Cyberbezpieczeństwo w czasie pandemii, czyli jak kwitnie podziemie hakerskie.

Każdego dnia rejestrowanych jest niemal 1800 złośliwych domen, których nazwy związane są z pandemią COVID-19[1]. Hakerzy wykorzystują strach przed wirusem, wyłudzając w ten sposób poufne informacje czy wymuszając klikanie nieznanych łączy. Dodatkowo przymusowa praca zdalna skłoniła wiele przedsiębiorstw do szybkiego adaptowania rozwiązań chmurowych, które niezabezpieczone w odpowiedni sposób, stają się doskonałą okazją do pozyskania tajnych informacji.

Próby zakłócenia pracy firm lub wyłudzenia cennych danych mnożą się każdego dnia. Zaczynając od instytucji publicznych – popularne stały się ataki na służbę zdrowia (udaremniona próba ataku na paryski szpital), czy urzędy (z problemami mierzyli się m.in. amerykańskie ministerstwo zdrowia i opieki społecznej oraz australijski rząd[2]). Na sile przybrały także kradzieże wrażliwych danych, jak w przypadku sklepu z zapalniczkami Zippo.pl, gdzie skradziono dane klientów, w tym numery kart płatniczych wraz z kodem CVV[3]. Ostatnią ofiarą cyberataków stała się również firma będąca głównym dostawcą bankomatów i technologii płatności dla banków Diebold Nixdorf[4]. Firma w swoim oświadczeniu potwierdziła przypuszczenia, informując również, że atak został udaremniony. Niestety nie są to jednostkowe przypadki, a nie każdej firmie udaje się w porę zareagować. Jak więc uchronić się przed atakami cyberprzestępców? Na najważniejsze pytania odpowiada Stefan Kotański z Iron Mountain Polska.

Aż 90% ataków cyberprzestępców dochodzi do skutku z powodu błędu ludzkiego. Jak maksymalnie ochronić pracowników przed atakami hakerskimi, które mogą mieć wpływ na całą firmę?

Stefan Kotański, Iron Mountain Polska: To, co jest najbardziej niebezpieczne w atakach hakerów, to ich ciągła zmienność. Cały czas powstają nowe techniki, sposoby, pomysły na pozyskanie wrażliwych danych. Dlatego tak ważna jest edukacja personelu, aby każdy pracownik wiedział, jakie zachowania mogą być dla firmy niebezpieczne i jak samemu może chronić to, co dla przedsiębiorstwa jest najważniejsze. Istotne jest również, aby tę wiedzę regularnie aktualizować. Takie szkolenia powinny odbywać się co najmniej raz na pół roku. Dlaczego jest to tak ważne? Poza atakami, które są bezpośrednio powiązane z technicznymi aspektami, jak np. zabezpieczenia sprzętu, istnieje bardzo wiele socjotechnik, jak np. ataki phishingowe, których celem jest wyłudzenie od pracowników wrażliwych danych. Często odbywa się to za pośrednictwem fałszywych maili czy SMSów. Przestępcy nakłaniają pracowników do kliknięcia w zamieszczone linki czy pobrania załączników, które często okazują się szkodliwym oprogramowaniem. Istotne jest więc, aby regularnie pokazywać, jakie kolejne techniki wyłudzania danych są stosowane, aby uchronić firmę przed wyciekiem informacji.  

Kolejnym aspektem jest wyczulenie pracowników na korzystanie tylko i wyłącznie z firmowej infrastruktury do wykonywania służbowych obowiązków. Jest to szczególnie istotne dzisiaj, kiedy wielu pracowników korzysta ze zdalnego trybu pracy. Wiele osób wykorzystuje wtedy swoje prywatne komputery czy pocztę, np. w celu wydrukowania dokumentów na domowej drukarce. Nagle okazuje się, że poufne dane krążą poza siecią firmową, a pamiętajmy, że nasze komputery często nie są tak dobrze zabezpieczone, jak sprzęt służbowy – często nie mamy aktualnych antywirusów, szyfrowania danych czy jakichkolwiek ograniczeń dostępów.

Wraz z rozwojem technologii pojawiają się coraz to nowsze sposoby na wyłudzenie lub pozyskanie w nielegalny sposób danych firmowych. Co jest najpopularniejszym błędem firm, w kwestii ochrony wrażliwych danych?

S.K: Jednym z największych błędów firm jest obcinanie budżetu na bezpieczeństwo IT. Szczególnie w obecnym czasie firmy szukają oszczędności, co nikogo nie dziwi, jednak środki przeznaczane na bezpieczeństwo powinny być ograniczane jedynie w skrajnych sytuacjach. Musimy pamiętać, że wzrasta liczba ludzi pracujących zdalnie, co oznacza również wzrost liczby ataków na firmy. Organicznie budżetów w tym aspekcie może nam jedynie zaszkodzić. Tutaj warto również podkreślić, że ten budżet dzieli się na dwa istotne cele – przeznaczony na ulepszanie samego sprzętu i oprogramowania, oraz na poszerzanie kompetencji ludzi odpowiedzialnych za bezpieczeństwo w firmie. To od tego personelu w dużej mierze zależy bezpieczeństwo informacji o naszych klientach a co za tym idzie, wizerunek i przyszłość firmy.

Częstym błędem jest również przechowywanie danych wrażliwych w postaci tzw. plain text, czyli w sposób, który umożliwia ich łatwy odczyt każdemu, kto uzyska do nich wgląd. Jeśli więc nastąpi nieautoryzowany dostęp do bazy, to jest to prosta droga do wycieku danych. Takie informacje powinny być szyfrowane. Wtedy nawet po pokonaniu zabezpieczeń infrastrukturalnych czy docierając do danych przez podstęp przestępca nie będzie mógł zrobić z danych żadnego użytku.

Kolejnym aspektem jest obszar techniczny. Z zachowań, które są najczęściej obserwowane w firmach, prym wiedzie brak regularnej aktualizacji oprogramowania. Wykrywane luki są często łatane przez samych producentów. Żeby tych mankamentów w systemie nie wykorzystali cyberprzestępcy, kluczowe jest wprowadzanie aktualizacji, kiedy tylko się one pojawią. Niestety, obserwujemy, że w wielu firmach pracownicy odkładają wprowadzenie zmian do momentu, kiedy system sam ich nie wymusi. Tym bardziej kluczowe okazuje się centralne zarządzanie politykami aktualizacji – a to właśnie zadanie zespołów odpowiedzialnych za bezpieczeństwo danych.

Możliwości technologiczne do gromadzenia i przetwarzania danych są bardzo duże, a obecna sytuacja wymusiła na wielu firmach wprowadzenie rozwiązań chmurowych. Jak odpowiednio się zabezpieczyć, aby dane firmy nie wyciekły?

S.K: Wszystko zależy od polityki firmy. Jeśli przedsiębiorstwo akceptuje korzystanie z tzw. chmur publicznych jak Amazon, Azure czy Google Cloud, to kluczowym zabezpieczeniem jest szyfrowanie danych. O tych mechanizmach możemy mówić w dwóch aspektach – at rest oraz in transit. W dużym skrócie chodzi o zapewnianie odpowiedniego szyfrowania danych przechowywanych już w chmurze, a także w trakcie ich przesyłu – czyli zabezpieczenie drogi między chmurą a użytkownikami. Odpowiednie szyfrowanie danych pozwala nam na zachowanie ich poufności, czy integralności.

Drugą drogą jest korzystanie z chmur prywatnych. Korzystając w tym aspekcie z pomocy outsourcera, który udostępnia miejsce na dane, aplikacje, czy całą platformę ze swojej serwerowni, zdejmujemy z siebie wiele obowiązków. Często takie podmioty mają odpowiednie zaplecze techniczno-organizacyjne a firma nie musi ponosić olbrzymich kosztów początkowych opłacając jedynie realne koszty wykorzystania infrastruktury. Wyspecjalizowane podmioty posiadają określoną politykę backupu, czy centrów zapasowych tzw. disaster recovery. Dzięki temu jakiekolwiek sytuacje, które mogłyby zagrozić głównej serwerowni, nie zakłócają dostępu do informacji klienta. W takich przypadkach istnieje możliwość odtworzenia danych czy przełączenia się na serwerownię zapasową. Dodatkowo jako outsourcer możemy wprowadzić szereg uzupełniających zabezpieczeń związanych z dostępem do danych, np. ograniczenie adresów IP, czy postawienie dedykowanego VPN z sieci klienta do naszej.

Pamiętajmy, że poza szyfrowaniem danych, niezwykle istotna jest również kwestia bezpieczeństwa fizycznego. Takie serwerownie muszą być objęte odpowiednią ochroną –  monitoringiem, kontrolą dostępu. Muszą również mieć stosowne zabezpieczenia przeciwpożarowe, odpowiednią klimatyzację oraz spełniać szereg innych restrykcji, które sprawią, że nasze dane będą bezpieczne. Systemy powinny być też stale rozwijane i cyklicznie audytowane przez wyspecjalizowane podmioty.

Mimo różnych zabezpieczeń może okazać się, że firma jednak padnie ofiarą cyberprzestępców. Co zrobić, kiedy tak się stanie? Czy są firmy, instytucje, które mogą nam pomóc w takim przypadku?

S.K: W każdym przypadku lepiej jest zapobiegać niż leczyć. Jeśli jednak taka sytuacja będzie już miała miejsce, to kluczowym aspektem jest wzięcie odpowiedzialności za firmowe niedopatrzenia. Nasze pierwsze działania powinny skupić się na odpowiedniej komunikacji. Musimy poinformować o zaistniałej sytuacji klientów, uprzedzić, że ich dane zostały skradzione, a tym samym dać im szansę na odpowiednie zabezpieczenie się przed możliwymi konsekwencjami. Możemy również postarać się zrekompensować jakoś nasz błąd – dobrym przykładem jest postępowanie Politechniki Warszawskiej, która po wycieku danych wrażliwych ponad 5 000 studentów i pracowników zobligowała się do pokrycia kosztów usługi zabezpieczającej w BIK.

Musimy również zmodernizować luki, przez które nastąpił wyciek danych, a także sprawdzić, czy nasz system nie ma innych słabych punktów. Dodatkowo, co pewnie będzie najtrudniejsze, będziemy musieli stopniowo odbudowywać zaufanie do firmy.

Często odpowiednia infrastruktura IT kojarzy nam się z bardzo dużym nakładem finansowym. Czy możliwa jest bezpieczna digitalizacja przedsiębiorstwa, która szczególnie w obecnej sytuacji, nie obciąży znacząco budżetu firmy?

S.K: Najlepszym rozwiązaniem w takim przypadku jest outsourcing. Zamiast inwestować we własną infrastrukturę IT, która może znacznie przekraczać dostępne budżety, taniej i efektywniej będzie skorzystanie z firm, które świadczą takie usługi. Jednym z najbardziej popularnych sposobów jest model SAAS, software as a service. Takie rozwiązanie przerzuca wszelkie obowiązki związane z zarządzaniem oprogramowaniem, aktualizacją, czy bezpieczeństwem danych na podwykonawcę. Usługa udostępniana jest użytkownikom przez Internet. Jeśli w danym okresie mamy wzrost wykorzystania, związany np. z sezonowością naszych usług, czy produktów, to nie ma potrzeby udoskonalania naszej infrastruktury, która przez pozostałą część roku będzie niewykorzystana w pełni. Wtedy opłaty generowane są tylko w momencie, kiedy faktycznie tej zwiększonej mocy obliczeniowej potrzebujemy.

Sposobów na zabezpieczenie danych naszej firmy jest wiele – każde przedsiębiorstwo może wybrać metodę dopasowaną do charakteru biznesu oraz dostępnych budżetów. Warto jednak pamiętać, że nie należy ograniczać wydatków na bezpieczeństwo, gdyż raz utraconego zaufania naszych klientów, możemy już nie odzyskać.

[1] Według Palo Alto Networks

[2] https://www.pap.pl/pap-technologie/612230%2Cnieudany-cyberatak-na-szpitale-w-paryzu-w-czasie-pandemii-koronawirusa.html

[3] https://cyberrescue.info/wyciek-danych-i-kart-platniczych-z-zippo-pl/

[4] https://krebsonsecurity.com/2020/05/ransomware-hit-atm-giant-diebold-nixdorf/