Streszczenie: Zamiast tradycyjnych ataków ransomware, cyberprzestępcy coraz częściej skupiają się na kradzieży danych, które następnie sprzedają na czarnym rynku lub wykorzystują w innych celach. Wraz z rozwojem technologii i rosnącą wartością danych, ataki stają się coraz bardziej wyrafinowane. Zamiast żądać okupu za odblokowanie danych, cyberprzestępcy przejmują je, aby zarobić na ich sprzedaży. Ten trend zmienia sposób postrzegania zagrożeń w cyberprzestrzeni, zmuszając organizacje do większej uwagi i inwestycji w zabezpieczenia. Jednocześnie, wzrasta znaczenie ochrony danych osobowych i cyfrowych aktywów firmowych.
Obecnie jedną z największych bolączek firm jest wyłudzanie okupu przez cyberprzestępców w zamian za zaszyfrowane dane. Wkrótce mogą jednak zmierzyć się z grupami przestępczymi, dla których dane są cenniejsze niż pieniądze.
Jak wynika z raportu KPMG „Barometr cyberbezpieczeństwa. Detekcja i reakcja na zagrożenia w czasie podwyższonego alertu”, największym zagrożeniem cybernetycznym, według polskich firm, są wyłudzenia danych uwierzytelniających (phishing), zaawansowane ataki ze strony profesjonalistów (Advanced Persistent Threat – APT) oraz wycieki danych za pośrednictwem malware. Blisko jedna trzecia respondentów przyznała też, że padła ofiarą ataku typu ransomware, które polega na szyfrowaniu danych firmowych znajdujących się na dysku lub blokowaniu dostępu do systemu i żądaniu zapłacenia okupu w zamian za przywrócenie dostępu. Co ciekawe, wszyscy respondenci zadeklarowali, że obronili się przed tego typu atakiem, nie płacąc przy tym okupu.
Okazuje się, że w przyszłości płacenie okupu przez firmy może w takich sytuacjach nie być konieczne. Zdaniem Nicka Biasiniego, globalnego lidera w Cisco Talos, komercyjnej jednostce zajmującej się wykrywaniem i analizą cyberzagrożeń, jest prawdopodobne, że organizacje przestępcze będą częściej kraść dane, niż żądać za nie okupu, a to ze względu na ich wartość. Co prawda, w tej wypowiedzi odnosił się do potencjalnych cyberkradzieży wymierzonych w stronę państw, niemniej, jak powiedział już w 2012 roku generał Keith Alexander, prezes i współtwórca IronNet Cybersecurity oraz jeden z największych autorytetów w dziedzinie cyberbezpieczeństwa na świecie: „cyberkradzież jest największym transferem bogactwa w historii”. Dlatego również i firmy powinny mieć się pod tym względem na baczności.
Państwa zaczną stosować cyberprzestępczość
Coraz bardziej destrukcyjne i destabilizujące ataki typu APT oraz dezinformacja w sieci stają się w obecnych czasach równie ważne co potyczki militarne. Natomiast zdobycie poufnych danych to wciąż główny cel ataków sponsorowanych przez państwa, które są w stanie cyberwojny. Nic zatem dziwnego, że aż 70% polskich firm (dane za KPMG) najbardziej obawia się działania zorganizowanych grup przestępczych. Tym bardziej że trwająca pomiędzy Ukrainą a Rosją wojna po raz pierwszy pokazała, jak dużą rolę odgrywają w niej działania cybernetyczne. W związku z tym eksperci z Cisco Talos podkreślają wagę odpowiedzi na pytanie: gdzie przeniosą się ataki sponsorowane przez państwa po zakończeniu walk? Ich zdaniem z pewnością wzrośnie znaczenie ataków ekonomicznych kosztem działań czysto szpiegowskich. Natomiast postpandemiczna deglobalizacja może zapoczątkować nową erę kradzieży własności intelektualnej w cyberprzestrzeni. Co jednak najważniejsze, odwrót od globalizacji ma zwiększyć aktywność państw sponsorujących cyberprzestępczość. Jak tłumaczą specjaliści z Cisco Tabs: „jeśli jakaś rządowa agencja może przeprowadzić pięć lub sześć ataków cybernetycznych w stosunku do jednej kampanii przeprowadzonej w realnym świecie, to decyzja będzie prosta”.
Jak polskie firmy reagują na cyberataki?
Niestety pomimo świadomości, że w przestrzeni cybernetycznej trwa regularna cyberwojna, wciąż nie zmienia się podejście niektórych firm do kwestii bezpieczeństwa. Jak czytamy w analizie KPMG, 10% ankietowanych firm, które w przeszłości doświadczyły cyberataku, przyznało, że jego wystąpienie nie zmieniło niczego w podejściu organizacji do zapewnienia bezpieczeństwa. Jednak zdecydowana większość firm (83% badanych) wskazuje na wzrost świadomości wśród zarządu na temat cyberbezpieczeństwa po tego typu incydencie, co wpływa na zwiększenie budżetu na ochronę cybernetyczną (60%).
Jeśli chodzi o najczęstsze reakcje polskich firm na cyberataki, są to:
• opracowanie ogólnofirmowych procedur reagowania na wypadek ich wystąpienia (73%);
• podpisanie umów ramowych z zewnętrznymi firmami na wypadek konieczności wsparcia w przypadku cyberataku (42%);
• korzystanie z testów penetracyjnych typu Red Teaming do weryfikowania własnej skuteczności w obronie przed cyberatakami (33%);
• wykupienie polisy ubezpieczeniowej od skutków cyberataku (24%);
• powołanie wewnętrznego zespołu do reagowania na incydenty (21%).
Najważniejsze to wiedzieć, kto stoi za cyberatakiem
Co do zasady, w ramach reakcji na cyberatak, jedną z najważniejszych kwestii jest ustalenie, kto za nim stoi. Jak bowiem podkreśla Michał Kurek, Partner w Dziale Doradztwa Biznesowego, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo‑Wschodniej, zupełnie inaczej będziemy chronić się przed masowym cyberatakiem, który przypadkowo dotknął naszą organizację, a zupełnie inaczej powinna podejść firma do sytuacji, w której okazuje się być celem grupy wspieranej przez obce państwo. Jak tłumaczy ekspert, sprawdzenie, kto stoi za cyberatakiem, to tzw. atrybucja. Cyberprzestępcy oczywiście utrudniają rozpoznanie, z której strony został wymierzony atak, przykładowo podsyłając mylące informacje zapisane cyrylicą – sugerujące, że haker jest Rosjaninem. Tymczasem za atakiem może stać grupa przestępcza, która ma zupełnie inne cele, ale takim działaniem chce zmylić zespoły chroniące infrastrukturę.
– Jeśli mamy do czynienia z tego typu przestępcami, warto wiedzieć, że gdy obiorą sobie za cel dostanie się do naszej infrastruktury, to będą próbować do momentu, w którym uda się im go zrealizować. Natomiast gdy dostaną się już do naszej infrastruktury, sugeruję wręcz nie ujawniać faktu, że wiemy o tym, że są w organizacji, po to, aby dowiedzieć się, jakimi technikami się posługują i w rezultacie skutecznie ich z niej usunąć – radzi Michał Kurek.
Lepiej zapobiegać cyberatakom, niż ich doświadczać
Reagowanie na atak to jedna kwestia, kolejną, nie mniej ważną, pozostaje wykrywanie cyberataków. Jak czytamy w raporcie od KPMG, do kwestii monitorowania bezpieczeństwa polskie firmy podchodzą na wiele sposobów. Część (61%) zatrudnia w tym celu specjalistów, inni decydują się na outsourcing (36%). Niektóre przedsiębiorstwa (36%) powołują w tym celu komórkę SOC (Security Operations Center) do monitorowania zagrożeń (ale w większości przypadków nie działa ona całodobowo). Co ciekawe, w zaledwie 26% firm prowadzony jest threat hunting, polegający na poszukiwaniu cyberprzestępców, którzy mogą już być w chronionej infrastrukturze. Ponadto aż 57% respondentów przyznało, że logi dla bezpieczeństwa nie są jednak w ich organizacjach przeglądane regularnie.
Wartymi uwagi sposobami na wykrywanie cyberprzestępców, są m.in.: rozwiązania typu Deception stanowiące swego rodzaju pułapki zastawiane na cyberprzestępców oraz rozwiązania klasy SOAR (Security Orchestration, Automation and Response) usprawniające monitorowanie bezpieczeństwa i reakcję na atak. Są one jednak mało popularne wśród polskich firm.
Materiały wykorzystane przy tworzeniu artykułu:
– raport „Barometr cyberbezpieczeństwa. Detekcja i reakcja na zagrożenia w czasie podwyższonego alertu”, KPMG, 2023
– informacja prasowa Skala cyberataków inspirowanych działaniami państw będzie rosła, Cisco Talos
