Wywiad z ekspertem:
Cyberataki. Co nam grozi w Internecie?

Fot: Wywiad z ekspertem: Cyberataki. Co nam grozi w Internecie?

Strona 1: Cyber zagrożenia dla przedsiębiorców

Kamil Trembacz: Jakich cyber zagrożeń powinni się dziś obawiać przedsiębiorcy?

Dariusz Włodarczyk, Hestia Loss Control: Generalnie tych, na które nie są przygotowani i przed którymi nie potrafią się obronić…. Tutaj można odwołać się do statystyk niezależnych organizacji monitorujących bezpieczeństwo w cyberprzestrzeni, jednakże najgroźniejsze to te, w wyniku działania których ucierpi podstawowa działalność i wizerunek firmy. Do najgroźniejszych obecnie rodzajów niewątpliwe należą ataki z zakresu social engineering, których, najczęściej nieświadoma skutków ofiara, potrafi wyjawić przestępcy cenne informacje. Z pozoru niewinna rozmowa z nowo poznaną osobą na portalu społecznościowym, czy z innej strony nerwowa rozmowa telefoniczna może spowodować uśpienie naszej czujności. Nieświadoma osoba, nie myśląc o konsekwencjach, zacznie odpowiadać na pytania wyjawiając tym samym poufne informacje... Dlatego tak ważne jest, aby wyrobić sobie zdolność oceny wartości informacji i nawet w gorącej sytuacji zachować chłodny umysł. Musimy pamiętać, że złośliwy socjotechnik dysponuje wyrafinowanymi zdolnościami, przed którymi naprawdę ciężko się obronić. Taki atak to nie koniecznie jedna rozmowa czy spotkanie, to często ciąg podobnych rozłożonych w czasie aczkolwiek intensywnych zdarzeń. Mówiąc o zagrożeniach adresowanych do przedsiębiorców muszę też wspomnieć o atakach ukierunkowanych na konkretną instytucję czyli atakach APT. To zagrożenie jest ostatnio bardzo popularne. Często bywa poprzedzone wspomnianym przeze mnie atakiem socjotechnicznym. W konsekwencji tego ataku mogą przestać działać systemy transakcyjne banku, stanąć linie produkcyjne w fabrykach czy zgasnąć światła. Problem jest rozległy, jednak przede wszystkim powinny się go obawiać duże przedsiębiorstwa z sektora finansowego lub energetycznego.

Jaka jest skala ataków cyberprzestępców?

Skale ataków można rozpatrywać z kilku punktów widzenia. Inaczej wygląda natężenie ataków ze względu na cel, motywację i wektor. Najnowsze statystyki opisujące spectrum zagrożeń cybernetycznych podają, że 41% procent ataków było wycelowanych w duże przedsiębiorstwa (2500+ pracowników), 25% w średnie (251-2500 pracowników) a 34% w małe (1-250 pracowników). Najczęściej atakowanymi sektorami był przemysł i działalność usługowa a poziom natężenia ataków wyniósł po 20%. Równie intensywnie atakowane były instytucje finansowe czyli banki i firmy ubezpieczeniowe, bo stanowiły aż 18% wszystkich ataków. Przyglądając się motywom, jakimi kierują się sprawcy ataków, raporty nie pozostawiają złudzeń, gdyż ponad 72% ataków to cyber-przestępstwa, ponad 16% to haktywizm a nie całe 11% przypisuje się cyber-szpiegostwu. Najważniejsza ze statystyk to ta, która opisuje wektor ataku. W tym przypadku prym wiedzie atak typu SQLinjection, który stanowi ponad 20% wszystkich ataków. Następne w kolejce są kompromitacja WEB serwisów oraz ataki DDoS – to kolejne 20%. Równie groźnym i często spotykanym atakiem są APT stanowiące aż 18%.

Jakie konsekwencje mogą mieć takie ataki?

To zależy! Przede wszystkim od tego, jak agresywny był atak. Możemy stracić dane, stronę internetową czy inne zasoby informacji, ale bardzo szybko możemy je odtworzyć np. przy wsparciu firmy ubezpieczeniowej i współpracującej z ubezpieczycielem specjalistów. W takim przypadku „wypadamy z obiegu” tylko na krótki okres. Dla użytkowników domowych dużym zagrożeniem jest atak ransomware w postaci criptolockera, który niemalże bezpowrotnie zaszyfruje nasze dane (np. zdjęcia i filmy archiwum domowego). Taka strata bywa naprawdę bolesna.
Uważam, że w niedalekiej przyszłości użytkownicy domowi doświadczą ataków cybernetycznych również na urządzeniach codziennego użytku czyli tzw. Internecie rzeczy (z ang. Internet of Things: IoT). Już teraz spotykamy urządzenia wyposażone w zaawansowaną elektronikę, którą można zarządzać przez Internet (lodówki, kuchenki, telewizory). Atak wymuszający ich przesterowanie skutkujące np. trwałym wyłączeniem to kwestia czasu. Internet rzeczy to również urządzenia wykorzystywane w medycynie. Są to wszelkiego rodzaju automaty dozujące lekarstwa czy podtrzymujące akcje życiowe. Atak na te urządzenia jest poważnym zagrożeniem i jednocześnie wyzwaniem dla producentów implementujących dedykowane zabezpieczenia.
Sektor przemysłowy na pewno powinien obawiać się ataku na swoje linie produkcyjne i nadzorujące je systemy SCADA. W momencie ataku na elektrownię w takim przypadku konsekwencje byłyby odczuwalne nie tylko dla samego producenta, ale również dla jego klientów czy odbiorców.
Znane są przypadki, w których Stuxnet (robak komputerowy), dedykowany dla konkretnych sterowników urządzeń, spowodował wielogodzinne przerwy w dostawie energii elektrycznej. Jego działanie jest niebezpieczne, ponieważ jest w stanie tak przesterować pracę urządzeń, że doprowadza do ich fizycznego uszkodzenia.

Dla wielu firm, zwłaszcza tych działających w e-commerce, duża część majątku znajduje się na dyskach twardych i w chmurze. Czy po takim ataku, cyberprzestępca może wykasować dane z komputera, który został zaatakowany? Czy takie dane można odzyskać?

Samo usunięcie danych z dysku nie jest aż tak groźne jak mogłoby się wydawać. Istnieje wiele narzędzi, które pomogą nam w bardzo szybkim przywróceniu danych przy zachowaniu ich integralności. O wiele groźniejsza jest sytuacja, w wyniku której cyberprzestępca zainfekuje dysk naszego komputera lub serwera oprogramowaniem typu Ransomware albo wykorzysta dedykowany algorytm bezpowrotnego usunięcia danych (np. algorytm Guttmana). W przypadku Ransomware odzyskanie danych jest bardzo skomplikowane i nie ma absolutnie żadnych gwarancji, że je odzyskamy, ponieważ w wyniku infekcji Ransomware dane zostają zaszyfrowane. W celu deszyfracji ofiara potrzebuje drugą połowę klucza asymetrycznego, którą otrzyma dopiero po wniesieniu stosownego „okupu” na konto napastnika. Najlepszą profilaktyką, jaką sugerowałbym stosować, jest wykonywanie regularnych backupów danych i przechowywanie ich na fizycznie innym nośniku danych niż dysk źródłowy.
Wspomniana chmura jest również dobrym rozwiązaniem pod warunkiem, że hostingodawca jest sprawdzonym partnerem. Dobór usług chmurowych powinien być poprzedzony dokładną analizą oferowanych rozwiązań. O właściwym wyborze nie powinna decydować cena usługi i szybkość dostępu do danych. Przede wszystkim powinniśmy wybrać rozwiązanie spełniające wymagania biznesu połączone z wyceną wartości aktywów informacyjnych. Osobiście nie jestem zwolennikiem rozwiązań chmurowych w kontekście magazynu danych. Zapewne wielu znawców tematu się ze mną nie zgodzi i mają do tego prawo. Obecnie twierdzę jednak, że repozytorium zbudowane w oparciu o własne zasoby jest bezpieczniejsze, ponieważ nikt nie zagwarantuje nam braku dostępu do danych lub ich ewentualnego wykorzystania niezgodnie z prawem.

Stosowanie darmowych antywirusów może zapewnić nam właściwą ochronę czy może lepiej nie oszczędzać i zastosować płatne oprogramowanie tego typu?

Każde, nawet darmowe zabezpieczenie jest lepsze niż jego brak, bo zmniejsza ryzyko wystąpienia niepożądanych zdarzeń np. infekcji wirusem czy zasilenia szeregów botnetu. Darmowe rozwiązania są dobre, bo są darmowe i to chyba ich główna zaleta. Byłbym jednak złośliwy, gdybym powiedział, że jedyna. Musimy jednocześnie pamiętać, że w odróżnieniu od rozwiązań płatnych, darmowe oprogramowanie antywirusowe często pozbawione jest szerokiego spectrum ochrony. Czyli jeśli chroni przed wirusami to np. nie potrafi robić tego w sposób aktywny w stosunku do pamięci flash, albo nie ma funkcjonalności oceny reputacji strony www. Rozwiązania darmowe tworzone są często przez entuzjastów a co za tym idzie, jeśli decydujemy się na instalację darmowego oprogramowania często instalujemy na dysku kilka aplikacji dodatkowych w postaci niechcianego paska wyszukiwarki w przeglądarce internetowej lub oprogramowania rzekomo mającego usprawnić działanie naszego komputera, co tak naprawdę okazuje się być adwarem wyświetlającym nam niechciane reklamy. Tak dzisiaj wygląda swoista filantropia nasycona niewinną akwizycją dóbr Internetu. Jeśli jednak uda nam się znaleźć sprawdzone źródło, z którego pobierzemy plik instalacyjny, to pamiętajmy o tym, że szczepionki, które mają chronić zasoby naszego komputera nie będą dostarczane tak szybko, jak do rozwiązań komercyjnych, przez co narażamy się na okres, w którym nasz komputer nie jest chroniony, czy też jest chroniony z opóźnieniem w stosunku do pojawiających się zagrożeń.
Wybór rozwiązania komercyjnego to wydatek poniżej 40 PLN. Owszem są rozwiązania dużo droższe oferujące nam funkcjonalności typu backup w chmurze czy dodatkowo ochronę naszych urządzeń mobilnych. Jednak wybór adekwatnego rozwiązania powinien być wykładniczą naszych potrzeb ochrony, zasobności portfela i pozycji w rankingu danego antywirusa (czyt. skuteczności).

Czy przedsiębiorca, który przechowuje wszelkiego rodzaju dane osobowe powinien przeprowadzić audyt bezpieczeństwa swoich systemów? Jest to jednorazowy proces, czy cykliczny?

Zdecydowanie tak, przy czym musimy pamiętać, że dane osobowe są wprawdzie przetwarzane głównie w systemach informatycznych, ale również po za nimi. W związku z tym audyt powinien dotyczyć zarówno szeroko pojętego compliance, w tym bezpieczeństwa systemów informatycznych. Skupiając się na audycie infrastruktury informatycznej, która przetwarza dane osobowe, chciałbym podkreślić, iż należy je przeprowadzać cyklicznie, a na pewno po każdej znaczącej zmianie w systemach informatycznych. Jaka zmiana jest znacząca, na to pytanie każdy z nas powinien sam odpowiedzieć przy sporządzaniu cyklicznej analizy ryzyka systemów informatycznych. Sam proces audytu, niezależnie przez którą stronę jest wykonywany, powinien wynikać z wdrożonej w przedsiębiorstwie polityki bezpieczeństwa.
W obszarze zgodności z polskim prawem administrator danych osobowych powinien mieć pewność, że dane, których jest właścicielem oraz te, które na podstawie umowy powierzył przetwarzaniu, są przetwarzane zgodnie z Ustawą o Ochronie Danych Osobowych oraz towarzyszącymi jej aktami wykonawczymi w postaci stosownych rozporządzeń MSWiA. Natomiast w kontekście prawa unijnego zgodność powinna być zweryfikowana z odpowiednimi dyrektywami Parlamentu Europejskiego.

Co w przypadku, gdy dane informatyczne przedsiębiorstwa, znajdują się u dostawcy hostingowego? W jaki sposób można chronić czy zabezpieczać te dane? Kto odpowiada za ich bezpieczeństwo?

Decydując się na umieszczenie danych naszego przedsiębiorstwa w zasobach dostawcy hostingowego musimy mieć świadomość, iż bezpieczeństwo tych danych również spocznie w jego rękach. Zanim jednak podpiszemy umowę warto sprawdzić dostawcę. Taką weryfikację możemy przeprowadzić na kilka sposobów. Osobiście sugerowałbym dwa rozwiązania. Po pierwsze sprawdzenie opinii innych klientów, najlepiej korzystających z usług hostingowych od dłuższego czasu. Zapewne podzielą się z nami swoimi spostrzeżeniami dotyczącymi jakości usług i ich bezpieczeństwa. Po drugie to umówienie się z dostawcą na testowy okres próbny. W tym czasie możemy opublikować nasze usługi/ zasoby w sieci i sprawdzić je pod kątem zabezpieczeń stosowanych przez dostawcę hostingu.
Ważne jest, aby w zapisach umowy zagwarantować sobie prawo do współtworzenia reguł bezpieczeństwa dla naszych danych oraz w miarę możliwości móc przeprowadzać audyty środowiska, które hostuje nasze dane. Ma to bardzo duże znaczenie w przypadku, gdy obszar danych powierzonych usłudze hostingowej obejmuje dane osobowe. W myśl ustawy o ochronie danych osobowych hostingobiorca pozostaje administratorem danych osobowych a na hostingodawcy spoczywa obowiązek zabezpieczenia danych zgodnie z zapisami ustawy oraz towarzyszących jej aktów wykonawczych. Oznacza to w rzeczywistości, że na obydwu stronach umowy spoczywa odpowiedzialność za przetwarzane dane osobowe.

Czy w Pana opinii przedsiębiorcy powinni szkolić swoich pracowników pod kątem bezpieczeństwa w sieci? Phishing, socjotechinka, NLP, cyberstalking to problemy, o których mówi się coraz częściej.

Uświadamianie pracowników to proces konieczny na drodze do podnoszenia poziomu bezpieczeństwa przedsiębiorstwa, dlatego powinien być przeprowadzany cyklicznie. Forma szkoleń jest dowolna, ale musi być dobrana adekwatnie do ról, które pełnią pracownicy . W konsekwencji pracownicy biurowi, którzy mają styczność z komputerem, powinni być przeszkoleni z zagrożeń, z którymi mogą spotkać się na co dzień obsługując pocztę, przeglądarki internetowe czy pamięci zewnętrzne. Szkolenia te powinny w sposób przejrzysty również dla „nietechnicznego” użytkownika obrazować zagrożenia i ich konsekwencje. Dodatkowym punktem szkolenia powinny być aspekty prawne dotyczące informacji przetwarzanych w systemach informatycznych. Przedsiębiorca może takie szkolenia przeprowadzić własnymi siłami dedykując do tego zdania np. ABI oraz przedstawiciela IT.
Inaczej wygląda kwestia szkoleń dla pracowników technicznych. W tym obszarze doskonalenie umiejętności jest niezbędne nie tylko ze względu na bezpieczeństwo, ale przede wszystkim z uwagi na konieczność sprawnej obsługi zasobów IT. Szkolenia te z reguły nie należą do tanich, w związku z czym wielu pracodawców preferuje samokształcenie swoich administratorów m.in. w obawie że po solidnym wyszkoleniu inżyniera ten poszuka sobie atrakcyjniejszej finansowo pracy. Myślę że te kwestię można uregulować z pracownikiem stosownymi umowami, a następnie inwestować w jego wiedzę, gdyż to dzięki IT funkcjonuje obecnie większość przedsiębiorstw.  
Wspaniałomyślność pracodawcy byłaby tym większa, jeśli zainwestowałby w budowę środowiska testowego czy laboratorium, w którym można by ugruntować wiedzę zdobytą na szkoleniach a jednocześnie testować własne optymalizacje i poprawki zanim zostaną zaimplementowane w systemach produkcyjnych.

Przejdź na drugą stronę i dowiedz się jakie zagrożenia czyhają na klientów banków »