Z nowego raportu eksperckiego wynika, że w przyszłości przestępcy będą atakować nasze myśli lub… genom. Zanim to jednak nastąpi jest dziś. I to takie dziś, w którym cyberzagrożenia są poważne i powszechne. Czy ty i twoi pracownicy jesteście ich świadomi?
Przygotowany został przez Infuture Hatalska Foresight Institute. Głównymi partnerami opracowania są firmy specjalizujące się w cyfrowym bezpieczeństwie: Atende oraz Cisco Poland. Raport powstał w oparciu o wywiady i ankiety przeprowadzone wśród najlepszych polskich ekspertów IT. To blisko sto stron ciekawych, choć także niepokojących konkretów.
Bezpieczeństwo: wspólny problem
Być może najważniejsze przesłanie raportu brzmi: cyberbezpieczeństwo nie dotyczy wyłącznie infrastruktury; nie jest także tematem przeznaczonym jedynie dla specjalistów. Eksperci są zgodni: to zagadnienie, które dotyczy wszystkich sfer naszego życia – osobistego i prywatnego (prosty test: ile urządzeń, które obecnie znajduje się w twoim zasięgu jest podłączonych do internetu?).
Z badań wynika również, że świadomość cyberzagrożeń wśród firm jest słaba lub średnia. Przedsiębiorcy mają tendencję do utożsamiania cyberbezpieczeństwa jedynie z technologiami IT. To błąd, gdyż do ochrony niezbędna jest współpraca w trzech obszarach: technologii, ludzi i procesów.
Co ważne, niemal niemożliwe jest wskazanie branży, która będzie na cyfrowe zagrożenia odporna. Bankowość, sektor finansowy i ubezpieczeniowy, telekomunikacja, paliwa, energetyka, produkcja, opieka zdrowotna – to tu będą one najpoważniejsze. I najbardziej prawdopodobne.
Dziś i jutro cyberzagrożeń
Jak zauważają eksperci, w perspektywie najbliższych kilkunastu lat każde dotychczas znane nam przestępstwo stanie się cyberprzestępstwem. I jest się czego obawiać, nawet jeśli część predykcji brzmi dziś jak wyjęta z filmów science‑fiction.
Przyszłość zbrodni rysuje się bowiem wokół takich zagadnień jak odczytywanie myśl (mindreading, neurohacking) czy technologii CRISPR (Clustered Regularly‑Interspaced Short Palindromic Repeats), czyli metody inżynierii genetycznej, pozwalająca na manipulacje genomem danego organizmu. Ale to dość odległa perspektywa. Jakie obszary biznesowe są narażone już teraz?
Hakerzy będą mogli zmienić twój genom. Poznaj dziś i jutro twojego cyfrowego bezpieczeństwa #futureofcrime
Najbardziej newralgiczne punkty wśród cyberzagrożeń związane są z tzw. infrastrukturą krytyczną (sieci energetyczne, wodociągowe, stacje paliw itd.), przemysłem, inteligentnymi urządzeniami gromadzącymi i przetwarzającymi dane (internet rzeczy) – zarówno pod względem prawdopodobieństwa wystąpienia jak i skali jego negatywnego wpływu. Dużym wyzwaniem jest także rozwój sztucznej inteligencji. AI jest tzw. technologią podwójnego wykorzystania – może być wykorzystana w sposób pozytywny, jak i negatywny.
Mówi się, że w kolejnych latach większość ataków hakerskich dotyczących infrastruktury informatycznej wykonywana będzie przez automaty lub boty – za około 5‑10 lat około 70% zarobku hakerskiego będzie pochodziło właśnie z tego typu źródeł. Pojawia się tu problem odpowiedniego zabezpieczenia systemów. Jeśli atak był automatyczny, to i odpowiedź na niego również powinna być automatyczna – mówi Jakub Jagielak, Cyber Security Business Development Manager, Atende S.A.
Najsłabsze ogniwo
Od dawna mówi się, że najsłabszym ogniwem w kontekście bezpieczeństwa jest człowiek. Dziś to zdanie jest aktualne jak nigdy dotąd. Brakuje nam świadomości, co może być niebezpieczne, jesteśmy mało czujni i zbyt często – zbyt ufni. Organizacje o wysokich standardach bezpieczeństwa poza zapewnieniem odpowiednich zabezpieczeń infrastruktury i sieci inwestują również w edukację pracowników, rozumiejąc, że to oni są często obiektem ataku, na ich błąd liczą cyberprzestępcy. Stosowne procedury obowiązują jednak nadal w niewielkim odsetku firm. Tym bardziej warto sięgnąć po raport „Future of crime” – choćby po to, aby zbudować większą świadomość. Wtedy łatwiej będzie wybrać odpowiednią technologię oraz zaktualizować procesy.
Całość raportu znaleźć można na stronie futureofcrime.atende.pl.
Głosy ekspertów – wyimki z badania
W medycynie nikt się specjalnie nie przejmuje
W Polsce papierowa informacja o pacjentach nigdy nie była dobrze zabezpieczona, dostęp do niej był łatwy. Teraz takie podejście przenosi się także na wersję elektroniczną. I nikt się tym specjalnie nie przejmuje. W zeszłym roku dane medyczne i backupy z jakiegoś szpitala zostały dodane na serwer, który był publicznie dostępny. To takie typowe: „A, wrzućmy te dane gdzieś tam”.
Tomasz Judycki, członek zarządu Atende Medica z Grupy Atende.
Shadow IT, czyli pracownicy poza kontrolą
Mamy problem dotyczący pracowników, którzy chcąc sobie ułatwić pracę, często korzystają z aplikacji czy usług z chmury, które nie są rekomendowane pracownikom przez dział IT danej firmy. Przykładem jest zainstalowanie aplikacji Dropbox, by móc wspólnie wymieniać się większymi plikami. Odbywa się to poza kontrolą firmy i działu IT. Ów problem można nazwać Shadow IT. W tym kontekście należałoby sobie zadać pytanie czy udostępniane dokumenty są ważne z punktu widzenia poufności czy strategii firmy.
Mariusz Baczyński, szef regionu ds. cyberbezpieczeństwa, Cisco.
Ataki, których nawet nie zauważysz
Trzeba edukować ludzi, aby byli świadomi niebezpieczeństw w internecie. Ważne są podstawowe kwestie takie jak polityka haseł, aktualizacja oprogramowania, aspekty związane z prywatnością, to czego nie udostępniać w mediach społecznościowych. Akurat ataki DDoS są tak rozpowszechnione, bo ludzie nie aktualizują oprogramowania na komputerach i innych urządzeniach. Dla przykładu, kamerki internetowe są szczególnie atrakcyjnym celem ataku – są ciągle podłączone do zasilania i internetu, mogą atakować dzień i noc. Niewielkie spowolnienie w działaniu tych urządzeń nawet nie zostanie zauważone. Łatwo je przejąć, połączyć w botnet i wykorzystywać w dowolnym, przestępczym celu.
Przemysław Frasunek, specjalista z zakresu bezpieczeństwa systemów i kryminalistyki cyfrowej (z wszechstronną wiedzą na temat technik hakerskich) w Atende Software z Grupy Atende.