Ataki cyfrowe są coraz częstsze i dotyczą wszystkich – od największych korporacji przez MSP po użytkowników indywidualnych. Ich skala z pewnością będzie rosła, dlatego należy być jak najlepiej przygotowanym na spotkanie z tego typu działalnością przestępczą. Najlepszą ochronę przed cybernetycznymi atakami przedsiębiorstwo może sobie zapewnić, dbając o cztery działania: zapobieganie, przygotowanie, reagowanie i odzyskiwanie danych.
Zjawisko cyberprzestępczości zostało zauważone i stało się przedmiotem opracowań na długo przed erą PC. Według jednej z pierwszych definicji zaproponowanej w 1973 roku przez Raimunda von Zur‑Mühlena przestępczość komputerowa to każde przestępcze działanie, w którym komputer stanowi albo narzędzie, albo przedmiot zamachu.
Dziś ataki cybernetyczne stały się niemal codziennością, jednak ciągle bardzo często świadomość ich istnienia jest na świecie mała. Owszem, każdy o nich słyszał, ale większość ludzi – zarówno w roli pracowników, jak i prywatnych użytkowników komputerów – nie wyobraża sobie, by mogło to również ich dotyczyć. Nieszczęśliwy wypadek, jak zalanie mieszkania, złamanie nogi czy kradzież portfela, to co innego. Wprawdzie tu również zwykle nikt nie przewiduje takich zdarzeń, ale każdy wie, że „nieszczęścia chodzą po ludziach”. Co innego jednak atak cyfrowy, który wydaje się ciągle czymś nierealnym.
Rodzaje cybernetycznych ataków
W przypadku przedsiębiorstw najczęściej stosowanym rodzajem cyberprzestępczości jest tzw. ransomware. Polega on na zablokowaniu dostępu do sprzętu komputerowego oraz zaszyfrowaniu danych. Celem ataku jest uzyskanie okupu za przywrócenie infrastruktury IT do działania oraz za udostępnienie klucza odszyfrowującego dane. Tego typu atak jest zwykle przeprowadzany za pomocą poczty elektronicznej. Otwarcie załączników lub linków do stron powoduje połączenie z witryną, na której już czekają wirusy atakujące informatyczny system firmy. Warto zaznaczyć, że metody hakerów są coraz bardziej wysublimowane. Ransomware to coraz częściej długofalowy proces, który utrudnia jego wykrycie. Przestępcy, po włamaniu do firmy potrafią długo obserwować ruch w sieci, systemy zabezpieczeń i dopiero po jakimś czasie przystępują do finalnego ataku. Ze światowych statystyk wynika, że przedsiębiorstwa dość często decydują się na zapłacenie okupu, ale nawet odzyskanie kontroli nad sprzętem i metody odszyfrowania danych nie pozwala na szybki powrót do pracy.
PRZECZYTAJ TAKŻE
Czy płacić okup po ataku ransomware? Oto, co radzi agent Secret Service
Stephen Nix, agent specjalny amerykańskiego Secret Service, odpowiedzialny za cyberbezpieczeństwo, na stronach MIT Sloan School of Management radzi, co zrobić w przypadku ataku hakerskiego. Szczególny nacisk kładzie na sytuację, w której firmowa infrastruktura IT zostanie zaatakowana wirusem typu ransomware.
Drugi popularny rodzaj ataku to DDoS – obciążenie systemu komputerowego przedsiębiorstwa, co powoduje zablokowanie go. W praktyce DDoS realizowany jest za pomocą dużej liczby komputerów, nad którymi przejęto kontrolę. Komputery te w tym samym czasie atakują system ofiary, usiłując skorzystać z usług firmy. Takie fałszywe wywołania są traktowane przez system firmy jako prawdziwe i przydzielane im zostają odpowiednie zasoby procesorów, pamięci, transferu w sieci, co powoduje szybkie zablokowanie infrastruktury IT firmy.
Z kolei indywidualni użytkownicy komputerów najczęściej stają się ofiarami kradzieży danych, tożsamości czy dostępu do konta bankowego (phishing), zniszczenia danych, zablokowania dostępu do urządzenia (malware) bądź uzyskania zdalnego dostępu do komputera (hacking).
Typowe cyfrowe przestępstwa wraz z ich krótką charakterystyką
Cyberataki w biznesie
Phishing – metoda oszustwa, w której cyberprzestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem albo nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej. Najczęściej bywa wstępem do właściwego ataku.
Ransomware – po instalacji złośliwego oprogramowania następuje zwykle atak dwuwektorowy (pierwsza sprawa to kradzież danych, które później posłużą do szantażu – ujawnienie), potem szyfrowanie danych na serwerach, komputerach i żądanie okupu w zamian za: odszyfrowanie i nieujawnianie danych na zewnątrz.
Szpiegostwo – przechwytywanie ofert, umów, własności intelektualnej, technologii, informacji strategicznych, sprawozdań finansowych sprzedawanych konkurencji, używanych przez konkurencje do wygrywania postępowań przetargowych czy tworzenia produktów, działania na szkodę ofiary.
Invoice hacking – podszywanie się pod właściwego nadawcę i przesyłanie „podrobionych” faktur z kontem bankowym, nad którym kontrolę mają cyberprzestępcy.
Ataki DDoS – atak polega na wysłaniu ogromnej liczby żądań do usług, co oznacza duży ruch sieciowy i skutkuje brakiem możliwości obsłużenia zapytań/żądań do usług pochodzących od „prawdziwych” użytkowników. Konsekwencją ataku jest utylizacja zasobów serwerów, zablokowanie dostępności do łączy, aplikacji, usług czy serwisów internetowych.
Cyberataki „konsumenckie”
Phone spoofing – podszywanie się np. pod pracownika banku (na telefonie wyświetla się właściwy numer banku) i nakłanianie ofiary do instalacji oprogramowania przejmującego kontrolę nad komputerem albo podania przez ofiarę danych do logowania w serwisie internetowym.
Phishing – podszywanie się pod znaną firmę logistyczną, sklep internetowy, urząd skarbowy i nakłanianie do wejścia na sfałszowaną stronę banku lub firmy w celu wyłudzenia danych dostępowych do banku albo zapłaty na konto cyberprzestępców.
Przejęcie tożsamości w usługach internetowych: np. poczta elektroniczna, komunikator, bankowość, witryna e‑commerce w celu dokonania zakupów, przelewu itp. Często część innego rodzaju ataku.
Fałszywy punkt dostępowy sieci Wi‑Fi – uruchamianie sieci otwartej WiFi z błędnymi wpisami w serwerze DNS, przekierowującymi ruch sieciowy na „podrobione” strony, np. banków, w celu pozostawienia na nich informacji do logowania.
Opracowanie: Przemysław Kucharzewski, wiceprezes w Cypherdog Security
Higiena cyberbezpieczeństwa
Jak wspomnieliśmy na początku, świadomość cybernetycznego zagrożenia jest ciągle bardzo niska. Paradoksalnie, jest to pewnego rodzaju plus, bo o znaczącą poprawę bardzo łatwo i już samo wzięcie pod uwagę takiej ewentualności i zachowanie podstaw cyfrowej higieny może w gigantycznym stopniu przyczynić się do zmniejszenia skali zagrożenia ze strony hakerów.
Zapobieganie cybernetycznym atakom jest wielopoziomowe. Zaczyna się od zachowania podstawowej czujności przy otwieraniu załączników do e‑maili, a kończy na zaawansowanych systemach kopii bezpieczeństwa odpornych na szyfrowanie. Między tymi skrajnymi punktami znajduje się jeszcze kilka nie mniej ważnych. Należą do nich: zabezpieczanie i przygotowanie do ewentualnego ataku, negocjacje z hakerami oraz przywracanie firmy do działania po ataku.
Niezależnie od przygotowania kadry oraz działu administracji IT, nie do przecenienia jest rola świadomości pracownika. Dlaczego? Ze statystyk wynika, że najpopularniejsza metoda stosowana przez hakerów to ataki typu ransomware, które zwykle dokonywane są przy użyciu poczty mailowej. (W listach z nieznanych lub przypominających znane adresu znajdują się zainfekowane załączniki, bądź linki prowadzące do stron umożliwiających atak). Dlatego specjaliści apelują o zwiększanie świadomości poprzez prowadzenie specjalistycznych. Ten powinien być przeprowadzany obowiązkowo i cyklicznie, ponieważ metody hakerów są coraz bardziej zaawansowane.
Metody zapobiegania cyfrowym atakom
Zachowanie higieny cyberbezpieczeństwa to swoiste warunki początkowe – wystarczy nie otwierać maili z nieznanych adresów, by zapobiec całemu atakowi. Choć czujność użytkowników z pewnością przyczyni się do redukcji zagrożeń ze strony hakerów, to ci świadomi wyżej postawionej poprzeczki będą udoskonalać swoje metody przeprowadzania ataków. Dlatego będzie rosło znaczenie innych czynników w walce o bezpieczeństwo. Jim Boehm , Franz Hall, Rich Isenberg i Marissa Michel na łamach portalu McKinsey&Company, w artykule Ransomware prevention: How organizations can fight back o zapobieganiu ransomware wyszczególniają cztery elementy, które przyczyniają się do odporności na cyberataki wspomnianego typu. Należą do nich: zapobieganie, przygotowanie, reagowanie i odzyskiwanie. Zdaniem autorów artykułu, wspomniane już zapobieganie powinno być realizowane systemowo przez plany szkoleń.
Zabezpieczanie, to aspekt, który leży po stronie pracodawcy i w praktyce oznacza przygotowanie infrastruktury IT w sposób utrudniający atak cybernetyczny. Bezpieczne połączenie komputerów użytkowników z zasobami przedsiębiorstwa nabiera szczególnego znaczenia zwłaszcza obecnie, gdy standardem staje się praca zdalna. W ramach zabezpieczenia stosuje obok oprogramowania antywirusowego specjalne platformy, które umożliwiają bezpieczne połączenie (np. zawierające uwierzytelnianie wieloskładnikowe) oraz reagują w czasie rzeczywistym na potencjalne zagrożenia. Należy jeszcze pamiętać, że niebezpieczeństwo może czyhać nie tylko na zewnątrz…
– Zapewnienie maksymalnej prywatności korespondencji (np. silne szyfrowanie) przeciwdziała przejęciu danych przez cyberprzestępców lub konkurencje, natomiast może być środkiem mającym na celu kradzież danych przez przekupionego pracownika, nawet administratora systemów IT w danej organizacji – mówi Przemysław Kucharzewski, wiceprezes w Cypherdog Security.
Przygotowanie do ewentualnego ataku to przede wszystkim przygotowanie odpowiedzi na pytanie, jak przedsiębiorstwo zareaguje, stojąc w obliczu dokonanego ataku. Tu bardzo ważnym elementem jest czas, dlatego najlepiej, gdy firma zawczasu ustosunkuje się do kwestii okupu – jeśli taki może być wypłacony, to lepiej dojść do takiego wniosku dwie godziny po ataku, zamiast dwa dni. Bardzo ważne są też aspekty związane z decyzyjnością. Czy finalne ustalenia zapadają na poziomie zarządu, czy może oddać głos działowi IT – czy może on podjąć interwencyjne działania, czy podlega jakiejś procedurze? Najlepiej, gdy przedsiębiorstwo przeprowadza symulację ataku i potrafi wykryć słabe punkty przepływu komunikacji, który może spowolnić rozwiązanie problemu. Modelowa sytuacja może też uświadomić presję, pod którą znajdą się decydenci, co również może znacznie pomóc w procesie najbardziej efektywnej reakcji na atak.
Wreszcie element ostatni – powrót do zdrowia. W tym elemencie zostanie sprawdzona skuteczność rozwiązań w zakresie kopii zapasowych, ale nawet w najlepszym przypadku przedsiębiorstwo musi mieć świadomość, że przywrócenie organizacji do całkowitego zdrowia może okazać się bardzo długotrwałym procesem.
Dojrzałość cybernetyczna w standardzie
Wyobraźmy sobie ulicę, którą przejeżdża kilkanaście aut dziennie, a piesi sporadycznie przechodzą przez jezdnię. W takim przypadku można się obyć bez sygnalizacji świetlnej czy wytyczania przejść dla pieszych. Jednak na współczesnej ulicy zakorkowanej przez samochody i tabuny pieszych zapatrzonych w smartfony trudno sobie wyobrazić brak infrastruktury organizującej ruch zmotoryzowany i pieszy. Podobnie jest w przypadku cyberbezpieczeństwa. Ruchu przybywa i potrzebne jest nie tylko przygotowanie odpowiednich rozwiązań sprzętowych, ale też odruchy użytkowników komputerów podobne do tych, co na ulicy, gdy przed wejściem na jezdnię pieszy patrzy w lewo i prawo.
Należy przywyknąć nie tylko do zmiany przyzwyczajeń przy korzystaniu z poczty lub surfowania po internecie.
– Każda z organizacji powinna rozważyć stosowanie środków zależnych od ryzyka biznesowego, a także zagrożenia cybernetycznego. Zawsze należy równoważyć bezpieczeństwo między komfortem działania, prywatnością korespondencji oraz zaufaniem do pracowników – tłumaczy Przemysław Kucharzewski.
Ta dyplomatyczna wypowiedź oznacza, że należy pogodzić się ze zjawiskiem coraz większej inwigilacji dotyczącej również tego, z kim i o czym pracownicy piszą lub rozmawiają.