Prawdopodobnie różnie jest w różnych branżach. Trudno sobie wyobrazić, żeby w sektorze publicznym ktoś negocjował z przestępcami.
Zdarzają się też nieoczekiwane okoliczności łagodzące skutki ataku. Znany jest przykład dużej niemieckiej firmy, którą cyberatak całkowicie położył ‒ z wyjątkiem polskiego oddziału. Dlaczego? Ponieważ jego księgowa lubiła pracować w Excelu i miała dane do odtworzenia systemu. To zmienia warunki negocjacji z cyberprzestępcami.
Bardzo często dyrektorzy sprzedaży mają swoje własne bazy klientów, które także są pomocne w tego typu przypadkach. Szef jednej z firm transportowych miał we własnym telefonie numery do wszystkich kierowców dzięki czemu można było zlokalizować ich i ich cargo. Kryzysy wywołują niezwykłą pomysłowość. W jednej firmie, w której poblokowano służbowe komputery, szybko kupiono partię najprostszych poleasingowych laptopów i w systemie telekonferencji sprawdzano, który oddział w kraju ma jakie zasoby, pozwalające podtrzymać działalność.
Swoją drogą taka inwencja pokazuje, czy ta firma odrobiła lekcje w postaci opracowania planu „ciągłości działania” na tego typu sytuacje. Gdyby plan istniał, to pewnie nie byłyby potrzebne przypadkowe rozwiązania.
A czy ataki są na tyle standardowe, że wszystko można przewidzieć?
Ataki są dosyć standardowe i zwykle przeprowadzane w podobny sposób, podzielony na etapy. Na każdym z nich można zastopować działanie hakerów. Dla przykładu, jeżeli administrator widzi logi pracownika, który jest na urlopie wychowawczym, to może podejrzewać, że ktoś przejął jego dane dostępowe i rozpoczął rozpoznanie zasobów w systemie. Dostęp pracownika na urlopie wychowawczym powinien zostać zablokowany, a kiedy pracownik powróci jego dane powinny zostać zmienione.
To jest dużo elementów działalności do przeanalizowania.
Tak, ale od tego są w firmach pracownicy pionów IT i cyberbezpieczeństwa. Modelowo przyjmuje się, że na każdych 200 pracowników w przedsiębiorstwie powinien przypadać jeden specjalista od cyberbezpieczeństwa. Dwóch na 400 pracowników, pięciu na 1000 i tak dalej…
Firmy dzielą się na takie, które nie mają własnego IT, na takie, które je mają, i na takie, które mają zarówno pion IT, jak i cyberbezpieczeństwa. Specjalista od cyberbezpieczeństwa, choćby na ćwierć etatu, opracuje politykę bezpieczeństwa i wymusi sporządzenie planu ciągłości działania. Polegającego chociażby na tym, że z magazynu zostanie przyniesiony czysty sprzęt, zainstalowane od zera wszystkie narzędzia i podjęta próba przywrócenia danych. To co prawda i tak będzie trwało tydzień, ale przynajmniej każdy wie co ma robić: dyrektor finansowy, że na tydzień musi zabezpieczyć płynność przedsiębiorstwa, a szef firmy, że musi uprzedzić kontrahentów i ograniczać straty wizerunkowe.
Problem zagrożenia przedsiębiorstw oraz instytucji dostrzegła Unia Europejska, i wdrożyła dyrektywę NIS2. Wymusza ona pewne standardy działań w dziedzinie cyberochrony ‒ na przykład obowiązkową wymianę informacji na temat incydentów. Jeżeli kieruję firmą meblarską a właśnie zaatakowano inną sieć sprzedaży, to ja mogę być następny w kolejności. Dlatego chciałbym wiedzieć jakiego typu to był atak i jakie narzędzia były wykorzystane. A, jak mówiłem, firmy nie zawsze chcą się chwalić, że były przedmiotem ataku.
Jak można wyzyskać wiedzę o takich atakach?
Specjaliści monitorują ponad 1 000 grup, które zajmują się atakami ransomware. Około 40 jest aktywnych. Jeżeli wiem, która z nich stała za atakiem na firmę z tej samej branży, to łatwiej mi przygotować się na potencjalny atak.
