Firmy i organizacje rządowe padają każdego dnia niezliczonym cyberatakom. Przeciwdziałanie tym zagrożeniom angażuje personel i zasoby i tylko największe organizacje są w stanie pozwolić sobie na pełną ochronę. A co z mniejszymi podmiotami, których nie stać na poświęcenie odpowiedniej ilości czasu i pieniędzy? W ramach tego unijnego projektu powstaną bezpłatne i łatwe w instalacji, a jednocześnie zaawansowane narzędzia pomagające w walce z zagrożeniami.

Gospodarka cyfrowa

Znakomita większość MŚP musi poświęcać swoje ograniczone zasoby, aby móc uzyskać potrzebne zabezpieczenia, lub też zadowolić się niedoskonałymi narzędziami i liczyć na to, że nie stanie się nic poważnego. Celem projektu WISER jest zmiana tego stanu rzeczy poprzez opracowanie łatwych w użyciu i bezpłatnych narzędzi do zarządzania ryzykiem, z których będą mogły korzystać polegające na technologiach teleinformatycznych MŚP oraz więksi operatorzy krytycznej infrastruktury. "MŚP często nie mają zasobów czy umiejętności potrzebnych do użycia zaawansowanych metod i narzędzi zarządzania ryzykiem cybernetycznym, a większości nie stać na zatrudnienie specjalistycznych doradców", tłumaczy Niccolò Zazzeri ze znajdującej się w Pizie organizacji Trust-IT Srl, członka konsorcjum badawczego WISER. "Chcemy zaoferować zaawansowane rozwiązanie, które będzie łatwe do wdrożenia dla użytkowników końcowych". W ramach rozpoczętego w czerwcu 2015 r. 30-miesięcznego projektu WISER zaplanowano przeprowadzenie szeregu krótkich ocen pilotażowych mających umożliwić przetestowanie narzędzi. Następnie przeprowadzone zostaną pełnoskalowe testy pilotażowe poświęcone wykrywaniu oszustw, dystrybucji i wykorzystaniu energii oraz zakupom energii. W testach tych zostanie wykorzystana metodologia WISER w czasie rzeczywistym oraz narzędzia modelowania oparte na realistycznych scenariuszach. Jednym z bezpłatnych internetowych narzędzi opracowanych i przetestowanych przez konsorcjum jest program Cyber-WISER Light, składający z dwóch części: kwestionariusza i testu podatności. "Prosimy MŚP o regularne przeprowadzanie tej oceny, ponieważ zagrożenia zmieniają się w czasie oraz w zależności od miejsca", opowiada Zazzeri. Narzędzie gromadzi informacje o sieci prywatnej i generuje raport w oparciu o ogólne najlepsze praktyki w zakresie cyberbezpieczeństwa, by następnie ocenić narażenie podmiotu na ryzyko. Kolejny krok polega na przeprowadzeniu testu podatności, w ramach którego na serwerze podmiotu instalowany jest token. "Użytkownik potrzebuje do tego uwierzytelnienia wymaganego w organizacji, ale token nie ma charakteru agresywnego — wystarczy go skopiować i wkleić. Następnie generowany jest obraz podatności sieci na podstawie rankingu 10 głównych słabych punktów", wyjaśnia. Kolejne narzędzie — Cyber-WISER Plus — ma ukazać się z końcem 2016 lub na początku 2017 r. i będzie wyszukiwać zagrożenia oraz konie trojańskie. Dla większych operatorów zespół opracowuje też wersję "platformy ryzyka jako usługi" (RPaaS) tego narzędzia. Będzie ona przeznaczona dla krytycznych infrastruktur oraz wysoce skomplikowanych systemów cybernetycznych, które wymagają monitorowania specjalnych zabezpieczeń w obrębie systemu teleinformatycznego w celu zapobiegania ich złamaniu. Procedury weryfikacyjne będą oparte na funkcji szyfrowanej infrastruktury klucza publicznego (PKI) i jej komponentach. Funkcja ta będzie sprawdzać, czy cecha charakterystyczna w komunikacji sieciowej odpowiada certyfikatowi organizacji zawartemu w każdym komunikacie. Zdaniem Zazzeriego, zastosowane w jego projekcie podejście do zarządzania i ograniczania zagrożeń i ochrony krytycznej infrastruktury informatycznej "pomoże decydentom w organizacjach publicznych i prywatnych w skuteczniejszej ocenie ryzyka cybernetycznego".

Słowa kluczowe

WISER, cyberbezpieczeństwo, zagrożenie, koń trojański, MŚP, sieć prywatna, narażenie na ryzyko, podatność, narzędzie zarządzania ryzykiem