypomnieć, że dalej poszły instytucje w innych krajach. Niedawno niemiecki federalny urząd ds. cyberbezpieczeństwa (BSI) ostrzegł przed używaniem oprogramowania Kaspersky’ego. Uważa, że może ono zostać użyte do cyberataków i szpiegowania. Amerykańska federalna komisja komunikacji (FCC) uznała natomiast, że oprogramowanie Kaspersky’ego zagraża bezpieczeństwu narodowemu.

„W obecnej sytuacji nikt nie zdecyduje się na korzystanie z software’u pochodzącego z Rosji lub Białorusi. Jednak problemem może być świadomość użytkowników, a raczej jej brak, na temat tego, gdzie powstał wykorzystywany program” – komentuje pismo KNF Tomasz Klecor, partner w kancelarii Legal Geek.

Na początku wojny przed korzystaniem z oprogramowania z Rosji i Białorusi ostrzegło firmy i konsumentów Polskie Towarzystwo Informatyczne.
W ocenie PTI jest ryzyko, że takie oprogramowanie może posłużyć do wrogich celów. Tutaj również nie wskazano jednak konkretnych produktów i dostawców.

Open source może być zagrożeniem

Ryzyko potęguje jednak to, że oprócz software’u znanych marek, na rynku jest obecnych sporo programów i narzędzi, których pochodzeniu mało kto się przygląda, a nawet bywa ono trudne do sprawdzenia.

Zagrożeniem mogą być technologie open-source. Tutaj problemem jest weryfikacja źródeł. Na to ryzyko KNF również wskazuje.

„Nawet systemy pisane od zera często nie są pisane od zera, bo w tle jest jakiś framework. Jeśli program korzysta z otwartych bibliotek, to przy jego kompilowaniu lub aktualizacji najczęściej sięga się do źródła w serwisach typu GitHub. A nad nimi instytucja nadzorowana przez KNF nie ma kontroli” – zauważa Tomasz Klecor.

Trzeba analizować zagrożenia

KNF rekomenduje, aby rozpocząć proces analizy od oceny ryzyka i zagrożeń.

„Warto pójść o kilka kroków dalej, by jeszcze bardziej zwiększyć bezpieczeństwo w firmie czy urzędzie. Po identyfikacji ryzyka najlepiej wykonać jeszcze skan podatności oraz manualne testy penetracyjne” – komentuje Maciej Cieśla, Head of Cybersecurity HackerU Polska.

Według niego dzięki temu można uzyskać wiedzę, od czego rozpocząć zabezpieczenie aktywów (np. czy najpierw wdrożyć zmianę w kodzie, czy zaimplementować uwierzytelnianie określonego typu do danego serwera lub aplikacji) oraz jakie dokładnie działania podjąć, aby podnieść poziom bezpieczeństwa. Takie działania można wykonać korzystając z usług firm audytowych i certyfikowanych audytorów.