Cyberbezpieczeństwo w firmach, czyli analiza podatności i szacowanie ryzyka

Przedsiębiorstwa są niemniej, niż użytkownicy indywidualni narażeni na działania hakerów. Stanowią mniejszy „rynek”, ale dają nadzieję, na dużo większe przestępcze korzyści. Przestój systemu IT w wyniku cyberataku może trwać w firmie produkcyjnej nawet miesiąc i kosztować „...dziesiąt” milionów złotych. Który prezes nie zawaha się wówczas, czy nie lepiej zapłacić kilkaset tysięcy złotych za klucz deszyfrujący system? Tylko, że na tym często się nie kończy... O trendach w obszarze cyberzagrożeń rozmawiamy z Danielem Kamińskim, trenerem cyberodporności w Orange Polska, w ramach cyklu „Cyberbezpieczeństwo”, realizowanym we współpracy z serwisem GSMONLINE.PL oraz Orange.

Daniel Kamiński, trener cyberodporności w Orange Polska.
(źr. GSMONLINE.PL/TELKO.in)

GSMONLINE.PL/TELKO.in: Od kilku lat bardzo wiele się mówi o cyberbezpieczeństwie firmowych systemów IT. Problem nie jest przejaskrawiony?

DANIEL KAMIŃSKI, trener cyberodporności w Orange Polska: W 2019 r. hakerzy, wykorzystując lukę w oprogramowaniu jednego dostawcy (Solar Winds), włamali się do systemów informatycznych 18 tys. firm. Przez okres od 9 miesięcy do 18 miesięcy przeszukiwali te systemy, wykradając tajemnice przemysłowe. Czy jakakolwiek firma w Polsce jest w stanie się obronić, jeżeli po drugiej stronie czyha na nią ponad 1000 hakerów?

Nie jest w stanie.

Problem na pewno nie jest przejaskrawiony.

Jakiej kategorii przedsiębiorstwa w Polsce są najbardziej narażone na cyberataki?

Sądząc po wartości okupów o jakich wiadomo ‒ w przedziale 50 tys. do 5 mln zł złotych ‒ wydaje się, że wszystkie podmioty: od małych do największych. Ataki na mniejsze podmioty są zwykle szybkie. Infrastrukturę większych firm przestępcy infiltrują stopniowo: wykradają dane dostępowe, rozglądają się w zasobach i powoli je kopiują. Potem następuje etap zacierania śladów, aby trudno było dojść jakie były działania przestępców: w jaki sposób weszli do systemu i co tam zrobili. Potem przestępcy szyfrują dane, unieruchamiają systemy i proponują klucz deszyfrujący za określoną kwotę pieniędzy.

Zresztą starają się wykorzystać atak do maksimum. Najpierw pobierają haracz za sam klucz, potem mogą zażądać pieniędzy za nieudostępnianie wykradzionych danych (inaczej spróbują je sprzedać na czarnym rynku) i wreszcie ‒ jeżeli atak nie został nigdzie zgłoszony ‒ to proponują, odpłatnie, zachowanie dyskrecji o ataku wobec organów ochrony danych, przed którymi odpowiada właściciel systemu.

Często firmy cieszą się, że mają backup, ale niekoniecznie pamiętają, że jeżeli przestępcy buszowali w systemie kilka miesięcy wcześniej, to nadal mogą dysponować hasłami. 95 proc. średnich i dużych firm dysponuje planami działania na taki kryzys, ale tylko 24 proc. testuje procedurę odtwarzania środowiska. Czasem stosuje się całkowite wyłączenie systemu, ale to niekoniecznie jest najlepsze rozwiązanie, bo utrudnia szacowanie skali strat i działań przestępców.

Czy warunkiem ataku jest podłączenie środowiska do internetu?

Tak, chociaż podejmowane są również takie próby jak podrzucanie pendrive'ów, którymi można infekować systemy offline. Przestępcy próbują docierać do nich także poprzez urządzenia z kartą SIM. Z tego powodu niektóre firmy stosują tak zwane cyberbunkry tj. środowiska IT całkowicie odcięte od sieci.

Przedsiębiorstwa z jakich gałęzi gospodarki są najczęściej atakowane w Polsce?

Jeżeli chodzi o ransomware [blokowanie systemów IT z żądaniem okupu za odblokowanie ‒ red.], to TOP3 ubiegłego roku stanowią przedsiębiorstwa produkcyjne – ok. 20 proc., usługi profesjonalne (prawnicy, czy audytorzy) – ponad 17 proc. oraz logistyka (transport i magazynowania) – niemal 7 proc. Dalej jest handel detaliczny i kolejne branże.