Urząd Komisji Nadzoru Finansowego wydał ostrzeżenie w kontekście korzystania z oprogramowania rosyjskich i białoruskich firm. Urząd wskazuje na możliwe zagrożenia w związku z nasilaniem się działań mających znamiona cyberwojny, a także zwraca uwagę na ryzyka biznesowe – między innymi możliwość wystąpienia braku ciągłości aktualizacji oprogramowania lub nawet nagłego przerwania jego funkcjonowania – komentuje Maciej Cieśla, Head of Cybersecurity HackerU Polska.
Urząd Komisji Nadzoru Finansowego wysłał do instytucji nadzorowanych pismo mające na celu uświadomić i uczulić adresatów na ryzyka i zagrożenia związane z korzystaniem z oprogramowania pochodzącego z Rosji lub Białorusi. UKNF wskazuje na nie w związku z nasileniem się działań mających znamiona cyberwojny. Nie posunął się jednak tak daleko, jak amerykańska Federalna Komisja Łączności (FCC) i niemiecki Federalny Urząd ds. Bezpieczeństwa Informatycznego (BSI), które wprost uznały za niebezpieczne programy konkretnego dostawcy, nie podając na to żadnych technicznych dowodów.
UKNF nie wskazał produktów pochodzenia rosyjskiego, czy białoruskiego jako szczególnie niebezpieczne, ale zalecił, aby uznać je za „szczególnie wymagające stałego monitorowania”. Tego typu informacja jest niezwykle cenna dla organizacji i firm. Pozwala zwiększyć świadomość oraz zaplanować dalsze kroki w kierunku tworzenia coraz bardziej bezpiecznych infrastruktur i aplikacji. Oprócz elementów związanych z potencjalnym zaistnieniem incydentów w sferze cyberbezpieczeństwa, UKNF wskazał także na ryzyka biznesowe, takie jak brak ciągłości aktualizacji bądź nagłe, związane z sytuacją geopolityczną, zakończenie subskrypcji danego oprogramowania.
Oznacza to jednocześnie, że instytucje nadzorowane wcale nie muszą natychmiast rezygnować z tego typu oprogramowania, ale powinny ocenić, czy dodatkowe działania monitorujące i sprawdzające pozwalają na utrzymanie opłacalności korzystania z tych produktów.
UKNF rekomenduje, aby rozpocząć proces analizy od oceny ryzyka i zagrożeń. Warto jednak pójść o kilka kroków dalej, by jeszcze bardziej zwiększyć bezpieczeństwo w firmie czy urzędzie. Po identyfikacji ryzyka najlepiej wykonać jeszcze skan podatności oraz manualne testy penetracyjne. Dzięki temu zdobędziemy wiedzę dotyczącą tego, od czego powinniśmy rozpocząć zabezpieczenie naszych aktywów (np. czy najpierw wdrożyć zmianę w kodzie, czy zaimplementować uwierzytelnianie określonego typu do danego serwera lub aplikacji), jakie dokładnie działania podjąć, aby podnieść poziom bezpieczeństwa. Wszystkie te kroki można wykonać korzystając z usług profesjonalnych firm audytowych i certyfikowanych audytorów. Oprócz samego audytu i pentestów, coraz częściej specjaliści oferują również pomoc w działaniach naprawczych i zabezpieczeniach. A wszystko to w kierunku coraz lepszego i skuteczniejszego cyberbezpieczeństwa w naszym otoczeniu.
