Cyberbezpieczeństwo w 2024 roku: zadbaj o cyberodporność swojej firmy

Materiał we współpracy z Orange Polska

Coraz większa liczba i skala cyberataków powoduje, że firmy oraz instytucje muszą skuteczniej zapobiegać przestępstwom w sieci. Cyberbezpieczeństwo polega bowiem na minimalizowaniu ryzyka dzięki wdrażaniu dobrych praktyk, zabezpieczeń i edukacji. Analiza ryzyka w bezpieczeństwie powinna stać się drogowskazem przyszłych działań. To dzięki niej spośród setek możliwych rozwiązań wybieramy to, co dla instytucji najlepsze.

Dziś nie ma takiej firmy, która jest idealnie zabezpieczona – uważają eksperci w Orange Polska. Telekom ten ma ponad 26-letnie doświadczenie w tej dziedzinie, a w jego strukturach działa zespół CERT Orange Polska, który dba o bezpieczeństwo internautów całą dobę.

Jednym z najczęstszych ataków na firmy jest ransomware, czyli złośliwe oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia dostęp do zapisanych w nim danych praktycznie zawsze połączone ze wcześniejsza kradzieżą danych. Cyberprzestępcy korzystający z tego typu ataku, po zablokowaniu danych żądają od ofiary okupu, za ich przywrócenie – ale nie tylko.

- Myślę tutaj o atakach „double extortion”, które pojawiły się kilka lat temu w wyniku ewolucji ataków ransomware. Przestępcy oprócz szyfrowania danych grożą również ich ujawnieniem, aby zwiększyć presję na ofiarę – tłumaczy Przemysław Dęba. - W pomyśle tym chodzi o zwiększenie szansy na pozyskanie okupu, a jego skuteczność oparta jest nie tylko na potencjalnej utracie reputacji przez ofiarę, ale dodatkowych wysokich karach wynikających z regulacji o ochronie danych osobowych, takich jakim w przypadku Unii Europejskiej są przepisy RODO – dodaje Przemysław Dęba.

Jak przestępcy przenikają do struktur firmy? - Każdy pomysł, aby przeniknąć do zasobów ofiary jest dobry. Często wykorzystywane są podatności w infrastrukturze: choćby niezaktualizowany lub źle skonfigurowany router, nieprawidłowo skonfigurowana lub nieodpowiednio zabezpieczona usługa dostępu do infrastruktury np. VPN (ang. virtual private network, czyli sieć internetowa dla firm – red.), RDP (ang. remote desktop protocol – tzw. zdalny pulpit), czy SSH (ang. secure shell – oprogramowanie pozwalające na zarządzanie serwerem – red). Do usługi takiej można się włamać lub przejąć dostęp za pomocą socjotechniki od administratora firmy – wymienia Przemysław Dęba.

- Działają tutaj też metody polegające na przejęciu komputera, który ma już dostęp do zasobów firmy „od środka”, czyli phishing połączony ze złośliwym oprogramowaniem służącym do zainfekowania takiej stacji – dodaje ekspert.

- Po ustanowieniu takiego dostępu atakujący będzie robił rekonesans w infrastrukturze ofiary, aby wyszukać najcenniejsze zasoby informacyjne do wyprowadzenia z firmy i zaszyfrowania. Jeżeli na tym etapie ofiara ciągle nie płaci okupu, a jej usługi internetowe nadal działają atakujący może dodatkowo przeprowadzić atak typu DDoS, aby zwiększyć efekt paniki - dodaje.

Przemysław Dęba pytany, jakiego typu cyberataki na polskie firmy w 2023 r. występowały najczęściej wskazuje, że nie różnimy się pod tym względem od reszty świata.

- Ataki na polskie firmy nie odbiegają rodzajowo od ataków na świecie. Można zacząć od najprostszych i stosunkowo licznych ataków typu BEC (Business Email Compromise). Atakujący podszywa się zwykle pod decydentów w firmie, w których imieniu prosi pracowników działów księgowości, czy finansów o wykonanie przelewów na kontrolowane konta. Istnieją też scenariusze, w których rzekomi dostawcy przesyłają faktury z nowymi numerami kont, czy też pracownicy HR proszeni są o przekazanie wrażliwych danych osobowych. Odbywa się to zwykle e-mailami. Można jednak też prognozować, że i scenariusze telefonicznie staną się równie popularne, zwłaszcza, że technologie do produkcji deep fake, czyli odwzorowania dowolnego głosu ludzkiego są już powszechnie dostępne – wylicza Dęba.

Z kolei najbardziej niszczącym atakiem jest już wspominany ransomware double extortion, który dotyka bardzo wielu polskich firm, a informacje o niektórych incydentach bez problemu znajdziecie państwo w mediach – mówi ekspert.

Popularnym rodzajem ataku na firmy jest nadal DDoS (ang. distributed denial of service).

Skuteczny atak DDoS potrafi zachwiać ciągłością działania firmy. Zmasowane połączenia w kierunku konkretnej adresacji IP powodują wysycenie łącza lub zasobów urządzeń sieciowych i prowadzą do niedostępność usług sieciowych. I to zarówno w kierunku wchodzącym do zaatakowanej firmy, jak i blokowane są połączenia wychodzące. W przypadku tych pierwszych, w zależności od zaatakowanych zasobów klienci nie mogą połączyć się ze stroną firmową, dokonać operacji bankowych, nie dociera poczta elektroniczna.

- W ostatnim czasie najwięcej ataków tego typu przeprowadzanych jest przez grupy związane z rządem rosyjskim i obliczone są na efekt propagandowy – dodaje Przemysław Dęba.

- Rosnący trend to ataki na łańcuch dostaw, czyli atak na infrastrukturę, usługi lub produkty jednego z naszych dostawców po to, aby wykorzystując zaufany kanał dostać się do zasobów celu. Wykorzystywana tutaj jest różnica potencjałów ryzyka i dojrzałości organizacji, które z sobą współpracują np. korporacja i startup. Coraz bardziej skomplikowane modele biznesowe będą temu zjawisku sprzyjały – wylicza dyrektor.

- Na koniec warto też zwrócić uwagę na ataki, których celem są fraudy, a polegają na przejęciu kont klientów usługodawców banków, telekomów, portali transakcyjnych itd. Dlatego budując system bezpieczeństwa warto zadbać też o bezpieczeństwo kont i danych naszych klientów. To sposób na zabezpieczenie przychodów i wyraz szacunku, jakim darzymy naszych klientów – mówi Przemysław Dęba.

Jaką część ataków cyberprzestępców udaje się odeprzeć? - Niestety, takie wiarygodne dane są niedostępne, ale również trudne do pozyskania, bowiem wiele prób ataków, czy nawet skutecznych ataków pozostaje niezauważona – mówi Dęba.