...

BRIEF dociera do polskich firm i ich pracowników – do wszystkich tych, którzy poszukują inspiracji w biznesie i oczekują informacji o ludziach, trendach i ideach.

Skontaktuj się z nami

Historia rozwoju cyberprzestępczości (część IV – nadejście ery nowoczesnego ransomware’u)

2011/12: Reveton

Reveton stał się wzorcem dla współczesnego oprogramowania ransomware, mimo że nie był pierwszym tego rodzaju narzędziem w erze internetu. Jego wygląd, projekt ekranu blokady ze szczegółowymi informacjami o tym co się stało, jak nawiązać kontakt, zapłacić okup i odszyfrować pliki, stały się inspiracją dla kolejnych cyberprzestępców.

2013: CryptoLocker – pojawienie się kryptowaluty jako opcji płatności

CryptoLocker był pierwszym oprogramowaniem ransomware, którego autorzy żądali zapłaty w bitcoinach. Cena za odszyfrowanie plików wynosiła dwa BTC, czyli w 2013 r. od 13 do 1100 dolarów. Pamiętajmy, że był to czas, gdy kryptowaluty były jeszcze w powijakach. Nakłonienie nietechnicznych ofiar nie tylko do zapłacenia okupu, ale również do zrozumienia, jak w ogóle używać kryptowalut, stanowiło często przeszkodę nie do pokonania.

2013: DarkSeoul i Lazarus

Rok 2013 to także czas ataków sponsorowanych przez państwa. Jeden z nich, nazwany DarkSeoul, posłużył 20 marca 2013 roku do ataku na koreańskiego nadawcę SBS oraz instytucje bankowe w Korei Południowej. Ucierpiało wówczas również wielu użytkowników usług internetowych, firm telekomunikacyjnych i bankomatów. Atak ten został przypisany północnokoreańskiej organizacji Lazarus, która w 2014 r. zaatakowała również Sony Corporation, wykradając poufne informacje w odpowiedzi na film „The Interview”, w którym wyśmiewano przywódcę Korei Północnej Kim Dzong Una. Zespół Lazarus był także powiązany z atakami na Bank Bangladeszu w 2016 roku. Próbowali ukraść 951 mln dolarów, ale udało im się zdobyć kwotę „tylko” 81 mln dolarów.

2015: Browser Locker i oszustwa związane z podszywaniem się pod pomoc techniczną

Pierwsze oszustwa związane z podszywaniem się pod pomoc techniczną oraz różne warianty blokady przeglądarki pojawiły się w 2015 roku. Ataki tego rodzaju imitują działanie oprogramowania ransomware, sprawiając, że ofiary albo wpadają w panikę i dzwonią na podany numer pomocy technicznej do podmiotu działającego w innym kraju jako wsparcie techniczne (i także dokonującego oszustw finansowych) albo po prostu płacą kryptowalutą za „naprawienie” ich systemu.

2016: Pojawia się pierwszy botnet IoT

Osławiony Mirai to pierwszy botnet, który atakował urządzenia IoT, a jego głównym celem były routery sieciowe. Był to głównie botnet DDoS odpowiedzialny za paraliż ogromnej części internetu, po tym jak zakłócił dostęp do części usług na całym świecie.
Mirai wzbudził zainteresowanie nie tylko dlatego, że był nowatorski, ale również dlatego, że w krótkim czasie zdołał zbudować globalną armię członków botnetu, co pozwoliło mu przekierować ruch internetowy na atakowane strony z zainfekowanych systemów na całym świecie. To sprawiło, że szczególnie trudno było się przed nim bronić. Różne warianty Mirai wciąż funkcjonują i niestety mają się dobrze – także dlatego, że twórcy Mirai udostępnili jego kod do wykorzystania przez innych przestępców.

2017: ShadowBrokers (NSA), WannaCry, Petya/NotPetya

Wyciek danych z Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) spowodowany przez grupę ShadowBrokers był bezprecedensowy i o poważnych skutkach – nie tylko dlatego, że w jego efekcie zostało ujawnione tajne złośliwe oprogramowanie rozwijane przez osoby powiązane z najwyższymi szczeblami amerykańskiego rządu, ale również dlatego, iż przestępcy skutecznie je wykorzystali. Narzędzia te, o kryptonimie „Fuzzbunch”, stanowiły podstawę exploitów opracowanych przez NSA. Niektóre korzystały ze złośliwego oprogramowania znanego jako DoublePulsar – backdoora, który zawierał niesławny exploit „EternalBlue”.
Został on później wykorzystany do rozprzestrzeniania ransomware’ów WannaCry i Petya/NotPetya, co miało katastrofalne skutki. Te warianty były tak destrukcyjne, że spowodowały zamknięcie zakładów produkcyjnych na całym świecie. Do dziś nikt nie zdołał przypisać włamania/wycieku członkostwa w grupie ShadowBrokers żadnej osobie.

2017: Cryptojacking

Związek zagrożeń z kryptowalutami początkowo sprowadzał się do użycia ich do płacenia okupów w ramach ataków ransomware lub okradania portfeli z wirtualnymi pieniędzmi. Jednak w 2018 roku pojawiło się nieznane wcześniej niebezpieczeństwo.
XMRig to aplikacja napisana w celu wydobywania kryptowaluty Monero. Jej działanie polega na użyciu cykli procesora do prowadzenia obliczeń matematycznych wykorzystywanych w kopaniu kryptowalut. Jednak cybergangi zaczęły potajemnie instalować XMRig na zaatakowanych maszynach i urządzeniach, a następnie zbierać i agregować wydobyte kryptowaluty dla własnych zysków.

2019: GandCrab i pojawienie się oprogramowania ransomware jako usługi

GandCrab zapoczątkował nowe zjawisko w cyberprzestępczości, które doprowadziło do zwiększenia liczby i poziomu złośliwości ataków poprzez masowe udostępnienie za opłatą narzędzi do tworzenia i przeprowadzania ataków ransomware. Twórcy GandCrab starali się osiągnąć dwa cele: uniezależnić się od realnych ataków na przedsiębiorstwa oraz generować większe przychody. Udoskonalili więc model biznesowy znany jako Ransomware-as-a-Service (RaaS). Całą „brudną robotę” wykonują w nim osoby kupujące dostęp do narzędzia, podczas gdy jego autorzy pozostają w tle i pobierają część zapłaconego okupu – od 25 do 40%.

Okazało się to opłacalne dla obu stron, ponieważ autorzy GandCraba nie musieli ponosić ryzyka związanego z poszukiwaniem i infekowaniem ofiar, a „partnerzy” nie musieli poświęcać czasu na samodzielne tworzenie oprogramowania ransomware.

Twórcy GandCrab w czerwcu 2019 r. ogłosili przejście na emeryturę, po tym jak – według nich samych – zarobili 2 miliardy dolarów. Później byli luźno powiązani z przestępcami odpowiedzialnymi za Sodonikibi i REvil, przede wszystkim jako część ataku na Colonial Pipeline latem 2021 roku. Inne godne uwagi warianty RaaS, które pojawiły się po GandCrab, to BlackCat, Conti, DarkSide i Lockbit.

Podsumowanie

Jak podkreślają specjaliści z Fortinet, między 1971 r. a początkiem 2000 r. złośliwe oprogramowanie było w większości wykorzystywane do żartów lub prób sprawdzenia przez autorów wirusów, czy stworzone przez nich dzieło zadziała. Na przełomie wieków zjawisko to ewoluowało jednak w stronę bardzo dochodowej cyberprzestępczości, a także ataków organizowanych przez państwa. Zmieniło się także znaczenie terminu „wirus” w stronę współczesnego „złośliwego oprogramowania”, co odzwierciedla ewolucję zagrożeń w ciągu ostatnich 20 lat. Nie jest przypadkiem, że zmiany te zbiegły się w czasie z rozwojem hiperpołączonego świata, w którym obecnie żyjemy. Wkraczając w następną epokę możemy niestety przypuszczać, że zagrożenia nadal będą ukierunkowane na wszelkie modne lub aktualne trendy i rozwiązania techniczne.

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Historia rozwoju cyberprzestępczości (część III – ataki na systemy przemysłowe)

Specjaliści z firmy Fortinet przedstawiają trzecią część opracowania dotyczącego historii rozwoju cyberprzestępczości.

2005: Mytob/Zotob – robak, backdoor i botnet w jednym

Przed pojawieniem się Mytoba autorami złośliwego oprogramowania byli głównie entuzjaści, którzy tworzyli je z chęci zrobienia żartu lub z czystej ciekawości. Jednak pojawienie się wariantów Mytob/Zotob zmieniło świat.

Mytob łączył w sobie funkcje robaka, backdoora oraz botnetu. Infekował urządzenia na dwa sposoby. W pierwszym wykorzystywał kontakty z książki adresowej ofiary do automatycznej dystrybucji – rozsyłał się w złośliwych załącznikach poczty elektronicznej. W drugim korzystał z luk w protokołach, dzięki którym mógł skanować sieć w poszukiwaniu podatnych urządzeń, a następnie dokonywać replikacji na nie.

Mytob był też jednym z pierwszych rodzajów złośliwego narzędzia, które blokowało oprogramowanie antywirusowe lub wręcz działało przeciwko niemu, uniemożliwiając połączenie komputera ofiary z witrynami zawierającymi aktualizacje. Jak na swoje czasy był bardzo efektywny, miał też wiele wariantów o różnej funkcjonalności. Stale znajdował się na pierwszych miejscach list największych zagrożeń. Warianty Mytob/Zotob spowodowały ogromne zakłócenia w funkcjonowaniu 100 firm, w tym dziennika New York Times czy stacji telewizyjnej CNN.

Początek ery oprogramowania szpiegującego i przechwytywania wyników wyszukiwania.

2005: CoolWebSearch i BayRob

CoolWebSearch, powszechnie znany jako CWS, był pierwszym narzędziem, które pozwalało cyberprzestępcom na przechwytywanie wyników wyszukiwania z Google i nałożenie na nie „wyników” pochodzących od samych hakerów. CWS był najczęściej rozprzestrzeniany za pomocą pobieranych z sieci aplikacji lub też programów typu adware. Był tak rozpowszechniony i trudny do usunięcia, że ochotnicy opracowali programy (jak np. CWS Shredder) i zarządzali forami internetowymi, aby pomóc w bezpłatnym usuwaniu go.

Podobny atak pojawił się kilka lat później, w 2007 roku. W jego efekcie przestępcy przechwytywali wyniki wyszukiwania z serwisu eBay. Został on wykryty, gdy pewna kobieta ze stanu Ohio kupiła samochód za kilka tysięcy dolarów, który nigdy nie dotarł na miejsce. Władze ustaliły, że pojazd ten w rzeczywistości nie został wystawiony na sprzedaż, a na komputerze niedoszłej nabywczyni znajdowało się złośliwe oprogramowanie BayRob, które „wstrzykiwało” na jej urządzenie fałszywe oferty. FBI i Symantec przez lata cierpliwie czekały na błąd cyberprzestępców, co zakończyło się ich aresztowaniem w 2016 r.

Spyware, spy vs. spy oraz odkrycie cyberbroni stosowanej przez państwa

2010: Stuxnet

Początek 2010 r. to czas wykrycia złośliwego oprogramowania wykorzystywanego do atakowania urządzeń przemysłowych (ICS – Industrial Control Services), a konkretnie urządzeń do kontroli i zbierania danych (SCADA). Stuxnet okazał się pierwszym złośliwym oprogramowaniem wymierzonym w infrastrukturę krytyczną. W tym przypadku były to wirówki przemysłowe (zwłaszcza nuklearne), w których Stuxnet powodował ich nadmierne obracanie się i doprowadzał do stopienia. Zaatakował przede wszystkim firmy w Iranie, ale wkrótce rozprzestrzenił się na systemy SCADA na całym świecie. Analiza jego kodu wykazała, że nie jest on charakterystyczny dla urządzeń wykorzystywanych w Iranie i może być dostosowany do każdej firmy, która korzysta z rozwiązań ICS. W opublikowanym w 2012 roku na łamach NY Times artykule potwierdzono, że Stuxnet został opracowany przez Stany Zjednoczone i Izrael.

2011: Regin

Regin był modułowym trojanem zdalnego dostępu (Remote Access Trojan, RAT), który łatwo mógł dostosować się do środowiska docelowego. Dokumenty, które ulegały eksfiltracji, były często przechowywane w zaszyfrowanym kontenerze. Dzięki temu, że znajdowały się w jednym pliku, nie wzbudzało to podejrzeń administratorów systemu lub oprogramowania antywirusowego. Według Der Spiegel, Regin był tworem amerykańskiej agencji NSA i został zaprojektowany do szpiegowania obywateli Unii Europejskiej. Zostało to ujawnione przy okazji wycieku informacji dostarczonych przez Edwarda Snowdena.

2012: Flame

W momencie odkrycia Flame był uważany za najbardziej zaawansowane złośliwe oprogramowanie, jakie kiedykolwiek znaleziono. Miało wszystko: zdolność do rozprzestrzeniania się za pośrednictwem sieci LAN, potrafiło nagrywać i przechwytywać zrzuty ekranu oraz dźwięk, podsłuchiwać i nagrywać rozmowy. Celem Flame’a były przede wszystkim organizacje na Bliskim Wschodzie.


Zachęcamy do lektury pierwszych dwóch części cyklu „Historia rozwoju cyberprzestępczości” od specjalistów firmy Fortinet

 

źródło: Fortinet

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Historia rozwoju cyberprzestępczości (część II – krok w nowe tysiąclecie)

1999: Y2K

Rok 1999 był czasem rozwoju nowych firm z branży zaawansowanych technologii (tzw. dotcomów) i jednocześnie obaw związanych z błędem Y2K. znanym w Polsce jako pluskwa milenijna. Zjawisko to wywoływało powszechną panikę, ponieważ istniała obawa, że starsze komputery po 31 grudnia 1999 roku przestaną działać z powodu wady oprogramowania zapisanego w systemie BIOS komputera, które steruje pracą płyty głównej. Istniało ryzyko, że jego twórcy zapisywali aktualny rok korzystając tylko z ostatnich dwóch cyfr. To skutkowałoby sytuacją, w której 1 stycznia 2000 r. system operacyjny komputera miał „myśleć”, że jest 1 stycznia 1900 r. Zakłóciłoby to pracę np. infrastruktury krytycznej: od pomp benzynowych i wind po giełdy i elektrownie. Ostatecznie Y2K okazał się mniejszym problemem niż sądzono. Dzięki podjętej w skali całego świata w 1999 r. akcji weryfikacyjnej większość firm i osób prywatnych w żaden sposób tego nie odczuła.

Jednak, jak przypominają eksperci Fortinet, strach przed Y2K zdominował wiadomości na całym świecie na wiele miesięcy.

1999/2000: pojawia się pierwszy botnet

W 2000 r. coraz większą popularność zdobywał stały dostęp do internetu. Użytkownicy domowi i firmy mogły być online przez całą dobę. Dla cyberprzestępców stanowiło to okazję nie do odrzucenia, weszli więc tym samym w erę botnetów i robaków.

Najprościej mówiąc, botnet jest to grupa zainfekowanych komputerów, które znajdują się pod kontrolą operatora. W tamtych latach botnety były bardzo proste.

Pierwszym zaobserwowanym botnetem był EarthLink Spam, który zadebiutował w 2000 roku. Miał on proste zadanie: rozsyłać ogromne ilości spamu. Odpowiadał za 25% ówczesnej śmieciowej poczty, w sumie około 1,25 miliarda wiadomości. Jego operator Khan C. Smith otrzymał karę w wysokości 25 milionów dolarów. Jeszcze wcześniej, w 1999 roku, powstał GTbot, co czyni go pierwszym botnetem w historii. Było to bardzo prymitywne narzędzie. Rozprzestrzeniało się na inne urządzenia i odbierało polecenia za pośrednictwem czatów IRC. Jego kontrolerzy wykorzystywali sieć zainfekowanych urządzeń do przeprowadzania ataków typu DDoS (rozproszona odmowa usługi – Distributed Denial-Of-Service).

Wzrost popularności robaków

Robaki wciąż stanowią część arsenału hakerów, choć nie są już tak powszechne jak 20 lat temu. Różnią się od wirusów tym, że do ich rozprzestrzeniania nie jest potrzebna ingerencja człowieka. We wczesnych latach dwutysięcznych zainfekowanie robakiem było zazwyczaj dość łatwo zauważalne, ponieważ często uniemożliwiało korzystanie z urządzenia. Robaki zużywały coraz więcej mocy obliczeniowej komputera i ostatecznie zatrzymywały pracę na zainfekowanej maszynie. Ich działanie było wykorzystywane m.in. do prowadzenia ataków DoS (odmowa usługi). Gdy złośliwy kod rozprzestrzenił się np. na całą firmę, zakłócał jej funkcjonowanie, niezależnie od tego, czy taka była intencja twórców robaka.

2000: I LOVE YOU

Nowe tysiąclecie rozpoczęło od dużego zainteresowaniem mediów robakiem I LOVE YOU, który w rekordowym tempie rozprzestrzeniał się po całym świecie. Został on stworzony przez studenta z Filipinów – Onela De Guzmana.

I LOVE YOU rozprzestrzeniał się przy użyciu wielu mechanizmów. Przede wszystkim był wysyłany do użytkowników za pośrednictwem poczty elektronicznej jako złośliwy załącznik „LOVE-LETTER-FOR-YOU.txt.vbs””. Po otwarciu przez zaatakowanego robak przeszukiwał książkę adresową Microsoft Outlook i wysyłał wiadomości e-mail, podszywając się pod ofiarę i replikując się jako załącznik. To nowatorskie podejście spowodowało zainfekowanie milionów komputerów w ciągu kilku dni. Wiele osób zaufało e-mailom pochodzącym od znanych im osób. Ta metoda jest nadal wykorzystywana jako część strategii hakerów, np. autorów Emoteta.

2003: Blaster (MSBlast, lovesan)

W sierpniu 2003 r. wielu firmowych i biznesowych użytkowników było już podłączonych do internetu za pomocą łącza szerokopasmowego. Stało się to powodem rekordowych w skali ataków robaków i podobnych narzędzi. 11 sierpnia tego roku pojawił się Blaster (znany również jako MSBlast i lovesan). Użytkownicy byli zszokowani, gdy ich komputery nagle zaczęły wyświetlać „niebieski ekran śmierci” (Blue Screen Of Death) i restartować się. Nie wiedzieli wtedy, że ich praca została przerwana przez robaka Blaster. Był to pierwszy globalny atak typu Denial-of-Service.

Blaster był wyjątkowo uciążliwy. Jego działania nie przerywało nawet ciągłe restartowanie komputera. Zaczynało się ono wtedy od początku, prowadząc do kolejnego wyłączenia urządzenia. Wykorzystywał on do rozprzestrzeniania się lukę w procesach systemów Windows XP i 2003. Celem robaka było przeprowadzenie ataku typu SYN flood na witrynę windowsupdate.com, aby uniemożliwić komputerom dostęp do aktualizacji. Na szczęście dla Microsoftu autor popełnił błąd i pokierował Blastera do niewłaściwej domeny. W rzeczywistości urządzenia do pobierania aktualizacji korzystały z domeny windowsupdate.microsoft.com.

Intencje autorów Blastera zostały ujawnione w komunikacie zawartym w kodzie złośliwego oprogramowania:

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Co ważne, Blaster nie infekował urządzeń, na których przed 11 sierpnia zostały zastosowane odpowiednie poprawki. Ten przykład wyraźnie pokazuje, jak ważne jest natychmiastowe aktualizowanie urządzeń. Niestety, do dzisiaj wielu użytkowników nadal ignoruje tę zasadę.

2004: MyDoom

Był to najszybciej rozprzestrzeniający się robak pocztowy w historii, który do tej pory pozostaje pod tym względem rekordzistą. Wyprzedził nawet słynnego I LOVE YOU.


źródło: Fortinet

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Cyberprzestępcy podszywają się pod Ministerstwo Finansów i rozsyłają e-maile ze złośliwym linkiem

Cyberprzestępcy- Ministerstwoi Finansów

Rząd opracował już osiem wersji Tarcz Antykryzysowych. Przedsiębiorcy mogą w ich ramach ubiegać się m.in. o bezzwrotną mikropożyczkę w kwocie 5 tys. zł. To właśnie zainteresowanie tą formą pomocy usiłują wykorzystać cyberprzestępcy. Oszuści informują w mailu (pisownia oryginalna):

„Biorąc pod uwagę sytuację związaną z COVID-19, rząd podjął decyzję o utworzeniu funduszu solidarnościowego dla bardzo małych firm i osób samozatrudnionych, aby zapewnić pomoc doraźną w wysokości 7.000 PLN tym, których obroty spadają.”

W polu nazwy nadawcy wiadomości podane jest Ministerstwo Finansów, ale widać, że e-mail został wysłany z prywatnego adresu – z domeną z jednego z popularnych portali. Podana została także inna kwota niż w rzeczywiście obowiązujących rozwiązaniach pomocowych.

Co jeszcze powinno wzbudzić czujność w tej wiadomości? – Z pewnością niefachowe nazewnictwo, takie jak „bardzo małe firmy”, czy też brak jakichkolwiek szczegółów poza niejasnym i nieprecyzyjnym kryterium „spadających obrotów”. Dodatkowo po najechaniu kursorem na link prowadzący do rejestracji widać, że nie jest to prawdziwa strona Ministerstwa Finansów, ale najprawdopodobniej phishingowa strona, znajdująca się na serwerze w domenie wixsite.com.

Jolanta Malak, dyrektor Fortinet w Polsce

Według ostatniego raportu Global Threat Landscape, opracowanego przez analityków z FortiGuard Labs, cyberprzestępcy coraz chętniej sięgają po tego typu narzędzia jak złośliwe strony www, aby wykradać dane nieostrożnych użytkowników.

Niestety metody socjotechniczne wciąż mają się bardzo dobrze, dlatego specjaliści ds. bezpieczeństwa wciąż apelują o to, aby zachowywać szczególną ostrożność wobec podejrzanych treści, zwłaszcza wiadomości, które przychodzą na nasze skrzynki mailowe czy za pośrednictwem komunikatorów.

Jolanta Malak, dyrektor Fortinet w Polsce

Cyberprzestępcy, którzy podszywają się pod Ministerstwo Finansów, zastosowali kilka podstawowych „sztuczek”, jakie są używane w tego typu phishingowych wiadomościach:

  • Wykorzystywanie bieżących wydarzeń – odwołanie się pandemii i towarzyszącej jej legislacji. Hakerzy wykorzystują natłok informacji, jaki panuje wokół kolejnych ustaw i zainteresowanie otrzymaniem pomocy ze strony firm.
  • Stworzenie wrażenia wyjątkowości oferty – słowa o „doraźnej” pomocy mają zachęcić do natychmiastowego skorzystania z propozycji i kliknięcia w link do rejestracji.
  • Żerowanie na emocjach – wiele firm znajduje się w trudnej sytuacji finansowej, więc obietnica szybkiego uzyskania wsparcia może być dla nich bardzo atrakcyjna i wywołać spadek czujności.

Można się spodziewać, że firmy będą otrzymywać więcej podobnych wiadomości. Cyberprzestępcy wciąż chętnie korzystają z możliwości, jakie stwarza im pandemia COVID-19. Dlatego zawsze należy podchodzić z ostrożnością do podejrzanych maili z propozycjami wsparcia finansowego, a w razie wątpliwości najlepiej rozwiać je, sięgając do oficjalnych źródeł.


Źródło: Fortinet

 

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Od botnetów do phishingu – przegląd zagrożeń w 2020 roku

cyber ataki

W związku z intensyfikacją działań cyberprzestępców na znaczeniu zyskuje posiadanie możliwej do zastosowania w praktyce wiedzy o cyberzagrożeniach. Eksperci z firmy Fortinet przygotowali zestawienie najważniejszych z nich.

Domowe urządzenia jako brama do sieci firmy

W przeszłości zespoły ds. bezpieczeństwa koncentrowały się przede wszystkim na ochronie przed wyciekiem danych użytkowników przechowywanych w firmowym środowisku IT, a także zabezpieczeniu aplikacji i sieci przed niepowołanym dostępem.

Pandemia zmieniła to, a w czasie jej trwania nastąpił gwałtowny wzrost wykorzystania Internetu rzeczy oraz uzależnienia możliwości wykonywania pracy od sieci domowych i urządzeń klasy konsumenckiej, takich jak routery i modemy. Cyberprzestępcy szybko zwrócili na to uwagę.

Aamir Lakhani, główny analityk w FortiGuard Labs firmy Fortinet

Gwałtowne przejście na pracę zdalną sprawiło także, że konieczne stało się zwracanie większej uwagi na bezpieczeństwo urządzeń osobistych (smartfonów, tabletów czy laptopów) wykorzystywanych do łączności z siecią firmową. Dla przestępców stworzyły one wyjątkową szansę na zdobycie przyczółka w sieciach firmowych lub przynajmniej w sprzęcie łączącym się z tymi sieciami. Urządzenia prywatne mogą służyć np. do tworzenia dużych botnetów, następnie wykorzystywanych do przeprowadzania ataków typu DDoS (polegających na próbie uzyskania równoczesnego zdalnego dostępu do usługi z tysięcy komputerów, co skutkuje jej zablokowaniem) lub dystrybucji złośliwego oprogramowania skierowanego przeciwko przedsiębiorstwom.

Atakujący nie tylko coraz lepiej rozumieją niuanse techniczne, ale także mają dostęp do zaawansowanych narzędzi. Sprawia to, że ochrona rozproszonych zasobów przedsiębiorstwa stała się trudniejsza niż kiedykolwiek wcześniej. Na przykład, dzięki zastosowaniu sztucznej inteligencji i uczenia maszynowego cyberprzestępcy w pełni wykorzystują dostępne możliwości ataku i skutecznie omijają tradycyjne zabezpieczenia. Ze względu na postęp, jaki dokonał się w zakresie metod i technik ataków, zespoły IT starają się obecnie nie tylko reagować na podejrzane sytuacje, ale także nie dopuścić do zaatakowania wykorzystywanych w domu urządzeń Internetu rzeczy za pomocą ransomware’u czy phishingu.

Coraz bardziej wyrafinowane metody ataków

Ataki z wykorzystaniem oprogramowania ransomware zawsze stanowiły istotny problem dla przedsiębiorstw. W ciągu ostatnich kilku miesięcy stały się one jeszcze powszechniejsze i coraz bardziej kosztowne – zarówno pod względem czasu wstrzymania działalności zaatakowanej firmy, jak i wyrządzonych szkód. Dlaczego zatem zagrożenie tego rodzaju – od tak dawna popularne i skuteczne – ostatnio stało się jeszcze większym problemem?

Ransomware jest teraz jeszcze łatwiej dostępny dla przestępców za pośrednictwem czarnego rynku w sieci Darknet. Pojawiły się też nowe metody dystrybucji. Ransomware-as-a-service zaczął być dostępny jako usługa, niedroga i stosunkowo łatwa do wdrożenia.

Aamir Lakhani

Oprogramowanie ransomware jest wykrywane np. w załączonych do phishingowych maili dokumentach związanych z COVID-19. Do tej kategorii należą np. takie złośliwe narzędzia jak NetWalker, Ransomware-GVZ i szczególnie niebezpieczny CoViper.

Pod koniec pierwszego półrocza br. pojawiło się również kilka doniesień o prawdopodobnie powiązanych ze strukturami rządowymi różnych krajów grupach przestępczych atakujących placówki zaangażowane w badania związane z COVID-19 w Stanach Zjednoczonych i innych państwach. Hakerzy przenosili poufne dane na serwery publiczne i grozili ich upublicznieniem, jeśli nie zostanie zapłacony okup.

Jest to działanie, które zabezpiecza cyberprzestępców na wypadek, gdyby ofiary, zamiast poddać się żądaniom, próbowały samodzielnie odzyskać swoje dane np. z backupu.

Aamir Lakhani

W miarę jak zagrożenia ewoluują, osoby odpowiedzialne za bezpieczeństwo muszą zapewnić sobie dostęp do gromadzonych w czasie rzeczywistym informacji o zagrożeniach. Obejmuje to również śledzenie na bieżąco narzędzi wykorzystywanych przez cyberprzestępców, np. w mediach społecznościowych oraz w Darknecie. Firmom ponadto zaleca się obecnie, aby wszystkie dane były zaszyfrowane na nośnikach oraz podczas ich transmisji przez sieć.

Phishing rozwija się dzięki uczeniu maszynowemu

W ramach oszustw phishingowych zazwyczaj wykorzystywane są działania socjotechniczne do wykradania informacji niczego niepodejrzewającym użytkownikom. Ofiara jest zachęcana do kliknięcia w link lub pobrania załącznika, który zawiera złośliwe oprogramowanie albo wymusza jego instalację.

W przeszłości wiele ataków phishingowych było bardzo prostych i łatwo było im zapobiec. Ostatnio jednak są znacznie bardziej wyrafinowane, bowiem ewoluowały w stronę atakowania najsłabszych ogniw znajdujących się na brzegu sieci biznesowych. Pracownicy w większości firm są obecnie lepiej poinformowani o zagrożeniach pochodzących z poczty elektronicznej i są ostrożniejsi wobec podejrzanych e-maili. Cyberprzestępcy zaczęli więc atakować niezabezpieczone sieci domowe i pracowników zdalnych, którym często brakowało niezbędnego przeszkolenia w zakresie cyberhigieny.

Większość ataków phishingowych bazuje na wykorzystywaniu złośliwego oprogramowania, takiego jak ransomware, wirusy i trojany zdalnego dostępu (Remote Access Trojan), które dają przestępcom zdalny dostęp do urządzeń końcowych i umożliwiają uruchomienie aplikacji wykorzystujących protokół RDP (Remote Desktop Protocol).

Ponadto, wielu hakerów wykorzystuje uczenie maszynowe do szybkiego tworzenia, testowania i rozpowszechniania złośliwych maili, które wywołują u odbiorców niepokój i nerwowe reakcje. Mogą oni analizować skuteczność różnych wersji zawartego w wiadomości tekstu i modyfikować je, aby maksymalizować zyski.

Kluczowe przeglądarki

Specjaliści ds. bezpieczeństwa powinni też zwrócić uwagę na fakt, że do 2020 r. to przeglądarki internetowe były kluczowym narzędziem wykorzystywanym do dostarczania złośliwego oprogramowania i trend ten prawdopodobnie utrzyma się. W związku z przejściem na pracę zdalną obserwowany jest spadek ruchu w sieciach korporacyjnych oraz wzrost ruchu w sieciach domowych. Z tego powodu menedżerowie przedsiębiorstw muszą nie tylko zapewnić zdalnym pracownikom szkolenia niezbędne do zabezpieczenia ich sieci osobistych i biznesowych, ale także wyposażyć ich w dodatkowe narzędzia, które pomogą wykryć i powstrzymać zaawansowane zagrożenia.

Skuteczna ochrona cyberprzestrzeni wymaga ciągłej czujności i zdolności dostosowywania się do zmieniających się zagrożeń. Bezpieczeństwo na stałe powinno być traktowane priorytetowo, a teraz nadszedł czas, aby rozważyć inwestycje w szersze, bardziej zaawansowane i bardziej elastyczne rozwiązania. Mając to na uwadze, koncentracja na ochronie sieci pracowników zdalnych powinna znaleźć się na szczycie listy rzeczy do zrobienia.

Aamir Lakhani


Źródło: Informacja prasowa SAROTA PR

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Praca zdalna. Standardowe podejście do bezpieczeństwa to za mało

cyberataki

Dzisiejszy biznes opiera się na informacji. I to ona jest najcenniejsza dla cyberprzestępców. Nic zatem dziwnego, że szukają wszelkich dróg, aby zdobyć jak najwięcej danych – handlowych czy finansowych. W czasach pracy zdalnej łatwy dostęp do informacji to także podstawa efektywnego działania przedsiębiorstw.

Brak dostępu do danych w dobie COVID-19 w znacznym stopniu utrudnia funkcjonowanie organizacji. Z drugiej stronu utrata danych może wpłynąć na jej renomę, wizerunek czy całkowicie pozbawić możliwości działania – świadczenia usług lub realizacji sprzedaży. Weźmy niedawny dosyć głośny przypadek jednej z firm kosmetycznych, którą utraciła całkowicie płynność produkcyjną, logistyczną oraz sprzedażową, ponieważ do zagadnienia bezpieczeństwa nie podeszła globalnie, całościowo i kompleksowo. Mały błąd może kosztować wiele. Także w kontekście realnych kar finansowych za naruszenia RODO.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Firmy muszą tak zorganizować swoją działalność, aby z jednej strony pracownicy mogli bez problemów łączyć się z firmowymi bazami, a z drugiej – hakerzy nie mieli szans wykraść cennych informacji. Jak to zrobić?

Po pierwsze: sprawdź, co masz

Nową organizację pracy firmy należy rozpocząć od inwentaryzacji danych i zasobów. Najważniejsze jest to, aby jednoznacznie określić i sklasyfikować dane, jakimi firma dysponuje, przypisać je do odpowiednich grup i nadać im stopień poufności. Następnie należy ustalić, kto do tak skatalogowanych informacji powinien mieć dostęp, oraz sprawdzić, czy w firmie nie ma pracowników, którym niepotrzebnie nadano dostępy do niektórych baz. Jeśli tak jest, trzeba odebrać możliwość wglądu do danych osobom, które w rzeczywistości nie potrzebują tego do pracy. Im mniej źródeł dostępu do wrażliwych informacji, tym mniej potencjalnych miejsc ataków na infrastrukturę firmową.

Po drugie: postaw na technologie

Nie da się jednoznacznie wskazać najlepszego rozwiązania, które pozwoli na sprawną i bezpieczną pracę zdalną. Technik działania, technologii i sposobów jest wiele. Ważne jest to, aby podejść do takiego zadania racjonalnie, mając na uwadze posiadaną infrastrukturę, systemy oraz zasoby. Najczęściej wykorzystywaną technologią jest tunel VPN.

VPN – w powszechnym rozumieniu – to aplikacja na stacji roboczej służąca do bezpiecznego łączenia się do sieci. Rynek pokazuje jednak, że coraz większa rzesza firm wyposaża swoich pracowników w zdalne urządzenia, np. bezprzewodowe punkty dostępowe, pozwalające na dostęp do krytycznych obszarów firmy. Jak zabezpieczyć takie sprzęty?

Na pewno warto skonsultować się z integratorem, firmą doradczą lub konsultantem, by zamiast inwestować w nowe kosztowne bramy, firewalle lub koncentratory VPN, móc wykorzystać posiadaną infrastrukturę, kontroler sieci bezprzewodowej lub maszynę wirtualną, kupując np. tylko licencje.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Jeśli firma zdecyduje się na VPN-y, musi pamiętać o odpowiednich algorytmach szyfrowania i długości klucza, bo to one mają gigantyczny wpływ na to, jak szybko dane zabezpieczenie może zostać złamane.

Prawdą jest, że każde zabezpieczenie w odpowiednich warunkach, da się przejść, złamać lub obejść. Dlatego tak ważną rzeczą – poza odpowiednim przygotowaniem zasobów, sposobów dostępu, mechanizmów zabezpieczeń – jest monitorowanie i reagowanie na zdarzenia. Każdy alarm, znikające pliki, dziwne maile lub nawet telefony z pytaniem, jakiego antywirusa używacie, powinny być impulsem do chociaż podstawowej analizy ewentualnego wpływu na przyszłe działanie i nieustanne edukowanie wszystkich pracowników.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Bliskim ideału rozwiązaniem do pracy zdalnej jest sesja zdalnego pulpitu z firmowego komputera wyposażonego w Endpoint Protection, logowanie domenowe lub podwójne uwierzytelnienie, zastosowanie antywirusa, ochrony DNS i połączenie poprzez VPN zestawiany na dedykowanym urządzeniu.

Po trzecie: pamiętaj o słabościach

Wszystkie te zabezpieczenia będą jednak niewystarczające, jeśli pracownik udostępni swój komputer osobie niepowołanej. Dlatego polityki bezpieczeństwa stosowane w firmach powinny zakazywać pracy na prywatnych urządzeniach.

Takie sprzęty mają zazwyczaj wielu użytkowników, a tym samym są wykorzystywane do różnych działań. W swoim dorobku widziałem przypadki wycieku danych spowodowane niefrasobliwością pracowników udostępniających komputer dziecku, by mogło obejrzeć film lub zagrać w grę online. Jeśli dodatkowo taki komputer nie ma podstawowych mechanizmów antywirusowych, korzystanie z portali o miernej reputacji w obszarze malware i innych zagrożeń staje się prostą drogą do utraty firmowych danych.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Innym potencjalnym zagrożeniem może być prywatna lub otwarta sieć WLAN. W tym przypadku sprawdzi się poprawne zastosowanie VPN-a na komputerze służbowym. Nawet jeśli użytkownik ustawi słabe hasło, podsłuchanie takiej sesji będzie praktycznie niemożliwe. Dodatkowo aplikacje na firmowym sprzęcie – takie jak popularne na rynku pakiety typu Internet Security z antywirusem i regułami zgodnymi z polityką firmy – wystarczą do wyeliminowania wielu zagrożeń.

Co jeśli firma nie jest w stanie zapewnić służbowych komputerów wszystkim pracownikom zdalnym?

W miarę bezpiecznie z dowolnego, prywatnego komputera da się korzystać tylko wtedy, gdy zastosujemy dobrze sprofilowany VPN i zdalny pulpit. W takiej sytuacji dane są przechowywane oraz przetwarzane jedynie w firmie, a użytkownik widzi obraz sesji na serwerze. Oczywiście wciąż zagrożeniem pozostaje wyciek hasła lub nieautoryzowany dostęp do niego. Przechowywanie go w pękach kluczy przeglądarki czy repozytorium w MacOS nie jest dużym problemem, jeśli mamy szyfrowany dysk. Zgoła odmiennie wygląda to w przypadku MS Windows. Jeśli użytkownik sam świadomie nie uruchomi chociaż BitLockera, który dostępny jest w wersjach OS powyżej Home, to przy fizycznym dostępie do laptopa można to hasło odczytać.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Po czwarte: zadbaj o wiedzę

Powyższe przykłady pokazują, że w całym systemie zabezpieczeń budowanym przez firmę newralgicznym ogniwem jest człowiek, czyli użytkownik, który nieprzemyślanymi zachowaniami może zniweczyć wysiłki działu IT, dostosowującego infrastrukturę do realiów pracy zdalnej.

Dlatego tak istotne jest z jednej strony wprowadzenie odpowiednich polityk bezpieczeństwa, z drugiej zaś – regularne szkolenia dla pracowników, nie tylko wyjaśniające reguły wdrożone w przedsiębiorstwie, ale też przybliżające najnowsze zagrożenia, sposoby działania cyberprzestępców oraz możliwości przeciwdziałania im.

Jeśli miałbym sformułować jedną z najważniejszych zasad bezpieczeństwa firmy, powiedziałbym, że jest nią edukacja użytkowników, weryfikacja ich działania i bezwzględna egzekucja realizacji procedur.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Po piąte: zapytaj ekspertów zewnętrznych

W teorii przygotowanie do pracy zdalnej może wydawać się proste, jak jednak wdrożyć te założenia w praktyce? Warto skorzystać z pomocy ekspertów zewnętrznych, którzy pomogą przeprowadzić niezbędne audyty oraz zaproponują najlepsze rozwiązania.

Przede wszystkim należy zacząć od analizy tego, co mamy, zaktualizować w miarę możliwości oprogramowanie wszystkich urządzeń, przeprowadzić audyt konfiguracji nie tylko w zakresie funkcjonalnym, ale także możliwych zabezpieczeń, czyli przeprowadzić tzw. hardening. Z pomocą doradców zewnętrznych takie działania są po prostu łatwiejsze i efektywniejsze.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Eksperci wybiorą też dla firmy odpowiednie technologie, oparte na różnych platformach bezpieczeństwa i różnej logice zabezpieczeń oraz przynajmniej dwóch repozytoriach. Zrewidują konfigurację VPN, wykorzystywane metody szyfrowania oraz długości kluczy. Dodatkowo zadbają o wydajność technologii czy ograniczenie kosztów.

Jeśli na przykład firewall zapewniać będzie analizę ruchu, wykrywanie intruzów i dodatkowo przekierowania, to jego wydajność może się okazać niewystarczająca do podłączenia niezbędnej liczby użytkowników, co w najgorszym przypadku skutkuje decyzją o wyłączeniu zabezpieczeń. A to nigdy nie powinno mieć miejsca. W takiej sytuacji lepiej zakupić dodatkowe, słabsze, tańsze urządzenie, które będzie wyręczało Firewalla w zakresie VPN, niż rezygnować z odpowiednich zabezpieczeń w innym obszarze. Wielu klientów nie jest też świadomych tego, że terminowania tuneli VPN można dokonać na niektórych przełącznikach, kontrolerach WLAN, zacznie upraszczając implementację rozwiązania oraz redukując koszty.

Łukasz Włodarczyk, Senior Solution Architect z Innergo Systems

Obecna sytuacja globalna zmusiła firmy do zmiany myślenia o organizacji pracy. Kluczowe stało się zapewnienie, utrzymanie i rozwój infrastruktury IT odpowiedzialnej za bezpieczeństwo firmy. Uzupełnieniem oprogramowania i sprzętu musi być też stałe uświadamianie pracowników. Tylko kompleksowe podejście do bezpieczeństwa pozwoli maksymalnie ograniczyć zagrożenia, jakie czyhają na przedsiębiorstwa w dobie pracy zdalnej.


Źródło: Informacja prasowa Innergo Systems

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Cyberbezpieczeństwo [ALERT BIZNESOWY]

Cyberbezpieczeństwo

Prawie zawsze w tej sytuacji firmy mają ten sam komunikat: „The Company is evaluating the extent of the incident and working diligently to mitigate the effects, applying all efforts to normalize operations”. Nic z niego nie wynika poza jednym: nie ma bezpiecznych systemów IT. Są tylko lepiej lub gorzej chronione. Oznacza to, że strategicznie firma musi stale stawiać sobie dwa strategiczne pytania: (1) dlaczego systemy powinny być jak najlepiej zabezpieczone, 2) jak zapewnić to bezpieczeństwo.

Odpowiedź na pytanie „dlaczego?” jest prosta: Dane są fragmentem tożsamości firmy i jej pracowników, dostawców, klientów. Ograniczony dostęp do nich jest składową kontraktu rynkowego, który firma zawiera ze swoimi interesariuszami. Jeśli ten kontrakt zostaje złamany, cierpi reputacja firmy i zaufanie do niej zanika.

Odpowiedź na pytanie „jak?” jest znacznie bardziej skomplikowana i natury technicznej. Najprościej można powiedzieć, że wymaga to stałego testowania systemu, łatania jego dziur, staranności wszystkich użytkowników w doborze haseł, kontroli logowania i wylogowywania z systemu oraz dokładnej analizy wszystkich, nawet najsłabszych sygnałów, że coś mogłoby być nie tak. Dodatkowo wskazane są okazjonalne, celowe, profesjonalnie przeprowadzane próby łamania własnych zabezpieczeń, w celu szukania słabych punktów systemu.

Niebezpieczeństwa związane z upowszechnianiem się produktów szeroko rozumianego przemysłu IT można w głównej mierze podzielić na trzy kategorie:

  1.  Związane z błędami w systemach informatycznych.
  2.  Związane z nieumiejętnym posługiwaniem się narzędziami IT przez użytkowników.
  3.  Związane z działaniem przestępczym, takim jak sabotaż systemów (energetycznych, finansowych, obronnych itp.), kradzieże informacji, pieniędzy i dóbr materialnych (np. ciężarówek wraz z ładunkiem), rozsiewanie dezinformacji itp.

Błędy w systemach IT

Za bezpieczeństwo teleinformatyczne (cyberbezpieczeństwo) odpowiadają również producenci, dostawcy oprogramowania wykorzystywanego przez dany IT. Producenci oprogramowania, broniąc się przez możliwym zarzutem oraz odszkodowaniem spowodowanym błędem w ich programie, z reguły wyłączają swoją odpowiedzialność następującym ustępem w treści licencji:

Producent oprogramowania zwraca uwagę, że w oparciu o bieżący stan techniki, nie jest możliwe wyprodukowanie programu komputerowego w taki sposób, aby bezbłędnie pracował we wszystkich możliwych konfiguracjach. Producent gwarantuje w oparciu o doświadczenie dotychczasowych użytkowników, że do dnia zawarcia niniejszej umowy nie zna żadnych błędów w przekazywanym programowaniu.

Kuriozalność tej deklaracji polega na tym, że producent gwarantuje, iż nie zna żadnych błędów w przekazywanym programowaniu. Jedyne więc, co jest w stanie zagwarantować użytkownikowi, to że odkrywane w przyszłości błędy będą również dla niego prawdziwą niespodzianką. Domyślnie oznacza to także, że taki stan rzeczy pozwoli producentowi wypuszczać na rynek kolejne, „ulepszone” wersje swojego produktu, co będzie objęte dodatkowo płatnym abonamentem serwisowym.

Jest powszechnie znanym faktem, że użytkownik nabywający aplikację informatyczną musi taki stan rzeczy zaakceptować i to na piśmie przyjmując tzw. „wyłączenia odpowiedzialności” (disclaimer) ze strony producenta aplikacji.

Trudno sobie wyobrazić, że producent jakiegokolwiek nieinformatycznego produktu przemysłowego ― samochodu, pralki, telewizora czy budynku ― mógłby zażądać od swoich klientów zgody na podobne zrzeczenie się swoich praw. Jednakże w przemyśle IT jest to zjawisko praktycznie nie znające wyjątków.

Z reguły w danym systemie informatycznym współpracuje ze sobą wiele programów. Brak gwarancji niezawodności jednego z nich powoduje rozszerzenie braku tej gwarancji na inne programy. W rezultacie nie ma gwarancji producentów, że cały system będzie zawsze działać poprawnie i będzie odporny na nieautoryzowane użytkowanie.

Szybkie lekcje z pandemii

Obserwujemy bezprecedensowy wzrost znaczenia cyfrowych kanałów komunikacji w firmie po COVID’owej. Firmy w sposób dramatyczny uzależniły się w ostatnich 4 miesiącach od wszelkiego rodzaju aplikacji video-konferencyjnych. Firmy najczęściej korzystają z jednej aplikacji tego rodzaju, nie budując – póki co – alternatywy/ścieżki bezpieczeństwa na wypadek … „awarii”. Oczywiście teoretycznie istnieją coraz liczniejsze ogólnodostępne platformy (np. z poziomu przeglądarki internetowej), ale wtedy pod znakiem zapytania staje bezpieczeństwo przekazywanych treści (prowadzanych rozmów, emitowanych prezentacji, etc.) oraz efektywność samego narzędzia (przy kilkuset osobowej firmie jest to już wyzwaniem).

Poza tym narzędzia do zwykłej rozmowy czy konferencji to już zdecydowanie za mało. Firmy muszą coraz częściej sięgać do narzędzi zdalnej pracy grupowej (twórczej, warsztatowej), takich jak: Miro, Mural, Whiteboard, Freehand, Mindmeister, Conceptboard, etc.

Ogromna część pracowników firm wciąż pracuje z domu, a sprawne łącze w domu pracownika staje się także problemem pracodawcy. Sprawne tj. odpowiednio szybkie, stabilne, zapewniające możliwość aktywacji połączeń tunelowych/szyfrowanych.

Nie da się już uniknąć permanentnego rozwijania kompetencji cyfrowych pracowników – systemowo, w całej organizacji, na każdym niemal stanowisku. Czasy, w którym zadzwonimy po kolegę IT, żeby pokazał jak się włącza coś w jakimś programie odeszły do lamusa.

Zaledwie 25% młodych ludzi w UE określa siebie jako „mających wysoki poziom kompetencji informatycznych”, przez co rozumieją, że potrafią korzystać z wyszukiwarek internetowych, umieszczać wiadomości na forach dyskusyjnych, wysyłać maile „z załącznikami”, dokonywać zakupu i wymiany plików muzycznych itp. W tej sytuacji nie dziwi fakt, że aż 46-56% firm we wszystkich sektorach bezskutecznie poszukuje informatyków, którzy zajęliby się ich systemami informatycznymi i ich ochroną przed rozmaitymi zagrożeniami.

Rodzaje ataków hakerskich:

  • wysyłanie zainfekowanych informacji, podszywając się pod użytkownika sieci (spoofing),
  • udawanie osoby lub instytucji godnej zaufania i wyłudzanie danych/pieniędzy (phishing),
  • tworzenie imitacji strony internetowej, np. banku i w ten sposób uzyskiwanie danych do logowania (pharming),
  • monitorowanie przepływu danych, takich jak nazwy użytkowników czy hasła (sniffing),
  • blokada sieci przez zajęcie wszystkich wolnych zasobów serwerów i ataki równocześnie z wielu komputerów (DDoS),
  • wysyłanie ogromnych ilości danych, co obciąża serwer (SYN flooding).

Ataki z wewnątrz (inside attackers)

Raport Data Breach Investigation amerykańskiego giganta telekomunikacji Verizon zwraca uwagę na 5 typów tzw. inside attackers:

1. Nieostrożny pracownik, który celowo łamie lub obchodzi zasady dopuszczalnego użytkowania systemów teleinformatycznych, np. przez instalowanie nieautoryzowanych aplikacji, wyłączanie oprogramowania zabezpieczającego albo łamanie ustalonych procedur. Działania te często nie są złośliwe, lecz podyktowane brakiem wiedzy lub chęcią uproszczenia pracy.
2. Agent wewnętrzny – osoba mająca dostęp do informacji poufnych, zrekrutowana lub przekupiona z zewnątrz w celu przekazywania danych.
3. Niezadowolony pracownik, który ma dostęp do poufnych informacji i usiłuje zaszkodzić swojej organizacji, niszcząc dane albo zakłócając jej działalność.
4. Złośliwy informator – pracownik z dostępem do danych korporacyjnych, który wykorzystuje nadane mu w systemie uprawnienia dla osobistego zysku. Może być motywowany przez hakerów prowizją od okupu przy okazji ataku albo zainteresowany sprzedażą własności intelektualnej.
5. Beztroska trzecia strona to partner biznesowy, kontrahent narażający firmę na wyciek danych poprzez zaniedbanie lub niewłaściwe użycie danych. Ta kategoria obejmuje również podmioty trzecie, które niewłaściwie zarządzają informacjami, ewentualnie celowo powodują wyciek.

Ochrona przed cyberatakami

Ochrona obejmuje wiele elementów takich jak aktualizacja oprogramowania i systemów operacyjnych, tworzenie silnych haseł i dwuskładnikowego uwierzytelniania (dwie metody weryfikacji), zwracanie uwagi na podejrzaną aktywność, ochrona danych osobowych, używanie szyfrowanej (bezpiecznej) komunikacji internetowej, tworzenie kopii zapasowych plików aż po ochronę domowej i/lub służbowej sieci WiFi.

Zaatakowanie pojedynczego czy nawet grupy poszczególnych urządzeń, nie spowoduje raczej większych szkód, ale poprzez nie może nastąpić atak na centralne systemy teleinformatyczne. Wówczas skutki mogą okazać się bardzo poważne.

Państwo powinno wspomagać obywateli w zabezpieczaniu się oraz obronie przed atakami teleinformatycznymi. W tym celu potrzebne jest Centrum Wspomagania Bezpieczeństwa Teleinformatycznego, które powinno edukować i informować zwykłych użytkowników systemów o aktualnych zagrożeniach oraz sposobach ich unikania, dystrybuować programy zabezpieczające oraz pomagać w odzyskaniu danych i usunięciu skutków ataków.

W USA istnieje procedura prawna umożliwiająca operatorom na żądanie służb państwowych nakazanie wyłączenia podstawowych serwerów sieci internetowej. Wskazanym rozwiązaniem jest przygotowanie sieci internetowej w Polsce do autonomicznego działania. Taka logiczna autonomia powinna być również zastosowana w odniesieniu do sieci internetowej na terenie UE. Należy przypuszczać, że taką logiczną autonomię sieci mają Rosja, Chiny, Indie oraz Izrael.

Szacuje się, że w 2025 roku w użyciu będzie 75 miliardów urządzeń Internetu Rzeczy. Współczesna infrastruktura przemysłowa jest złożona, obsługiwana przez różne podmioty, które, za sprawą urządzeń i aplikacji, są połączone wewnętrznie i zsieciowane z elementami zewnętrznymi.

Wrażliwych punktów może być wiele. Nie można dziś jednoznacznie wyznaczyć granicy między strefą bezpieczną i niebezpieczną. A cały system jest tak niezawodny jak poszczególne jego ogniwa.

Spojrzenie firm na problem cyberbezpieczeństwa wymaga obecnie mocnej weryfikacji. Poza wymiarem bezpieczeństwa wszelkiego rodzaju danych, w szczególności tych osobowych, radykalnie wzrasta potrzeba troski o sprawną infrastrukturę cyfrowa zapewniającą komunikację ludzi w organizacji. Ważne w tym kontekście będzie zabezpieczenie alternatywnych kanałów komunikacji video na wypadek awarii podstawowego takiego narzędzia w firmie. Oczywiście wraz z zapewnieniem przygotowania wszystkich użytkowników do jego obsługi, co wskazuje jednocześnie na kompetencje cyfrowe jako kolejny ważny aspekt cyberbezpieczeństwa w przedsiębiorstwie. Niewątpliwie pandemia korona wirusa, powodująca pracę wielu organizacji w wymiarze fizycznego rozproszenia, wymusi także nowe polityki bezpieczeństwa informatycznego, w tym – dostępu do kluczowych zasobów i danych w firmie z poziomu tzw. biura domowego. Uzależnienie funkcjonowania biznesu od dobrodziejstw i zagrożeń technologii informatycznej zwiększyło się skokowo w ciągu zaledwie kilku tygodni.

Przemysław Powalacz, Geberit Polska

Zespół Alertu Biznesowego dziękuje Wacławowi Iszkowskiemu za merytoryczną pomoc w przygotowaniu tego Alertu.

Alert Biznesowy to inicjatywa think tanku Open Eyes Economy oraz Kolegium Gospodarki i Administracji Publicznej Uniwersytetu Ekonomicznego w Krakowie.

Wszystkie alerty eksperckie dostępne są na: www.oees.pl/dobrzewiedziec

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Jak uchronić firmę przed cyberatakami? Trwają zapisy na bezpłatny webinar EURid i home.pl

Już 21 września 2018 r. EURid i home.pl zapraszają na bezpłatny webinar w ramach Akademii home.pl „to Twój czas na biznes”. Tematem szkolenia będzie „Cyberbezpieczeństwo, czyli jak zabezpieczyć IT w Twojej firmie”. Zarejestruj się już dziś!

Podczas webinaru dowiesz się:

  • Co tak naprawdę oznacza cyberprzestępczość?
  • Jakie są najczęściej spotykane rodzaje ataków?
  • Jakie mogą być konsekwencje ataku?
  • Jak się bronić przed cyberprzestępczością i na co uważać?
  • Najczęstsze zagrożenia, ataki, podatności i luki bezpieczeństwa IT.
  • Najskuteczniejsze sposoby prewencji i walki z zagrożeniami w sieciach IP – dobre praktyki.

Dlaczego wiedza o cyberbezpieczeństwie jest ważna?

Aby stać się ofiarą cyberprzestępcy wystarczy właściwie jedno nasze kliknięcie – łatwe, proste i przyjemne. Do pracowników Pentagonu, starannie i regularnie szkolonych w zakresie cyberhigieny, wysłano w 2016 r. (na ponad 10 tysięcy prywatnych kont Twitter) linki z korzystnymi ofertami rodzinnych wakacji oraz innymi spersonalizowanymi informacjami zakupowymi. Linki zawierały złośliwe oprogramowanie, które umożliwiało rosyjskim hackerom kontrolę nad telefonami komórkowymi oraz komputerami właścicieli kont. Szczególnie niebezpieczne są spersonalizowane ataki, które uwzględniają nasze zainteresowania i preferencje, zwane po angielsku spear phishing. Mogą one celować w pracowników, których zachowania w mediach społecznościowych nie podlegają kontroli ani reglamentacji przez pracodawcę. Szacuje się, że minimalnie od 30% do 66% adresatów odpowiada klikiem na podesłany im link (dane Verizon oraz ZeroFox). Oczywiście spear phishing ani nie jest jedyną formą inżynierii społecznej stosowanej w cyberatakach, ani też sama inżyniera społeczna nie jest jedyną drogą przeprowadzania ataków cyberprzestępczych.

Efektywna obrona przed cyberprzestępczością wymaga kompleksowej współpracy wszystkich użytkowników Internetu, w tym w szczególności operatorów usług internetowych oraz rejestrów domen internetowych ponieważ bez stron i prowadzących do nich linków większość ataków, także tych prowadzonych przy użyciu smsów czy zhakowanych urządzeń inteligentnych, nie byłaby możliwa.

EURid jako europejski rejestr domen internetowych .eu, który działa z ramienia Komisji Euripejskiej, jest szczególnie zaagażowany na rzecz utrzymania i rozwoju standardów bezpieczeństwa w Internecie, a także popularyzacji wiedzy o tzw. cyber higienie. Jako jeden z pierwszych rejestrów w Europie, EURid wprowadził usługę, która zabezpiecza adres przed dyskretnym przekierowaniem na stronę fałszywą, łudząco podobną do oryginalnej, na której użytkownik może znaleźć się nieświadomie po wpisaniu prawidłowego adresu w okno wyszukiwarki. Ponieważ wiele ataków (szczególnie z użyciem botów) przeprowadzanych jest za pomocą stron rejestrowanych tylko na chwilę (o życiu krótszym niż życie motyla i z fikcyjnymi danymi teleadresowymi abonenta) rejestr rutynowo klasyfikuje i monitoruje nowo rejestrowane domeny pod kątem zawartości danych adresowych. Od grudnia 2016 rozpoczął także współpracę z Europolem, celem skuteczniejszej ochronych adresów .eu w Internecie.

 

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF