Nauka i biznes, kultura i sztuka, życie prywatne i zawodowe, obronność – jednym słowem: wszystko przenosi się w mniejszym lub większym stopniu do świata cyfrowego, ciągnąc za sobą świat przestępczy. A ten staje się coraz bardziej wyrafinowany i bezwzględny.
Ci, którzy byli świadkami narodzin i rozwoju globalnej sieci, nie potrafią przyjąć do wiadomości, że dawno temu internet przestał być tylko narzędziem rozrywki, że zagrożenia przeniosły się tam, dokąd przeszła część naszego życia. Z kolei ci, dla których internet jest naturalnym środowiskiem, w którym chętnie i często przebywają, nie zważają na niebezpieczeństwo. Tak samo jak w realnym świecie nie oglądają się ciągle przez ramię w obawie, że gdzieś czai się bandyta. To właśnie dlatego wciąż spory odsetek internautów wpada w pułapki, które przygotowują dla nich przestępcy. Tylko w ubiegłym roku CERT Orange Polska(1) zarejestrował średnio miesięcznie ponad 10 miliardów nietypowych zachowań (o ponad 1 miliard więcej niż w roku 2016), przeanalizował niecałe 150 tysięcy anomalii i obsłużył 1002 incydenty (w całym 2017 roku wykrył 12 029 incydentów, rok wcześniej – 17 199).
Gdyby wykryte w minionym roku przez CERT Orange incydenty pogrupować w kategorie i je ponazywać, lista przedstawiałaby się tak: zdecydowaną przewagę miałyby te z grupy obraźliwych i nielegalnych treści – w sumie stanowiły niemal połowę (48,9%) wszystkich zarejestrowanych. Na drugim miejscu znalazłyby się przypadki uniemożliwiające dostęp do zasobów cyfrowych, czyli tak zwane ataki na dostępność zasobów –19,5% (20,3% w 2016 r. – dalej próby włamań – 14,7% (spadek z 20,31%) – oraz naruszenia związane z gromadzeniem informacji – 6,9% (o prawie 5 punktów procentowych mniej niż w 2016 r.). Do incydentów najrzadziej występujących można zaliczyć złośliwe oprogramowanie – 5,5% (6,73% w 2016 r.) – oraz oszustwa sieciowe – 2,9% (1,17% rok wcześniej). Grupa najmniej liczna to włamania sieciowe oraz ataki zagrażające poufności i integralności informacji (poniżej 1% wykrytych zdarzeń). Inne, nieobjęte powyższymi kategoriami, odpowiadały za 0,9% naruszeń.
Globalne ataki hakerów nagłośnione w mediach zwiększają zainteresowanie zarządów przedsiębiorstw problemem bezpieczeństwa.
Co składa się na obraźliwe i nielegalne treści? Są to przede wszystkim incydenty związane z rozsyłaniem spamu, naruszeniami praw autorskich (takimi jak piractwo), a także rozpowszechnianie treści zabronionych prawem (rasizmu, pornografii dziecięcej czy treści zachwalających przemoc). Ataki na dostępność zasobów to typ incydentów, które wywołują zakłócenia w poprawnym funkcjonowaniu systemów lub sieci i skutkują ich spowolnieniem lub niewłaściwą pracą, a nawet całkowitą blokadą zaatakowanego obiektu (ataki DDoS/DoS). Do tej kategorii zaliczają się również kampanie sabotażowe, których celem jest uszkodzenie danych, zakłócenie procesu lub zniszczenie systemu teleinformatycznego. Trzecia pod względem liczebności grupa – czyli próby włamań – to incydenty powiązane z podatnością na atak stacji systemów (stacji roboczych, komponentów i sieci). Hakerom chodzi o uzyskanie dostępu do nich bądź przejęcie nad nimi kontroli, co ma doprowadzić do włamania do systemu za pomocą logowania (zobacz Kalendarium wybranych ataków hakerskich w 2017 roku).
Bezpieczeństwo zasobów IT
Koszty ataków internetowych są wciąż relatywnie niskie, a możliwe zyski przekraczają je dziesiątki lub setki razy, dlatego w bieżącym roku i w latach następnych cyberprzestępcy prawdopodobnie nasilą swoje wysiłki. W dalszym ciągu będą podejmować próby włamań do systemów teleinformatycznych, wykorzystując do tego socjotechnikę, która staje się coraz bardziej wyrafinowana, a sam proces ma wieloetapowy przebieg. Zaawansowane ataki typu APT (Advanced Persistent Threats) będą szczególnie groźne dla przedsiębiorstw infrastruktury krytycznej, zwłaszcza w sektorze bankowym. Zwiększy się też liczba napaści na urządzenia połączone z internetem rzeczy (IoT). W tym „wyścigu zbrojeń” relatywnie niewielka grupa przestępców ściga się z twórcami zabezpieczeń i wyprzedza ich o krok.
Czy w ogóle można tę wojnę wygrać? Czy przedsiębiorcy zdają sobie sprawę z wagi zagrożeń w cyfrowej przestrzeni, dokąd przenoszą swoje zasoby, tajemnice handlowe, finanse, a często nawet całe biznesy?
W ubiegłym roku Fortinet(2) przeprowadził globalne badanie na temat bezpieczeństwa w przedsiębiorstwach zatrudniających powyżej 250 pracowników. Wyniki? Aż 95% firm w Polsce doświadczyło w ostatnim czasie cyberataku, ale zdaniem 47% osób odpowiedzialnych za podejmowanie decyzji w kwestiach informatycznych, bezpieczeństwo IT nadal nie jest kluczową sprawą dla zarządów ich firm, przy czym nie ma to negatywnego wpływu na budżety (zobacz ramkę Świadomość znaczenia inwestycji w cyberbezpieczeństwo). Ponad połowa (53%) ankietowanych twierdzi, że cyberbezpieczeństwo pochłania około 10% budżetu informatycznego, co stanowi – według nich – znaczącą kwotę w wydatkach. Ponadto 58% uczestników badania zapewniło, że budżety na ochronę zasobów w cyfrowej rzeczywistości w ich organizacjach wzrosły w stosunku do roku poprzedniego.
Fortinet zapytał też badanych, co musiałoby się zdarzyć, żeby zarządy przedsiębiorstw były bardziej zainteresowane problemem ochrony IT. Odpowiedzi sugerują trzy ewentualności: wzrost liczby cyberataków, zmiana przepisów i migracja do chmury.
Jeśli chodzi o pierwszy warunek, zarządy zdecydowanie zwiększają swoje zainteresowanie bezpieczeństwem informatycznym pod wpływem nagłośnienia cyberataków o zasięgu globalnym, takich jak WannaCry (34% ankietowanych). Największe wrażenie wywołuje skala i charakter tego typu zdarzeń. Wtedy bezpieczeństwo staje się tematem rozmów nie tylko w dziale informatycznym. Stąd wniosek, że może warto ożywić komunikację medialną na ten temat.
Sytuacja druga wydaje się oczywista – przepisy prawa, szczególnie takie, które grożą wysokimi sankcjami finansowymi, zawsze zmuszają kierownictwa firm do wnikliwego przyjrzenia się skutkom zmian dla ich działalności biznesowej. Według 26% respondentów przykład RODO pokazuje, że to wystarczające narzędzie do wywierania presji.
Ostatni warunek także nie budzi zdziwienia, ponieważ transformacja cyfrowa nie jest już tylko kwestią informatyczną, lecz decyzją biznesową o znaczeniu strategicznym. W badaniu widać to jak na dłoni – ponad 55% respondentów stwierdziło, że bezpieczeństwo w chmurze razem z towarzyszącymi mu inwestycjami staje się dla zarządów sprawą priorytetową i prawdopodobnie będzie głównym elementem szerszej strategii zarządzania ryzykiem.
Mimo średniego zainteresowania problemami cyfrowego bezpieczeństwa respondenci optymistycznie oceniają sytuację. Aż 68% z nich uważa, że zabezpieczenia w ich firmach są lepsze niż w innych organizacjach działających w tej samej branży. Jedynie 6% przyznało, że pozostają w tyle za konkurencją. W odpowiedzi na pytanie o najważniejsze inwestycje w tym obszarze 30% wskazało na wprowadzenie nowych rozwiązań i usług w sferze bezpieczeństwa, dla 16% było to wdrożenie zasad i procesów bezpieczeństwa, a dla 8% aktualizacja dotychczasowych rozwiązań. Tylko 5% badanych wymieniło szkolenia pracowników.
Tymczasem świadomość pracowników co do zagrożeń i skutków ataków hakerskich jest podstawą bezpieczeństwa cyfrowego. Wystarczy przypomnieć, że 37% incydentów w ciągu ostatnich dwóch lat było efektem socjotechniki, ataków ransomware oraz phishingu, czyli takich działań przestępców, które żerowały właśnie na braku wiedzy, nieostrożności czy niefrasobliwości użytkowników internetu lub narzędzi chmurowych.
Kalendarium wybranych ataków hakerskich w 2017 roku
17 stycznia
Wykorzystując błędnie skonfigurowaną domenę CEIDG, cyberprzestępcy rozsyłali do przedsiębiorców e‑maile z żądaniem zapłaty. Wykorzystali fakt, że rządowa ceidg.gov.pl nie posiadała skonfigurowanego pola usługi SPF (Sender Policy Framework).
3 lutego
Przestępcy umieścili na stronie Komisji Nadzoru Finansowego praktycznie niezauważalne, wkomponowane w tę stronę złośliwe oprogramowanie o charakterze szpiegowskim, które miało przesyłać dane identyfikujące użytkownika strony. Program szpiegowski sprawdzał, czy użytkownik korzystający ze strony KNF znajduje się na wcześniej sporządzonej liście celów, i jeśli go odnalazł, pytał przestępców, czy ma zaatakować. Ataki nie następowały automatycznie – ofiary były dobrze selekcjonowane i nie każdy, kto odwiedzał stronę KNF‑u, był nawet proponowany atakującym jako cel. Kradziono plany strategiczne, koncepcje marketingowe i inne dane wrażliwe dla sektora finansowego.
15 marca
Akcja polityczna na Twitterze nawołująca do bojkotu władz Holandii przez Turcję była możliwa dzięki skompromitowaniu aplikacji Twitter Count – usługi pozwalającej śledzić statystyki powiązane z kontem użytkownika. Tym sposobem hakerzy włamali się do wielu opiniotwórczych kont, m.in. do magazynu „Forbes” oraz do Grahama Clueya, dziennikarza zajmującego się cyberbezpieczeństwem. Przejęte konta udostępniały zawsze tę samą propagandową treść skierowaną przeciwko Holandii.
10 kwietnia
Wonga.com poinformowała zespół CERT Orange o „prawdopodobnym nieautoryzowanym dostępie” do danych klientów serwisu pożyczkowego Wonga.com. Poszkodowanych mogło być nawet około 25 tysięcy osób, a nieautoryzowany dostęp mógł dotyczyć takich danych, jak: imię, nazwisko, adres, numer telefonu, PESEL i numer dowodu osobistego. Wonga stwierdziła jednocześnie, że pomimo wykrycia przełamania zabezpieczeń nie doszło do wytransferowania danych.
14 maja
Złośliwe oprogramowanie typu ransomware w bardzo krótkim czasie dokonało paraliżu systemów teleinformatycznych na całym świecie. WannaCry wykorzystywał podatność w protokole SMBv1 systemów operacyjnych Windows. Dzięki luce możliwe było wykonanie złośliwego kodu na stacji roboczej użytkownika i zaszyfrowanie wszystkich plików. Łącznie w ramach kampanii zainfekowano ponad 200 tys. komputerów w 150 krajach świata. Została zatrzymana w wyniku zablokowania jednej z domen, z którą komunikował się złośliwy program w procesie propagacji.
26 czerwca
Atak phishingowy wycelowany w środowiska prawnicze: na adresy e‑mailowe kancelarii prawnych przesłane zostały e‑maile, w których atakujący – podszywając się pod Generalnego Inspektora Ochrony Danych Osobowych – informowali o nadchodzącej kontroli w instytucji. Sama wiadomość nie miała treści, zawierała jedynie załącznik, który po otwarciu szyfrował zawartość komputera poszkodowanego podmiotu. Nie wiadomo, ile osób padło ofiarą przestępców. Oprócz utraty swoich danych uwierzytelniających użytkownicy byli również narażeni na infekcje oprogramowaniem typu ransomware.
19 lipca
Firmy sektora energetycznego w USA zostały zaatakowane kampanią phishingową przygotowaną przez hakerów z grupy Dragonfly. Do wiadomości dołączone były pliki Microsoft Word, które wykradały dane uwierzytelniające ze stacji roboczych. Cyberprzestępcy stosowali również technikę wodopoju, uprzednio skrupulatnie analizując dane pracowników mających dostęp do systemów sterowania przemysłowego. Nie doszło do poważnych naruszeń infrastruktury krytycznej.
1 sierpnia
Serwery firmy HBO padły ofiarą ataku hakerskiego. Wykradziono między innymi, jak twierdzą atakujący, scenariusze nowego sezonu popularnego serialu „Gra o tron”. Przestępcy odpowiedzialni za ten atak utrzymują, że są w posiadaniu olbrzymiej ilości materiałów (ok. 1,5 TB danych) i jeśli firma nie zapłaci żądanego okupu, do sieci trafią kolejne fragmenty.
15 września
Przejęte konta w portalu LinkedIn posłużyły cyberprzestępcom do przeprowadzenia złośliwej kampanii phishingowej. Wiadomości były rozsyłane poprzez „InMail”, czyli wewnętrzną funkcjonalność popularnego serwisu, służącą do komunikacji między użytkownikami. W treści e‑maila załączony był link do fałszywej strony logowania przypominający usługi Google’a (a także innych cyfrowych dostawców). W ten sposób hakerzy zdobywali dane uwierzytelniające ofiary. Nieznana jest skala ataku, pojawiła się natomiast informacja, iż jedno z przejętych kont miało w swoim kręgu biznesowym ok. 500 znajomych.
23 października
Odnaleziono olbrzymi botnet, na który składają się urządzenia internetu rzeczy. Podatne są między innymi takie urządzenia, jak: sprzęt kuchenny, gadżety, kamery, ale również niektóre maszyny przemysłowe. Za cel ataku służą wytwory konkretnych firm: GoAhead, D‑Link, TP‑Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology. Liczba urządzeń przejętych przez złośliwe oprogramowanie regularnie wzrastała aż do końca października.
21 listopada
Międzynarodowa firma transportowa Uber poinformowała o ogromnym wycieku danych, do którego doszło w 2016 roku. Nieznani sprawcy zhakowali serwery firmy i wykradli dane 57 milionów klientów i pracowników. Dane zawierały nazwiska, e‑maile 50 milionów pasażerów oraz 7 milionów danych personalnych kierowców. Dwóch cyberprzestępców zdobyło dostęp do repozytorium GitHub używanego przez programistów firmy Uber, skąd wykradli dane uwierzytelniające pracowników. Użyli ich do zalogowania się na Amazon Web Services, skąd wykradli archiwum danych i zażądali okupu, grożąc ich ujawnieniem.
9 grudnia
Podczas skanowania ukrytej sieci pod kątem skradzionych danych eksperci bezpieczeństwa IT odkryli pojedynczy plik z bazą danych 1,4 miliarda adresów i haseł do poczty elektronicznej. To największy, jak do tej pory, wyciek bazy danych zapisany tekstem jawnym. Wśród danych znalazło się 10,5 miliona adresów należących do polskich internautów. Analiza pokazała, że skradzione hasła do poczty znajdują się również w domenach rządowych, takich jak: .gov.pl, .policja.gov.pl, .mon.gov.pl, .sejm.gov.pl czy .prezydent.pl. Omawiana baza zawiera połączony zbiór kilkuset wycieków danych, zarówno tych dobrze znanych, jak i wcześniej nie odkrytych.
Skutki nie tylko finansowe
Tegoroczny raport Cisco, także poświęcony zagadnieniom bezpieczeństwa IT, pokazuje, że część polskich przedsiębiorców (21%) czuje się wręcz przytłoczona oczekiwaniami związanymi z ochroną zasobów i infrastruktury cyfrowej, co sprawia, że trudno im proaktywnie lokalizować zagrożenia(3). W efekcie bada się tylko 62% alertów dotyczących zagrożenia w cyberprzestrzeni, z czego 23% nie udaje się potwierdzić, a w 48% przypadków potwierdzone incydenty są poddawane działaniom naprawczym.
Konsekwencje naruszeń są poważne. W przypadku 45% cyberataków dokonanych w Polsce straty wynosiły każdorazowo ponad 100 tysięcy dolarów. Koszty nie ograniczają się tylko do naprawy samego systemu, obejmują również utratę przychodów, klientów oraz potencjalnych szans biznesowych. Nie dość na tym – 56% przedsiębiorstw z Polski, które wzięły udział w badaniu, miało problemy z publiczną kontrolą naruszeń cyberbezpieczeństwa po zanotowanych atakach. Na czym polega publiczna kontrola? Na zbadaniu, czy organizacja poradziła sobie z usunięciem przyczyny, która doprowadziła do skutecznego ataku. Może ją przeprowadzić zewnętrzny interesariusz, między innymi zarząd, regulator, inwestor, klient, partner, czasem inicjatywę taką podejmują media. Ponadto 53% badanych firm musiało uporać się z ponad pięciogodzinnymi przerwami w dostępie do usług (58% globalnie). Tak długie przerwy w dostępie do najważniejszych systemów IT mogą zdezorganizować codzienną pracę. Jeżeli firma świadczy usługi w branżach, takich jak usługi komunalne, służba zdrowia lub transport, przestój może stanowić zagrożenie i naruszyć spokój mieszkańców całego kraju.
Aktualne i przyszłe wyzwania dla polskich organizacji (w %)
Newralgiczna branża
Sektor farmaceutyczny i sprzętu medycznego może nie jest numerem jeden na liście hakerów, ale jeśli stanie się celem ataku, skutki będą katastrofalne – może być zagrożone życie ludzi, badania nad konkretnym lekiem mogą trafić w niepowołane ręce, urządzenia ratujące życie czy wspomagające i kontrolujące pracę różnych organów mogą nieprawidłowo działać. Dlatego poziom zabezpieczeń, głównie chmurowych, musi być tak samo wysoki jak w przypadku infrastruktury o znaczeniu krytycznym. Chmura to przecież środowisko, w którym odbywa się otwarta wymiana danych i informacji między ośrodkami naukowymi na całym świecie, między współpracującymi organizacjami i podwykonawcami. Czy zatem sektor life sciences jest chroniony w wyjątkowy sposób?
Raport KPMG Sektor life sciences – innowacje i cyberbezpieczeństwo to nierozłączne elementy obrazuje, że wiele musi się zmienić, aby tak się stało. Póki co firmy wolą się raczej wycofywać ze swoich planów, a tracimy na tym my wszyscy. Tak właśnie dzieje się w przypadku badaczy z sektora biofarmaceutycznego w USA i Szwajcarii. Co prawda, chcą wspólnie pracować nad nowym lekiem na raka, ale obawiają się, że ich własność intelektualna może być narażona na kradzież podczas transmisji danych. Podobnie globalna firma farmaceutyczna rozważa przeprowadzenie badania klinicznego nad nowym lekiem zwalczającym wirusa HIV w kraju o wschodzącej gospodarce, ale powstrzymują ją słabości potencjalnych partnerów w zagwarantowaniu bezpieczeństwa infrastruktury. Fuzja dwóch globalnych firm z sektora nauk przyrodniczych zostaje wstrzymana, bo jedna z firm odkrywa, że w ostatnim czasie doszło do naruszeń przepisów ustawy HIPAA (ustawa o przenośności i ochronie danych z ubezpieczeń zdrowotnych)(4).
Świadomość znaczenia inwestycji w cyberbezpieczeństwo
Autorzy raportu uważają, że cała branża musi tak zmienić swoje nastawienie do ochrony zasobów, aby cyberbezpieczeństwo zaczęło być postrzegane jako czynnik sprzyjający innowacjom. Tymczasem jedna czwarta organizacji nie ma nawet w swojej strukturze osoby odpowiedzialnej wyłącznie za ten fragment IT.
Co więcej, niektóre firmy wykazują daleko idącą beztroskę, jeśli chodzi o realne zagrożenia dla własności intelektualnej oraz o kradzież danych dotyczących pacjentów. Większość nie jest gotowa, aby przenieść na wyższy poziom ochronę prywatności, dostosowując się do nowych rozporządzeń o ochronie danych osobowych (RODO).
Bezprzewodowe urządzenia medyczne z czujnikami – czy noszone na ciele, czy wszczepiane pod skórę – są powszechnie uważane za jedną z najważniejszych innowacji w opiece nad pacjentem. Cyberprzestępcy dostrzegają możliwość zaszkodzenia chorym poprzez manipulowanie urządzeniami albo wykorzystanie ich jako klucza wejściowego do sieci komputerowej szpitala. Mogą też starać się za ich pośrednictwem uzyskać dostęp do informacji poufnych. Co na to producenci? Spora część nie szkoli na bieżąco autorów oprogramowania w dziedzinie najnowszych technik związanych z cyberbezpieczeństwem i ochroną prywatności.
Generalny wniosek badawczy autorów raportu KPMG brzmi: aby zapewnić firmom prawdziwie skuteczną ochronę, cyberbezpieczeństwo powinno stać się integralnym elementem działalności innowacyjnej. Efektywne programy bezpieczeństwa koncentrują się nie tylko na zapewnianiu firmom działań zgodnych z prawem i zarządzaniu zagrożeniami, ale też wartości biznesowej, jaką cyberbezpieczeństwo może wnosić do nowych koncepcji, modeli i szans, które przyczyniają się do postępu.
(1) Raport CERT Orange Polska za 2017 rok.
(2) Fortinet Globalne badanie cyberbezpieczeństwa przedsiębiorstw.
(3) Badanie Cisco 2018 Security Capabilities Benchmark Study.
(4) Raport KPMG Sektor life sciences – innowacje i cyberbezpieczeństwo to nierozłączne elementy.
