W dzisiejszych czasach cyberataków jest tak dużo, że każda firma powinna z góry zakładać, że ktoś mógł się do niej włamać – wskazał w rozmowie z PAP nowy kierownik CERT Polska Marcin Dudek. Dodał, że najgroźniejszym rodzajem ataku hakerskiego na firmę jest atak typu ransomware.
CERT Polska to działający w instytucie NASK zespół reagowania na incydenty w sieci i przyjmujący zgłoszenia o podejrzanych i nietypowych zdarzeniach. 1 grudnia br. roku kierownikiem CERT Polska został Marcin Dudek.
PAP: Jakie rodzaje ataków na firmy dominowały w 2024 roku?
ReklamaZobacz takżeProwadzisz firmę? Możesz odebrać nawet 3000 zł w bonusach za Konto Firmowe Online w Santander Banku Polska. Bezwarunkowe 0 zł za otwarcie i prowadzenie
Marcin Dudek: Pod względem wpływu na organizacje zdecydowanie dominują ataki ransomware (z ang. ransom, czyli okup oraz software, czyli oprogramowanie – PAP). Zanotowaliśmy 140 incydentów tego typu. Najczęściej polegają one na zainstalowaniu szkodliwego oprogramowania na urządzeniu, kradzieży danych i zaszyfrowaniu ich. Następnie cyberprzestępcy żądają okupu, w zamian za odszyfrowanie danych.
PAP: Co się dzieję, gdy dane zostaną zaszyfrowane?
M.D: Organizacja traci zdolność do działania w obszarze, który został zaatakowany. Najczęściej jest to jednak cała sieć IT, czyli wszystkie serwery z danymi, systemy informatyczne, aplikacje. Firmy zazwyczaj mają kopie zapasowe, ale niestety często okazuje się, że były one trzymane w tej samej infrastrukturze, w której przeprowadzono atak, a więc kopie te również są zaszyfrowane.
PAP: Kto był głównie atakowany w ten sposób?
M.D: Atakowane w ten sposób były głównie organizacje, zwłaszcza w sektorze handlu, produkcji i administracji publicznej, rzadziej osoby fizyczne. Nie jest też tak, że cyberprzestępcy wybierają konkretny sektor, który chcą atakować. Celują tam, gdzie usługi są podatne (mają luki w bezpieczeństwie – PAP), przez co atak jest łatwiejszy. Przestępcy szukają nisko wiszących owoców.
Głównym wektorem ataków w tym roku, tak jak w poprzednich latach, są podatności urządzeń brzegowych, np. takich, które umożliwiają połączenie się zdalne z firmą przez VPN (z ang. virtual private network, wirtualna sieć prywatna – PAP). Luki bezpieczeństwa tego typu w urządzeniach umożliwiły cyberprzestępcom ataki, o których było bardzo głośno w ostatnich latach.
Istnieją też grupy, które specjalizują się w atakowaniu osób fizycznych w nadziei, że są one pracownikami jakiejś firmy. Po zainfekowaniu urządzenia zbierają poświadczenia, czyli np. dane do logowania do sieci VPN. Grupa tego typu nie używa tych skradzionych danych, a odsprzedaje innym cyberprzestępcom, którzy będą próbowali z ich wykorzystaniem uzyskać dostęp do sieci firmy i przeprowadzić atak.
PAP: Jakie jeszcze ataki na firmy się pojawiały w tym roku?
M.D: Ataki DDoS (ang. distributed denial of service, rozproszona odmowa usługi – PAP), których zarejestrowaliśmy w tym roku 318. Prowadzą je głównie prorosyjskie grupy, które komunikują się na Telegramie i ustalają, że np. danego dnia będą atakować daną stronę internetową. Może to skutkować tym, że strona będzie niedostępna przez krótki czas. Obserwowane w tym roku ataki DDoS nie były motywowane finansowo. Celem atakujących było pokazanie swojego rzekomego wpływu na biznes w Polsce, ale ataki były stosunkowo amatorskie i nie miały dużego wpływu na ciągłość działania firm, których dotknęły. W ten sposób jest atakowany głównie sektor bankowy.
PAP: Czy firmy mają obowiązek zgłaszać ataki hakerskie do CERT Polska?
M.D: To zależy. Podmioty publiczne oraz operatorzy usług kluczowych mają taki ustawowy obowiązek. Ich lista nie jest publiczna, ale firmy, które na niej są, wiedzą o tym. Pozostałe nie mają takiego obowiązku. My, jako CERT Polska, zachęcamy jednak, żeby zgłaszać do nas incydenty.
PAP: Dlaczego warto to zrobić?
M.D: Zaatakowanym firmom często udzielamy pomocy i nigdy nie pobieramy za to opłat. Zajmuje się tym dedykowany zespół, który ma duże doświadczenie w takich przypadkach. Jest więc w stanie wysłać konkretne zalecenia, listę pytań, pomóc w analizie, wesprzeć w komunikacji z klientami czy mediami. Jednocześnie firmy zgłaszając incydent, poprawią widoczność całego sektora w zakresie cyberbezpieczeństwa. Na tej podstawie możemy analizować ataki. Patrzeć, ile i która grupa przeprowadziła ataków oraz jakiego typu one były. Dzięki temu możemy wydawać rekomendacje dla różnych sektorów czy też dla całej Polski. A więc, jeśli przedsiębiorca zgłasza incydent, pomaga też innym firmom i obywatelom.
PAP: Co zmieni się w tym zakresie po nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)?
M.D: Więcej sektorów i firm będzie miało obowiązek zgłaszania incydentów do CERT Polska. Dokładna lista podmiotów, których będzie dotyczył ten obowiązek, nie jest jeszcze znana. Obecna wersja ustawy pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Projekt nowelizacji jest w trakcie opracowywania. Wszyscy czekamy na to, by został uchwalony.
PAP: Co firmy mogą zrobić, żeby zminimalizować skutki ataku hakerskiego?
M.D: Kluczowe jest to, żeby kopie zapasowe były odseparowane fizycznie od reszty infrastruktury. Bardzo ważne jest też, żeby firma ćwiczyła odzyskiwanie danych. W CERT Polska często mamy do czynienia z przypadkami, gdzie wydaje się, że kopie zapasowe zostały wykonywane, są odseparowane, ale okazuje się, że można przywrócić np. tylko 10 procent, ponieważ większość nie była objęta systemem tworzenia kopii zapasowych. Albo okazuje, że nikt nie wie, jak to sprawnie zrobić, bo nie było to wcześniej testowane.
PAP: Jak firmy mogą chronić się przed atakiem hakerskim?
M.D: Ważne jest wieloskładnikowe uwierzytelnianie do wszystkich usług firmowych dostępnych z internetu. W szczególności dla zdalnego dostępu do firmy, czyli VPN-u. Dzięki temu, nawet jeśli dane jakiegoś pracownika zostaną skradzione, będzie miał on możliwość zorientowania się, że ktoś próbuje się zalogować na jego konto, bo np. otrzyma SMS-a w środku nocy z taką informacją. Wieloskładnikowe uwierzytelnianie jest też wskazane przy logowaniu do poczty e-mail, jeśli jest ona dostępna bezpośrednio z internetu. Jeśli go nie ma, a wycieknie login i hasło, konto może zostać wykorzystane przez cyberprzestępcę. Raczej nie będzie on w stanie z tego poziomu zaszyfrować organizacji, ale być może znajdzie na skrzynce dane, które pozwolą mu dalej atakować firmę. Być może będzie w stanie przeprowadzać z tego konta ataki phishingowe do innych pracowników, czyli wysyłać fałszywe linki czy załączniki, które np. zainfekują ich sprzęt służbowy. Kluczowa jest także systematyczna aktualizacja wszystkich urządzeń. Aktualizacje często zawierają łatki na luki bezpieczeństwa, co sprawia, że haker nie będzie już w stanie zaatakować urządzenia, które było podatne.
Oprócz tych rozwiązań technicznych warto też inwestować w edukację pracowników, szczególnie w kontekście ataków phishingowych, które często stanowią wstęp do tych poważniejszych, o których była mowa wcześniej. W dzisiejszych czasach ataków jest tak dużo, że każda firma powinna z góry zakładać, że ktoś mógł się do niej włamać – nazywa się to podejściem assume breach. Opiera się na stałym monitorowaniu aktywności użytkowników i poszukiwaniu oznak włamania nie tylko na brzegu sieci, ale również wewnątrz niej.
Rozmawiała Monika Blandyna Lewkowicz (PAP)
mbl/ mick/ ktl/
