Dlaczego cyberataków nie traktujemy poważnie, a winą za nie obwiniamy ofiary?

Od kilku lat społeczna świadomość zagrożeń cybernetycznych rośnie. Wciąż jednak można usłyszeć, oczywiście poza branżą informatyczną, że cyberataki to po prostu „coś, co zdarza się w Internecie”. Nie każdy potrafi określić i porównać skutki ataków cybernetycznych. Jest to trudne zarówno w odniesieniu do osób, które padły ofiarą oszustw internetowych, jak i przedsiębiorstw zmuszonych do zapłacenia okupu w celu odzyskania dostępu do swoich systemów. Dlatego można odnieść wrażenie, że cyberprzestępczość nie zawsze jest postrzegana i traktowana jako „prawdziwa” przestępczość.

Choć wiemy, że cyberprzestępstwo jest przestępstwem jak każde inne, niektórzy sobie tego nie uświadamiają. Trudno oczekiwać, aby ktoś poczuł się wstrząśnięty tym, iż jakiś haker przejął system międzynarodowej korporacji. Wynika to prawdopodobnie ze stereotypów, przedstawiających cyberprzestępców jako młodych, zbuntowanych geniuszy informatyki, którzy „walczą z systemem”, bo nie mają nic lepszego do roboty. Tymczasem za większością cyberataków stoją wielkie, zorganizowane i bogate organizacje przestępcze. Stosują one zaawansowane metody w celu okradania firm i instytucji publicznych, a to przecież okradane firmy i instytucje płacą nam wynagrodzenia czy świadczą nam codzienne, niezbędne usługi. Czy ktoś ma wątpliwości, że jest to przestępstwo?

Dlaczego obwiniane są ofiary?

Cyberprzestępstwo jest prawdziwym przestępstwem, a zaatakowane przez cyberprzestępców firmy są ofiarami. Ofiarami, które ponoszą straty na skutek popełnianych przeciwko nim czynów. Mimo to nasze współczucie wobec przedsiębiorstwa, które padło ofiarą ataku, jest nieporównanie mniejsze od tego, jakim gotowi jesteśmy obdarzyć pojedynczą, konkretną osobę. Gdy ktoś nam mówi, że hakerzy włamali mu się do systemu, przejęli dane osobowe i ukradli pieniądze, nigdy nie przyszłoby nam do głowy, aby go o to obwiniać. Jeśli jednak chodzi o firmy, to w następstwie cyberataków ponoszą one długotrwałe szkody na reputacji. W przypadku firm często zakładamy, że atak był spowodowany błędem lub brakiem ostrożności ofiary. Jako człowiek, który ma za sobą ponad 32 lata pracy w branży ochrony danych, nie mogę temu zaprzeczyć. Zdecydowanej większości incydentów cybernetycznych da się uniknąć. Mają one miejsce dlatego, że firmy nie przestrzegają sprawdzonych procedur, nie dbają o higienę cyfrową, używają przestarzałego oprogramowania lub nie instalują poprawek zabezpieczających.

Nie ma chyba jednak drugiego takiego typu przestępczości, w przypadku którego wszyscy skupiają się niemal wyłącznie na obwinianiu ofiar zamiast na ściganiu sprawców. Zaatakowane firmy traktowane są raczej jak winowajcy, natomiast akceptuje się fakt, że przestępcy unikają kary na skutek braku globalnie uzgodnionych ram prawnych i odpowiedniego systemu sprawiedliwości. Przykładowo, jeśli przestępca z innego kraju przebywający w Stanach Zjednoczonych popełni przestępstwo przeciwko firmie mającej siedzibę w tym kraju, to istnieją procedury dyplomatyczne, które umożliwiają postawienie tego przestępcy przed sądem i zapewnienie ofierze odszkodowania. W przypadku ataku ransomware nie ma takich możliwości.

Jak stworzyć środowisko, w którym ryzyko dla cyberprzestępców jest większe niż zysk? Niezbędna jest w tym celu współpraca międzynarodowa i międzykontynentalna. Podczas pandemii plaga ataków ransomware nasiliła się, co zachęciło liderów sektora publicznego i biznesu do podjęcia działań w celu przełamania geopolitycznego impasu, który zapewniał cyberprzestępcom bezkarność. Nie będzie to jednak łatwe, a stworzenie całościowego, sprawnie działającego rozwiązania wymaga lat.

Nauczmy bronić się sami

Podczas gdy prawo nie zapewnia nam pełnej ochrony przed cyberprzestępczością, pierwotny ludzki instynkt przetrwania podpowiada, że powinniśmy bronić się sami. Wymaga to podjęcia kilku podstawowych kroków. Po pierwsze, każde przedsiębiorstwo powinno zatrudniać dedykowanego menedżera ds. bezpieczeństwa informatycznego, pracującego na miejscu, mającego zarówno stały kontakt z kierownictwem firmy, jak i uprawnienia do podejmowania inicjatyw w zakresie bezpieczeństwa. Również w mniejszych firmach niezbędna jest osoba odpowiedzialna za cyberbezpieczeństwo i wyspecjalizowana w ochronie danych. Po drugie, przedsiębiorstwa muszą bezwzględnie przestrzegać higieny cyfrowej. Dotyczy to w szczególności obowiązkowego szkolenia wszystkich pracowników w taki sposób, aby potrafili wykrywać potencjalne ataki, wiedzieli, komu je zgłaszać i rozumieli, dlaczego jest to tak ważne. Im bardziej pracownicy będą się angażować we wdrażanie zasad higieny cyfrowej, tym większą będą mieć świadomość zagrożeń i skuteczniej im zapobiegać.

Na zakończenie jeszcze jedna rada: nigdy nie należy płacić okupu. Firmy, które płacą, dają cyberprzestępcom sygnał, że ataki ransomware to sposób na łatwe pieniądze, i zachęcają ich do kolejnych przestępczych działań. Gdy ofiary przestaną płacić, ataki ransomware staną się rzadsze, ponieważ stracą swoją skuteczność. Niezależnie od tego, że przedsiębiorstwa dotknięte cyberprzestępczością są ofiarami, mają one obowiązek ochrony wszelkich danych przez siebie używanych, przetwarzanych i przechowywanych. Płacenie cyberprzestępcom za przywrócenie dostępu do systemów nie może być traktowane jako strategia obrony, bo na dłuższą metę ona nie działa. Organy i instytucje rządowe podejmują coraz więcej działań, aby zapobiegać rozprzestrzenianiu się ataków ransomware. Firmy, które płacą okupy, mogą być ścigane i upominane przez niezależnych regulatorów.

Trzeba pamiętać, że mamy do czynienia z bezlitosnymi cyberprzestępcami, którzy działają na masową skalę, uderzając zarówno w firmy, jak i osoby prywatne. Walka z nimi wymaga podjęcia działań o zasięgu międzynarodowym, obejmujących sektor publiczny i prywatny. Nie ulega wątpliwości, że cyberprzestępczość powinna być traktowana jak każdy inny rodzaj przestępczości, a sprawcy ataków ― ścigani i karani. Firmy muszą jednak pamiętać, że to one ponoszą odpowiedzialność wobec swoich klientów i pracowników za ochronę ich danych. Wszystkie te cele można osiągnąć tylko w jeden sposób ― poprzez wdrożenie strategii nowoczesnej ochrony danych, która łączy efektywne zabezpieczenia cybernetyczne w obszarze interakcji z klientami z całościowym podejściem do tworzenia kopii zapasowych danych i przywracania systemu po awarii.

Autor: Dave Russell, wiceprezes ds. strategii korporacyjnej w firmie Veeam