Cybersecurity Academy
Bezpieczna identyfikacja elektroniczna w Akademii Cyberbezpieczeństwa
30 czerwca odbył się ostatni w semestrze letnim wykład Akademii Cyberbezpieczeństwa. Nawiązywał do pierwszego spotkania cyklu i dotyczył problematyki eIDAS w kontekście technicznych perspektyw identyfikacji elektronicznej. Profesor Mirosław Kutyłowski, który poprowadził wykład, poruszył wątki, jakie stają się aktualne wraz z wejściem w życie regulacji eIDAS, o której prelegent mówił podczas spotkania inauguracyjnego Akademii.
Od 1 lipca (data wejścia w życie regulacji) znacząco zmieniają się obowiązki państwa polskiego w zakresie ochrony interesów obywateli. System zaufania w odniesieniu do transakcji elektronicznych, oparty na tradycyjnych metodach, musi ulec przemianom. By sytuacja w obrocie elektronicznym była klarowna, niezbędne jest wprowadzenie określonych rozwiązań, które pozwolą na bezpieczne wykorzystywanie ustaleń eIDAS. Inaczej będziemy musieli każdorazowo wzmacniać czujność, widząc np. elektroniczne faktury, wyciągi z KRS czy inne dokumenty, choćby potwierdzające własność nieruchomości.
Dobrym rozwiązaniem w obliczu zmieniających się przepisów staje się dokument dualny, oparty o pieczęć elektroniczną. Jednak, by mógł prawidłowo funkcjonować, niezbędna jest jego standaryzacja - wdrożenie urządzeń do generowania tego rodzaju dokumentów oraz oprogramowania do ich weryfikacji. Takie działania i prototypowanie niezbędnych mechanizmów już są podejmowane, m.in. na Politechnice Wrocławskiej. Szczegółowe informacje na ten temat można znaleźć w przedstawionej przez prof. Kutyłowskiego prezentacji, która znajduje się poniżej:
https://cybersecurity-iati.e-science.pl/media/cybersecurity/30.06.2016-wyklad eIDAS.pdf
Podczas spotkania zastanawiano się też nad jakością warstwy elektronicznej polskich dokumentów tożsamości. By koncepcja eID mogła się urzeczywistnić, potrzeba bowiem skutecznych systemów uwierzytelniających, które zbudują zaufanie społeczne do tego typu innowacji.
Na kolejny cykl wykładów w ramach Cybersecurity Academy zapraszamy po wakacjach. We wrześniu będą dostępne szczegółowe informacje na temat spotkań w nowym roku akademickim.
Czwarte spotkanie Akademii Cyberbezpieczeństwa
Dane biometryczne to wszelkie dane osobowe, dotyczące cech fizycznych, fizjologicznych lub behawioralnych człowieka, umożliwiające jego jednoznaczną identyfikację. Oznacza to, że tego rodzaju informacje stanowią bardzo precyzyjne źródło wiedzy o tożsamości osoby, której są przypisane. To informacje wrażliwe, niezwykle cenne i unikatowe. Podczas kolejnego wykładu w ramach IATI Cybersecurity Academy, który odbył się 28.04.2016 r., Wojciech Wodo z Wydziału Podstawowych Problemów Techniki przybliżył uczestnikom, na czym polegają zastosowania biometryczne oraz przedstawił wyniki badań eksploracyjnych w zakresie oceny społecznej biometrii.
W
codziennym życiu nie zdajemy sobie sprawy, na ile różnorodnych sposobów możemy
zostać zidentyfikowani. Każdy wie, że jego odręczny podpis jest jedną z takich
metod, jednak niekoniecznie myślimy o tym, że tembr głosu, sposób chodzenia,
reakcje mózgu, a nawet sposób pisania na klawiaturze może być charakterystycznym
źródłem informacji o naszej osobie. Do
tego należy dołączyć też cechy fizyczne, takie jak oczywiste linie papilarne, ale też kształt małżowiny usznej, tęczówkę
oka, geometrię twarzy czy układ żył, np. dłoni.
Nie powinno zatem dziwić, że wykorzystywanie danych biometrycznych budzi wiele kontrowersji. Wojciech Wodo w swoich badaniach dowiódł, że ludzie najczęściej obawiają się wycieku takich danych i śledzenia ich działań przez osoby nieuprawione. Nie mają również zaufania do określonych funkcjonalności opartych o metody biometryczne. W odpowiedziach respondentów pojawiły się też wątpliwości co do skuteczności proponowanych rozwiązań w tym zakresie. Problemem są przede wszystkim tzw. ataki kanałami bocznymi. Ze względu na coraz łatwiejszą dostępność sprzętu elektronicznego, który umożliwia zbieranie danych biometrycznych, zagrożeniem mogą stać się systemy dotychczas uznawane za zaufane. Pozyskiwanie danych może odbywać się w sposób, jakiego się nie spodziewamy. Najbardziej przemawiającym do wyobraźni jest przykład ataku termowizyjnego. Wiele systemów jest obecnie opartych o PINy. Jeśli wpisuje się go przy użyciu np. plastikowej klawiatury, późniejsze jego odczytanie jest niezwykle łatwe. Jak zatem sprawić, by tak szerokie i wartościowe źródło wiedzy, jakie otwiera przed nami biometria, było w odpowiedni sposób używane i nie budziło tak wielu obaw społecznych? O tym szerzej w prezentacji przedstawionej podczas spotkania:
https://cybersecurity-iati.e-science.pl/media/cybersecurity/biometria.pdf
W czasie dyskusji po wykładzie zauważono, że biomeria to olbrzymie pole do wykorzystania w zakresie zastosowań komerycyjnych. Przydaje się, gdy mowa o technologiach mobilnych, światach wirtualnych. Dzięki niej możliwe jest zbudowanie unikatowego eID czy skuteczna weryfikacja dostępu do określonych systemów pod warunkiem, że dane biometryczne są w odpowiedni sposób chronione. Umożliwia analizę zachowań klientów. Może również znaleźć zastosowanie w medycynie. Metody biometryczne mogłyby ułatwić kontrolę stanu zdrowia pacjentów, szybsze reagowanie na zbliżające się stany kryzysowe.
Śledztwo informatyczne w Cybersecurity Academy
Jak skutecznie pozyskiwać dowody w systemach IT? Odpowiedzi na to, i wiele innych pytań związanych z prowadzeniem śledztwa informatycznego, można było otrzymać na trzecim z kolei spotkaniu w ramach Akademii Cyberbezpieczeństwa, które odbyło się 31 marca 2016 r. Poprowadził je Marcin Kaczmarek, specjalista Zespołu Bezpieczeństwa Informacji działającego we Wrocławskim Centrum Sieciowo-Superkomputerowym Politechniki Wrocławskiej.
Najczęstszym powodem ataków w cyberprzestrzeni jest chęć uzyskania korzyści wynikających z przejęcia chronionych danych lub wyłudzeń na tle finansowym. W dużej mierze przestępstwa w sieci skierowane są w sektor gospodarczo-przemysłowy, ale coraz częściej ataki wycelowane są również w osoby prywatne. Łamanie zasad dostępu do danych, pozyskiwanie nielegalnych treści, defraudacje finansowe - to tylko mały wycinek tego, z czym na co dzień styka się informatyk śledczy. Praca ta jest o tyle trudna, że wykrycie incydentu następuje zazwyczaj po długim czasie od jego wystąpienia. Nagle dowiadujemy się, że zostaliśmy wpisani na listę dłużników Krajowego Rejestru Długów, z naszego konta został wykonany nieautoryzowany przelew, podmieniono treści w systemie komputerowym i osoby niepowołane miały dostęp do naszych danych.
Podstawową radą skierowaną do wszystkich użytkowników systemów informatycznych jest odpowiednie zabezpieczanie się przed tego typu zdarzeniami. Jednak, jak podkreślił prelegent, systemy monitoringu nie zawsze bywają skuteczne, ponieważ przestępstwa cybernetyczne stają się coraz bardziej wyrafinowane. Przestępcy podszywają się pod operatorów telefonicznych, wysyłając maile z poleceniem zapłaty zaległej faktury, czy nawet pod państwowe instytucje finansowe, które rzekomo oferują np. zwrot nadpłaconego podatku po wypełnieniu wymaganego załącznika. Dane mogą być przechwytywane nawet z urządzeń pozornie nieistotnych, np. czujników ruchu, automatycznych włączników, termometrów cyfrowych… Tu zaczyna się pole do działania ekspertów. Rozpoczyna się proces pozyskania i zabezpieczenia materiałów dowodowych oraz następnie ich dokładna analiza.
O szczegółach śledztwa informatycznego omówionych przez Marcina Kaczmarka można dowiedzieć się więcej z prezentacji, która została przedstawiona podczas prelekcji:
http://cybersecurity-iati.e-science.pl/media/cybersecurity/informatyka sledcza.pdf
Po wykładzie rozpoczęła się szeroka dyskusja na temat metod pozyskiwania danych dowodowych oraz sposobach ich analizy. Ataki cybernetyczne stanowią realne zagrożenie naszego bezpieczeństwa sieciowego, dlatego temat spotkał się z bardzo dużym zainteresowaniem ze strony zgromadzonych podczas spotkania przedstawicieli nauki i biznesu.
Kolejne spotkanie w ramach Akademii Cyberbezpieczeństwa
25 lutego 2016 r. odbył się drugi wykład IATI Cybersecurity Academy. Tym razem tematem przewodnim spotkania była analiza różnych aspektów użytkowania tzw. smart meters czyli elektronicznych liczników zdalnego odczytu energii. Prezentację poprowadził dr Przemysław Kubiak z Wydziału Podstawowych Problemów Techniki, w pierwszej kolejności skupiając się na omówieniu pozytywnych aspektów wprowadzenia inteligentnych liczników. Rozwiązania tego rodzaju generują oszczędności w zużyciu prądu przez odbiorców. Każdy indywidualny użytkownik może w ten sposób zaprogramować swoje urządzenia domowe, by dzięki zdalnej komunikacji z miernikiem poboru mocy, działało wtedy, gdy koszt energii elektrycznej jest najniższy. Odciąża to również dostawców energii, ponieważ korzystanie z infrastruktury rozkłada się w czasie i obciążenia w szczycie używalności przestają być problemem. Jednak instalacja smart meters niesie ze sobą też zagrożenia. W przypadku przejęcia kontroli nad miernikiem, wroga organizacja może uzyskać możliwość wysyłania zafałszowanych danych oraz odczytu informacji o porach i rodzaju aktywności użytkowników.
W Polsce obecnie trwają prace nad specyfikacją szczegółowych wymagań dot. poszczególnych funkcjonalności inteligentnych liczników, zmierzające do opracowania precyzyjnej architektury bezpieczeństwa dla tego typu urządzeń. Trzeba bowiem pamiętać, że sieć generacji i dystrybucji energii elektrycznej jest jednym z bardziej krytycznych elementów infrastruktury publicznej, na której działaniu opiera się całe współczesne społeczeństwo. Instalacje przesyłu prądu są zatem łakomym kąskiem w sytuacjach kryzysowych. Bomba grafitowa, powodując przepięcia, potrafi natychmiast zniszczyć infrastrukturę elektryczną. Gdy ta przestaje działać, społeczeństwo w krótkim czasie przestaje normalnie funkcjonować, o czym można się przekonać, śledząc np. historię wielkich awarii i przerw w dostawie prądu na przestrzeni ostatnich kilkunastu lat.
Po wykładzie uczestnicy spotkania mieli możliwość dyskusji na temat problematyki bezpieczeństwa infrastruktury elektrycznej w kontekście uzależnienia społeczeństwa od dostaw energii.
Zachęcamy do zapoznania się ze szczegółami wykładu:
https://cybersecurity-iati.e-science.pl/media/cybersecurity/IATI-smart-meters-talk1.pdf
Wywiad z pomysłodawcą IATI Cybersecurity Academy
Na stronie iati.pl w zakładce aktualności zamieszczono wywiad z prof. Mirosławem Kutyłowskim, inicjatorem cyklu spotkań odbywających się w ramach IATI Cybersecurity Academy. Rozmowa dotyczy zagadnień poruszanych podczas wykładów oraz wyzwań i możliwości, jakie stoją przed polskimi naukowcami w zakresie bezpieczeństwa sieciowego. Zapraszamy do lektury.Ruszyła IATI Cybersecurity Academy
W czwartek 28 stycznia 2016 roku w Centrum Kongresowym Politechniki Wrocławskiej zainaugurowaliśmy cykl spotkań w ramach IATI Cybersecurity Academy. Pierwsze spotkanie poświęcone było problematyce tzw. Rozporządzenia eIDAS. Prelegent, prof. Mirosław Kutyłowski z Politechniki Wrocławskiej, zwrócił uwagę zebranych na kluczowe kwestie wynikające z Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej Nr 910/2014 z dnia 23 lipca 2014r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE.
Nie dla wszystkich jest oczywiste, że Rozporządzenie to w części już obowiązuje w całej Unii Europejskiej, a w niemal pełnym zakresie wejdzie w życie od 1 lipca br. Trzeba tu wspomnieć, że w odróżnieniu od uchylanej dyrektywy o podpisie elektronicznym, Rozporządzenie stosuje się bezpośrednio (bez potrzeby implementowania) w systemach prawnych państw członkowskich. W polskich realiach może mieć to kolosalne znaczenie dla zastosowań dokumentu elektronicznego w obrocie prawnym. Zmarginalizowany aktualnie, tzw. „kwalifikowany podpis elektroniczny” i inne „usługi zaufania” staną niebawem wobec nowych możliwości. Całą sferę obrotu gospodarczego i kontaktów podmiotów prywatnych z podmiotami publicznymi czeka wiele wyzwań. Otwiera się pole do działań specjalistów z zakresu Cybersecurity tworzących innowacyjne rozwiązania, które mogą przyczynić się do budowania zaufania pomiędzy uczestnikami e-rynku, m.in. w sektorze e-commerce, e-banking, e-goverment, e-learning, itd.
Po wykładzie uczestnicy mieli okazję podzielić się swoimi spostrzeżeniami i wnioskami dotyczącymi uwarunkowań tworzonych przez Rozporządzenie eIDAS w nieformalnych rozmowach przy kawie.
Zapraszamy do przeglądu treści całego wykładu:
https://cybersecurity-iati.e-science.pl/media/cybersecurity/Regulacje eIDAS-prezentacja.pdf
