Wiecie, czym jest phishing? To hasło, odmieniane przez każdy przypadek, weszło chyba na stałe do naszego codziennego słownika. Z mailami, czy SMS-ami, mającymi przekonać nas do kliknięcia w link i/lub wpisania w dziwne miejsce naszych wrażliwych, miał do czynienia niemal każdy. A co, gdy Wam powiem, że phishing może być czymś… dobrym?

Czasami zdarza mi się prowadzić szkolenia, czy prelekcje, dotyczące sieciowych zagrożeń. Nierzadko prezentując wektory ataku, argumentuję – dając za przykład Orange Polska – że po to, by zrobić nam krzywdę, nie trzeba dostać się do komputera prezesa Juliena. Wystarczy przekonać do przekazania atakującemu loginu i hasła dowolnego z kilkunastu tysięcy pracowników naszej firmy! Co zatem zrobić, by nikt nie popełnił błędu?

Nauczyć kogo się da

Niestety zarówno statystyki, jak i fakty, dowodzą, że nawet w niewielkiej grupie testowej znajdzie się przynajmniej jedna osoba, która „rozpędzi” się. I poniewczasie dotrze do niej, że jednak w to miejsce nie trzeba było klikać. Po raz kolejny niestety – nie wierzę w to, że grupę „niefrasobliwych” da się zmniejszyć do zera. Można jednak raz na jakiś czas próbować… oszukać wszystkich. Wymarzony efekt będzie tak, że większość nauczy się zasady ograniczonego zaufania. A ci – hmmm – oporni? Pozostaje liczyć, że do nich phishing akurat nie dotrze (albo nauczą się następnym razem).

Przyznacie, że jeśli ktoś ma nas oszukać, to najlepiej, by byli to ludzie z firmowego bezpieczeństwa? Rola „bezpieczniaka” to nie tylko polowanie na phishingi, analiza malware, czy testowanie urządzeń (np. modemów), które trafiają do sieci sprzedaży firmy (to tylko kilka przykładów z tego, co robią moi koledzy z CERT Orange Polska i również ja). Są wśród nas też tacy, którzy patrzą na świat cyber-zagrożeń okiem przestępców. Jedni zapuszczają korzenie w darknecie. Monitorują podejrzane aktywności i szukają, czy ktoś nie chce zrobić krzywdy naszej firmie. Inni kombinują nad pomysłem socjotechnicznej sztuczki tak dobrej, by oszukać jak najwięcej kolegów i koleżanek z pracy.

Phishing pod kontrolą

Dlaczego akurat przyszedł mi do głowy pomysł na taki tekst? Bo u nas taka akcja miała miejsce w ostatni poniedziałek. Tym razem temat związany był z nadchodzącymi świętami Wielkiej Nocy. Jeden z poprzednich kontrolowanych phishingów był np. oparty o motyw sezonu urlopowego (zgadnijcie, kiedy był wysyłany? 😉 ). Wyniki? Mogę się podzielić jednym. Znaleźli się tacy, którzy się złapali.

Czy to znaczy, że coś jest z nimi „nie tak”? Absolutnie nie. Z kolegami z CERT Orange Polska wychodzimy z założenia, że jeśli ktoś dał się złapać na phishing, to dlatego, że nie zdołaliśmy go wyedukować. Jeszcze nie zdołaliśmy! Dlatego nikt nie zna dnia ani godziny, gdy znów dostanie maila. W całej naszej idei kontrolowanych phishingów ważne z punktu widzenia ofiary jest jednak to, że jedyną osobą, która dowie się o „wpadce” jest ona sama. Zdarzy się, że poda dane logowania? Przejdzie na stronę wyjaśniającą, że padła ofiarą phishingu, dostanie informację o obowiązku zmiany hasła i sugestię zapisania się na szkolenie. Jeśli ktoś ma zawstydzić niefrasobliwą osobę, będzie to co najwyżej ona sama. I nie ukrywam, że taką mam nadzieję, że ci, którym tym razem się nie udało, postawią sobie za punkt honoru, by przy następnej próbie już się nie dać oszukać.

Im więcej potu na ćwiczeniach…

…tym mniej krwi w boju. Powiedzenie Seal Team DevGru najlepiej opisuje sens tego typu ćwiczeń i oczekiwane efekty. Liczenie na to, że przestępcy odpuszczą, byłoby skrajną naiwnością. Wiara w to, że jeśli kogoś zaatakują to innych, nie nas – podobnie. Choć czy to efekt ataku (i fakt, że daliśmy się oszukać), czy też socjotechniczna sztuczka, użyta w konkretnej kampanii, mogą nas frustrować, irytować – nie ma co się wkurzać. Złodziej nie będzie etyczny, nie będzie się zastanawiał, czy jest wystarczająco empatyczny, a motyw, którego użyje, nie sprawi nam przykrości. Mówimy o ludziach, którzy potrafią bez mrugnięcia okiem dla okupu zaszyfrować systemy informatyczne szpitali!

Jeśli zdarzy Ci się, że Twoja firma, lub wynajęci przez nią zewnętrzni eksperci, przeprowadzą taki atak, a Ty dasz się oszukać – nie obrażaj się. Wyciągnij wnioski i następnym razem po prostu się nie daj.

Jako osobę o przekornej naturze, ciekawią mnie przede wszystkim rzeczy, które odstają od normy i zakrzywiają choćby w minimalnym stopniu czasoprzestrzeń. W sklepie Orange bardziej niż najnowsze smartfony przykuwają moją uwagę produkty, których w ofercie operatora sieci komórkowej nie każdy się spodziewa lub po prostu choć trochę nietypowe.

Testowałem już alkomat, dyfuzor z lampką w kształcie pnia drzewa, podświetlany głośnik-jednorożec, kłódkę na odcisk palca, lornetkę z kamerą czy mikrofon karaoke. Teraz postanowiłem zaprezentować Wam akcesoria do telefonu, którymi można zadać szyku, na co dzień i podczas wieczornego wyjścia.

Ostatnio do sklepu Orange trafiły smyczki do telefonu, które wyglądają – w zależności od naszego gustu – efektownie, stylowo czy wręcz ekstrawagancko. Do wyboru są m.in. smyczki z frędzlami i złotymi elementami, w formie złotego łańcuszka czy ciemnozielonego łańcucha, a także ekologiczna smyczka w pastelowych kolorach, wykonana z w pełni biodegradowalnych materiałów.

Wszystkie te smyczki są uniwersalne – pasują do niemal każdego etui. Wystarczy włożyć pomiędzy telefon a obudowę system mocujący, który jest dołączony do zestawu. Zawieszona na ramieniu, szyi lub ręce smyczka oprócz walorów estetycznych pozwala też lepiej chronić smartfon przed upadkiem czy zagubieniem.

Tych, którzy wolą nieco skromniejsze rozwiązanie, choć równie praktyczne, zainteresować może bransoletka do telefonu, dostępna z koralikami w kilku kolorach.

Zobacz też: Najlepiej sprzedające się akcesoria w Orange

W Polsce chmura kojarzona jest z innowacyjnością, ale wciąż niewiele firm dostrzega jej znaczenie dla wzrostu biznesu^[1]. Tymczasem wykorzystanie chmury może podnieść jakość usług i bezpieczeństwa danych, przy obniżeniu kosztów. Trudno o lepszą perspektywę dla biznesu. Z drugiej strony nie w każdej sytuacji, na przykład gdy potrzebujemy minimalnych opóźnień, chmura jest najlepszym rozwiązaniem. Zapraszam do obejrzenia lub posłuchania wideocastów „Porozmawiajmy o chmurze”. Konrad Gawda rozmawia z ekspertami o technologiach chmurowych, migracji, kolokacji, ryzykach, bezpieczeństwie i wszystkim tym, co w chmurze piszczy.

Kiedyś usłyszałam, że korzystanie z chmury jest jak latanie liniami lotniczymi. Po co kupować na własność cały samolot, skoro prawie wszędzie jesteśmy w stanie dolecieć samolotem wybranej linii. Taniej, szybciej, bardziej ekologicznie. Chmura daje podobny efekt: wykorzystujemy efekt skali dla osiągnięcia licznych korzyści. Jako Orange razem z Integrated Solutions, spółką z Grupy Orange Polska, stworzyliśmy chmurę obliczeniową – Integrated Computing Standard. To cyfrowe miejsce, które udostępniamy firmom do przechowywania i przetwarzania danych czy utrzymywania aplikacji i stron. Teraz nasi eksperci podzielili się swoją wiedzą w wideocastach „Porozmawiajmy o chmurze”. W kolejnych odcinkach poruszają tematy dotyczące technologii chmurowych i przywołują liczne ciekawostki.  

Migracja do chmury

Jeśli interesuje Was praktyczne podejście, jak skutecznie i z głową migrować do chmury, polecam zwłaszcza trzeci i czwarty odcinek. Jednym z omawianych rozwiązań jest koncepcja landing zone. Mówi ona jak efektywnie urządzić środowisko chmurowe tak, żeby było dopasowane do naszej strategii, bezpieczne i łatwe w zarządzaniu. Innym rozwiązaniem jest model 7R – relocate, rehost, repurchase, replatform, refactor, retain, retire. Opisuje on siedem dróg, które możemy wybrać przenosząc zasoby do chmury. Ale nie wchodźmy w szczegóły, o nich najlepiej opowiedzą eksperci.

Bezpieczna chmura

W kontekście rozwiązań chmurowych często pojawia się też kwestia bezpieczeństwa. Możemy tu mówić zarówno o bezpieczeństwie samych obiektów data center, jak i bezpieczeństwie danych. Oba te aspekty poruszają eksperci w „Porozmawiajmy o chmurze”.

W przypadku bezpieczeństwa obiektów chodzi między innymi o zabezpieczenie fizyczne, energetyczne, chłodnicze czy pożarowe. Jako Orange mamy czym tutaj się pochwalić. Przykładem takiego super-bezpiecznego i niezawodnego budynku jest centrum przetwarzania danych Warsaw Data Hub. Przykładowo, na wypadek braku prądu, budynek wyposażony jest w agregaty prądotwórcze, które mają zapas paliwa na 72 godziny. Gwarantuje to ciągłość działania. Z przestrzeni kolokacyjnej w Warsaw Data Hub korzystają na przykład szpitale z województwa mazowieckiego. Bez gwarancji niezawodności, nie byłoby to możliwe. Więcej o bezpieczeństwie Warsaw Data Hub możecie przeczytać w artykule pod linkiem. Jeden z odcinków „Porozmawiajmy o chmurze” nagrany został właśnie w tym budynku, a eksperci rozmawiali m.in. o bezpieczeństwie i wspominanej usłudze kolokacji.

Więcej nie zdradzam. Pozostałe odcinki „Porozmawiajmy o chmurze” wraz z opisem dostępne są pod tym linkiem. Zachęcam do posłuchania lub obejrzenia. Na tym nie koniec, bo Konrad nagrywa kolejne odcinki tej serii. Będzie między innymi o chmurze w kontekście sieci 5G oraz o dronach. 

[1] Raport „Chmura i jej wartość. Oczekiwania vs. Rzeczywistość”, PwC Polska, czerwiec 2022.