Najważniejsze
|
Newsy
|
Recenzje
8 października 2024
Cyberbezpieczeństwo w firmach, czyli analiza podatności i szacowanie ryzyka
14 listopada 2024
Opinie: 0
Przedsiębiorstwa są niemniej niż użytkownicy indywidualni narażeni na działania hakerów. Stanowią mniejszy „rynek”, ale dają nadzieję, na dużo większe przestępcze korzyści. Jak mówi Daniel Kamiński, trener cyberodporności w Orange Polska, przestój systemu IT w wyniku cyberataku może trwać w firmie produkcyjnej nawet miesiąc i kosztować „...dziesiąt” milionów złotych. Który prezes nie zawaha się wówczas, czy nie lepiej zapłacić kilkaset tysięcy złotych za klucz deszyfrujący system? Tylko, że na tym często się nie kończy...
To kolejny tekst w ramach cyklu „Cyberbezpieczeństwo” realizowanym w naszej współpracy z serwisem TELKO.in oraz Orange.
GSMONLINE.PL/TELKO.in: Od kilku lat bardzo wiele się mówi o cyberbezpieczeństwie firmowych systemów IT. Problem nie jest przejaskrawiony?
DANIEL KAMIŃSKI, trener cyberodporności w Orange Polska: W 2019 r. hakerzy, wykorzystując lukę w oprogramowaniu jednego dostawcy (Solar Winds), włamali się do systemów informatycznych 18 tys. firm. Przez okres od 9 miesięcy do 18 miesięcy przeszukiwali te systemy, wykradając tajemnice przemysłowe. Czy jakakolwiek firma w Polsce jest w stanie się obronić, jeżeli po drugiej stronie czyha na nią ponad 1000 hakerów?
Nie jest w stanie.
Problem na pewno nie jest przejaskrawiony.
Jakiej kategorii przedsiębiorstwa w Polsce są najbardziej narażone na cyberataki?
Sądząc po wartości okupów o jakich wiadomo ‒ w przedziale 50 tys. do 5 mln zł złotych ‒ wydaje się, że wszystkie podmioty: od małych do największych. Ataki na mniejsze podmioty są zwykle szybkie. Infrastrukturę większych firm przestępcy infiltrują stopniowo: wykradają dane dostępowe, rozglądają się w zasobach i powoli je kopiują. Potem następuje etap zacierania śladów, aby trudno było dojść jakie były działania przestępców: w jaki sposób weszli do systemu i co tam zrobili. Potem przestępcy szyfrują dane, unieruchamiają systemy i proponują klucz deszyfrujący za określoną kwotę pieniędzy.
Zresztą starają się wykorzystać atak do maksimum. Najpierw pobierają haracz za sam klucz, potem mogą zażądać pieniędzy za nieudostępnianie wykradzionych danych (inaczej spróbują je sprzedać na czarnym rynku) i wreszcie ‒ jeżeli atak nie został nigdzie zgłoszony ‒ to proponują, odpłatnie, zachowanie dyskrecji o ataku wobec organów ochrony danych, przed którymi odpowiada właściciel systemu.
Często firmy cieszą się, że mają backup, ale niekoniecznie pamiętają, że jeżeli przestępcy buszowali w systemie kilka miesięcy wcześniej, to nadal mogą dysponować hasłami. 95 proc. średnich i dużych firm dysponuje planami działania na taki kryzys, ale tylko 24 proc. testuje procedurę odtwarzania środowiska. Czasem stosuje się całkowite wyłączenie systemu, ale to niekoniecznie jest najlepsze rozwiązanie, bo utrudnia szacowanie skali strat i działań przestępców.
Czy warunkiem ataku jest podłączenie środowiska do internetu?
Tak, chociaż podejmowane są również takie próby jak podrzucanie pendrive'ów, którymi można infekować systemy offline. Przestępcy próbują docierać do nich także poprzez urządzenia z kartą SIM. Z tego powodu niektóre firmy stosują tak zwane cyberbunkry tj. środowiska IT całkowicie odcięte od sieci.
Przedsiębiorstwa z jakich gałęzi gospodarki są najczęściej atakowane w Polsce?
Jeżeli chodzi o ransomware [blokowanie systemów IT z żądaniem okupu za odblokowanie ‒ red.], to TOP3 ubiegłego roku stanowią przedsiębiorstwa produkcyjne – ok. 20 proc., usługi profesjonalne (prawnicy, czy audytorzy) – ponad 17 proc. oraz logistyka (transport i magazynowania) – niemal 7 proc. Dalej jest handel detaliczny i kolejne branże.
A telekomunikacja?
Ma 2-procentowy udział. Jeżeli firma dysponuje własnym SOC [Security Operations Center ‒ red.] jak na przykład telekomy, to relatywnie szybko może stwierdzić, że ktoś próbuje dostać się do jej systemów i zapobiec włamaniu.
Stereotypowo wyobrażamy sobie, że za atakami stoją ludzie. To już przeważnie jest nieprawda ‒ infrastruktura cyberprzestępców jest zautomatyzowana. Poszczególne ataki realizują automaty. W botnecie Mirai w jednym z ataków wykorzystano 400 tys. zhakowanych kamer przemysłowych, które posłużyły do realizacji ataków DDoS i do hakowania kolejnych urządzeń w sieci.
Wykradanie danych, to jednak co innego, niż atak DDoS, blokujący serwis internetowy.
Czasami przestępcy stosują miks różnych metod: na przykład atak DDoS poprzedza próbę włamania do systemu. Praktyka pokazuje, że na cyberszpiegostwo bardziej narażone są firmy z sektora publicznego lub motoryzacyjnego ‒ przede wszystkim z dużymi działami R&D. Od jednego z czołowych producentów samochodów przez dwa lata wyciekały dane dotyczące projektu nowego silnika elektrycznego. Potencjalnie warte były miliardy euro.
Z kolei firmy sektora finansowego albo e-commerce są w większym stopniu narażone na ataki DDoS, które klientom blokują dostęp do ich usług. Natomiast na ataki typu ransomware najbardziej narażone są firmy produkcyjne, w których przestój (po cyberataku może trwać nawet do miesiąca) naraża na bardzo konkretne straty finansowe. To najczęściej skłania kadrę zarządzającą w takich firmach do zapłacenia okupu za odblokowanie środowiska.
Jaka jest pewność, że po zapłaceniu okupu cyberprzestępcy rzeczywiście dostarczą klucze?
Statystycznie 80 proc. hakerów dotrzymuje umowy. Grupy przestępcze mają swoją renomę, która w kręgu specjalistów jest znana. Dotrzymywanie umów jest w interesie cyberprzestępców, bo uczy przyszłe ofiary, że okup rozwiązuje problem. Oczywiście nikt w tym „biznesie” nie daje żadnej gwarancji. A już zupełnie nie wtedy, kiedy przejęte zasoby dostaną się ręce kolejnych grup przestępczych, które za kilka lat znowu wrócą z szantażem.
Jak się rozlicza okup?
Tego się formalnie nie rozlicza. W polskim prawie nie ma mechanizmu na zaksięgowanie okupu, w wielu innych systemach prawnych jest to wprost zakazane. Okupy rozlicza się zazwyczaj kryptowalutami (popularne jest obecnie Ethereum) a firma nie ma możliwości ich zakupu.
Można ubezpieczyć ryzyko cyberataku?
Tak, to coraz bardziej popularne za granicą. W Polsce też już są cztery firmy ubezpieczeniowe, które zajmują się ryzykiem cyberataku. Część przedsiębiorców, rozmawiając o cyberzagrożeniach, mówi: mnie to nie dotyczy (zazwyczaj się mylą). Inni mówią: tak, jestem świadom ryzyka, wykupiłem polisę ubezpieczeniową; ubezpieczyciel zrobił u mnie audyt i w razie czego to on będzie negocjował z hakerami.
Z hakerami się negocjuje?
Jako Orange nie rekomendujemy takiej praktyki, ale to nie po naszej stronie jest decyzja, bo to nie my poniesiemy jej konsekwencje. Dokładna wiedza o efekcie ataku jest nieodzowna, ponieważ szantażyści mogą blefować, utrzymując na przykład, że wykradli wrażliwe dane. Pion IT może to sprawdzić; jeżeli blefują i chodzi tylko o deszyfrację środowisk, to zmienia skalę potencjalnych strat a więc warunki potencjalnego porozumienia z przestępcami. Średnio przestój w firmie produkcyjnej z powodu cyberataku trwa 24 dni ‒ od tego liczy się straty firmy i wysokość okupu.
Jaki odsetek firm decyduje się płacić okupy?
Szacuje się, że około 40 proc. Dokładnie nie wiadomo, bo nikt się tym nie chwali. Prawdopodobnie różnie jest w różnych branżach. Trudno sobie wyobrazić, żeby w sektorze publicznym ktoś negocjował z przestępcami.
Zdarzają się też nieoczekiwane okoliczności łagodzące skutki ataku. Znany jest przykład dużej niemieckiej firmy, którą cyberatak całkowicie położył ‒ z wyjątkiem polskiego oddziału. Dlaczego? Ponieważ jego księgowa lubiła pracować w Excelu i miała dane do odtworzenia systemu. To zmienia warunki negocjacji z cyberprzestępcami.
Bardzo często dyrektorzy sprzedaży mają swoje własne bazy klientów, które także są pomocne w tego typu przypadkach. Szef jednej z firm transportowych miał we własnym telefonie numery do wszystkich kierowców dzięki czemu można było zlokalizować ich i ich cargo. Kryzysy wywołują niezwykłą pomysłowość. W jednej firmie, w której poblokowano służbowe komputery, szybko kupiono partię najprostszych poleasingowych laptopów i w systemie telekonferencji sprawdzano, który oddział w kraju ma jakie zasoby, pozwalające podtrzymać działalność.
Swoją drogą taka inwencja pokazuje, czy ta firma odrobiła lekcje w postaci opracowania planu „ciągłości działania” na tego typu sytuacje. Gdyby plan istniał, to pewnie nie byłyby potrzebne przypadkowe rozwiązania.
A czy ataki są na tyle standardowe, że wszystko można przewidzieć?
Ataki są dosyć standardowe i zwykle przeprowadzane w podobny sposób, podzielony na etapy. Na każdym z nich można zastopować działanie hakerów. Dla przykładu, jeżeli administrator widzi logi pracownika, który jest na urlopie wychowawczym, to może podejrzewać, że ktoś przejął jego dane dostępowe i rozpoczął rozpoznanie zasobów w systemie. Dostęp pracownika na urlopie wychowawczym powinien zostać zablokowany, a kiedy pracownik powróci jego dane powinny zostać zmienione.
To jest dużo elementów działalności do przeanalizowania.
Tak, ale od tego są w firmach pracownicy pionów IT i cyberbezpieczeństwa. Modelowo przyjmuje się, że na każdych 200 pracowników w przedsiębiorstwie powinien przypadać jeden specjalista od cyberbezpieczeństwa. Dwóch na 400 pracowników, pięciu na 1000 i tak dalej…
Firmy dzielą się na takie, które nie mają własnego IT, na takie, które je mają, i na takie, które mają zarówno pion IT, jak i cyberbezpieczeństwa. Specjalista od cyberbezpieczeństwa, choćby na ćwierć etatu, opracuje politykę bezpieczeństwa i wymusi sporządzenie planu ciągłości działania. Polegającego chociażby na tym, że z magazynu zostanie przyniesiony czysty sprzęt, zainstalowane od zera wszystkie narzędzia i podjęta próba przywrócenia danych. To co prawda i tak będzie trwało tydzień, ale przynajmniej każdy wie co ma robić: dyrektor finansowy, że na tydzień musi zabezpieczyć płynność przedsiębiorstwa, a szef firmy, że musi uprzedzić kontrahentów i ograniczać straty wizerunkowe.
Problem zagrożenia przedsiębiorstw oraz instytucji dostrzegła Unia Europejska, i wdrożyła dyrektywę NIS2. Wymusza ona pewne standardy działań w dziedzinie cyberochrony ‒ na przykład obowiązkową wymianę informacji na temat incydentów. Jeżeli kieruję firmą meblarską a właśnie zaatakowano inną sieć sprzedaży, to ja mogę być następny w kolejności. Dlatego chciałbym wiedzieć jakiego typu to był atak i jakie narzędzia były wykorzystane. A, jak mówiłem, firmy nie zawsze chcą się chwalić, że były przedmiotem ataku.
Jak można wyzyskać wiedzę o takich atakach?
Specjaliści monitorują ponad 1 000 grup, które zajmują się atakami ransomware. Około 40 jest aktywnych. Jeżeli wiem, która z nich stała za atakiem na firmę z tej samej branży, to łatwiej mi przygotować się na potencjalny atak. Znamy wielokierunkowy atak na firmy zajmujące się diagnostyką medyczną. W każdym wypadku zastosowano podobne narzędzia hakerskie. W efekcie z części tych firm powyciekły dane.
Kampanie ransomware trwają krótko ‒ do miesiąca. Potem przestępcy zacierają ślady i po jakimś czasie próbują zaatakować ponownie. Śledzenie aktywności przestępców utrudnia zjawisko tak zwanej afiliacji: grupy przestępcze udostępniają swoje narzędzia i techniki osobom trzecim, które nie są bezpośrednio związane z działalnością oszustów.
Po co im taki pośrednik?
Dla powiększenia rynku. To są takie swoiste „działy sprzedaży” grup przestępczych. Kto się sprawdza, może liczyć na techniczne i operacyjne wsparcie oraz sutą prowizję. Warto dodać, że w takim modelu przestępcą jest także afiliant.
Nasze sakramentalne pytanie: co się zmienia i jakie widać trendy, jeżeli chodzi o ataki cyberprzestępców na firmy?
Widać wzrost wolumenów w atakach DDoS. Innym trendem jest wzrost liczby tzw. krótkich ataków, których celem jest zablokowanie serwisów WWW ważnej instytucji. Ponadto skraca się czas przygotowywania i realizacji kampanii.
Jeżeli chodzi o typ ataków, to w 70 proc. celem jest człowiek (w tym administratorzy systemów) i ewentualny błąd jaki może on popełnić, otwierając drogę przestępcom. W 30 proc. zawodzi technologia, czyli zazwyczaj luki w systemach i narzędziach informatycznych (dlatego audyty bezpieczeństwa zaczynamy od skanowania tzw. podatności, czyli potencjalnych luk).
Z Danii znany jest przypadek podatności wykrytej w popularnym urządzeniu sieciowym szeroko wykorzystywanym przez tamtejszą branżę energetyczną. Pomimo ostrzeżenia wydanego przez duński CERT, 22 firmy energetyczne nie zaktualizowały oprogramowania urządzeń i padły ofiarą hakerów.
Jeden ze znanych dostawców firewalli wykrył podatność w swoim urządzeniu i udostępnił odpowiednią łatę. Po miesiącu wciąż jeszcze 76 proc. użytkowników nie zaktualizowało tego firmware’u. Niestety, łaty do podatności implementowane są zwykle w ciągu trzech miesięcy od udostępnienia przez dostawcę oprogramowania. Na to czyhają przestępcy.
W darknecie dostępne są nieznane podatności. Dla cyberprzestępców to jest rodzaj inwestycji: kupują informacje o podatności, jak najszybciej (zanim ktoś zauważy lukę i ją załata) szykują kampanię, atakują ‒ powiedzmy ‒ milion firm z czego w 100 przypadkach im się powiedzie, a z tych 100 przypadków 30 podmiotów zapłaci okup.
W domowych urządzeniach oprogramowanie często jest aktualizowane automatycznie. To nie jest standardem w rozwiązaniach dla firm?
Dla indywidualnych użytkowników automatyczna aktualizacja, to obowiązek. W rozwiązaniach dla firm działa to trochę inaczej. Profesjonalne działy IT pobierają aktualizacje, ale przed implementacją weryfikują źródło, pobrany kod i efekty aktualizacji w środowisku testowym. Coś przecież zawsze może pójść nie tak z kompatybilnością sprzętową i położyć działanie systemu (bez ingerencji hakerów). Dlatego w firmach aktualizacje zwykle trwają dłużej. I też zresztą mogą stanowić furtkę dla cyberprzestępców. Wspominane wcześniej systemy Solar Winds zostały spenetrowane w ten sposób, że przestępcy przejęli serwer aktualizacji aplikacji. Dzisiaj właśnie tą drogą często atakuje się systemy informatyczne.
Z tego jednak wynika ogromna złożoność problemu cyberodporności w organizacji. Tylko część rzeczy jest zero-jedynkowa: dobrze albo źle. Jak z aktualizacjami: są potrzebne, ale ich implementacja wymaga czasu. Trudno też przyjąć, że cyberochrona zawsze stanowi cel priorytetowy, ponieważ generuje koszty i wpływa na efektywność (wygodę) ludzkiej pracy. Tego wszystkiego nie da się łatwo pogodzić.
Właśnie dlatego przeprowadza się audyty bezpieczeństwa. Jak w aptece ‒ nie bierzemy dowolnego lekarstwa, tylko dobieramy najlepszy środek na daną dolegliwość. Podobnie w obszarze cyberbezpieczeństwa: analizujemy ryzyko i dobieramy środki, które dadzą maksymalne korzyści. W przedsiębiorstwie może działać jakiś archaiczny system, którego nikt już nie aktualizuje, ale który wciąż jest niezbędny i niewymienny na cokolwiek innego. No to przyglądamy się temu elementowi infrastruktury bardzo uważnie i staramy się go maksymalnie zabezpieczyć.
Czyli świadomie godzimy się na pewną lukę w systemie cyberbezpieczeństwa.
W biznesie rzadko kiedy nie ma ryzyka. Zawsze może nie dojechać TIR z podzespołami niezbędnymi do produkcji.
Czyli podstawowe czynniki (nie)bezpieczeństwa to ludzkie zaniedbania ‒ po pierwsze ‒ i podatności w oprogramowaniu ‒ po drugie.
Tak. Ludzie i podatności. Jedna z bardzo znanych firm oferujących inteligentne urządzenia nie zadbała o szczelność aplikacji do zdalnego podglądu z domowych kamer. W efekcie cyberprzestępcy uzyskali dostęp do prywatnych przekazów z kilkuset tysięcy domowych urządzeń. Nawet tak duży podmiot nie ustrzegł się błędu.
Niegdyś sam odpowiadałem za IT w niewielkiej firmie, która padła ofiarą 3-miesięcznego ataku DDoS. Wykonany potem audyt bezpieczeństwa pokazał mi jakie błędy popełniłem. Powinienem był dysponować sprzętowym firewallem, zabezpieczyć stronę WWW firewallem w chmurze, a każdy komputer w firmie powinien być chroniony oprogramowaniem typu XDR [zaawansowany program monitorujący bezpieczeństwo ‒ red.]. Po każdym ataku potrzebna jest analiza powłamaniowa, która pokaże podatność i drogę wtargnięcia przestępców, co z kolei pozwoli uodpornić się na przyszłość. Z każdym atakiem jesteśmy mądrzejsi.
Dziękujemy za rozmowę.
GSMONLINE.PL/TELKO.in
Każdy w firmie widzi problem inaczej
Problemy z cyberbezpieczeństwem w firmie wyglądają odmiennie z perspektywy różnych osób zarządzających i pracowników. Dla jednych podstawowym problemem będzie przestój produkcji, a dla innych brak dostępu do kont firmowych.
Jak wygląda to w praktyce można zobaczyć w Centrum Doświadczeń Cyberbezpieczeństwa w Orange. Na przykładzie fikcyjnego ataku na fikcyjną firmę, przedsiębiorstwa mogą uczyć się budować skuteczne strategie cyberodporności i poznać standardowe podejścia różnych osób zarządzających oraz wcielić się w poszczególne role.
W przypadku ataku, prezes najpierw zapyta: który z kluczowych procesów „leży” i których klientów dotyczą skutki. Zwykle będzie niedowiarkiem ‒ czas potrzebny na likwidację skutków incydentu oszacuje na dni, nawet jeżeli wie, że statystycznie są to tygodnie. Zazwyczaj nie akceptuje płacenia okupu.
Dyrektora finansowego będzie interesowało: ile łącznie cały incydent będzie kosztował firmę; jak długo będzie mogła działać bez wystawiania faktur czy bez odbierania przelewów. Jakie są rezerwy finansowe? Czas na usunięcie skutków incydentu przyjmie tak, jak to podadzą specjaliści od IT. Będzie mniej stanowczy w kwestii ewentualnego okupu i może optować za kompromisem z przestępcami, jeżeli z twardego rachunku wynika, że to jest tańsze niż długotrwały przestój w firmie.
Kluczem jest spójna współpraca wszystkich pionów w firmie, optymalnie w ramach wcześniej ustalonego planu reakcji na cyberzagrożenie.
