Cyber

Strona główna Cyber

Jak Jeff Bezos nie napisał do Ryzykonomii

0
jak jeff bezos

Jeff Bezos nie napisał do Ryzykonomii…. ale nie znaczy, że Amazon Inc nie pisze.
Jasne, że pisze.
Portal Ryzykonomia, to jak wiadomo być może najbardziej wiarygodne źródło informacji dla zarządzających ryzykiem i nie tylko w Polsce. I nie tylko tam.  Ale dość tej reklamy nieco żenującej dla z natury rzeczy skromnej Waszej Redakcji.

Jak na pewno P.T. Czytelnikom nie uleciało z pamięci, kilka dni temu pisaliśmy o poruszającej sprawie związanej z artykułem Bloomberg Businesweek, który odbił się szeroko w mediach bezpiecznikowych i biznesowych na całym świecie.

W dwa dni póżniej może, w Redakcyjnej skrzynce znaleźliśmy maila takiej oto treści:

Jak się domyślamy służby prasowe i piarowe (nie wiemy jak ten Departament w Amazonie się nazywa) skrupulatnie monitorują, co o firmie pisze się w internecie, szczególnie zapewne w sytuacji potencjalnych kryzysów.

Za to samo zresztą należy się firmie pochwała. Wielokrotnie pisaliśmy przecież jak ważne jest monitorowanie ryzyk związanych z mediami społecznościowymi, a zaniechanie tej kwestii niejednej organizacji już wyszło bokiem.
Domyślamy się też, że podobne przesłania zostały wysłane do innych mediów, które podjęły ten temat.

Inna sprawa, że może to i zbytek troski, bo przecież nasz artykuł komentował to, co napisała skądinąd uważana za wiarygodną i profesjonalną gazeta. Od razu więc przyszło mi też na myśl stare powiedzenie o dementowanych wiadomościach…

No więc czujemy się zdementowani i ciekawi nas bardzo jaki sprawa rzekomych chipów rzekomo zaimplementowanych w różnych rzekomo ważnych miejscach, co nigdy nie miało miejsca i tym bardziej nie mogło zostać wykryte będzie miała dalszy ciąg…
Choć oczywiście początku żadnego nie miała powodu mieć….Stay tuned !

ps. koledzy z Appla, a gdzież Wy ?

 

Epokowy skandal w obszarze ryzyka IT

0
epokowy skandal IT

Jak donosi najświeższe wydania Bloomberg Business Week chińscy hakerzy zamontowali w serwerach obsługujących setki firm na świecie miniaturowe chipy, które dały im dostęp, backdoor do informacji przepływających przez kluczową infrastrukturę informatyczną.

Zaczęło się w 2015

Sprawa dopiero się rozkręca, bo właśnie ujrzała światło dzienne, ale sięga co najmniej 2015 roku kiedy pracownicy start up-a Elemental Technologies należącego do Amazon Inc. odkryli na płytach głównych serwerów firmy nieznane i nieoczekiwane elementy.

Po bliższym przyjrzeniu, prześwietleniu i zbadaniu okazały się one być mikroczipami zamontowanymi tam przez nieznane osoby, które jak się potem okazały umożliwiały prawie niemożliwe do wykrycia kontrolowanie serwerów wykorzystywanych przez Amazon.

„Po bliższym przyjrzeniu, prześwietleniu i zbadaniu okazały się one być mikroczipami zamontowanymi tam przez nieznane osoby..”

Na podobne znaleziska natrafiono, oddzielnie albo po otrzymaniu informacji, w podobnym czasie u drugiego giganta, firmy Apple. Sprawa po zgłoszeniu do odpowiednich służb amerykańskich była przedmiotem żmudnego i ściśle tajnego śledztwa. Wielowątkowego, międzynarodowego dochodzenia z użyciem najwyraźniej wszystkich możliwych technik operacyjnych.

Ślad od początku prowadził do mieszczącej się w Kalifornii firmy Elemental, znanego wytwórcy serwerów używanych przez setki firm na świecie. Ale również wykorzystywanych przez wiele amerykańskich agencji rządowych, w tym Departament Bezpieczeństwa Narodowego czy CIA.

Elemental od Supermicro

Idąc po nitce do kłębka, stało się oczywiste, że sam Elemental montował płyty główne swoich serwerów zakupione w innej kalifornijskiej firmie, potentacie w branży – Supermicro. I to na Supermicro skupiła się uwaga śledczych.

Właściciele firmy Supemicro mają tajwańskie korzenie, ale co najważniejsze jej poddostawcami byli produceni w samych Chinach i kilkuletnie śledztwo wskazuje, że to właśnie tam montowano szpiegowski hardware, który został następnie rozesłany na cały świat.

szpiegowskie chipy

źródło: Bloomberg.

Z dostępnych dla opinii publicznej informacji o komentarzy należy wysnuć wniosek, że „afera Supermicro” może być częścią szeroko zakrojonej operacji chińskich służb specjalnych, które w ten sposób były na drodze do zdobycia – nie bójmy się powiedzieć – strategicznej przewagi informacyjnej. Nie tylko nad USA ale może całym Zachodem.

Najwyraźniej Chiny wykorzystując łańcuchy dostaw amerykańskich firm, mając na uwadze ograniczenia softwarowej penetracji obcych sieci, postawiły na infiltrację za pomocą głęboko zakamuflowanego (dosłownie) hardwaru.

„które w ten sposób były na drodze do zdobycia – nie bójmy się powiedzieć – strategicznej przewagi informacyjnej nie tylko nad USA ale może całym Zachodem.”

Stawia to kolejne pytanie co do bezpieczeństwa globalnych łańcuchów dostaw, gdzie w ciągu ostatnich lat optymalizacja kosztowa doprowadziła do brzemiennego w skutkach lekceważenia zagrożenia wynikającego z lokowania produkcji/lub outsourcowania  części usług w miejscach, gdzie narażona ono jest na nieograniczoną infiltrację obcych, często wrogich służb.

Sprawa jest rozwojowa

Jak czytamy w artykule Bloomberga i firma Apple i Amazon i inne niewymienione ale z pewnością zainfekowane organizacje nabyły świadomość zagrożenia już co najmniej 2 lata temu, choć np. sam Apple dementuje większość informacji.

Faktem jest natomiast, że od tego czasu giganci stopniowo i raczej po cichu rezygnowali z usług Supermicro. Sama firma Supermicro po wycieku informacji o skandalu w tym roku, ( wycieku jak się możemy domyśleć teraz już kontrolowanym) odnotowała dramatyczny spadek wartości na giełdzie i została jakiś czas temu delistowana z giełdy. Można być niemal pewnym, biorąc pod uwagę zasięg i znaczenie problemu, że będzie to koniec jej istnienia.

supermicro akcje

Jest to skandal trudny do przecenienia i zapewne widzimy tylko część obrazu. Można przypuszczać, ze sprawa szpiegowskich mikroczipów wpływa już na stosunki amerykańsko-chińskie. Zdaje się też, że coraz więcej krajów zaczyna dostrzegać nieczystą grę Państwa Środka zarówno w handlu, w poszanowaniu dla własności intelektualnej, czy jak w tym przypadku, przybierająca formę brutalnej ingerencji służb.

Jeszcze jedna uwaga natury bardziej ryzykonomicznej. Poruszamy temat, zdaje się zarezerwowany dla różnych specjalistycznych portali bezpieczeństwa IT. Jednakże, po raz kolejny okazuje się, że problem bezpieczeństwa cybernetycznego jest w swojej istocie i naturze problemem ORGANIZACYJNYM a nie technologicznym. Technologia jest jedynie narzędziem hakerów. W gruncie rzeczy większość naruszeń bezpieczeństwa wynika nie tyle z zastosowania wyszukanych technik przez włamywaczy ale znajdywania przez nich często banalnych luk w zorganizowaniu systemów, czasami bardzo kosztownych zabezpieczeń. Tak jest i w tym przypadku.

Autorzy artykułu zwracają uwagę, że „zachodnie” przedsiębiorstwa, nie tylko zresztą z branży hi-tech mają świadomość, że lokują swoje łańcuchy dostaw na w gruncie rzeczy obcym i niezwykle trudnym do kontrolowania terytorium. Przeważa jednak pęd do cięcia kosztów oraz argument, że „bo inni robią to samo”.

„zachodnie” przedsiębiorstwa, nie tylko zresztą z branży hi-tech mają świadomość, że lokują swoje łańcuchy dostaw na w gruncie rzeczy obcym i niezwykle trudnym do kontrolowania terytorium.”

Ten owczy pęd oczywiście w długim okresie musi mieć negatywne i kosztowne następstwa. Już same koszty reputacyjne dla Amazon czy Apple są na razie trudne do oszacowania ale mogą być poważne. A przecież jak czytamy w artykule Bloomberga obie firmy już były zmuszone do złomowania co najmniej kilku tysięcy serwerów i rewizji, w tym insourcowania części swoich łańcuchów dostaw. A przecież to były dość oczywiste ryzyka i w gruncie rzeczy można się było ich spodziewać.

Można zresztą od razu zadać kolejne pytania: co „siedzi” w telefonach, komputerach, urządzeniach typu IoT masowo montowanych w Państwie Środka i nie tylko? Pamiętacie telewizory Samsunga? Albo, z innego obszaru antywirus Kasperskiego?

Cały artykuł w języku angielskim polecamy tutaj:

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

ps.

Ponieważ serwery Supermicro były montowane na całym świecie, pojawia się pytanie czy i gdzie i w polskiej infrastrukturze mogą znajdować się zainfekowane szpiegowskim hardwarem urządzenia…

 

księgarnia rzyzykonomii

 

 

RODO Wielka nadzieja (transkrypt)

0
RODO

Poniżej zamieszczamy transkrypcję głównej treści naszego podcastu Odc. 2. Podcast Ryzykonomia można znaleźć na iTunes, TuneIn, Stritcher, Spreaker i innych popularnych platformach na iOS, Android i Windows. 

4 października 1997 polski bokser Andrzej Gołota został znokautowany w pierwszej rundzie przez Lennoxa Lewisa w Atlantic City. Nie tylko Polska, ale i bokserski świat zamarł w przerażeniu. Na deskach leżała kolejna „wielka nadzieja białych”. Nadzieja na przerwanie dominacji czarnych bokserów w wadze. Trzeba było poczekać na ukraińskiego doktora pięści i nauki brata Kliczko żeby to marzenie się ziściło, ale…Od razu zadeklaruję: nie jestem ekspertem od RODO. Szczególnie, że jak na pewno Czytelnicy zauważyli, akurat tego rodzaju specjalizacji latoś u nas dostatek.

RODO GDPR

Co to jest RODO, Rozporządzeniu o Ochronie Danych Osobowych, czyli GDPR każde dziecko na pewno wie, albo wydaje mu się że wie. A jak te stany świadomości rozróżnić, o to jest wyzwanie. Więc skromnym ale dobrze sezonowanym przedsiębiorcom będąc zastanawiam się „po cholerę to wszystko”. 

Oczywiście nikt nie będzie podważać, że z ochroną danych osobowy „coś” trzeba zrobić. Że to największe ryzyko naszych czasów. Nie przycichły echa przesłuchania M. Zuckerberga w amerykańskim Senacie, a już jedzie on z przygotowanymi przez stada prawników skryptami odpowiedzi do Parlamentu Europejskiego. Jeżeli unijni przepytywacze będą takimi samymi dyletantami „w temacie” jak ich koledzy z USA, to zapewne notowania akcji facebooka znowu wzrosną. Pytanie czy wzrośnie też bezpieczeństwo naszych danych w „the social network” wciąż jednak pozostanie otwarte.

Sic ! 

Nie będąc ekspertem (sic) moglibyśmy pozwolić sobie na różne teorie spiskowe oparte na starorzymskim „cui bono”, na czyją korzyść. Na pewno wplecenie naszych żyć w sieć działa na dobro akcjonariuszy różnych socjalnych portali, ale zdaje się nie tylko. Tak sobie myślimy, że jeśli jakieś praszczury tajnych policji wszelkiego sortu wyobrażały sobie idealny świat, to był to świat social media.     

No właśnie. Nie przycichły echa skandalu, a juz pojawiły się ostrzeżenia żeby może jednak nie brać udziału w głupich quizach poglądów politycznych (miliony udostępnień), bo można paść ofiarą kolejnej odmiany Cambridge Analytica. Co tam klik, klik. RODO obroni przed…niemądrością? 

No więc pomysł RODO, doregulowania niedoregulowanego ma być odpowiedzią na ryzyko związane z ochroną danych osobowych, przynajmniej w strefie unijnej i okolicach. Tylko pojawia się pytanie: czy ta regulacja będzie skuteczną odpowiedzią na ryzyko? 

Od razu zadeklarujmy, że są kluczowe obszary RODO co do których należy żywić poważne nadzieje. Będziemy chyba lepiej chronieni. Dostaniemy prawo bycia zapomnianym. No, mały problem, bo sieć niczego, nigdy, o nikim nie zapomina. Ależ.

EURO 10 000 000 plus

Nadzieję budzi pałka, która zawiśnie w dłoni unijnych regulatorów. A raczej gruby kij z licznikiem do 10 milionów Euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa za niezgodność z RODO. Policzmy… dla Pana Józka, właściciela sklepu internetowego z koszulkami z napisem „Śmierć Wrogom Nas” da to… przy rocznym przychodzie 100 tys. PLN karę… 2 tyś. złotych. Gdyby mu coś wykradziono i oczywiście samodoniósł  on na ten „józek leak” do stosownych organów.  

Taki odgadujemy zamysł regulatorów, że GDPR jest wycelowane w wielkie ryby, które mają całe masy naszych danych i co chwila im „coś” wyciekało. I zwykle zapominały powiadomić klientów, że coś im skopiowano. A teraz będą musiały. Natomiast może Rusza e-księgarnia Ryzykonomiizastanawiać, że cała masa małych też ma „robić” RODO. Uspokajająco słyszymy, że nic się nie zmieni, nawet będzie łatwiej. Może. Póki co strach pada na nas i Pana Józka, a oszuści wietrzą ofiary i rozsyłając groźby donosów „gdzie trzeba”. A tego nie można by jakoś wyregulować? Przecież taki schemat pojawia się przy każdej tego typu regulacji. Ot, ryzyko do wyregulowania. 

Reasumując te „myśli nieuczesane o RODO” mamy taką obawę nauczeni doświadczeniem, że przy dzisiejszym postępie sprytu i technologii regulowanie ma dość ograniczone znaczenie. Choć w  RODO podobno o to chodzi, żeby organizacje nie mogły zasłaniać się „postępem” bo regulacja jest „technologicznie neutralna”. Ale my się będziemy upierali, że jak zawsze świadomość jest najważniejsza, kultura zarządzania ryzykiem i na to najlepiej pieniądze wydawać. Ale zapewnie i kij się też przyda. Miejmy nadzieję, że RODO zwycięży ! Oby…  

W dryfie – bez Mapy ryzyka

0
W dryfie
W dryfie  do naszej kanciapy wpadł Naczelny Bloga machając jakimś papierem wołając „ Nooo. I proszę ! To lubią Czytelnicy! Mapa ryzyka, to jest to co chcą oglądać. Dawać więcej Map ryzyka na Blogu !!!” Dawać!  I wybiegł !
Stary szajby w pogoni za tą klikalnością dostaje, raportami analityków macha, pono ostatnio o sukcesach KasiTe przeczytał, tego wdzięczny naród oczekuje (prawi),  (cynicznie). A wie, że za wysokie to progi dla Jacka Pod-czaszyca nogi…..
Także do adremu wracając bardzo nas to zainteresowanie mapowaniem ryzyka cieszy  i intryguje, i że artykuł o Mapie ryzyka się na topie Czytalności wciąż lokuje, chociaż przyznajemy my wśród ulubionych umieszcamy nasz wywiad dotyczący wojskowego ERM – którzyśmy onegdaj z pewnym  narażeniem w terenie przeprowadzili. No, bo wogółe lubimy pracę w terenie.
Także, obiecujemy, do uaktualniania naszej Mapy Ryzyka 2012 , której aktualny stan na pasku pod tytułem bloga znajdziecie wrócimy,  już w kolejny poście. Równiez kolejne odcinki naszego Kryminal Story cz. 3  z mroku podświadomości Naczelnego już wychynęły a i nowości wydawnicze na Blogu przygotowujemy ale o tym cichoszanarazie….
Póki co jako, że się ostatnio mocno makro-ryzykonomicznie rozwijamy chcieliśmy polecić Czytelnikom lekturę ciekawego i (co u nas nieczęsto) dobrze napisanego raportu przesławnego kiedyś Hausnera  a dzisiaj profesora , którego pod wodzą Zespół wydał opracowanie pod znamiennym tytułem, „Kurs na innowacje. Jak wyprowadzić Polskę z rozwojowego dryfu ? ” .
Link poniżej…..

 

Warto to przeczytać,  bo choć o ryzyku się tam explicite nie mówi ( choćbyśmy chcieli oj chcieli….wszystko jasne by było gdyby Kraj ERM–em potraktować) Raport właśnie masywną analizę makro-ryzyka obecnej naszej strategii  rozwojowej ( a raczej dryfowej ) zawiera.
Po cichu również taką zachętę do czytania tegoż dorzucamy, że w dokumencie autorzy zamieścili sprytnie liczne kwadraciki , zawierające najważniejsze i bardzo celne podsumowanka i jak się te kwadraciki przeczyta to główną esencję z dokumentu każdy Czytelników wyciągnąć może.
Oto niektóre wybrane myśli z kwadracików :
  • W Europie przez kilka dekad konsumpcji rosła szybciej niż produktywnoś
  • Przed światem dekada niskiego wzrostu
  • Każde ograniczenie handlu światowego , które odczuje gospodarka niemiecka rykoszetem uderzy w dynamikę polskiej gospodarki
  • W porównaniu z Europą poziom innowacyjności jest w Polsce relatywnie niski
  • Masowe, ale słabe jakościowo kształcenie na poziomie wyższym
  • Twarde instytucjonalne bariery dla przedsiębiorczości
  • Pomaga nam napływ kapitału zagranicznego, ale może się to okazać rozwojową pułapką
  • Świat jest iglicowaty. Świat obok iglic jest płaski
  • Dyslokacji nie podlega ” wysoki” segment gospodarki
  • Pasywne przywództwo polityczne
  • Władza dla władzy marketing polityczny w miejsce rządzenia
  • Zanik strategicznej suwerennej myśli rozwojowej
  • Utożsamianie wydatkowania środków finansowych z polityką rozwoju
  • Schematyczna i bezrefleksyjna polityka rozwoju
  • Zmarginalizowanie debaty publicznej
  • Represyjna i nieustanna kontrola zamiast audytu
  • Środki są wydawane a innowacji nie ma
….. i wiele wiele innych
Także – warto przeczytać. Tylko nie widomo, czy śmiać się, czy płakać. Wszystko o tych ryzykach z grubsza od dawna wiadomo, oczywista oczywistośc, tylko kto chce i odważy się nimi zarządzić ?

Cyberryzyko infrastruktury politycznej

0

Cyberryzyko infrastruktury politycznej.
Ponad 2 godziny trwało kilka dni temu przesłuchanie szefów największych amerykańskich agencji wywiadowczych przed komisją kongresu. Stanów Zjednoczonych. Wydarzeniu to live trensmitowała między innymi telewizja CNN. A Wasza Redakcja Ryzykonomii korzystając z nadarzającej się okazji z wielkim zainteresowaniem odnotowało to niezwykle ważne i w wielu aspektach przełomowe wydarzenie.

Wybory na celowniku

Jak z pewnością P.T. Czytelnikom Ryzykonomii wiadomo od czasu zwycięstwa wyborczego nowej nadziei na zrobienie Amertyki Great Again pojawiają się zarzuty o mieszanie się, wręcz bezpośredni wpływ Rosji na wyniki wyborów prezydenckich w Stanach. Amerykańskie służby wywiadowcze stwierdziły i to usłyszeliśmy z zeznań najważniejszych Intelligence Szefs (w USA jest zdaje się 17 różnych agencji wywiadu), że taki wpływ był i denifintywnie zaordynowany i kierowany bezpośrednio z Kremla. Redakcja Ryzykonomii osobiście nie ma złudzeń co do intencji i prawdziwej twarzy wschodniego cara i. Nie potrzebuje do tego 17 agencji wywiadu, natomiast naszą uwzagę przykuło kilka jasno wyartykułowanych w czasie przesłuchania kwestii.
Otóż szefowie wywiadu wskazali, że mamy do czynienia największym od lat 60 – tych (!!!) nasileniem wojny informacyjnej i propagandowej oraz działań szpiegowskich. Z tym, że do dyspozycji są zupełnie nowe środki . I takie kraje jak Rosja a przede wszystkim ona z premedytacją i wielką wprawą wykorzystują tę nową broń.

Dała nam przykład Ochrana

W czasie przesłuchania zwracano uwagę na wielką, a być może największą dzisiaj rolę social media. Gdzie można kreować opinię publiczną często w zupełnym oderwaniu od świata realnego. Rosja która czerpie przecież pełnymi garściami z tradycji niezwykle skutecznej w wojnie informacyjnej carskiej Ochrany, a potem kolejnych spec służb już po Arabskiej Wiośnie dostrzegła jak ważne są media socjalne w kreowaniu społecznej, politycznej i gospodarczej niestabilności. I bardzo szybko nauczyła się perfekcyjne wykorzystywać Facebooka czy Twittera dla własnych celów. To jest prawdopodobnie zupełna nowa gałąź wiedzy. Bo, jeżeli spojrzymy na eksplozję popularności różnych teorii spiskowych, jak choćby ruchy antyszczepionkowe to powstaje pytanie jakie są prawdziwe źródła tych informacji. Szczególnie że, tak się składa, teorie te są szczególnie popularne wśród ruchów antyunijnych czy antydemokratycznych. A jedną z klasycznych pytań z podręcznika śledczego jest: „cui bono” czyli w czyim interesie? cyberryzyko infrastruktury politycznej

Niezwykle ciekawe w relacji z przesłuchania Komisji były pytania czy „infrastruktura polityczna” a więc system partyjny, wybory, kampania wyborcza anie powinny byc równ i chronione jak infrastruktura energetyczna? Bo z punktu widzenia bezpieczeństwa narodowego są równie albo nawet bardziej krytyczne.
Odpowiedź szefów wywiadu, którzy choć zachowywali oczywiście odpowiednia profesjonalną wstrzemięźliwość była pozytywna.

Fake news forever

Dalej przepytywani wskazywali, że w cyberatakach już dzisiaj większą rolę odgrywa rozprzestrzenianie fałszywych informacji, trolling, wojna propagandowa niż „zwykłe” włamy do komputerów. To niezwykle interesujący wniosek również dla biznesu bo można się spodziewać w bliskiej przyszłości wrogich działań również w świecie korporacyjnym. Ich źródłem mogą być zarówno wrogie Państwa zainteresowane pogorszeniem się sytuacji gospodarczej przeciwnika jak i choćby nieetyczna konkurencja. Nawiasem mówiąc już dzisiaj trudno znaleźć w internecie uczciwą opinię o produkcie. Bo działach opinii grasują całe grupy płatnych trolli wypisujących bombastyczne opinie o żelazkach czy telewizorach, pisanie na zamówienie i mające często niewiele z prawda.
Szefowie wywiadu wskazywali, że o ile wpływ obcych mocarstw jest destrukcyjny to aktorzy non-state, na przykład organizacje terropruystyczne wogóle nie mają żadnych zachamowań. A ich percepcja ryzyka jest o wiele wyższa. I o ile obce mocarstwo może się jednak obawiać akcji odwetowych (co już widzimy w przypadku Rosji) to już terroryści nie boją się niczego. Stąd ich cyberdziałania mogą być jeszcze bardziej drastyczne.
Tak czy inaczej cyberwojna informacyjna już się dzieje i senatorowie którzy brali udział w przesłuchaniu a byli ostatnio w podróży w państwach bałtyckich wskazywali przykład Wschodniej Europy mówiąc miedzy innymi że „tam dopiero się dzieje wojna informacyjna” !!!!!

Cyberryzyko infrastruktury politycznej – otwarte pytania

Oczywiście pojawiło się pytanie jak toczyć tę cyberwojnę?
Jak wskazano, agresywni przeciwnicy mają wolę i siły (intent i capacity) podczas gdy wolny świat wciąż tylko capacity. Oczywiście „intent” jest pochodną decyzji politycznej i w tym obszarze szefowie wywiadu uchylali się od odpowiedzi.
No więc, nas przekaz płynący z tego przesłuchania wcisnął w fotele i chyba nie tylko nas.
I szczególnie iteresujący będzie tu z pewnością polski konketkst sprawy bo MY zawsze znajdujemy się na pierwszej linii konfliktu w bożych igrzyskach. A dzisiaj najwyraźniej stają się one również cyberigrzyskami. Odpowiedź na pytanie: Jak i czy potrafimy walczyć z cyberzagrożeniem w Polsce – pozostawiamy z braku informacji otwarte..

cyberryzyko infrastruktury politycznej cyberryzyko infrastruktury politycznej

Ryzyko internetu rzeczy (i wszechrzeczy)

0
ryzyko internetu rzeczy

Kiedy parę tygodni temu przyszedł do mnie dwukrotnie zawyżony rachunek za prąd pomyślałem: oho! jaki piękny przypadek na ryzyko Internetu Rzeczy. No, może trochę koloryzuję to zadowolenie, ale najnowocześniejsze „sprytne” liczniki prądu, które jak Polska długa i szeroka instalują zakłady energetyczne, oprócz wielu korzyści mogą być przyczyną błędnych zdalnych odczytów. Nawiasem mówiąc dyrektywy unijne zobowiązują Polskę do wymiany 80 % liczników prądu na „smart meters” już do 2020 roku. Nawiasem podwójnym mówiąc, to ryzyka z „inteligentnym licznikami” wychodzą już na etapie wdrażania tego mega projektu. Zupełnie niedawno media doniosły o dużym sporze gospodarczym pomiędzy jednym z operatorów a dostawcą licznikowych rozwiązań, gdzie przedmiotem sporu był „protokół komunikacyjny”, czyli właśnie właściwości odczytu liczników na odległość. A spór dotyczy, bagatela 310 tysięcy zainstalowanych liczników.

Ale wracając do mojego małego case study, to tym razem okazało się, że to akurat błąd ludzki (zresztą każdy błąd jest ludzki, należałoby dodać). Nie zmartwiło mnie, że kolejne przypadki ryzyka związanych z Internetem rzeczy wypadnie mi trochę poczekać, bo zapewne niedługo.

IOT na 9 000 000 000

Internet Rzeczy (Internet of Things, IoT) to w istocie niezbyt precyzyjnie zdefiniowany termin; zazwyczaj pod tym pojęciem rozumie się różnego rodzaju przedmioty użytku prywatnego lub gospodarczego, które są podłączone do Sieci. Szacuje się, że takich „przedmiotów” w 2013 było już ponad 9 miliardów, w roku 2020 będzie 20 miliardów, rynek IoT jest już na dzisiaj warty ponad 200 miliardów dolarów. Nie bez powodu więc pojawia się nawet inna koncepcja Internetu Wszechrzeczy, Internetu Wszystkiego (Internet of Everything). Nie wiem jak Czytelnikowi, średnio mi się taki taka przyszłość podoba.

Podoba się jednak czy nie, to tak jest i już i nawet zaryzykować można prognozę, że choć źródła mówią o udziale Internetu we Wszystkim na poziomie 50 % w wspomnianym 2020 to zaryzykujemy, że pewnie sięgnie procent 99,9.

Stuxnet i inni

Uinternetowienie rzeczy to cicha rewolucja, która jednak bardzo przyśpiesza, co również powoduje, że wiele ryzyk z nią związanych jest wciąż niedostrzegana i zupełnie nie zarządzana. Ryzyko internetu rzeczy jest wręcz sowjego rodzaju czarnym, choć już znanym łabędziem.
A już przecież pojawiają się pierwsze czarne jaskółki zagrożeń i ryzykonomiczne studia przypadków związane z IoT. Jakiś czas temu głośna była sprawa z rzekomym przejęciem kontroli nas sterami odrzutowca pasażerskiego przez dowcipnisia, jako „demonstrator” ryzyk IoT podawane są różne elektryczne black-outy, a nawet katastrofa tamy Taum Sauk w Stanach,  gdzie zawiodły systemy sterownicze. Zupełnie realny jest przykład wirusa Stuxnet zapuszczonego przez „nieznanych sprawców” do irańskiego programu nuklearnego z zupełnie materialnymi zniszczeniami. Natomiast, co do możliwych przyszłych manifestacji ryzyk interesu rzeczy, no tu już można sypać jak z rękawa. Ataki na pompy insulinowe, przejęcie kontroli nad samochodami, „zwykłe „cyberataki”, ataki o charakterze militarnym, ataki na sterowniki urządzeń przemysłowych i tak dalej i tak dalej.

Oczywiście identyfikacja ryzyka będzie inna dla sprzężonego z Internetem ekspresu do kawy (już są!), a inna dla elektrowni jądrowej, a nawet szczytowo-pompowej. Choć, jakby pomyśleć, że wszystkie ekspresy do kawy odmawiają na całym świecie jednocześnie posłuszeństwa o 8 rano, to skutki mogłyby być zaprawdę, równie katastrofalnie. Wolne żarty!

Ryzyko internetu rzeczy chadza parami

Co jednak najważniejsze, w Internecie Wszech(Rzeczy) znajdujemy mieszaninę chyba wszystkich znanych i nieznanych na świecie ryzyk. Bo są i techniczne, i cyber, i reputacyjne, i compliance, i środowiskowe, i finansowe i reputacyjne. I wszystkie mogą się urealnić na raz, prawdziwy Perfect Storm o zgrozo!

Co najgorsze, jak się wydaje większość potencjalnym „ofiar” zupełnie nie zdaje sobie sprawy z mnogości ich połączeń ich Rzeczy z Internetem, nie mówiąc o rodzaju zagrożeń. Konia z rzędem temu, kto zidentyfikował wszystkie rodzaje połączeń z siecią, które występują w jego biznesie zarówno pośrednie, jak i bezpośrednie – bo przecie mamy całą gamę ryzyk w łańcuchach dostaw. Odpowiednia identyfikacja zagrożeń, ich analiza i ewentualne sposoby postępowania z ryzykiem Rzeczy to chyba w ogóle, a na pewno w Polsce czarna magia. No, może częściowo zaadresowana w ramach cyber ryzyka i pewnie tylko w finansach i energetyce. gdzie ryzyko internetu rzeczy jest już chyba dostrzegane.

Cała temat zagrożeń z IoT jest wciąż traktowany jako rodzaj futurologii, niestety problem jest jak najbardziej realny i już wszechobecny. Jak „świeży” jest to temat z punktu widzenia jego nie-zaadresowania świadczy chociażby fakt, że 23 wiodących ubezpieczycieli w 2015 (sic) roku zawiązało zespól roboczy, think tank, który ma zająć się analizą tego niezwykle wielowątkowego dla ubezpieczeń problemu.

Także, jako rzekł poeta „przyszłość to jest dzisiaj tylko cokolwiek dalej”, rozumiał chłop dobrze risk menadżement… A my przejęci pisaniem o Wszechrzeczy idziemy na małą przebieżkę po lesie w wysłużonych butach sportowych. Niepodłączonych do Internetu, jeszcze…

Tekst ten ukazał się w Gazecie Ubezpieczeniowej z dnia 30.05.16 

Czy internet robi z nas głupców?

0
czy internet

Branża finansowa już od dawna wygodnie zagościła w Sieci, są finansowe portale, finansowe reklamy i promocje, porównywarki; każdy bank czy towarzystwo ubezpieczniowe jest obecne w sieciach społecznościowych. Oczywiście Internet to olbrzymie źródło wiedzy o świecie, o ryzykach ważnych dla finansów, dostarczanej w czasie rzeczywistym, on –line. Nie mówiąc już o jaskółkach nowych modeli biznesowych, w tym całkowitej (?) wirtualizacji dystrybucji, co być może czeka nas już „za rogiem”.

Mariażu twarze różne

No, więc maluje nam się tu wysoce optymistyczny obraz przyszłości mariażu finanse – Internet. Nic tylko płakać ze szczęścia, że Sieć jest i finanse zajmują w niej poczesne miejsce. Ale jako, że to tekst w rubryczce „ryzykonomia” musimy tu dolać trochę dziegciu, a w zasadzie nie trochę, tylko całą beczkę.

Nie możemy więc od razu nie wspomnieć, że mamy niestety, rosnącą liczbę naukowych ewidencji, że Internet oprócz wielu pożytków i innych mądrości, przynosi również wiele zagrożeń. Coraz częściej słychać wręcz dramatyczne pytanie: czy Internet czyni nas głupszymi (niż jesteśmy)?

Korzystnie z Internetu dramatycznie zmieniło sposób, w jaki zdobywamy informacje, przetwarzamy je (to proces zwany w zamierzchłych czasach „myśleniem”) i podejmujemy decyzje. Bo to właśnie Internet stał się dla nas podstawową „platformą” tych niezwykle ważnych życiowych czynności.

Łatwo można to zobrazować na przykładzie wyboru polisy ubezpieczeniowej. Zanim nawet postawimy pierwszy krok w celu nabycia polisy: włączamy komputer i rozpoczynamy surfing po sieci, przerzucając jedną stronę za drugą, „skaczemy” po linkach, kalkulujemy składki. Wchodzimy na fora, żeby dowiedzieć się, jak to „oni nigdy nie wypłacają po stłuczce”, podziwiamy kolejne akcje społeczne ubezpieczalni zatroskanych o bezpieczeństwo kierowców. I tak dalej i tak dalej i… na koniec dnia kończymy z wielkim bólem głowy i zastanawiamy się, że może wpadniemy jednak do znajomego agenta i ona nam to wszystko wyjaśni, jak ostatnio.

Teorie i empirie

Oczywiście nikt przy zdrowych zmysłach, nie będzie podważać sensu zdobywania informacji w Internecie, bardzo dobrze, że tam są i jest ich tam dużo. Ale, czy aby nie za dużo? I czy sposób ich zdobywania nie wpływa, na nasz sposób myślenia?

No, więc już jakiś czas temu pojawiły się naukowe teorie, że sposób zdobywania i przetwarzania wiedzy ma kluczowy wpływ na pracę ludzkiego mózgu. A ponieważ mamy dziś erę Internetu, który dramatycznie zmienił naszą „pracy z informacją”, to możemy się spodziewać, że jakieś efekty „kognitywne”, poznawcze, tu na pewno będą.

I tak, mamy dowody eksperymentalne, że średni czytelnik Internetu spędza na jednej stronie ca. 10 sekund, po czym… skacze do kolejnej. W pewnym eksperymencie na amerykańskim uniwersytecie naukowcy podzielili studentów na dwie grupy. Jedna słuchała wykładu z otwartymi laptopami i innymi „mobiliami”, druga jak za prehistorycznych czasów miała do dyspozycji (o zgrozo) jedynie zeszyty i długopisy. Potem był test, z łatwym do przewidzenia wynikiem: grupa „internetowa” osiągnęła wyniki znacznie gorsze niż „tradycyjna”. O ile ten wynik nie zdziwi zapewne, to są i teorie mocno podparte na empirii, że nieustanne surfowanie, internetowy multitasking, brak koncentracji na temacie, ma wpływ na samą strukturę ludzkiego mózgu.

Badania naukowe potwierdzają, że w mózgu mamy do czynienia z nieustanną zmianą milionów połączeń neuronowych, i ten proces jest pod bardzo silnym wpływem naszego nowego, internetowego sposobu zdobywania i rozprzestrzeniania informacji. Jak dalej pokazują analizy, to wspominany już multitasking, wpisany dogłębnie w ideę Internetu powoduje, że mamy rosnące problemy z koncentracją na jednym zagadnieniu, a w efekcie z podejmowaniem przemyślanych i najbardziej trafnych decyzji.

Pikuś ryzykonomiczny

Oczywiście dla nas, tak starych jak autor Ryzykonomii, to jest przysłowiowy „mały pikuś”, ale pomyślmy o nowych pokoleniach internetowych tubylców niewyobrażających sobie życia bez Internetu? Jak zmienił się ich sposób zdobywania i przetwarzania informacji, wyciągania wniosków z ręką na smartfonie? I gdzie są te ważne pozytywne skutki, choć są oczywiście dowody, że i umiejętność multitasking może się przydać. Ale tylko w pewnej specyficzne grupie czynności, jak na przykład pilotowanie pojazdu latającego. Bo o ubezpieczeniach nic w przytaczanych badaniach nie udało nam się znaleźć. Czy to, że zawalimy klienta tonami informacji, wraz i innymi tonami wysłanym mu przez naszą konkurencję, ułatwi mu podjęcie decyzji o zakupie najlepszej polisy ubezpieczeniowej czy zaciągnięciu najlepszego kredytu? Co nam w rzeczywistości daje sławne Big Data?

Zdaje się, że sami finansiści sądzą, że informacji nigdy za mało, więc jeszcze odsyłają nas do Internetu społecznościowego, który miałby nam pomóc w ogarnięciu tego całego informacyjnego bałaganu.

Niestety, nic bardziej z złudnego. Najwyraźniej z tej sieci, powiedzmy wprost z Facebooka, płynie jeszcze większa głupota. I znowu odwołujemy się do badań naukowych, coraz częściej cytowanych również, i nie bez powodu, przez źródła biznesowe. Jak donoszą na przykład włoscy naukowcy, którzy przez kilka lat analizowali zachowania na Facebooku, grupy społecznościowe formują się wokół podobnych sposobów widzenia świata, gromadzą osoby, które dzielą te same poglądy i uprzedzenia.

W efekcie klasyczne grupy znajomych, czy zainteresowanych tą samą tematyką, przyczyniają się do niezmiernie do jeszcze szybszego rozprzestrzeniania się…takich samych, „grupowych” poglądów. Wręcz samo utwierdzają się w swoich przekonaniach. Stąd z szybkością błyskawicy rozprzestrzeniają się różne spiskowe teorie, niczym niepotwierdzone fakty („nigdy nie płacą”), szerzy się dezinformacja, a często zwykła dyfamacja, hejt.

Głupie pytania: „Czy internet…”

Świat dzieli się na „my” (mamy rację) i „oni” (wiadomo). O zgrozo, jak donoszą naukowcy, nawet próby dyskusji, podważania założeń przyczyniają się jedynie do utwierdzania grup w swoich jedynie słusznych poglądach. Dowód obalający grupowe teorie, staje się w rzeczywistości dowodem na potwierdzenie ich słuszności! Bo skoro ktoś próbuje podważyć nasze teorie, to muszą być one prawdziwe!
Potem następuje jeszcze większa polaryzacja stanowisk i podział świata na czarno-biały. Może to mieć
i ma jak widać gołym okiem wielkie implikacje społeczne, polityczne i biznesowe. Bo przecież „the social network” pełen jest biznesowego i antybiznesowego, w tym jak mówiliśmy finansowego, pi-aru.

Co by tu jeszcze dodać, co by tu jeszcze.. Czy Internet, czy internet… robi z nas głupców ???

Ransomware – ryzyko rozpoznane?

0
ransomware ryzyko

Ransomware ryzyko to ma coraz większe znaczenie w obszarze cyber security. Mówiąc po laicku i dla laików, to złośliwe oprogramowanie, które po zagnieżdżeniu się w naszym komputerze, szyfruje (koduje, ankryptuje) nasze (cenne) dane żądając wpłaty opłaty odblokowującej, po prostu okupu (ransom). Może być on włacony na przykład na otwarte w tym celu konto-słup albo co zdaje się również popularne wplacone przez ofiarę w bitcoinach.

Cyber-wymuszanie okupu to niestety coraz bardziej popularne cyberprzestępstwo. Wcześneij głośna w Polsce była sprawa pewnej kancelarii prawnej, która okupu nie zapłaciła, co prezypłaciła ujawninieniem danych swoich klientów w internecie, to jeszcze inne zagrożenie związane z tym przestępstwem.

Kilka dni temu w mediach pojawiła się też informacja o zhakowaniu pewnego portalu towarzysko – erotycznego kamerkowego (taka dziwna defincja skądś) gdzie zażądano wypłaty wszystkiego 1 miliona złotych, a część użytkowników jest podobno szantażowana ujwanieniem swoich zdjęć rodzinie, znajomym i zapewne teściowym.

No więc nikt nie jest dzisiaj bezpieczny ale branżowe cyberportale podają, że jakby co pojawiło się światełko w tunelu dla potencjalnych ofiar, czylu nas wszystkich, oprogramiowanie (znowu!) które rozpoznaje potencjalne ransomware. Tamże link do portalu gdzie można wgrać próbki ransomware (rozumiemy np. z otrzymanego feralnego maila) i potem „postępować zgodnie z wskazówkami”.

Poniżej załączamy stosowany link do tego mamy nadzieję pomocnego serwisu anty ransomware, dla naszych Czytelników i siebie , ad acta:

 

10 TOP najważniejszych trendów tech w 2017

0
10 TOP najważniejszych trendów tech w 2017

10 TOP najważniejszych trendów tech w 2017 czujna zaloga Monitora Ryzykonomii (jak pamiętacie jest to jeden z naszych departamentów redakcyjnych) podpatrzyła wśród informacji udostępnianych na portalu LinkedIn. Jak wiecie, jesteśmy tam silnie obecni i przez nasz osobisty profil (zapraszamy do kontaktu) i grupę Zarządzanie ryzykiem liczącą już 477 dusz i duszyczek. (link)

No więc warty naszym zdaniem tekst do przejrzenia, bo technologia ma coraz większy wpływ na nasze życie. Oczywiście kreuje też nowe, zupełnie nieznane ryzyka. W tym szanse i jeszcze raz szanse oczywiście też. Bo o to przecież ma chodzić…

Link do artykułu poniżej, my podsumowujemy ową ważna dziesiątkę tech-ryzyk-szans:

  1. Sztuczna inteligencja i zaawansowanie ucząca się
  2. Inteligentne, uczące się app-sy
  3. Intelligentne Rzeczy (IoT)
  4. Rzeczywistość wirtulna (VR) i rozszerzona (AR)
  5. Digitalne modelowanie (digital twin)
  6. Nowe metody rozliczeń i dystrybucji
  7. Systemy konwersacji ze światem virtulanym
  8. Samoorganizujące się struktury sieciowe
  9. Nowe digitalne modele biznesowe
  10. Adaptujące się struktury IT security

To oczywiście w dużym skrócie. I wybaczcie za autorskie próby tlumaczenia. Ale, to są naprawdę nowe koncepcje i pojęcia, nawet jeżeli gdzieś już zapowiadane… a może nawet od bardzo dawna jak AI czy IoT, to nabierające obecnie wielkiego przyśpieszenia. Dobrze to czy niedobrze? Jak ładnie ktoś ostatnio zauważył pokażcie mi, kiedy odwrót do nowej, nadchodzącej technologii przysłużył się ludziom? Niszczenie maszyn… Hm….
Jedno jest pewne, dla ryzykonomii tu miejsca do popisu nie zabraknie…

10 TOP najważniejszych trendów tech w 2017

Cyber ryzyko to proste !

0
cyber ryzyko

(Obszerne cytaty z artykułu, który ukazał się 22.10.18 w Gazecie Ubezpieczeniowej)

Analiza ryzyk związanych z „informatyką” czy, jak ładniej ta dziedzina nazywa się w języku angielskim „computer science” jest w domyśle domeną programistów, ekspertów od cyber security, inżynierów. Nie podważając technicznych kompetencji wymienionych ekspertów, to przy bliższej analizie problemów organizacji w obszarze IT, zwykle okazuje się że praprzyczyny ryzyk IT mają zgoła nietechniczny charakter. Zwykle organizacyjny, ludzki. A często wręcz banalny. I być może z tego nieporozumienia wynika taka „popularność” tych ryzyk. Błędnie stawiana diagnoza nigdy nie pomaga wyleczyć choroby.

Kolejnym dowodem na tę tezę moglyby być najświeższe doniesienia Bloomberg Business Week (BBW) o tym, jak to w serwerach obsługujących setki firm na świecie znaleziono tajemnicze, miniaturowe chipy. Hardwarowych mikro szpiegów, otwierających „drzwi”, backdoory do informacji przepływających przez światową sieć informatyczną.

Z komentarzy, które obiegły świat, można by wysnuć wniosek, że (rzekoma) sprawa mogłaby być częścią szeroko zakrojonej operacji obcych służb specjalnych, które w ten sposób były na drodze do zdobycia – nie bójmy się powiedzieć – strategicznej przewagi informacyjnej. Nie tylko nad USA ale może całym Zachodem.

Gdyby jednak doniesienia BBW były prawdziwe byłby to skandal trudny do przecenienia. Zdaje się też, że coraz więcej krajów zaczyna dostrzegać nieczystą grę pretendującego mocarstwa w handlu i obszarze własności intelektualnej. 

W gruncie rzeczy większość naruszeń bezpieczeństwa wynika nie tyle z zastosowania wyszukanych technik przez włamywaczy ale znajdywania przez nich często banalnych luk w zorganizowaniu systemów czasami bardzo kosztownych zabezpieczeń. Tak mogłoby być i w przypadku „szpiegowskich chipów”.

Bez względu na to czy opisane przez BBW zdarzenia miały miejsce, to eksperci zwracają uwagę, że „zachodnie” przedsiębiorstwa, nie tylko zresztą z branży hi-tech mają od dawna świadomość, że lokują swoje łańcuchy dostaw na w gruncie rzeczy obcym i niezwykle trudnym do kontrolowania terytorium. Przeważa jednak pęd do cięcia kosztów oraz argument, że „bo inni robią to samo”.

Ten owczy pęd musi mieć negatywne następstwa. Już same koszty reputacyjne podobnych wpadek byłyby trudne do przecenienia. A przecież jak czytamy w artykule Bloomberga rzekomi zainteresowani tym już były (rzekomo) zmuszone do złomowania co najmniej kilku tysięcy serwerów i rewizji, w tym insourcowania, części swoich łańcuchów dostaw. O informacjach, które mogłyby zostać wykradzione przez wrogie służby, którym udałoby się zamontować na całym świecie tak zainfekowane serwery nawet nie wspominajmy. 

A przecież to dość oczywiste ryzyka i w gruncie rzeczy można się było ich spodziewać. O ile oczywiście zdementowane wydarzenia miały miejsce.