Czy każda firma, niezależnie od wielkości i branży, może stać się celem cyberataku?
Tak - cyberprzestępcy nie są w tym kontekście wybredni. Istnieją zagrożenia, które służą do masowego atakowania wszystkich firm niezależnie od rozmiarów, ale mamy także do czynienia z atakami ukierunkowanymi na konkretne sektory, np. przemysł, bankowość itp. Duże firmy i korporacje to dla cyberprzestępców znacznie większe potencjalne zyski, ale i bardziej skomplikowane przygotowania do ataków. Małe firmy są z kolei atrakcyjnym celem, ponieważ zwykle są słabiej zabezpieczone, a w wielu przypadkach działają jako podwykonawcy współpracując z większymi przedsiębiorstwami, w wyniku czego mogą stać się niejako fazą wstępną większego ataku.
Czy lokalizacja ma jakiś wpływ na poziom zagrożenia i firmy mające siedzibę w danym miejscu są częściej atakowane niż inne?
Lokalizacja może mieć wpływ w przypadku ataków ukierunkowanych na konkretny obszar geograficzny. Większość cyberataków ma jednak charakter masowy i niezależny od położenia ofiar.
Liczba zagrożeń ciągle wzrasta i są one coraz bardziej złożone, a to sprawia, że zapewnienie pełnej ochrony jest coraz trudniejsze. Jak wiele polskich firm ma z tym problem?
Na szczęście coraz więcej firm dostrzega konieczność przeznaczenia określonych nakładów na zabezpieczenia informatyczne. Oczywiście do ideału jest daleko, jednak widać pozytywny trend. Trudno jednoznacznie oszacować, jaki jest odsetek dobrze zabezpieczonych firm, jednak z pewnością jest ich coraz więcej.
Czy do zabezpieczenia firm wprowadzana jest sztuczna inteligencja?
Mechanizmy sztucznej inteligencji, a precyzyjniej uczenia maszynowego, funkcjonują w rozwiązaniach bezpieczeństwa już od dłuższego czasu. W naszych produktach służą one m.in. do wykrywania nieznanych zagrożeń oraz analizy potencjalnie niebezpiecznych zachowań w systemie. Zatem jeżeli firma wdraża nowoczesne rozwiązania bezpieczeństwa, automatycznie zyskuje mechanizmy wykorzystujące metody sztucznej inteligencji.
Zagrożenia bywają też związane z korzystaniem z przestarzałej infrastruktury IT. Czy firmy zdają sobie sprawę z tego jak ważne jest odpowiednie wewnętrzne środowisko IT?
Tutaj sytuacja jest skomplikowana, ponieważ w niektórych przypadkach wymiana sprzętu komputerowego na nowszy jest bardzo problematyczna, a nawet niemożliwa. Sztandarowym przykładem są organizacje przemysłowe, gdzie jakakolwiek przerwa w działaniu systemów sterujących procesami produkcyjnymi jest niezmiernie kosztowna. Ponadto znaczna część oprogramowania stosowanego w przemyśle po prostu nie funkcjonuje prawidłowo w nowoczesnych systemach operacyjnych. Dlatego podejście do cyberbezpieczeństwa przemysłu musi uwzględniać priorytet zachowania ciągłości procesów i pozwalać na zabezpieczanie nawet starszych systemów (np. Windows XP). W przypadku biznesu mamy do czynienia z przeciwną sytuacją - tutaj należy zadbać przede wszystkim o bezpieczeństwo informacji, a co za tym idzie konieczne jest jak najszybsze instalowanie wszelkich uaktualnień - zarówno dla systemów operacyjnych jak i aplikacji.
Czy cyberprzestępcy wykorzystują nielegalne wersje oprogramowania?
Nielegalne wersje oprogramowania stanowią jeden z popularnych wektorów infekowania komputerów i urządzeń mobilnych. Wersje takie są często udostępniane na „szemranych” stronach, gdzie mało kiedy wykonywana jest jakakolwiek weryfikacja zamieszczanego oprogramowania. Często instalatory takich „spiraconych” wersji instalują przy okazji w systemach tylne furtki (tzw. backdoory), które pozwalają cyberprzestępcom przejmowanie kontroli nad zainfekowanymi maszynami.
Kiedyś zdarzało się, że przestępca korzystał z socjotechniki, by wykraść dane. Jak jest obecnie? Czy dziś do tego służy głównie oprogramowanie?
Socjotechnika od dawna jest jednym z często wykorzystywanych narzędzi w arsenale cyberprzestępców. Obecnie najczęściej można zaobserwować ten mechanizm w atakach phishingowych, gdzie atakujący próbuje nakłonić ofiarę do kliknięcia odnośnika, uruchomienia załącznika lub przekazania poufnych informacji w formularzu (np. dane logowania, dane osobowe itp.). Socjotechnika w dalszym ciągu doskonale sprawdza się także jako wstępny element zaawansowanych ataków ukierunkowanych, gdzie na początku cyberprzestępcy przeprowadzają rekonesans, celem poznania struktury firmowej sieci.
Jakie są główne przeszkody w firmach we wdrożeniu zaawansowanych rozwiązań IT chroniących przed zagrożeniami?
Jednym z problemów może być przestarzały sprzęt, chociaż zdarza się to coraz rzadziej i występuje najczęściej w organizacjach publicznych. Częstym objawem jest niechęć do inwestowania w zaawansowane rozwiązania bezpieczeństwa z racji złudnego poczucia bezpieczeństwa - w myśl idei „dlaczego miałoby się to przydarzyć właśnie nam”.
Jak zbudować kulturę organizacyjną, która pomoże firmie ochronić dane przed cyfrowymi zagrożeniami? Czy wprowadzenie RODO może jakoś pomóc w tym zakresie?
Kulturę cyberbezpieczeństwa w firmie należy budować uwzględniając regularne szkolenia całego personelu - od „szeregowych” pracowników po zarząd. Rozporządzenie RODO powinno w tym zakresie pomóc, ponieważ nakłada na firmy obowiązek posiadania mechanizmów pozwalających na identyfikowanie i neutralizowanie ataków mających wpływ na ochronę danych osobowych.
Wspomniał Pan, że tzw. „szeregowi” pracownicy również powinni przechodzić specjalne szkolenia. Jaki wpływ mają oni na cyberbezpieczeństwo firmy? Jakie ryzykowne działania zdarza się im podejmować?
Olbrzymi. Nawet najskuteczniejsze i najnowocześniejsze systemy bezpieczeństwa nie będą w stanie zapewnić należytej ochrony, jeżeli w firmie będą pracowali nieprzeszkoleni pracownicy, popełniający - najczęściej nieświadomie - elementarne błędy. Do znakomitej części poważnych ataków paraliżujących działanie całych firm dochodzi, ponieważ ktoś kliknął załącznik w cyberprzestępczym e-mailu - np. rzekomą fakturę lub sfałszowane potwierdzenie nadania paczki. Nie bez powodu mówi się, że system zabezpieczający jest tak silny, jak silne jest jego najsłabsze ogniwo. A w przypadku systemów firmowych najsłabszym ogniwem najczęściej jest człowiek. Do innych ryzykownych działań należy podłączanie firmowych urządzeń do zewnętrznych sieci, podłączanie do firmowych urządzeń prywatnych nośników, wymiana danych między komputerami firmowymi i domowymi, stosowanie słabych haseł, dzielenie się z kolegami i koleżankami z pracy danymi logowania do systemów korporacyjnych. Można długo wymieniać…
A czy social media mają wpływ na zwiększenie zagrożenia cyberatakiem?
Media społecznościowe mogą służyć cyberprzestępcom jako kanał infekowania urządzeń w firmach, np. poprzez rozsyłanie szkodliwych odnośników w atrakcyjnych postach i wiadomościach. Poważnym problemem może być także zamieszczanie przez pracowników na swoich profilach w mediach społecznościowych szczegółów związanych z miejscem pracy, np. informacji o stosowanym sprzęcie, zdjęć stanowiska pracy, serwerowni itp.
Podobno w ubiegłym roku ponad połowę wszystkich wyłudzeń danych online stanowiły oszustwa finansowe. Jak przestępcy uzyskują dostęp do pieniędzy?
Najczęściej dochodzi do kradzieży danych logowania do systemów bankowości online. W tym celu atakujący stosują phishing podszywając się pod banki i inne organizacje lub instalują na urządzeniach ofiar trojany przechwytujące znaki wprowadzane z klawiatury.
W jaki sposób można ochronić się przed phishingiem?
Przede wszystkim poprzez stosowanie skutecznego rozwiązania bezpieczeństwa, które powinno odsiać znaczną część oszukańczych i niebezpiecznych wiadomości. Poza tym niezbędne jest prowadzenie szkoleń dla pracowników, dzięki czemu będą oni w stanie samodzielnie rozpoznawać sztuczki stosowane przez cyberprzestępców.
Usługi chmury pomagają firmom w codziennym funkcjonowaniu. Kto ponosi odpowiedzialność za dane przechowywane w chmurze?
Ochrona danych przechowywanych w chmurze to odpowiedzialność rozproszona. Oczywiście dostawcy usług chmurowych muszą utrzymywać odpowiednio wysoki poziom zabezpieczeń, jednak to nie powinno sprawiać, że klienci mogą się czuć bezkarnie, ponieważ to oni odpowiadają za zasady dostępu do swoich danych, ustawianie silnych haseł i konfigurację. Nawet jeśli dostawca twierdzi, że zadba o wszystko i pokryje wszelkie straty w przypadku wycieku (co jest wysoce nieprawdopodobne, jednak załóżmy, że ktoś zdecydowałby się na takie zobowiązanie) - co firma zakomunikuje swoim klientom, gdy dojdzie do wycieku ich danych? Będzie obwiniać usługodawcę zewnętrznego? W realnym świecie to nie zatrzyma klientów przed zrezygnowaniem z usług firmy.
W naszej codzienności pojawia się coraz więcej inteligentnych urządzeń połączonych z internetem. Czy korzystanie z nich jest bezpieczne z cyberprzestępczego punktu widzenia? W jaki sposób przestępcy mogą wykorzystać urządzenia Internetu Rzeczy?
Urządzenia Internetu Rzeczy są wyposażone w komputery, które można wykorzystać tak samo, jak klasyczne pecety i smartfony. Ponadto, z racji konieczności zapewnienia łatwego użytkowania, urządzenia te bardzo często posiadają znikome zabezpieczenia lub nie posiadają ich wcale. Spektakularnym przykładem wykorzystania takich urządzeń przez cyberprzestępców jest Mirai - sieć zainfekowanych maszyn (tzw. botnet) składająca się głównie z drukarek i kamer podłączonych do internetu, która doprowadziła do poważnych problemów w funkcjonowaniu internetu. Aby zminimalizować ryzyko, należy wybierać urządzenia producentów, którzy przykładają należytą wagę do bezpieczeństwa, a także zadbać o to, by urządzenia połączone z internetem nie funkcjonowały z domyślnymi hasami pozwalającymi na dostęp do ich konfiguracji.
Powiedzmy, że doszło do ataku. Czy łatwo go wykryć? Jak zareagować na incydent naruszenia bezpieczeństwa?
Wszystko zależy od charakteru ataku. Jeżeli mamy do czynienia np. z oprogramowaniem ransomware, które szyfruje dane dla okupu, atak wykryjemy bardzo szybko, ponieważ nie będzie możliwości korzystania z komputerów, a cyberprzestępcy sami poinformują nas w stosownym komunikacie, że należy zapłacić za przywrócenie dostępu do danych. Inna sprawa, że w takim przypadku z tego wykrycia niewiele wynika - dane i tak zostaną utracone, jeżeli firma nie dysponuje kopią zapasową.
Istnieją jednak ataki ukierunkowane, które potrafią być aktywne w sieci ofiary miesiącami a nawet latami, do czasu, gdy cyberprzestępcy wykonają swoje wszystkie działania. Zazwyczaj po takich atakach nie zostają praktycznie żadne ślady, ponieważ przestępcy stoją na wysokim poziomie technicznym i potrafią zatrzeć rezultaty swoich działań.
W obu przypadkach sprawdza się idea, że zdecydowanie łatwiej zapobiegać niż leczyć. Dlatego coraz ważniejsze jest stosowanie nowoczesnych systemów bezpieczeństwa, które są w stanie wykrywać anomalie w systemach firmowych, a tym samym identyfikować nawet nieznane cyberzagrożenia.
Nie istnieje jedna uniwersalna reakcja na incydent. Bardzo pomocne w tym kontekście jest korzystanie z usług firm z branży bezpieczeństwa, które są w stanie zapewnić pomoc w analizie incydentów i przygotowaniu odpowiednich zmian w infrastrukturze firmowej, aby zapobiec przyszłym naruszeniom.