Newsy

Nowy rodzaj cyberataków powoduje miliardowe straty dla firm. Połowa z nich nawet nie wie o jego istnieniu

2018-12-17  |  06:20

Ataki typu BPC, polegające na manipulacji procesami biznesowymi firm, są coraz popularniejsze wśród cyberprzestępców ze względu na wysoką opłacalność. W tym roku takie incydenty spowodowały już starty przekraczające 12 mld dolarów. Jak wynika z badania Trend Micro, w Europie ofiarą ataków BPC padło 43 proc. firm, w Polsce co trzecie przedsiębiorstwo. Mimo to połowa zespołów kierowniczych w firmach nawet nie zdaje sobie sprawy z istnienia takiego zagrożenia. 

– Ataki BPC, czyli Business Process Compromise, polegają na takiej manipulacji systemów i procesów biznesowych, która ma doprowadzić do strat firmy bądź korzyści z punktu widzenia atakującego. Takim przykładowym atakiem typu BPC jest modyfikacja numerów rachunków bankowych używanych w systemach – w treści faktur zostaje podmieniony numer konta i to atakujący otrzymuje środki, które miały trafić do kontrahentów czy pracowników firmy – wyjaśnia w rozmowie z agencją informacyjną Newseria Biznes Tomasz Jarmuł, ekspert Trend Micro w Polsce.

Podczas ataku BPC przestępcy szukają luk w procesach biznesowych oraz podatnych systemach i procedurach. Mogą czaić się w infrastrukturze firmy miesiącami, niewykryci, gromadząc informacje o jej funkcjonowaniu. Po znalezieniu słabego punktu haker modyfikuje część procesu tak, że przedsiębiorstwo i jego klienci nie dostrzegają zmiany. Obok podmiany numerów kont na fakturach, mogą na przykład przekierować cenny towar na inny adres albo zmienić ustawienia drukarki tak, żeby móc wykradać poufne informacje. Jak wskazują eksperci Trend Micro, poza bezpośrednimi stratami finansowymi w 85 proc. przypadków takie incydenty kończą się przestojem w wielu domenach biznesu zaatakowanej firmy.

Ataki tego typu generują straty, ale przede wszystkim blokują pracę firmy, ponieważ trzeba zatrzymać dany proces, zweryfikować, co poszło nie tak i odkręcić daną transakcję. Kolejną konsekwencją tego typu ataków jest utrata wiarygodności przez organizację w oczach kontrahentów, poddostawców i pracowników. Jeśli proces jest niewiarygodny, wszyscy przechodzą do trybu większej uwagi i po prostu powstrzymują się od współpracy z daną firmą. W ekstremalnym przypadku takie przedsiębiorstwo może być zmuszone zaprzestać sprzedaży lub produkcji – mówi Tomasz Jarmuł.

Z najnowszego badania przeprowadzonego na zlecenie Trend Micro wynika, że 43 proc. przedsiębiorstw w Europie miało do czynienia z atakiem typu BPC. Mimo to połowa zespołów kierowniczych w firmach nawet nie wie o ich istnieniu, a co za tym idzie, nie ma świadomości zagrożenia i jego konsekwencji.

– W Polsce jest trochę lepiej. Tylko 31 proc. firm przyznaje, że zostało zaatakowanych. Świadomość jest nieco wyższa – ok. 30 proc. decydentów nie słyszało o takich atakach. Świadomość kierownictwa jest o tyle ważna, że jest to pierwsza linia obrony przed tego rodzaju atakami. Pozwala wykryć te nadużycia i zablokować je na wczesnym etapie. Jeśli procesy zostaną skompromitowane, a kierownicy ani pracownicy firmy o tym nie wiedzą, to nie ma innej możliwości wykrycia ataku – mówi ekspert Trend Micro w Polsce.

Brak świadomości problemu wśród kierownictwa stwarza lukę w wiedzy na temat cyberzagrożeń, która może ułatwić przestępcom przeprowadzenie ataku. Zwłaszcza że – wśród sposobów infiltracji sieci korporacyjnych przez cyberprzestępców – najpowszechniejsza jest technika BEC (ang. Business Email Compromise). To oszustwo, w którym wykorzystywane są konta poczty elektronicznej pracowników wyższego szczebla, związanych z finansami lub dokonujących przelewów. Polega ono na podszywaniu się pod takie osoby w celu wprowadzenia w błąd pracowników lub stosowaniu programów rejestrujących tekst wprowadzany z klawiatury (keylogger) i narzędzi do wyłudzania danych osobowych (phishing).

Z drugiej strony, jak wynika z badania Trend Micro, zespoły bezpieczeństwa w globalnych firmach nie ignorują tego ryzyka. Prawie trzy czwarte (72 proc.) twierdzi, że zagrożenia typu BPC w ich firmach są traktowane priorytetowo przy opracowywaniu i implementowaniu strategii cyberbezpieczeństwa. Eksperci Trend Micro podkreślają, że w przyszłości można się spodziewać nasilenia tego typu ataków, biorąc pod uwagę to, jak opłacalne są dla internetowych oszustów. Dane FBI pokazują, że globalne straty związane z takimi incydentami sięgnęły w tym roku już 12 mld dolarów.

– W walce z tego rodzaju manipulacjami trzeba przede wszystkim postawić na zwiększenie świadomości pracowników. Każdy z nich musi przyglądać się temu, co robi, weryfikować wszystko, co widzi w systemach. Bardzo ważna jest również współpraca pomiędzy pracownikami, kierownictwem i działami IT, ponieważ ataki tego typu często są generowane tam, gdzie niekoniecznie IT ma dostęp – na przykład w zewnętrznych systemach, które służą do przelewów i pozostają w gestii banku czy innej instytucji. Dlatego pracownik musi weryfikować to, co wpisuje do systemu, a nietypowe zmiany należy raportować – podkreśla Tomasz Jarmuł.

Czytaj także

Kalendarium

Więcej ważnych informacji

Ochrona środowiska

Prawnicy spodziewają się wysypu pozwów za zaniedbania Polski w polityce klimatycznej. Podobne sprawy toczą się w innych krajach

W połowie tego roku pięcioro Polaków pozwało Skarb Państwa o naruszenie swoich dóbr osobistych i zaniedbania w obszarze polityki klimatycznej. Chcą, żeby sąd zobowiązał rządzących do bardziej zdecydowanych działań na rzecz klimatu i 60-proc. redukcji emisji gazów cieplarnianych przed końcem tej dekady. – To przecieranie szlaków, więc nie chciałbym spekulować, ale na świecie podobne sprawy kończą się sukcesem – mówi Wojciech Kukuła, prawnik Fundacji ClientEarth Prawnicy dla Ziemi. Jak wskazuje, obecnie można już mówić o wysypie tego typu spraw, które toczą się w kilku innych krajach UE. Jednak Polska, której polityka klimatyczna należy do najmniej ambitnych w całej Europie, musi liczyć się z tym, że podobne roszczenia mogą kierować też inne państwa.

Konsument

W 2022 roku będą dotacje na wymianę kopciuchów w budynkach wielorodzinnych. Trwają też prace nad kolejną odsłoną Mojego Prądu

Trzecia edycja programu Mój Prąd, z budżetem przekraczającym 530 mln zł, wciąż cieszy się rekordową popularnością. Do tej pory do NFOŚiGW wpłynęło już ok. 150 tys. wniosków o dofinansowanie przydomowej fotowoltaiki. Fundusz szacuje, że budżet programu wystarczy w sumie na sfinansowanie ok. 178 tys. wniosków i przy obecnym tempie za chwilę się wyczerpie. NFOŚiGW pracuje już jednak nad uruchomieniem kolejnej, czwartej edycji, która ma zachęcić prosumentów do autokonsumpcji energii wytwarzanej w gospodarstwach domowych. Trwają też prace nad poszerzeniem kolejnego, popularnego programu Czyste Powietrze o dotacje na wymianę kopciuchów w budynkach wielolokalowych.

Zdrowie

Opieka nad seniorami i osobami z niepełnosprawnościami ma być świadczona w miejscu zamieszkania. Rząd pracuje nad zmianami w funkcjonowaniu domów pomocy społecznej

Rząd zapowiada odejście od opieki w dużych instytucjach na rzecz zapewnienia wsparcia w środowisku lokalnym, w miejscu zamieszkania – takie jest główne założenie „Strategii rozwoju usług społecznych”. Przede wszystkim zmieni się funkcja domów opieki społecznych. Planowany jest także rozwój mieszkalnictwa treningowego i wspomaganego, opieki wytchnieniowej, wsparcie asystencji osobistej osób starszych i osób z niepełnosprawnościami. Deinstytucjonalizacja obejmie także pieczę zastępczą – przedstawiona niedawno ustawa zakłada ułatwienia w tworzeniu i funkcjonowaniu rodzin zastępczych oraz zakaz tworzenia nowych placówek wychowawczo-opiekuńczych.

Firma

Design thinking staje się kluczową strategią w pracy nad innowacjami. Tę metodę wdraża coraz więcej firm z różnych branż

Myślenie projektowe, czyli design thinking, polega na twórczym projektowaniu rozwiązań, usług czy produktów, które w centrum zainteresowania stawia potrzeby odbiorcy. Pięcioetapowy proces wymaga stworzenia zespołu projektowego, w skład którego wchodzą eksperci z różnych działów. Nowa metoda prac nad nowymi wdrożeniami w firmie pozwala zwiększyć zaangażowanie pracowników i maksymalnie wykorzystać ich potencjał twórczy. Design thinking na całym świecie jest już podstawową strategią wykorzystywaną w tworzeniu innowacji. Polska ciągle jeszcze dopiero poznaje jej możliwości.