Cyberbezpieczny biznes – czy to możliwe?
Jeden z ekspertów ds. cyberbezpieczeństwa twierdzi, że "potrzeba 20 lat, by zbudować swoją reputację, ale tylko trwającego parę minut cyberincydentu, by ją zrujnować". Wpływ na to ma wiele różnych czynników, takich jak ignorowanie zagrożeń, brak odpowiednich środków bezpieczeństwa czy świadomości wśród pracowników. Według eksperta firmy ESET istnieje jednak profilaktyka, dzięki której firmy mogą ustrzec się przed atakami i ich konsekwencjami.
Stéphane Nappo pełniący funkcję szefa bezpieczeństwa informacji (ang. CISO – Chief Information Security Officer) w wielu francuskich przedsiębiorstwach (obecnie w Groupe SEB) twierdzi, że "potrzeba 20 lat, by zbudować swoją reputację, ale tylko trwającego parę minut cyberincydentu, by ją zrujnować". Jest to oczywiste nawiązanie i rozszerzenie do słów Warrena Buffeta, który stwierdził niegdyś, że "potrzeba 20 lat, aby zbudować swoją reputację, ale zaledwie pięciu minut, by ją zrujnować".
Trudno nie zgodzić się z opiniami obu prominentnych przedsiębiorców. Tym bardziej, jeśli weźmiemy pod uwagę wzmożoną aktywność cyberprzestępców mających na celowniku nie tylko indywidualnych użytkowników internetu, ale również rządy oraz – co w tym przypadku najważniejsze – przedsiębiorstwa. Dawid Zięcina z DAGMA Bezpieczeństwo IT, ekspert ds. cybersecurity w ESET uważa, że takie stwierdzenie wynika z obserwacji firm, których dotknął poważniejszy cyberincydent i został on źle zarządzony.
– Budowanie biznesu wymaga zaufania – zarówno klientów, jak i dostawców. Ten proces trwa latami. Cyberatak to tsunami, które może zrujnować te lata starań, ponieważ obnaża wszelkie nasze słabości w kwestii odporności na sytuacje kryzysowe związane z tą strefą – zarówno zdolności firmy do wykrycia, jak i obrony przed atakami – wyjaśnia Zięcina. – Sam fakt, że firma padła ofiarą cybarataku, niekoniecznie powoduje zrujnowanie reputacji – to, jak firma zarządzi tą sytuacją, jest równie istotne – precyzuje ekspert.
Przedsiębiorstwa na celowniku cyberprzestępców
Dane z raportu ESET Threat Report (opublikowany we wrześniu br.) pokazują 20 proc. wzrost liczby wykrytych zagrożeń w sferze bezpieczeństwa IT od początku 2022 roku, w porównaniu do analogicznego okresu roku ubiegłego. Kampanie phishingowe dotyczą nie tylko użytkowników domowych, ale również całych przedsiębiorstw, w których pracują. Obecnie dochodzi nawet do 2 tys. ataków na polskie firmy w ciągu tygodnia.
– Czynników wpływających na rosnącą liczbę cyberataków jest wiele – tak jak i motywacji ludzi za nimi stojących – uważa Dawid Zięcina. – Jednym z głównych powodów jest chęć zarobienia pieniędzy. Specjalnie stworzone narzędzia i wiedza, jak je wykorzystać do przeprowadzenia cyberataku, są coraz bardziej dostępne, co powoduje, że osoby chcące dokonać cybergrabieży nie mają z tym większego problemu – wyjaśnia ekspert.
Z opublikowanego w listopadzie 2022 raportu ESET Digital Security Sentiment na temat bezpieczeństwa cyfrowego małych i średnich firm wynika, że ponad dwie trzecie z 1200 ankietowanych podmiotów (w tym 59 proc. polskich) doświadczyło w ciągu ostatnich 12 miesięcy incydentu związanego z bezpieczeństwem IT. Jego średni szacunkowy koszt wyniósł niemal 220 tys. euro, czyli ponad 1 mln złotych. W związku z rosnącym zagrożeniem coraz więcej polskich przedsiębiorstw obawia się o swoje bezpieczeństwo.
– Istotnym czynnikiem wpływającym na wzrost incydentów jest niestabilna sytuacja światowa – najpierw pandemia, a teraz wojna w Ukrainie. Wzbierający na sile kryzys gospodarczy i chęć "łatwego" zarobku również będzie czynnikiem motywującym dla przestępców. Cyberprzestępcy szybko i sprawnie adaptują swoje działania do sytuacji związanych z wydarzeniami na świecie – dodaje Dawid Zięcina.
Najczęstsze ataki na polskie przedsiębiorstwa
Jak już wspomniał Dawid Zięcina z DAGMA Bezpieczeństwo IT, cyberprzestępcy mają łatwy dostęp do narzędzi i know-how, aby przeprowadzać ataki na polskie firmy. Oprócz phishingu stosują również inne praktyki mające na celu naruszenie bezpieczeństwa przedsiębiorstw.
– Najczęstsze ataki, jakie obserwowane są w polskiej cyberprzestrzeni, to spyware, ransomware i phishing. Polskie firmy padają ofiarami szkodliwego oprogramowania, które ma na celu wykradzenie danych oraz zaszyfrowanie ich celem uzyskania okupu za odszyfrowanie i nieupublicznianie– wyjaśnia Zięcina, dodając, że zdecydowanie łatwiej przełamuje się ludzi niż łamie systemy komputerowe, dlatego phishing ma się całkiem dobrze wśród taktyk stosowanych przez cyberprzestępców.
Zdaniem eksperta ESET cyberprzestępcy mogą próbować wykorzystać pozyskane informacje do wyłudzenia innych poufnych danych lub aby zażądać okupu od organizacji. – To, czy organizacja zdecyduje się na jego opłacenie, jest jej ostateczną decyzją, natomiast należy poddać pod wątpliwość, czy etyczne jest finansowanie działalności objętej sankcjami – uważa Dawid Zięcina.
Drugim celem wskazanym przez eksperta jest wykorzystanie np. używanych poświadczeń logowania do włamywania się na konta ze szczegółami płatności. Dane pozyskiwane są również po to, aby odprzedawać je dalej. Jednym ze sposobów na czerpanie zysków ze skradzionych danych jest ich hurtowa sprzedaż. Informacje mogą być również wykorzystane do celowanych ataków phishingowych bądź szantaży.
Konsekwencjami powyższych działań wskazanymi przez Dawida Zięcinę jest ograniczenie praw i wolności tych osób, których dane zostały skradzione, poprzez m.in.:
- zaciągnięcie zobowiązań finansowych,
- wyłudzenie pieniędzy od mniej świadomych znajomych lub członków rodziny,
- dalsza odsprzedaż danych,
- założenie działalności z wykorzystaniem pozyskanych danych.
Reagowanie na incydenty cyberbezpieczeństwa
W przypadku wykrycia zaistnienia skutecznego cyberataku organizacja powinna przede wszystkim ocenić jego zakres i określić, jaka kategoria danych została nim objęta. – Niezależnie od intencji atakującego, ofiarami cyberataku – oprócz samej organizacji, która została nim objęta – są zazwyczaj właściciele danych osobowych (czyli tzw. podmioty danych) – wskazuje Dawid Zięcina.
Według eksperta ESET nie każdy podmiot ma obowiązek powoływania Inspektora ochrony danych, ale każdy podmiot powinien posiadać wewnętrzne procedury określające sposób działania i reakcje na wypadek incydentów. Takie działania wymuszane są m.in. przez RODO, ale także przez organizacje publikujące wytyczne, wskazówki czy zbiory dobrych praktyk np. ISO, NIST, ENISA.
Reakcja na incydent cyberbezpieczeństwa powinna również obejmować poinformowanie odpowiednich instytucji czy osób. – Kiedy i kogo organizacja powinna poinformować o wystąpieniu cyberataku, będzie znów zależne od branży, ponieważ należy pamiętać, że jeśli ofiarą cyberataku jest podmiot, który uzyskał status OUK (operatora usług kluczowych), to obowiązki notyfikacyjne zostały określone w Ustawie o krajowym systemie cyberbezpieczeństwa – wskazuje ekspert.
Jeśli organizacja stwierdzi, że doszło do naruszenia praw i wolności osób, których dane dotyczą (wsparcie Inspektora ochrony danych jest niezbędne), występuje obowiązek notyfikacyjny, który nie powinien przekroczyć 72 godz. od stwierdzenia faktu wystąpienia cyberataku (w przypadku operatorów telekomunikacyjnych – 24 godz.). Należy wtedy powiadomić m.in. urząd ochrony danych osobowych, zgodnie z wytycznymi dostępnymi na stronie www.uodo.gov oraz osoby, których dane dotyczą, czyli np. klientów – bez zbędnej zwłoki.
Sposób informowania osób fizycznych nie został konkretnie określony, dlatego organizacja powinna posiadać procedury mające zapewnić przekazanie rzetelnych informacji. Celem komunikatu do klientów powinno być:
- uniknięcie ewentualnych kar, nałożonych przez UODO, za brak lub nieskuteczne powiadomienie klientów,
- powiadomienie TYLKO RAZ (zawierając wyczerpujące informacje w komunikacie).
Komunikat dla klientów powinien uwzględniać poniższe kryteria:
- jasny, prosty język,
- charakter naruszenia,
- zastosowane środki, które podjęła organizacja, aby zminimalizować skutek cyberataku,
- dać jasne wskazówki dotyczące tego, jakie środki powinny podjąć osoby, których dane zostały objęte atakiem.
– Co najważniejsze – organizacja nie powinna udostępniać nieprawdziwych informacji na temat cyberataku, ponieważ komunikat taki powinien stanowić wartość (lub zbiór dobrych praktyk) dla innych organizacji, które w przyszłości będą celem cyberataku – podkreśla Dawid Zięcina.
Jego zdaniem komunikacja powinna być zaplanowana i skoordynowana oraz zapewnić, że to organizacja jako pierwsza informuje o cyberataku. Powinna również wyznaczyć jedną osobę do kontaktu z mediami (tzw. public information officer), która odpowiedzialna będzie za koordynowanie i akceptację treści publikowanych w internecie.
Klienci, których dane zostały objęte cyberatakiem, również powinni otrzymać od samej organizacji dotkniętej incydentem rzetelny i jasny komunikat, w jaki sposób mogą zminimalizować skutek cyberataku. Sposób zachowania i działań będzie uzależniony od zakresu danych, które były celem cyberataku, dlatego nie ma jednej recepty na tego typu działania.
– Każda osoba ma również prawo żądać dodatkowych wyjaśnień od organizacji, która była ofiarą cyberataku – podpowiada Zięcina. – Aby chronić swoją tożsamość, zalecane jest założenie konta w portalu BIK, celem zminimalizowania ryzyka zaciągnięcia zobowiązań kredytowych. Takie działanie zapewni wczesne powiadamianie ze strony BIK, do którego trafi zapytanie o działania związane z zaciągnięciem zobowiązania finansowego – wyjaśnia ekspert ESET.
Osoby prywatne, których dane mogły zostać naruszone przez incydent w danej organizacji, mogą również podjąć kroki, na które składa się:
- Zastrzeżenie lub unieważnienie danych (np. z karty bankowej/ kredytowej/dowodu osobistego)
- Zweryfikowanie, czy nasze hasła faktycznie wyciekły
- Zmiana danych do logowania i włączenie autoryzacji dwuetapowej lub korzystanie z kluczy sprzętowych U2F.
Firmy mogą ustrzec się przed cyberatakami
Skuteczna obrona przed cyberatakami i minimalizacja następstw ewentualnych incydentów zdaniem Zięciny to zagadnienie wielopoziomowe, uzależnione od kilku czynników takich jak wielkość i specyfika firmy czy jej otoczenie. – Ustrzec się przed cyberatakami nie jest łatwo – twierdzi ekspert.
Uspokaja jednak, że mając do pomocy specjalne narzędzia, jak na przykład rozbudowane pakiety bezpieczeństwa systemów czy technologie sieciowe wykrywające ataki, firmy są w stanie udaremnić większość cyberataków. Trzeba natomiast pamiętać, że do obsługi tej technologii potrzebni są wykwalifikowani specjaliści – a o tych zdecydowanie trudniej niż o sprzęt czy oprogramowanie do cyberbezpieczeństwa.
– Dlatego warto rozważyć nawiązanie współpracy z podmiotami specjalizującymi się w tej dziedzinie. Istotnym czynnikiem podnoszącym poziom bezpieczeństwa firmy jest odpowiednio przygotowany i powtarzany trening dla wszystkich pracowników – co rekomenduje Zięcina. – Cyberbezpieczeństwo to proces, a nie stan – o tym również trzeba pamiętać – puentuje.
Cyberbezpieczeństwo w polskich firmach
Sytuacja polskich firm nie jest jednorodna, nie jest identyczna dla każdego podmiotu. Coraz więcej firm podchodzi w sposób dojrzały do cyberbezpieczeństwa – ma stosowne rozwiązania przeznaczone do cyberbezpieczeństwa, ma odpowiednio zbudowane świadome zespoły zajmujące się IT oraz obszarem cyberbezpieczeństwa, dba o odpowiednie kształtowanie procesów i wzmacnia świadomość swoich pracowników w tym zakresie.
Jak uważa Zięcina, niestety nadal sporo firm nie traktuje obszaru cyberryzyka za istotny z punktu widzenia ich działalności, świadomie zaniedbując działania na tym polu lub błędnie zakładając, że skoro do tej pory nie padły ofiarą cyberataku, to ich on nie dotyczy.
Kolejną dużą grupą są firmy, które mają fragmentaryczne zabezpieczenia lub nie traktują cyberbezpieczeństwa jako procesu, jako części biznesu, co często prowadzi do niewłaściwego zagospodarowania pieniędzy na zakupy, które w efekcie nie przyczyniają się do podniesienia poziomu bezpieczeństwa organizacji.
– Sam fakt posiadania zabezpieczeń nie daje powodu do poczucia, że nic firmie nie grozi – potrzebne są działania mające na celu cykliczną weryfikację, na jakie niebezpieczeństwa w sferze cyber jest narażona firma i czy zastosowana technologia mająca nas chronić rzeczywiście to robi, a ludzie wiedzą, jak z tą technologią pracować i jak zachowywać się w przypadku cyberincydentu – podkreśla Dawid Zięcina.
ESET zadba o bezpieczeństwo firmy
ESET w ciągu ostatnich 30 lat działalności stał się globalnym liderem w zakresie cyberbezpieczeństwa, zabezpieczając 110 mln użytkowników w ponad 200 krajach na całym świecie. Poza centralą w Bratysławie posiada 12 centrów badawczo-rozwojowych, a jedno z nich znajduje się w Krakowie.
Słowackie przedsiębiorstwo informatyczne dzięki szerokiej ofercie pakietów ochrony dostarcza rozwiązania szyte na miarę każdej wielkości i profilu działalności firmy. Wielowarstwowa ochrona ESET pozwala uchronić się przed wszystkimi istotnymi wektorami ataków. Każdy pakiet ochrony ESET zawiera między innymi takie technologie jak:
- Detekcja na bazie DNA – odporność na mutacje zagrożeń i modyfikacje ich kodu.
- Uczenie maszynowe – błyskawiczna analiza nowych nieznanych plików pod kątem zagrożeń.
- ESET LiveGrid – chmura reputacji plików pozwala na automatyczną wymianę informacji o zagrożeniach pomiędzy użytkownikami ESET.
- Detekcja i blokowanie behawioralne – moduł monitorujący procesy systemowe i blokujący podejrzane działanie systemu.
- Zaawansowany skaner pamięci – pozwala wykrywać zagrożenia bezplikowe, monitorując procesy w bezpiecznym odizolowanym środowisku.
- ESET Exploit Bloker – natychmiastowe blokowanie próby wykorzystania znanych zidentyfikowanych podatności.
- ESET Ransomware Shield – monitorowanie aplikacji pozwala na wykrycie zachowania przypominającego oprogramowanie ransomware (oprogramowanie szyfrujące wymuszające okup).
Poza powyższymi, wybranymi technologiami w każdym pakiecie znajdziemy kilkanaście dodatkowych technologii czuwających nad bezpieczeństwem organizacji.
Dla małych i średnich przedsiębiorstw ESET rekomenduje pakiet ESET PROTECT Advanced, który pozwala na blokowanie zagrożeń typu 0 day (nowopowstałe zagrożenia, wykorzystywane przez grupy cyberprzestępcze do szeroko zakrojonych ataków oportunistycznych).
Dla dużych firm narażonych na ataki celowane i próby pozyskania danych firmowych przez grupy APT ESET rekomenduje pakiet ESET PROTECT Enterprise. Pakiet zawiera dodatkowo technologię Extended Detection and Response (XDR), która pozwala na aktywne wykrywanie ataków i ich neutralizację z poziomu intuicyjnego narzędzia ESET Inspect.
Grupy APT (ang. Advanced Persistent Threats) działają na podstawie ciągłego podsłuchiwania i zbierania informacji na temat organizacji w celu identyfikacji słabych punktów i potencjalnego miejsca ataku. Do ataków wykorzystywane są zaawansowane i wyrafinowane środki techniczne, służące do forsowania zabezpieczeń.
– Ciekawostką może być, że poza analizą wszelkiej maści zagrożeń krakowscy programiści niemal w całości tworzą w nim wizytówkę rozwiązań dla firm, czyli wspomniane wcześniej narzędzie XDR ESET Inspect. Pomaga ono w wykrywaniu cyberzagrożeń i reakcji na nie w organizacji – wskazuje Dawid Zięcina.
Rozwiązania ESET są numerem jeden na polskim rynku między innymi dlatego, że zapewniają ochronę przed zagrożeniami, wysoki wskaźnik detekcji oraz niezauważalne działanie. ESET podnosi poziom bezpieczeństwa, dzieląc się z użytkownikami wynikami swoich badań poprzez blog welivesecurity.com, na którym publikuje porady oraz cykliczne raporty o zagrożeniach i aktywności grup APT.