Cyberprzestępczość nieustannie ewoluuje, a hakerzy coraz częściej poszukują słabych punktów w kodzie źródłowym oprogramowania zabezpieczającego, aby zaatakować korzystające z niego podmioty. Reagując na te zagrożenia, ustawodawca wprowadza nowe obowiązki dla producentów oprogramowania bezpieczeństwa IT w ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Podatności w oprogramowaniu to błędy lub luki, które mogą zostać wykorzystane przez cyberprzestępców do uzyskania nieautoryzowanego dostępu do systemów informatycznych. Atakujący często infiltrują mechanizmy aktualizacji lub dostarczania nowego oprogramowania, aby zyskać dostęp do infrastruktury klientów. Skutki takich działań mogą być katastrofalne – od kradzieży danych po sparaliżowanie działalności firmy.
Cyberprzestępcy wykorzystują podatności średnio w ciągu pięciu dni od ich wykrycia. Zaatakowanie dostawcy oprogramowania bezpieczeństwa daje przestępcom szerokie możliwości – mogą np. wykorzystując uprawnienia administratora, przejąć stacje robocze klientów lub przeprowadzić ataki typu DDoS, blokując dostęp do kluczowych usług. W najgorszym przypadku, złośliwe oprogramowanie może zostać wprowadzone w ramach modyfikacji aktualizacji, co dodatkowo zagraża bezpieczeństwu infrastruktury IT.
– Grupy hakerskie są niezwykle zainteresowane osłabianiem producentów i odkrywaniem podatności w rozwiązaniach, które na co dzień pełnią kluczową rolę w ochronie przedsiębiorstw. Odkrycie luki, nim o jej istnieniu przekona się dostawca oprogramowania, jest dla nich niczym wejście w posiadanie wytrycha, pozwalającego otworzyć drzwi strzegące nas przed nieproszonymi gośćmi, którzy chcą się włamać do naszego domu – wyjaśnia Paweł Śmigielski, country manager Stormshield w Polsce.
Projekt nowelizacji ustawy o KSC przewiduje, że zespoły CSIRT MON, CSIRT NASK i CSIRT GOV będą mogły badać urządzenia i produkty ICT, żądając od dostawców niezbędnej dokumentacji. W przypadku wykrycia podatności, CSIRT będzie mógł wydać rekomendacje dotyczące wycofania określonego sprzętu lub oprogramowania z użytku. Takie działania mogą wpłynąć na około 35 tysięcy podmiotów z prawie 20 sektorów gospodarki.
– W ten sposób ustawodawca po raz pierwszy chce zagwarantować sobie możliwość przeprowadzenia badań na własnych warunkach, nie będąc ograniczonym umowami licencyjnymi producentów. W projekcie ustawy jest mowa m.in. o odtwarzaniu kodu źródłowego oprogramowania i przełamywaniu zabezpieczeń producenta przed badaniem – wskazuje Paweł Śmigielski.
Różnice w wymaganiach agencji zajmujących się cyberbezpieczeństwem i certyfikacją między krajami są znaczne. Na przykład, we Francji dostawcy muszą przekazywać kod źródłowy, podczas gdy w Niemczech wymagane są jedynie szczegółowe przeglądy kodu. Wprowadzenie krajowego systemu certyfikacji cyberbezpieczeństwa ma na celu podniesienie poziomu bezpieczeństwa polskich organizacji poprzez promowanie certyfikowanych, bezpiecznych rozwiązań.
– Ocena rozwiązań jest powszechną praktyką, a w Europie działają organizacje normalizacyjne np. ANSSI dla Francji, BSI dla Niemiec i CCN dla Hiszpanii. Takie kwalifikacje dają gwarancję, że dany produkt zabezpieczający spełnia potrzeby klientów końcowych – dodaje ekspert Stormshield.
Dostawcy oprogramowania zabezpieczającego muszą nieustannie monitorować i aktualizować swoje produkty, aby chronić je przed nowymi zagrożeniami. Cyberprzestępcy stale rozwijają swoje metody ataków, co wymusza na producentach szybką reakcję i adaptację. Wprowadzenie nowych regulacji prawnych, jak te zawarte w nowelizacji ustawy o KSC, ma na celu wsparcie tych działań poprzez zwiększenie nadzoru i wymogów dokumentacyjnych.
Jednym ze skutecznych sposobów minimalizacji ryzyka jest korzystanie z różnych rozwiązań bezpieczeństwa od różnych dostawców. W przypadku naruszenia bezpieczeństwa u jednego dostawcy, posiadanie alternatywnych rozwiązań pozwala na szybsze odzyskanie kontroli nad systemem.
– W dobie coraz większej ilości ataków wymierzonych w dostawców lub bezpośrednio w rozwiązania cyberbezpieczeństwa, warto szukać balansu między zaufaniem, funkcjonalnościami oraz kosztem zakupu i utrzymania rozwiązania – dodaje Paweł Śmigielski.
Dostawcy powinni również korzystać z usług firm zewnętrznych, które przeprowadzają audyty bezpieczeństwa, przeglądy kodu, pentesty oraz programy nagród za wykrycie błędów. Takie działania zwiększają szanse na wykrycie i naprawę potencjalnych luk w zabezpieczeniach przed ich wykorzystaniem przez cyberprzestępców.
Transparentność dostawców w kwestii wykrywanych luk w zabezpieczeniach jest kluczowa dla budowania zaufania klientów. Wiele firm, takich jak Microsoft, Apache, czy JetBrains Team City, rozwija i publikuje metody ochrony przed wykrytymi podatnościami. Na przykład, serwis Stormshield udostępnia listę złośliwych adresów IP oraz podatności wykrytych w rozwiązaniach innych firm, oferując jednocześnie narzędzia do sprawdzania podejrzanych plików w sandboxie.
Podmioty odpowiedzialne za cyberbezpieczeństwo, takie jak CSIRT MON, CSIRT NASK i CSIRT GOV, muszą stale dostosowywać swoje strategie do zmieniających się zagrożeń. Współpraca z producentami oprogramowania zabezpieczającego i wymaganie od nich szczegółowej dokumentacji to krok w dobrym kierunku. Pozwala to na szybszą identyfikację i eliminację zagrożeń, zanim zostaną one wykorzystane przez przestępców.
Wprowadzenie krajowego systemu certyfikacji cyberbezpieczeństwa ma na celu promowanie bezpiecznych rozwiązań i podnoszenie poziomu bezpieczeństwa w polskich organizacjach. Certyfikacja i audyty przeprowadzane przez niezależne podmioty zwiększają zaufanie do produktów i usług oferowanych przez dostawców, co jest kluczowe w walce z cyberprzestępczością.
Dla klientów, korzystanie z certyfikowanych rozwiązań oznacza większe bezpieczeństwo i mniejsze ryzyko naruszenia danych. Dla producentów, transparentność i współpraca z zewnętrznymi audytorami to sposób na poprawę jakości swoich produktów i zwiększenie zaufania wśród użytkowników. W dłuższej perspektywie, takie podejście może również przynieść korzyści finansowe, redukując koszty związane z naruszeniami bezpieczeństwa i ich skutkami.
Nowe obowiązki nałożone na producentów oprogramowania zabezpieczającego mają na celu wzmocnienie bezpieczeństwa cybernetycznego w Polsce. Wprowadzenie przepisów umożliwiających zespołom CSIRT badanie urządzeń i produktów ICT oraz wydawanie rekomendacji dotyczących wycofania z rynku niebezpiecznego oprogramowania, stanowi odpowiedź na rosnące zagrożenia cybernetyczne. Jednocześnie, promowanie różnorodności rozwiązań i korzystanie z zewnętrznych audytów bezpieczeństwa pozwala na skuteczniejsze zarządzanie ryzykiem i ochronę przed cyberprzestępcami.
– Korzystającym z rozwiązań Stormshield udostępniliśmy portal: advisories.stormshield.eu, na którym opisane są podatności wykryte w dostarczanych przez nas lub firmy trzecie technologiach np. OpenVPN lub OpenSSL. Serwis zawiera również wskazania poziomu krytyczności danej podatności, jej krótki opis oraz rozwiązanie, którym najczęściej jest sugerowana wersja firmware zawierająca niezbędne poprawki – podpowiada Paweł Śmigielski.
Korzystanie z usług firm zewnętrznych i audytów bezpieczeństwa jest kluczowe dla minimalizacji ryzyka związanego z podatnościami w oprogramowaniu. Dostawcy powinni być transparentni w kwestii wykrywanych luk i współpracować z podmiotami odpowiedzialnymi za cyberbezpieczeństwo, aby zapewnić jak najwyższy poziom ochrony swoich klientów. Wprowadzenie krajowego systemu certyfikacji cyberbezpieczeństwa to krok w dobrym kierunku, który przyniesie korzyści zarówno producentom, jak i użytkownikom oprogramowania zabezpieczającego.