Ochroń firmę przed cyberatakiem

Rozwój technologii głęboko zmienia otaczającą nas rzeczywistość, zarówno w kontekście prywatnym, jak i zawodowym. Poprawia się także poziom digitalizacji wszelkich procesów biznesowych. Z jednej strony stanowi ona podstawowy akcelerator rozwoju współczesnych przedsiębiorstw, jednak z drugiej zwiększa ryzyko pojawienia się różnorakich zagrożeń.

Świat biznesu coraz mocniej przeno­si się do wirtualnej rzeczywistości pełnej jedynek i zer – a w ślad za nim wędrują przestępcy. Choć nowe zagrożenia wymagają też nowych sposobów obrony firmy, to w każdym przypadku sprawdza się również to samo podstawowe działanie: edukacja. I dlatego powstał ten raport.

Świat biznesu po RODO

Patrząc szerzej na trendy związane z cyberbezpieczeństwem w czasie minionych kilkunastu miesięcy, warto zacząć od wejścia w Polsce w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych – tzw. RODO.

Pierwszym tego efektem jest znaczący wzrost świadomości zagrożeń związanych z potrzebą ochrony i zabezpieczania danych cyfrowych – zwłaszcza u małych i średnich firm, które wcześniej często bagatelizowały ten problem. Mimo to oprócz zwiększania poziomu bezpieczeństwa zalecane jest także opracowanie i przećwiczenie gotowych scenariuszy postępowania na wypadek wycieku danych.

Drugą istotną zmianą wprowadzoną wraz z RODO jest nałożony na firmy obowiązek informowania o wyciekach danych. W naturalny sposób zaowoco­wało to zwiększoną liczbą zgłoszeń tego typu incydentów, co nie musi oznaczać, że rzeczywiście było ich znacznie więcej. Brytyjski Urząd
Ochrony Danych Osobowych (Information Commissioner’s Office – ICO) podał na przykład, że liczba wycieków danych wzrosła w 2018 roku o 75%, niemniej efekt tego „wzrostu” może częściowo wynikać właśnie z wdrożenia rozporządzenia GDPR (General Data Protection Regulation), znanego w Polsce jako RODO.

WYCIEKI DANYCH W LICZBACH
3,92 mln dolarów – średni koszt wycieku danych na świecie w 2019 r.
25 575 rekordów – średnia liczba wykradzionych danych
12 865 rekordów – tyle danych kradzionych jest na świecie w ciągu 1 minuty
Źródło: IBM, Branch Level Index

Eksperci oceniają jednak, że z uwagi na coraz powszechniejsze wykorzystywanie internetu liczba wycieków danych będzie rosła. Głównym ich źródłem pozostanie zaś sektor biznesowy – jak podaje tegoroczny raport Verizon1, dotyczy to aż 43% wszystkich przypadków ujawnienia danych.

Co gorsza, dopuszczenie do wycieku może oznaczać dla przedsiębiorstwa prawdziwą katastrofę. Dlatego odpowiedni poziom bezpieczeństwa cyfrowego – w kontekście RODO –
to dla wielu firm „być albo nie być”.

Ransomware – coraz rzadziej

Głośna (zwłaszcza w 2017 roku) metoda ataku polegająca na szyfrowaniu danych firmowych przez włamywaczy, a następnie żądaniu okupu, w ciągu ostatnich dwóch lat wykorzystywana jest coraz rzadziej. Jak podaje raport firmy Microsoft2, w okresie od marca 2017 do grudnia 2018 roku wskaźniki występowania oprogramowania ransomware spadły aż o 60%. Z jednej strony wynika to z coraz lepszego zabezpieczenia firm i użytkowników prywatnych przed tego typu atakami, a z drugiej związane jest też ze zmianą sposobu działania cyberprzestępców. Coraz chętniej stosują oni delikatne metody nielegalnego uzyskiwania korzyści finansowych, takie jak kopanie kryptowalut. Nie wynika to bynajmniej z ich dobrego serca – twarde metody polegające na szantażu okazały się mniej skuteczne. Jak podaje raport EY3, nawet w szczególnie wrażliwej na ataki typu ransomware branży medycznej jedynie 10% szantażowanych firm decydowało się na zapłacenie przestępcom okupu.

Phishing – najsłabsze ogniwo to ludzie

Ulubioną metodą cyberprzestępców pozostają różne odmiany phishingu, polegające na podszywaniu się przez przestępców pod inną organizację lub instytucję. Poprawa zabezpieczeń przed tego typu zagrożeniami powoduje jednak, że techniki stosowane przez hakerów stają się bardziej wyrafinowane i dopracowane. Przykładem mogą być wąsko ukierunkowane ataki, w których przestępcy w pierwszym etapie lokalizowali nazwę dokumentu wykorzystywanego w danej firmie lub branży, dzięki czemu e-mail ze spreparowanym odpowiednio załącznikiem wzbudzał znacznie większe zaufanie odbiorców. Zasięg takiego ataku był wprawdzie znacznie mniejszy, ale rekompensowała to wyższa skuteczność w oszukiwaniu pracowników konkretnej firmy lub sektora rynku.

Podstawowe metody phishingu:

  • Podszywanie się pod użytkownika – e-mail wygląda tak, jakby pochodził od zaufanego nadawcy.
  • Fałszowanie domeny – domena nadawcy wiadomości e-mail wygląda identycznie lub bardzo podobnie jak oryginalna nazwa zaufanej domeny.
  • Fałszywe wiadomości SMS – najczęściej wyglądające na pochodzące z poważnego, legalnego źródła, takiego jak bank czy instytucje rządowe. Zwykle zachęcają do przekazania informacji wrażliwych.
  • Linki do witryn wyłudzających dane – e-mail zawiera link, który przekierowuje na strony wyglądające identycznie lub podobnie do stron logowania.
  • Załączniki wyłudzające informacje – e-mail zawiera załącznik, który wyłudza dane. Treść wiadomości w sposób przekonujący zachęca do jego otwarcia.
  • Linki do fałszywych baz danych w chmurze – ta technika zyskuje na popularności, ponieważ przestępcom łatwiej ukryć się, gdy nie przekierowują na konkretne strony lub serwery, ale na usługi chmurowe. Wyglądają one wiarygodnie i zachęcają do wprowadzania danych osobowych.

Historia wycieku z Morele.net
W listopadzie 2018 roku pojawiły się pierwsze informacje o tym, że wykradzione zostały dane ponad 2 milionów klientów sklepu Morele.net. Przestępcy próbowali szantażować sklep, żądając zapłaty haraczu, ale zarządzający nie chcieli z nimi negocjować. W rezultacie baza danych trafiła do sieci internetowej.
Tuż przed oddaniem tego wydania do druku Urząd Ochrony Danych Osobowych (UODO) nałożył na Morele.net karę w wysokości 2,8 miliona złotych. W uzasadnieniu czytamy: Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.

Wszystkie ataki wykorzystujące phishing łączy wykorzystanie socjotechniki, dlatego obrona przed nimi w znacznym stopniu polega nie na zastosowaniu odpowiedniego oprogramowania, ale edukacji użytkowników. Jak pokazuje wykres Główne przyczyny wycieku danych w firmach, to właśnie niedbali, nieuważni lub słabo przygotowani pracownicy są najczęstszą przyczyną tego typu incydentów – dotyczy to niemal połowy przypadków.

Niebezpieczne łańcuchy dostaw oprogramowania, malware

Należy wspomnieć o jeszcze jednej, prostej, ale groźnej, metodzie ataku, nabierającej szczególnego znaczenia w czasach zwiększającej się popularności usług i urządzeń mobilnych, a przez to pracy zdalnej. Chodzi o ataki z wykorzystaniem łańcucha dostaw oprogramowania, w których atakujący szukają luk podczas procesu aktualizacji lub rozwoju, którym zajmuje się wydawca legalnego oprogramowania. To podstępne, trudne do wykrycia zagrożenia, ponieważ bazują na zaufaniu, którym użytkownicy i działy IT w firmach obdarzają dostawców oprogramowania. Raport firmy Microsoft4 pokazuje, że liczba tego typu ataków wzrosła w ciągu ostatnich kilku lat, dlatego szczególnie istotna jest kontrola lub co najmniej uczulenie pracowników firmy na zagrożenia związane z instalacją dodatkowego oprogramowania. Dotyczy to nawet tak popularnych i przydatnych aplikacji, jak np. CCleaner, który podczas instalacji tworzył też wejście umożliwiające przestępcom na instalację złośliwego oprogramowania i kradzież danych.

Według raportu przygotowanego przez EY5, aż 20% firm wskazuje malware (złośliwe oprogramowanie) jako drugie najpoważniejsze zagrożenie dla swojego bezpieczeństwa. Na pierwszym miejscu wymieniany jest phishing (22% badanych firm).

Komputery „zombie”

Już w zeszłym roku można było obserwować nowy trend, jakim jest wzrastająca liczba ataków mających na celu kopanie kryptowalut. Mechanizm jest dość prosty – coraz trudniej jest osiągnąć w sposób legalny zysk związany z kopaniem popularnych walut, takich jak bitcoin, ponieważ wymaga to wyko­rzystania coraz potężniejszych mocy obliczeniowych (wzrasta koszt sprzętu i zasilania). Dlatego atakujący wykorzystują złośliwe oprogramowanie, które pozwala im na zainfekowanie i wykorzystanie całych sieci komputerów „zombie”, składających się nieraz z setek tysięcy urządzeń.

Koparki „zombie” w Polsce
Jak podaje raport Orange Polska7, tylko we wrześniu 2018 roku CyberTarcza Orange odnotowała 3143 infekcje z wykorzystaniem Bitcoin Minera. To oprogramowanie, które wykorzystuje moc obliczeniową komputera do kopania kryptowalut. 

Ofiary tych ataków często przez dłuższy czas mogą nie orientować się, że są wykorzystywane – wirtualna koparka działa w tle, podczas gdy użytkownik bez przeszkód wykonuje inne zadania. Jej działalność może w ogóle nie zostać zauważona, o ile nie obniży
znacząco wydajności komputera. W 2018 r. średni miesięczny wskaźnik występowania koparek kryptowalut na świecie wyniósł 0,12%6.

Nie wierz w to, co widzisz i słyszysz

Coraz poważniejszym rodzajem zagrożeń stają się również wszelkiego typu działania przestępców wykorzystujących technologie z zakresu deepfake’ów. Tak jak w przypadku phishingu bazują one na podszywaniu się pod osobę darzoną zaufaniem (np. przełożonego), ale najnowsze techniki komputerowe sprawiają, że może mieć to miejsce podczas rozmowy telefonicznej (tzw. vishing) lub nawet wideokonferencji. 

Dostawcy usług związanych z cyberbezpieczeństwem intensywnie pracują nad rozwiązaniami chroniącymi firmy przed deepfake’ami, jednak w tym momencie najlepszym zabezpieczeniem jest znów odpowiednie przeszkolenie pracowników. Dobrą zasadą staje się potwierdzanie poleceń wydanych przez telefon innym kanałem komunikacji, np. poprzez SMS lub e-mail, choć trzeba oczywiście mieć świadomość, że także one mogą zostać przechwycone i podrobione. Niestety, w ostatecznym rozrachunku zjawiska związane z deepfake’ami zmuszą zarówno firmy, jak i osoby prywatne do traktowania wszelkich komunikatów dźwiękowych i filmowych z odpowiednią dozą nieufności. To, co usłyszymy oraz zobaczymy na ekranie, przestanie się tradycyjnie dzielić na fikcję i rzeczywistość. Wszystko, nawet najbardziej autentycznie wyglądające filmy i najwierniej brzmiące głosy, może być fikcją zorientowaną na wprowadzenie w błąd.

Usługi chmurowe i internet rzeczy

Coraz większa część przedsiębiorstw przenosi część swojej działalności do chmury – według IDC w tym roku z tego typu rozwiązań korzystać będzie 9 na 10 firm, a w 2025 roku w chmurze przechowywanych będzie 60% firmowych danych8. Dlatego coraz większe znaczenie zyskują rozwiązania typu SECaaS (Security as a Service), które najszybciej reaguj­ na pojawiające się nowe zagrożenia. Przewiduje się, że wartość tego rynku do 2020 roku wyniesie 8,5 miliarda dolarów.

Vishing – jedna z metod ataku wykorzystujących technologie deepfake’ów
Słowo „vishing” pochodzi z połączenia angielskich słów „voice” (głos) i „phishing”. Dzięki technologiom z zakresu deepfake’ów oszuści mogą podrobić głos osoby, pod którą się podszywają, w czasie rzeczywistym – podczas rozmowy telefonicznej. Nie wymaga to olbrzymiej mocy obliczeniowej komputera – aplikacja służąca do podrabiania głosu może zostać zainstalowana nawet w smartfonie.
Pierwszym opisanym atakiem tego typu było wydarzenie z sierpnia 2019 roku. Do dyrektora brytyjskiej firmy energetycznej zadzwonił jego przełożony i charakterystycznym dla siebie głosem (niemiecki akcent) przekonał go, by wykonał jak najszybciej, najlepiej w ciągu najbliższej godziny, przelew na konto innego, węgierskiego, partnera firmy. Oszustwo okazało się skuteczne – transfer w wysokości 220 tysięcy funtów został wykonany. Następnie dyrektor odebrał kolejne telefony: pierwszy z nich informował go, że pieniądze zostały już odesłane z powrotem na konto firmy, a w drugim ten sam charakterystyczny głos poprosił go o wykonanie jeszcze jednego przelewu. Tym razem dyrektor nabrał podejrzeń, tym bardziej że obiecany zwrot poprzedniego przelewu nie przychodził…
Według firmy Symantec, tylko w tym roku co najmniej trzy duże firmy padły ofiarą oszustów wykorzystujących technologię deepfake’ów do podrabiania głosu menedżerów wysokiego szczebla. W jednym z przypadków kwota przelewu wykonanego na konto wskazane przez oszustów wynosiła 10 milionów dolarów.

W najbliższej przyszłości rynek w Polsce czeka także rewolucja związana z wprowadzeniem sieci 5G i związanym z nią dalszym rozwojem usług mobilnych i nową jakością funkcjonowania tzw. internetu rzeczy (ang. IoT – Internet of Things). W tym momencie ciężko jeszcze ocenić, jak nowa generacja sieci wpłynie na poziom cyberbezpieczeństwa. To przede wszystkim ryzyko związane z namierzaniem i szpiegowaniem użytkowników różnego typu urządzeń. I nie chodzi tylko o rzadziej spotykane gadżety, takie jak kamerki IP czy asystenci głosowi, ale przede wszystkim smartfony, notebooki i… połączone z siecią samochody. Tych ostatnich do 2022 roku będzie jeździło po drogach już 125 milionów,
rejestrując informacje m.in. o miejscu pracy i zamieszkania użytkowników.

Kosztowne bezpieczeństwo

Nie sposób nie zauważyć jednak podstawowego trendu, jakim jest wzrastająca świadomość firm i związany z tym wzrost nakładów na cyberbezpieczeństwo. Jak szacuje Gartner9, wartość rynku usług związanych z cyberbezpieczeństwem wzrośnie w tym roku do ponad 124 miliardów dolarów (w 2018 roku było to 114 mld dolarów, a w 2017 roku – 102 mld dolarów). Według raportu EY, 53% badanych przedsiębiorstw zwiększyło w tym roku swoje wydatki na kwestie związane z bezpieczeństwem, zaś w przyszłym roku planuje to aż 65% firm. Nieco inaczej wygląda to w przypadku podziału na mniejsze i duże przedsiębiorstwa. Te ostatnie chętniej zwiększają zakres inwestycji związanych z cyberbezpieczeństwem (w tym roku o 63%, w przyszłym – 67%), ale i mniejsze firmy nie lekceważą tej problematyki (wzrost wydatków o 50% w tym roku i 66% w przyszłym). Według ResearchAndMarkets, wartość rynku usług związanych z cyberbezpieczeństwem wyniesie w 2025 roku ponad 241 miliardów dolarów.

O AUTORZE:

Tomasz Kulas jest redaktorem „MIT Sloan Management Review Polska”.

PRZYPISY: 
1. Verizon Data Breach Investigations Report (DBIR).
2. Raport Microsoftu na temat bezpieczeństwa. Wydanie 24.
3. EY Global Information Security Survey 2018–19.
4. Raport Microsoftu na temat bezpieczeństwa. Wydanie 24.
5. EY Global Information Security Survey 2018–19.
6. Raport Microsoftu na temat bezpieczeństwa. Wydanie 24.
7. Cyberbezpieczeństwo Trendy 2019.
8. www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019
9. EY Global Information Security Survey 2018–19.
10. Raport CERT Orange Polska za rok 2018.
11. Raport CERT Orange Polska za rok 2018.