Poważne ataki na cyberbezpieczeństwo. Jak się chronić?

Przeczytaj także: Cyberbezpieczeństwo 2023. Co o mijającym roku mówią eksperci?

Dwa głośne przypadki nim minęła pierwsza połowa stycznia – tak rozpoczął się 2024 rok w cyberbezpieczeństwie. Mowa o incydentach na Uniwersytecie w Zielonej Górze (UZ) oraz COS Zakopane. Przedmiotem działalności przestępców w styczniu były również Bank Spółdzielczy w Zambrowie oraz Wyższa Szkoła Gospodarki w Bydgoszczy.

Pod koniec 2023 roku podobna sytuacja miała miejsce w związku z atakiem na sieć laboratoriów ALAB. We wszystkich przypadkach nieuprawnione osoby uzyskały dostęp m.in. do numerów PESEL i dowodów osobistych czy adresów zamieszkania. Łączna liczba wrażliwych danych, które trafiły w niepowołane ręce liczona jest w setkach gigabajtów i obejmuje miliony rekordów, a ich charakter może posłużyć przestępcom do tworzenia scenariuszy cyberataków, wymierzonych w klientów tych instytucji.

Strategia działania w sytuacji cyberataku

Jak wynika z wypowiedzi potencjalnie poszkodowanych studentów UZ, reakcja uczelni była w ich opinii spóźniona.

Jestem wkurzona na uczelnię. Uniwersytet zamiast od razu przestrzec przed wyciekiem danych i zalecać zastrzeżenie numerów PESEL, uspokajał, że właściwie nic się nie dziejekomentowała jedna ze studentek, cytowana przez lokalne media.

Zgodnie z prawem podmiot, który nie zapewnił właściwej ochrony danych osobowych będących w jego posiadaniu, może otrzymać karę finansową. Jednak skutkiem udanego ataku mogą być również szkody wizerunkowe, w tym utrata reputacji i zaufania ze strony osób, które w jego efekcie są narażone na ataki cyberprzestępców.

Rozwój technologii cyfrowych powoduje zwiększenie powierzchni ataku, a zwiększanie się liczby przechowywanych danych sprawia, że firmy i instytucje są bardziej narażone na ransomware.

Poza dbałością o minimalizowanie szans, by były one skuteczne, firmy powinny uwzględnić w swoich strategiach przygotowanie kryzysowego scenariusza działań. Z jednej strony powinien on dotyczyć likwidacji skutków w infrastrukturze firmy, a z drugiej komunikacji i działań skierowanych do pracowników oraz klientów, którzy również mogą stać się ofiarami przestępców – wskazuje Aleksander Kostuch, ekspert Stormshield, wytwórcy rozwiązań cybersecurity.

Utrata reputacji może istotnie wpłynąć na funkcjonowanie firm, a ważnym aspektem jest przy tym również wzrost świadomości klientów co do możliwości dochodzenia przez nich praw na drodze sądowej. Według przewidywań magazynu Forbes, do 2026 roku wśród spółek globalnych standardem stanie się obecność w ich zarządach osób odpowiedzialnych za cybersec, mających dbać o tę sferę funkcjonowania.

Ten przewidywany globalny trend, w połączeniu z programami sektorowymi, pokazuje że świadomość zagrożeń i ich potencjalnych skutków jest dostrzegana.

Nauczmy się mówić o cyberbezpieczeństwie – wiele osób nieświadoma obowiązków

Jednocześnie każdy z opisanych przypadków to dowód, że edukacja wciąż jest potrzebna. W styczniu eksperci skrytykowali wyemitowany w głównym wydaniu nowego programu informacyjnego TVP materiał o „hackowaniu przez bluetooth”. Został on przez nich oceniony jako niemerytoryczny.

Niestety problem „jak mówić o cyberbezpieczeństwie i cyberprzestępczości” pozostaje niezwykle aktualny, będąc jednym z wyzwań na 2024 rok – komentuje Aleksander Kostuch, ekspert Stormshield.

Jak wskazują eksperci Stormshield, to kwestia istotna również z uwagi na przełomowe wydarzenia, których nie wszyscy zainteresowani są świadomi. Kluczowym wyzwaniem dla przedsiębiorstw wciąż pozostaje zbliżająca się implementacja założeń Dyrektywy NIS2 do krajowego prawodawstwa.

W ocenie eksperta Stormshield, nawet 60 proc. podmiotów nie jest przygotowana na jej wymogi, nie mając wdrożonych odpowiednich rozwiązań w obszarze wykorzystywanych systemów przemysłowych. W szczególności dotyczy to mniejszych operatorów infrastruktury krytycznej, z branż takich jak ciepłownictwo czy sieci wodociągowe.

W Polsce jest niemal 2,5 tysiąca gmin, a w większości z nich działają lokalne przedsiębiorstwa wodociągowe czy ciepłownia. Te liczby unaoczniają skalę wyzwania. Uwagę zwraca brak podstawowej wiedzy na temat cyberbezpieczeństwa wśród zarządzających tymi podmiotami, którzy tę wiedzę powinny mieć, ponieważ z jednej strony osoba działająca w charakterze przedstawiciela prawnego danego przedsiębiorstwa będzie mogła być pociągnięta do odpowiedzialności za niewywiązanie się z obowiązku zapewnienia przestrzegania dyrektywy.

Z drugiej, gdyż ewentualny „rachunek” za błędy czy niedopatrzenia zapłacą również mieszkańcy – mówi Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT i Stormshield.

Wzrośnie popyt na usługi Security Operations Center a administracja publiczna zostanie w tyle

Wyzwania związane z NIS2, w połączeniu z niedoborem specjalistów cyberbezpieczeństwa, przełożą się na wzrost zainteresowania usługami profesjonalnymi w tym obszarze.

Uwzględniony w Dyrektywie obowiązek zarządzania kryzysowego sprawia, że należy spodziewać się tworzenia jednostek typu Security Operations Center. SOC nie tylko pozwalają monitorować zagrożenia, podnosząc o kilka stopni poziom bezpieczeństwa, lecz co dodatkowo warte podkreślenia, w przypadku incydentu wydatnie pomagają ustalić co i jak się stało oraz zaplanować działania likwidujące przyczynę oraz poprawiające bezpieczeństwo na przyszłość. To z pewnością krok w dobrą stronę – ocenia Piotr Zielaskiewicz.

Jednakże zdaniem eksperta, wobec wspomnianego niedoboru specjalistów można spodziewać się, że koszty SOC jako usługi nie będą małe. A fakt, że dostawcy tych usług mają swoje ograniczenia może sprawić, że podmioty, które już teraz mają słabszą pozycję na rynku (np. administracja publiczna, która nie jest w stanie konkurować finansowo z firmami prywatnymi) znajdą się w gorszej sytuacji. Samorząd i administracja publiczna dysponują przy tym największym zbiorem wrażliwych danych, dlatego taka sytuacja będzie niekorzystna z perspektywy społecznej.

W tej sytuacji, zdaniem specjalistów, szczególnie ważne jest wdrożenie działań po stronie tej kategorii podmiotów, które mogą wzmocnić ich cyberbezpieczeństwo. Podstawowymi są kopie bezpieczeństwa i aktualizacja oprogramowania, wraz z wieloskładnikowym uwierzytelnianiem.

Nie tylko regularne kopie bezpieczeństwa danych są ważne, lecz także zabezpieczenia przed ich kradzieżą czy modyfikacją. Wskazane jest by systemy zabezpieczeń na brzegu odseparowanych sieci były dobrze skonfigurowane i aktualne. Oprogramowanie układowe tych rozwiązań powinno być na bieżąco aktualizowane pod kątem zmieniających się zagrożeń. Podsystemy ochrony zapobiegające włamaniom, jak i systemy antywirusowe muszą mieć aktualne sygnatury chroniące przed cyberatakami. Ważna jest kontrola pracy zasobów i monitorowanie wewnętrznego środowiska sieciowego. Zasoby możemy prawidłowo zabezpieczyć, nawet wówczas, gdy nie mamy możliwości utrzymywania wewnętrznych systemów operacyjnych czy aplikacji dziedzinowych w najnowszej wersji. Standardem powinno być używanie silnych haseł i wieloskładnikowego uwierzytelniania.

Dobrą praktyką, przy ciągłym monitorowaniu bezpieczeństwa, jest współpraca lokalnych informatyków z zewnętrznymi zespołami ds. bezpieczeństwa cyfrowego, którzy z systemów typu SIEM potrafią wydobyć najważniejsze informacje na temat zagrożeń – doradza Aleksander Kostuch, inżynier europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.

Po nitce do kłębka

W najbliższej przyszłości coraz większy problem stanowić będą cyberataki na łańcuchy dostaw, skoncentrowane na wykorzystaniu podatności w systemach dostawców, w celu uzyskania dostępu do systemów organizacji docelowej. Mogą one mieć dla nich poważne konsekwencje.

Najlepszą rekomendacją w kontekście spodziewanego wzrostu złożoności ataków jest wdrożenie odpowiednich systemów bezpieczeństwa, jak firewalle na brzegu sieci partnerów. Rozwiązań, które mają możliwości silnego szyfrowania danych w połączeniu sieci, co pozwala zapewnić bezpieczne kanały komunikacji z dostawcami. Również w tym obszarze liczą się uwierzytelnianie wieloskładnikowe i ścisła kontrola dostępu wraz z zaawansowanym monitorowaniem i wysyłaniem tych informacji do SOC, a także regularne stosowanie poprawek do oprogramowania. Użyty do zabezpieczeń łańcucha dostaw produkt powinien spełnić normy i standardy określone poprzez certyfikacje branżowe, jak np. EAL4+ oraz rekomendacje Unii Europejskiej lub NATO.

Ważnym elementem systemu bezpieczeństwa są też polityka udostępniania dostawcom jedynie tych danych, które są niezbędne do wykonania usługi oraz regularne audyty i przygotowanie procedur reagowania na incydenty – rekomenduje ekspert Stormshield.

Cyberprzestępcy będą nadal rozwijać swoje techniki i narzędzia, także z wykorzystaniem narzędzi opartych o sztuczną inteligencję (AI), co sprawi że ataki socjotechniczne wykorzystujące słabości ludzkiej psychiki pozostaną bardzo skuteczne. Należy zatem kłaść duży nacisk na szkolenie personelu, po to, aby nie został nieuczciwie i bezwiednie wykorzystany przez przestępców.