Urząd Komisji Nadzoru Finansowego 31 marca zalecił instytucjom nadzorowanym uważne przeanalizowanie ryzyk związanych z wykorzystywaniem oprogramowania komputerowego pochodzącego z Federacji Rosyjskiej bądź Białorusi.
- Aktualnie żaden tego typu produkt, który pochodzi z tych państw bądź wytwarzany jest na ich terytorium, nie został określony w Polsce, jako wykluczony z użytkowania w ramach sieci i systemów teleinformatycznych instytucji i podmiotów, które korzystają z takich produktów. Stąd też, Urząd KNF informuje, że decyzja o stosowaniu i utrzymywaniu konkretnych produktów, których krajem pochodzenia jest Federacja Rosyjska bądź Białoruś, pozostaje w gestii danego podmiotu czy instytucji i powinna być podjęta na podstawie przeprowadzonej analizy ryzyka, uwzględniającej poniższe kwestie - pisze UKNF.
– KNF wskazuje na konieczność samooceny ryzyka związanego z używaniem oprogramowania pochodzącego z Rosji lub Białorusi. Pisma sektorowe Komisji nie są formalnie wiążące. Jestem jednak przekonany, że jeśli w którejś z nadzorowanych instytucji doszłoby teraz do incydentu w związku z wykorzystywaniem takiego oprogramowania, ocena tego zdarzenia byłaby zupełnie inna, niż jeszcze przed opublikowaniem tego pisma – wyjaśnia Tomasz Klecor, prawnik, partner w kancelarii Legal Geek, specjalizującej się w obsłudze rynku finansowego.
Nadzór wskazuje na liczne ryzyka
Spośród przesłanek, które mogą wpłynąć negatywnie na użytkowanie produktów, których krajem pochodzenia jest Federacja Rosyjska lub Białoruś, nadzór wymienia problemy z zapewnieniem oczekiwanych aktualizacji, brak wsparcia technicznego produktów lub ich istotne ograniczenie oraz ograniczenie działalności biznesowej określonych firm związane z sankcjami lub problemami z utrzymaniem działalności komercyjnej. Dodatkowo, w przypadku eskalacji sytuacji geopolitycznej, UKNF liczy się z istotnym wzrostem ryzyka wystąpienia okoliczności o trudno przewidywalnych skutkach, które w odniesieniu do produktów mogą przykładowo spowodować ryzyko wizerunkowe wynikające z użytkowania produktu, całkowity brak wsparcia produktów oraz zaburzenia łańcucha dostaw (w tym ataki na łańcuch dostaw), wycieki danych (w tym danych wrażliwych klientów) występujące w wyniku ataków hakerskich, kompromitację w zakresie bezpieczeństwa używania danego produktu, ujawnienie podatności produktów, które mogą być wykorzystane w ramach cyberataków oraz wykorzystanie produktów do działań o charakterze przestępczym.
- Reasumując, produkty teleinformatyczne, pochodzące od firm rosyjskich czy białoruskich, nabyte jako produkty komercyjne, należy uznać za szczególnie wymagające stałego monitorowania co wynika z ww. czynników. Należy również mieć na uwadze, że może
wystąpić konieczność zakończenia ich eksploatacji z uwagi na brak oczekiwanych funkcji, określonych w umowach handlowych lub materializację wskazanych ryzyk- podaje UKNF.
W sytuacji pozyskiwania nowych produktów lub technologii (ze szczególnym uwzględnieniem obszaru cyberbezpieczeństwa) Urząd KNF rekomenduje przeprowadzenie kompleksowej analizy ryzyka uwzględniającej co najmniej wskazane w piśmie czynniki.
- W przypadku oprogramowania typu open-source, należy dodatkowo zwrócić uwagę na podwyższone ryzyko związane z możliwością kompromitacji (rozumianej jako złośliwa modyfikacja) kodów źródłowych tego typu oprogramowania. W tym wypadku niezbędna jest analiza możliwości wykorzystania oprogramowania komercyjnego pochodzącego z zaufanych źródeł - ostrzega nadzorca.
– Urząd wskazuje na możliwe zagrożenia w związku z nasilaniem się działań mających znamiona cyberwojny – zauważa w Maciej Cieśla, Head of Cybersecurity HackerU Polska.
Instytucje nadzorowane nie muszą gwałtownie wprowadzać zmian
Jak zauważa Maciej Cieśla, instytucje nadzorowane nie muszą natychmiast rezygnować z tego typu oprogramowania, ale powinny ocenić, czy dodatkowe działania monitorujące i sprawdzające pozwalają na utrzymanie opłacalności korzystania z tych produktów.
UKNF rekomenduje, aby rozpocząć proces analizy od oceny ryzyka i zagrożeń. - Warto jednak pójść o kilka kroków dalej, by jeszcze bardziej zwiększyć bezpieczeństwo w firmie czy urzędzie. Po identyfikacji ryzyka najlepiej wykonać jeszcze skan podatności oraz manualne testy penetracyjne. Dzięki temu zdobędziemy wiedzę dotyczącą tego, od czego powinniśmy rozpocząć zabezpieczenie naszych aktywów (np. czy najpierw wdrożyć zmianę w kodzie, czy zaimplementować uwierzytelnianie określonego typu do danego serwera lub aplikacji), jakie dokładnie działania podjąć, aby podnieść poziom bezpieczeństwa - radzi Maciej Cieśla.
Tomasz Klecor zauważa z kolei, że wprawdzie w obecnej sytuacji nikt nie zdecyduje się na korzystanie z software’u pochodzącego z Rosji lub Białorusi, ale problemem może być świadomość użytkowników, a raczej jej brak, na temat tego, gdzie powstał wykorzystywany program.
- Informacje, że antywirus Kaspersky jest rosyjski, i że różne służby ostrzegają przed instalowaniem go, są już dość rozpowszechnione. Ale co z przeróżnymi “małymi” narzędziami, których nie nazywamy nawet programami? Kto weryfikuje pochodzenie aplikacji do edycji zdjęć lub alternatywy dla notatnika, nie wspominając już o wtyczkach i rozszerzeniach do przeglądarek internetowych? Niestety tego typu oprogramowanie może też być instalowane na stacjach roboczych w instytucjach nadzorowanych przez KNF, np. w Biurach Usług Płatniczych i agentów Małych i Krajowych Instytucji Płatniczych czy agentów towarzystw ubezpieczeniowych - mówi Tomasz Klecor.
Ekspert zwraca uwagę na “niezależność polityczną” oprogramowania i hardware’u w szerszym kontekście.
- Ufamy, że dane o nas zbierane przez Google, Amazon czy Microsoft na swoich serwerach we Frankfurcie, a niektóre nawet w Warszawie, są zabezpieczone przed dostępem służb amerykańskich. Jednocześnie korzystamy z komputerów i smartfonów składanych w Chinach. Nawet te z jabłuszkiem w logo są przecież montowane w Kraju Środka. I tak naprawdę nie wiemy co ten nasz sprzęt ma w środku, bo przecież oprogramowanie szpiegujące można zaimplementować w BIOS-ie lub nawet procesorze. I nie jest to ryzyko abstrakcyjne. Mieliśmy już przykłady podobnych działań ze strony Chin - wskazuje Klecor.
Innego rodzaju zagrożeniem mogą stanowić technologie open-source, które dziś są wszędzie. Na to ryzyko również wskazuje UKNF.
- Nawet systemy pisane "od zera" często nie są pisane od zera, bo w tle jest jakiś framework. O ile w samym otwartym oprogramowaniu nie ma nic złego, to problemem jest weryfikacja źródeł. Jeśli program korzysta z otwartych bibliotek, to przy jego kompilowaniu lub aktualizacji najczęściej sięga się do źródła w serwisach typu GitHub. A nad nimi instytucja nadzorowana nie ma kontroli. Teoretycznie przy każdym takim sięgnięciu do źródła trzeba by je ponownie weryfikować. A to nie jest zapewne powszechna procedura - mówi Tomasz Klecor.
