Streszczenie: Cyberprzestępcy od zawsze pracowali zdalnie, co pozwoliło im łatwo zaadoptować się do obecnej sytuacji, gdzie praca zdalna stała się normą w wielu firmach. Wraz z pandemią i wojną w Ukrainie, organizacje musiały zmierzyć się z nowymi wyzwaniami związanymi z bezpieczeństwem sieci. Hakerzy szybko zaczęli wykorzystywać temat COVID-19 i inne globalne kryzysy do przeprowadzania cyberataków, w tym wyłudzania danych. Wojna w Ukrainie pokazała również, jak cyberprzestępcy i „white hat hackers” są zaangażowani w obronę i atakowanie cyberinfrastruktury. Raporty wskazują na ogromne straty, które mogą wynikać z ataków ransomware, gdzie firmy ponoszą wielomilionowe koszty związane z utratą danych i reputacji. Wartości te rosną, a organizacje powinny zainwestować w odpowiednie zabezpieczenia, by zminimalizować ryzyko.
Mistrzami pracy zdalnej są cyberprzestępcy. Oni w ten sposób pracowali zawsze, więc w nowej rzeczywistości czują się jak ryby w wodzie. A fakt, że firmy zmuszone były również wprowadzić taki model pracy, dodatkowo ułatwił hakerom życie. Dlatego organizacje muszą im maksymalnie je utrudnić, wprowadzając kilka istotnych zasad bezpieczeństwa.
POCZĄTEK TRZECIEGO ROKU pandemii, która wypchnęła z biur do domów setki tysięcy pracowników i spowodowała, że praca zdalna stała się jak najbardziej akceptowalną formą wykonywania obowiązków pracowniczych, oraz wybuch wojny w Ukrainie pokazały, jak ważne jest bezpieczeństwo sieci. Z jednej strony oszuści szybko zaczęli wykorzystywać tematykę związaną z COVID‑19 do wyłudzania danych. Z drugiej – mamy obecnie do czynienia z sytuacją, gdy tzw. white hat wezwani przez prezydenta Zełenskiego do wsparcia obrony jego kraju zawiązali sojusz, aby atakować infrastrukturę, media i strony rządowe rosyjskiego agresora. Oczywiście strona przeciwna nie pozostaje dłużna, cały czas szukając możliwości przedarcia się przez systemy obronne państw sprzeciwiających się agresji Putina. Organizacje ukraińskie zostały zresztą zaatakowane w sieci już dzień przed inwazją Rosji, 23 lutego. Jak poinformował wówczas CERT Orange Polska: „Napastnicy korzystali z nowych rodzin malware, które zostały przeanalizowane przez ekspertów z ESET i Symanteca. W opinii Symanteca istnieją również dowody na to, iż atakowano organizacje litewskie. Sam atak, podobnie jak wymierzony w 2017 roku również w Ukrainę NotPetya, to tzw. wiper – oprogramowanie szyfrujące zaatakowane urządzenia bez możliwości ich odszyfrowania (de facto więc usuwające zawartość dysków). Eksperci odkryli kilka elementów złośliwego oprogramowania: HermeticWiper (niszczy dane na dysku), HermeticWizard (samoreplikujący złośliwy kod, rozprzestrzeniający się po sieci lokalnej, który uruchamia HermeticWiper na zainfekowanym urządzeniu) oraz HermeticRansom (PartyTicket) – ransomware, prawdopodobnie użyty (podobnie jak w przypadku NotPetya) do odwrócenia uwagi od faktycznej roli złośliwego oprogramowania”. Okazało się, że pliki są podpisane certyfikatem legalnej firmy zlokalizowanej na Cyprze, prowadzonej przez projektanta gier. Zapytany przez Reutera dwudziestoczterolatek zaprzeczył oczywiście jakimkolwiek powiązaniom z Kremlem.
Milionowe straty
Wojna, którą toczą w sieci państwa i prywatne przedsiębiorstwa z cyfrowymi przestępcami, kosztuje gigantyczne pieniądze (patrz niżej Koszt ataków ransomware w 2021 roku). Z corocznego raportu Cost of a Data Breach, opublikowanego przez IBM w lipcu ubiegłego roku, wynika, że średnia strata, jaką duże korporacje ponoszą przez utratę danych wykradzionych przez hakerów, przekroczyła 4 mln dolarów i jest o 10% większa niż w 2020 roku, kiedy cyberprzestępcy potrafili ukraść jednorazowo z systemu IT nawet do 100 tys. rekordów. Z kolei pewna niewymieniona z nazwy korporacja zapłaciła okup wynoszący 400 mln dolarów, by odzyskać dane. W jej przypadku hakerzy wykradli z systemów informatycznych blisko 65 mln rekordów. Koszt utraty danych to jedno, pozostaje też kwestia utraty zdolności operacyjnej, często przez dłuższy czas, i zupełnie niewymierny koszt utraty reputacji i zaufania klientów.
Mimo tak alarmujących doniesień wydaje się, że wiele firm nadal nie docenia znaczenia ochrony swoich systemów IT. Takie są przynajmniej wnioski z globalnego raportu Cybersecurity: How do you rise above the waves of a perfect storm?, opracowanego przez EY w 2021 roku. Świadomość nowych rodzajów ryzyka związanego z cyberprzestrzenią nadal stoi na relatywnie niskim poziomie. Wiele organizacji ciągle nie zdaje sobie sprawy, jak duży wpływ mają naruszenia ich systemów informatycznych na ich działalność. Widać to choćby po tym, że przejście na tryb pracy zdalnej wcale nie spowodował wprowadzenia dodatkowych zabezpieczeń, np. wieloetapowego uwierzytelniania czy szyfrowania dysków w laptopach, choćby takim narzędziem jak BitLocker. Organizacje, według wspomnianego raportu, nie są też w pełni gotowe do oceny i zarządzania ryzykiem związanym z zewnętrznymi partnerami. Okazuje się, że tylko jedna na pięć wdrożyła podstawowe narzędzia do nadzorowania krytycznych dostawców. Według informacji zawartych w raporcie EY, wiele firm do tej pory nie wypracowało praktyki zarządzania ryzykiem w obszarze cyberbezpieczeństwa, nie stosuje odpowiednich narzędzi zabezpieczających (nawet tak banalnych jak VPN czy VDI), nie wdraża procedur i zapomina o szkoleniach pracowników, którzy, jak wiadomo, są jednym ze słabszych ogniw cyberochrony. A reagują dopiero wtedy, gdy faktycznie dojdzie do próby ataku lub gdy, niestety, atak okaże się udany. Tylko dwie na pięć ankietowanych firm zadeklarowało, że są przygotowane do radzenia sobie z nowymi zagrożeniami wynikającymi z szybkiej ewolucji cyfrowej.
Jakie niebezpieczeństwa czyhają na beztroskich użytkowników?
Autorzy raportu Europejskiej Agencji ds. Cyberbezpieczeństwa ENISA z grudnia ubiegłego roku zidentyfikowali 9 najpoważniejszych cyberzagrożeń.
Zaliczyli do nich:
1. Ransomware – ataki z użyciem złośliwego oprogramowania na sieci i blokowanie danych poprzez ich zaszyfrowanie. Cyberprzestępcy żądają okupu w zamian za podanie klucza deszyfrującego. Ostatnio szyfrowanie danych następuje dopiero po ich wykradzeniu przez hakerów, którzy szantażują również tym, że dane opublikują lub sprzedadzą w dark webie.
2. Malware – złośliwe oprogramowanie służące do uzyskania dostępu do komputera po to, by wykraść dane.
3. Cryptojacking – nieautoryzowany dostęp do komputera, dokonywany w celu wykorzystania jego zasobów sprzętowych do kopania kryptowalut.
4. Zagrożenia związane z pocztą elektroniczną, typu phising.
5. Ataki na dane (naruszenie danych, wyciek danych).
6. DDoS – uniemożliwia funkcjonowanie stron internetowych lub całych serwisów poprzez zalanie ich napływem danych z tysięcy zainfekowanych komputerów, tzw. botów, połączonych w sieć.
7. Dezinformacja – fałszywe wiadomości.
8. Zagrożenia inne niż złośliwe oprogramowanie (malware) – błędy ludzkie, nieprawidłowe konfiguracje systemów, wypadki mające wpływ na systemy informatyczne.
9. Ataki na łańcuchy dostaw.
W 2021 roku średni koszt danych wykradzionych przez hakerów dużym korporacjom wynosił 4 mln dol., czyli o 10% więcej niż rok wcześniej.
ENISA alarmuje, że bardzo szybko rośnie zagrożenie ransomware’em, podsycane przez postępującą cyfryzację społeczeństwa i transformację firm, które przechodzą z tradycyjnej infrastruktury na rozwiązania online. Agencja zaobserwowała też coraz liczniejsze próby ataków na infrastruktury krytyczne, zakłócające działalność placówek zdrowia publicznego, w tym szpitali, służb ratunkowych oraz transportu i energii. Pod coraz większym ostrzałem znalazły się też łańcuchy dostaw.
Przestępczość w sieci to lukratywny biznes
Głównym celem cyberataków jest zazwyczaj osiągnięcie zysku. Zazwyczaj, bo wojna w Ukrainie pokazała, że chodzi też o dezinformację, rozsiewanie plotek (np. zabraknie na stacjach paliwa, a w sklepach papieru toaletowego) i wzbudzanie paniki, propagandę, szum informacyjny i destabilizację infrastruktury krytycznej. Jak się przed tym bronić? Raport ENISA wskazuje, że ważne jest zrozumienie, w jaki sposób myślą i działają cyberprzestępcy, jakie są ich motywacje i cele, ponieważ w ten sposób można skuteczniej reagować na próby ataków.
Według danych FortiGuard Labs firmy Fortinet, pozyskiwane przez cyberprzestępców okupy rzędu biliona dolarów rocznie pozwalają im nie tylko rozwijać przestępczą działalność, ale, co najgorsze, nadawać jej ramy systemowe. Obecnie nie mamy do czynienia z pojedynczym „czarnym kapeluszem”, który usiłuje okraść to lub inne przypadkowe przedsiębiorstwo. Można zacząć mówić o syndykatach cyberzbrodni. Grupy hakerskie specjalizują się w wybranych narzędziach, ofiary dobierane są z premedytacją, a niektóre z tych grup działają niczym duże przedsiębiorstwa. Struktura przestępczej organizacji podobna jest więc do korporacji, choć jest zapewne bardziej zwinna i elastyczna. W takiej „firmie” jest nawet miejsce dla account managerów, którzy koordynują cały proces, i dla dyrektora ds. finansowych. Również „obsługa klientów”, czyli szantażowanych firm, stoi na „światowym” poziomie. Na przykład, by ułatwić płacenie okupu, jeden z cybergangów uruchomił specjalne call center (jak widać, wiedza o tym, jak ważne jest dobre doświadczenie klienta, trafiła nawet do dark webu).
Obszary, którymi zajmują się współpracujący z przestępcami partnerzy, to transfery finansowe, pranie brudnych pieniędzy oraz zarządzanie forami dark webu, na których sprzedawane są złośliwe narzędzia, ale także wykradzione dane.
Coraz częściej szeregi firmy zajmujących się zorganizowaną cyberprzestępczością, która oferowana jest w tym świecie „jako usługa”, zasilają „hakerzy do wynajęcia”. Jeżeli ktoś wie jak, może kupić np.: ransomware jako usługę (ang. Ransomware‑as‑a-Service – RaaS), phishing jako usługę (ang. Phishing‑as- -a‑service – PhaaS) czy teraz bardzo w cenie dezinformację jako usługą (ang. Disinformation‑as‑a-service – DaaS). Aby móc z tym walczyć, trzeba wykorzystać sztuczną inteligencję, non stop edukować użytkowników i współpracować z organami ścigania oraz instytucjami rządowymi. Ważne też na co zwracają uwagę eksperci, aby nie negocjować z terrorystami. Nie płacić okupu. Przynajmniej tak uważa Stephen Nix, agent specjalny amerykańskiego Secret Service. W artykule opublikowanym na naszej stronie Nix wyjaśnia: – Gdy już zdecydujesz się zapłacić, nie milcz. Jest całkiem możliwe, że jednak odzyskasz pieniądze, ponieważ organy ścigania są w stanie przechwycić płatność dokonywaną za pomocą kryptowalut. I dodaje: – Nie zapominaj, że hakerzy też mają swój „model biznesowy”. Analizując dziesiątki czy setki ataków, jesteśmy w stanie znaleźć sprawców, ale potrzebujemy informacji od firm, które zostały zaatakowane.
Zasady bezpieczeństwa
Piotr Ciepiela, partner oraz Globalny Lider ds. Bezpieczeństwa Architektury i Nowoczesnych Technologii w EY, podpowiada, jak firmy mogą i powinny się bronić przed cyberatakami. Uważa, że przede wszystkim muszą wyznaczyć osobę, która będzie odpowiedzialna za działania prewencyjne, zanim stanie się coś złego. Szalenie ważne jest też tworzenie kopii zapasowych, aby zawsze mieć dostęp do danych. Nie wolno ich jednak przechowywać w tej samej infrastrukturze, na której znajdują się dane oryginalne.
Dobrą, o ile nie najlepszą, praktyką jest stosowanie się do reguły 3‑2-1.
Zgodnie z nią w każdej firmie:
• zawsze powinny istnieć trzy kopie bezpieczeństwa;
• kopie powinny być zapisywane na przynajmniej dwóch różnych nośnikach (zewnętrzna macierz dyskowa, taśmy magnetyczne, pamięć masowa w chmurze niezależnego dostawcy);
• jedna kopia zapasowa zawsze, bez żadnych wyjątków, powinna być przechowywana poza siedzibą firmy.
Dostosowanie się do reguły 3‑2-1 daje dużą dozę pewności, że w razie ataku i zaszyfrowania danych firma nie będzie musiała negocjować z hakerami. Pod jednym warunkiem – kopie będą tworzone praktycznie w czasie rzeczywistym (np. będą to tzw. kopie migawkowe), zgodnie z ustalonym harmonogramem, a osoba odpowiedzialna za cyberbezpieczeństwo firmy będzie regularnie sprawdzać ich wartość odtworzeniową.
Oczywiście, duże firmy mogą sobie pozwolić na tworzenie równoległej infrastruktury, bo choć takie rozwiązanie nie jest tanie, to koszt jej utrzymania będzie mniejszy niż okup i ewentualne konsekwencje finansowe oraz wizerunkowe.
Następną kwestią jest dostęp do zasobów firmowych. W zdalnym modelu pracy, kiedy nie kilka osób, ale setki są podłączone do wewnętrznej sieci, autoryzacja musi być dwuetapowa, na przykład poprzez sieć i SMS. Inaczej pokonanie zabezpieczenia jest dla dobrego hakera bardzo proste.
Konieczne są również aktualizacje oprogramowania, ponieważ codziennie pojawiają się nowe wirusy i nowe zagrożenia. Piotr Ciepiela radzi, aby krytyczne dla działania i bezpieczeństwa firmy oprogramowanie było aktualizowane tak często, jak to możliwe, np. codziennie, zgodnie z określonym harmonogramem, oraz by aktualizacja odbywała się automatycznie (jeżeli to możliwe – wyjątkiem może być środowisko OT). Taką możliwość zapewniają programy antywirusowe w zasadzie wszystkich producentów tego typu software’u.
Dla wzmocnienia bezpieczeństwa warto też podzielić wewnętrzną sieć w taki sposób, aby atak na jeden dział nie spowodował paraliżu całej firmy. Do takiej sytuacji doszło na przykład w ubiegłym roku, kiedy w maju został zaatakowany producent żywności. W tym samym momencie unieruchomione zostały wszystkie jego fabryki w Kanadzie, USA i Wielkiej Brytanii.
Nie można zapominać też o ciągłym monitorowaniu sieci. Pracownicy IT powinni cały czas nadzorować sieć w poszukiwaniu dziwnego ruchu, charakterystycznego np. dla działania botów DDoS czy cryptojackingu. Dostawcy rozwiązań sieciowych ułatwiają życie administratorom, wbudowując w oprogramowanie systemowe specjalne funkcje nadzorujące cały ruch sieciowy, wyposażone w algorytmy predykcyjne. Teoretycznie mysz nie powinna się przedrzeć, a jednak doświadczenie pokazuje, że tak nie jest. Dlatego każdy firmowy specjalista do spraw cyberbezpieczeństwa musi mieć oczy dookoła głowy. W przypadku ataków typu DDoS dostawcy internetu oferują specjalne pakiety chroniące przed tym zagrożeniem. Szczególnie istotne jest dodatkowe pasmo, które jest przydzielane przy wzmożonym ruchu na stronie WWW, aby zainteresowani mogli na nią wejść. Zwykle jeśli liczba zapytań do serwera przekracza 50% typowego obciążenia system dostawcy internetu automatycznie przydziela następne pasmo.
Piotr Ciepiela podkreśla, że organizacja musi mieć świadomość, co chce chronić, i ustalić priorytety dla konkretnych zasobów. Przecież nie wszystko jest tak samo ważne, a koszty nie należą do najmniejszych. Atak może nadejść z najmniej spodziewanej strony. Dużym zagrożeniem jest internet rzeczy (IoT). Tak niepozorne urządzenia, jak kamery internetowe, tablety, drukarki, a nawet inteligentne lodówki, podłączone do firmowej sieci mogą stanowić idealną furtkę dla hakerów. Świetnym przykładem, jak groźne mogą być niechronione urządzenia IoT, jest historia jednego z amerykańskich kasyn. W 2018 roku przestępcy użyli podłączonego do sieci kasyna… termometru umieszczonego w akwarium. Dane o temperaturze wody zbierane przez termometr wysyłane były do bazy danych kasyna. Tej samej, w której przechowywane były wszelkie informacje o graczach (dane osobowe, kwoty wypłat) oraz pracownikach. Najpierw termometr potraktowali jak tylne drzwi do bazy jaskini hazardu, a potem przez te same drzwi przesłali rekordy do własnej chmury. Ten atak jest najlepszym dowodem na to, że regularne oceny bezpieczeństwa sieci i urządzeń do niej podłączonych to konieczność, aby zmniejszyć ryzyko wycieku wrażliwych informacji. Jednak najpewniejszym sposobem jest po prostu izolowanie urządzeń peryferyjnych od krytycznej dla firmy infrastruktury sieciowej i uniemożliwienie pracownikom samodzielnego instalowania jakichkolwiek urządzeń i programów. Często się bowiem zdarza, że pracownik, nie konsultując z działem bezpieczeństwa, instaluje jakieś urządzenie, bo „dzięki temu czujnikowi będziemy coś więcej wiedzieć”. Albo tak po prostu, bez żadnej ważnej przyczyny. Inny przykład: audyt bezpieczeństwa w jednej z międzynarodowych korporacji uzmysłowił wszystkim, jak łatwo było się dostać do jej sieci przez… telewizor w kantynie. Ekspert prowadzący testy penetracyjne włamał się do sytemu operacyjnego telewizora, a potem jak po sznurku powędrował do sieci z oprogramowaniem służącym do obsługi produkcji i bez trudu zatrzymał działanie wszystkich maszyn na hali produkcyjnej. Przykładów włamania się do wewnętrznych zasobów organizacji przez smartfony, tablety, windy, żarówki, klimatyzatory jest dużo więcej. Jak widać, przestępcy potrafią wykorzystać „ciemną stronę” inteligentnych przedmiotów, aby zrealizować swoje cele. Najsłabszym ogniwem jest jednak najczęściej człowiek, który otworzy załącznik poczty (hakerzy dbają o to, żeby temat wyglądał przekonująco), włoży do napędu pendrive nieznanego pochodzenia, znaleziony na korytarzu (któż się oprze, skoro jest opisany jako „lista płac zarządu”), wejdzie na stronę ze śmiesznymi kotami (i całkiem nieśmiesznym keyloggerem działającym w tle). Dlatego poza sprzętem i oprogramowaniem chroniącym tak istotne jest edukowanie wszystkich pracowników – od ekip sprzątających po najważniejszego prezesa. Wiedzy nigdy dość. Jej brak może być bardzo kosztowny
