Bezpieczna sieć partnerów B2B

W jednym z poprzednich artykułów (Bezpieczny pracownik IT) wspominaliśmy o tym jak bardzo są istotne szkolenia z bezpiecznego korzystania z zasobów IT dla pracowników spółek.

Warto jednak wspomnieć o tym, że to nie jedyna grupa osób, które powinny takie szkolenia przechodzić obowiązkowo.

Załóżmy taką sytuację – pracujemy w dużej firmie, w której wszystkie procesy związane z obsługą danych są już okiełznane, są pod naszą kontrolą. Nasze systemy IT i bezpieczeństwo fizyczne budynku jest na odpowiednim poziomie – możemy więc spać „w miarę” spokojnie i nie obawiać, że atak z zewnątrz jest prosty do przeprowadzenia – wymagałby od przeprowadzającego go sporo zachodu i środków niezbędnych do jego przeprowadzenia.

Niemniej jednak firma w której pracujemy posiada wiele Punktów Obsługi Klienta, partnerów biznesowych czy firm pośredniczących usługi np.: agenci rozlokowanych po całych kraju (nazwijmy je umownie i skrótowo POSami).

Osoby zatrudnione w POS-ach nie są naszymi pracownikami, są to oddzielne firmy współpracujące z nami na zasadzie B2B (sami zatrudniają pracowników, sami odpowiadają za sprzęt, licencje na oprogramowanie na którym pracują).  Sami także muszą dbać o odpowiednią świadomość swoich pracowników.

Ich zadaniem jest obsługa bieżąca naszych klientów – to jest: podpisywanie z nimi umów na nasze usługi, obsługa posprzedażowa. W tym celu POSy posiadają dostęp do części naszych systemów teleinformatycznych (w tym do CRMu sprzedażowego).

Oczywiście pamiętamy ze szkoleń i z przeprowadzonego wcześniej audytu bezpieczeństwa o tym, żeby nasz CRM był dostępny jedynie za pomocą protokołu SSL (i tak jest), pracownicy POSów mają obowiązek zmieniać co miesiąc hasła do naszych systemów, są one odpowiednio złożone, więc typowe ataki z sieci Internet nie są proste do przeprowadzenia.

Sytuacja wygląda dobrze jeśli spojrzy się na nią z zewnątrz – wszystko wygląda poprawnie i wiele firm w Polsce właśnie w ten sposób pracuje.

Spojrzeć jednak na obecny stan należy okiem przestępcy – kogo będzie mu łatwiej zaatakować i wykraść dane za jego pomocą? Czy nas dużą firmę, gdzie środki bezpieczeństwa są opanowane i są na odpowiednim poziomie, czy też niewielką firmę zatrudniającą kilka(naście) osób pracującą na naszych systemach?

Odpowiedź nasuwa się chyba sama…

Aby pozyskać dostęp do danych naszych klientów atakujący wcale nie musi przenikać do naszej siedziby, czy tez próbować dokonać ataku na naszych pracowników (chociaż oczywiście może to zrobić i po to stosujemy właśnie omówione wcześniej środki ochronne). Znacznie prościej jednak będzie mu dokonać ataku na firmę z nami współpracującą – gdyż jej poziom zabezpieczeń i świadomości jest znacznie mniejszy.

Jak może to zrobić?

Podobnie jak w przypadku ataków na naszych pracowników, mogą to być np.:

  1. Ataki socjotechniczne:
    1. Podrzucony pendrive pod siedzibą firmy zachęcający do otworzenia znajdujących się nań plików.
    2. Telefon wykonany do POSu nakłaniający do kliknięcia w załącznik (tutaj przestępca może się nawet powołać na pracownika naszej firmy – POS ma znacznie utrudniony sposób weryfikacji osób kontaktujących się z nimi i jeśli nie jest świadomy takiego zagrożenia, to na pewno nie dokona poprawnie sprawdzenia).
    3. Może to być odpowiednio odegrana scenka w POS – np. celem podpisania umowy z naszą firmą może przyjść fikcyjna para. Kobieta będzie udawać, że jest w stanie błogosławionym i podczas rozmowy powie, że czuje się źle i że musi się napić. Ludzie z natury są dość pomocni więc na pewno osoba nas obsługująca pośpieszy żeby przynieść coś do picia. Wówczas „mąż” może niepostrzeżenie do komputera sprzedawcy w POS podłączyć złośliwe urządzenie za pomocą którego zainstaluje na komputerze złośliwe oprogramowanie.
    4. Podobne przykłady można mnożyć i zależą one tylko od wyobraźni cyberprzestępcy.
  2. Ataki na oprogramowanie znajdujące się w POSach – np nieaktualne systemy operacyjne obecne na komputerach albo oprogramowanie biurowe.
    Oczywiście można tutaj postawić sprawę następująco – przecież w umowach z partnerami z POS mamy odpowiednie zapisy w których to wymagamy od nich, żeby stosowane oprogramowanie było odpowiednio aktualne i żeby było w min takiej i takiej wersji. To odpowiedzialność POSu jeśli nie stosuje się do takich zapisów.
    I jeśli tak właśnie sobie odpowiedziałeś – pewnie masz rację, w sądzie jeśli tak daleko sprawa by doszła, pewnie wygrasz.

Natomiast co zanim tam temat zostanie skierowany? Ile środków należy podjąć, żeby udowodnić, że to z danego POSu dane wyciekły? No i do kogo klienci będą wpierw mieć pretensje i kogo na początku będą oskarżać o wyciek?

W większości właśnie nie POS, tylko Was i Waszą firmę, dlatego że będą widzieć, że dane właśnie Wam powierzone znajdują się w publicznych serwisach.

Może to być więc długa rozprawa sądowa, strata wizerunkowa dla Was i dla Waszej firmy.

A jak można temu zaradzić?

W poprzednim artykule obawialiśmy się o wiedzę naszych pracowników. Należy więc mieć też na uwadze, że podobny problem mogą mieć nasi partnerzy, zwłaszcza jeśli należą do sektora MŚP.

Z naszej strony zalecamy podobnie jak przeszkolenie własnych pracowników, także przeprowadzenie takich szkoleń również i dla POSów – oczywiście koszt nie musi spoczywać na Was, może to być wymóg przystąpienia do współpracy z Wami i koszt może ponieść właściciel POS.

Należy jednak mieć na uwadze, że takie szkolenia wcale nie są drogie, a często to też można uzyskać na nie także rożnego rodzaju dofinansowania.

Podobnie jak w poprzednim artykule – nie twierdzimy, że szkolenie rozwiąże w 100% problemy związane z bezpieczeństwem (kłamstwem byłoby tak uważać), niemniej jednak pracownik/partner świadomy zagrożeń zupełnie inaczej będzie z Wami współpracował, niż taki który nie wiem nawet jakiego rodzaju problemy mogą na niego czyhać. Co więcej, może nie być świadom tego, że nie on będzie celem ataku – tylko Wasza firma, a jego POS może być środkiem do przeprowadzenia takiego ataku.

Masz pytania lub chcesz z nami współpracować?