Orange chce inwestować w bezpieczeństwo

Zaostrzenie sytuacji politycznej za naszą wschodnią granicą wpływa na wzrost zagrożenia cyberatakami. – W ostatnim okresie, monitorując naszą sieć, wykryliśmy cztery adresy z Rosji, które służą do generowaniu ataków typu DDoS – mówił Piotr Muszyński, wiceprezes Orange Polska, prezentując raport CERT Orange Polska o zagrożeniach w sieci w ubiegłym roku.

Jego zdaniem należy się nastawić, że cyberincydentów będzie coraz więcej, bo gospodarcze podziemie sieciowe, to coraz większy biznes. Już w ubiegłym roku największy polski telekom zanotował wzrost cybertataków o 40 proc. – Dziś notujemy około 1 tys. zdarzeń miesięcznie, na które trzeba reagować i aktywnie nimi zarządzać – powiedział Piotr Muszyński.

Orange zakłada wzrost swoich wydatków na cybersecurity. Obecnie telekom zatrudnia około 50 osób, które zajmują bezpieczeństwem sieci. Piotr Muszyński zauważył jednak, że te inwestycje maja też pozytywny efekt na wyniki finansowe firmy, bo wiele instytucji, po doświadczeniu skutków cyberataku zwraca się potem po usługi w zakresie cyberbezpieczeństwa. Tak było np. w przypadku Allegro, które po poważnym ataku na platformę transakcyjną zainteresowało się usługami Orange i podpisało umowę z operatorem. Usługi przed atakami DDoS, to jedna z mocniej ostatnio promowanych usług operatora.

W sumie, w ubiegłym roku, systemy ochrony przed atakami DDoS w sieci Orange Polska zidentyfikowały ponad 100 tys. ostrzeżeń o ruchu noszącym znamiona ataku. 39 proc. stanowiły zgłoszenia i obserwacje związane z rozpowszechnianiem spamu. I jest to zgodne ze światowymi trendami odnotowanymi w ubiegłym roku przez Cisco. Firma ta szacuje, że w okresie styczeń-listopad 2014 r., liczba spamu na świecie wzrosła o 250 proc. Nasilenie zjawiska, to m.in. efekt zmian w działaniach cyberprzestępców. Coraz większą popularność zdobywa technika wysyłania niewielkich porcji spamu przy wykorzystaniu dużej liczby różnych adresów IP (tzw. snowshoe spam), co utrudnia filtrowanie przez mechanizmy antyspamowe.

Według Orange, przez którego sieć przechodzi około 40 proc. ruchu polskiego internetu, w naszym kraju największym incydentem był lutowy atak na modemy DSL polskich internautów, który swoim zasięgiem objął 100 tys. urządzeń, z czego ok. 50 tys. zostało skutecznie zrekonfigurowanych przez atakujących. Dotyczyło to także klientów Orange, którzy kupili modemy na wolnym rynku.

CERT Orange Polska zanotował też znaczny wzrost liczby ataków wykorzystujących niepoprawnie skonfigurowane serwery (m.in. synchronizacji czasu), pozwalające na skierowanie w stronę ofiary odpowiedzi większej nawet kilkaset razy od pakietu inicjującego atak. Średnie szczytowe natężenie ataku odnotowane przez CERT Orange Polska to ok. 900 Mbps. Tymczasem największy wolumen zaobserwowanego w sieci Orange Polska podczas ataku ruchu, to 93 Gbps oraz 50 Mpps (milionów pakietów na sekundę). Można się jednak spodziewać, że ataki będą jeszcze bardziej intensywne. Gaweł Mikołajczyk, architekt rozwiązań bezpieczeństwa w Cisco Systems w ubiegłym tygodniu mówił, że we Francji jeden z operatorów zanotował atak o wolumenie 400 Gbps.

Krzysztof Białek , kierownik działu obsługi bezpieczeństwa w Orange Polska, podkreślił natomiast, że od kilku lat utrzymuje się tendencja do dywersyfikacji celów ataków z jednoczesnym skracaniem czasu ich trwania.

– Zdarzają się ataki typu DDoS, które trwają kilka, kilkanaście minut, ale były i takie, które trwały pod dwanaście godzin w przeciągu kilku dni – mówi Krzysztof Białek. I dodaje, że jednym z ostatnich widocznych trendów są nie ataki wolumenowe, ale ukierunkowane na jedną konkretną aplikację, co wyłącza na pewnie czas pewien obszar działalności ofiary ataku.

Poważnym zagrożeniem pozostaje phishing. Jego ofiarami w ubiegłym roku stali się też klienci Orange Polska (a potem także innych dużych operatorów). Kilka miesięcy temu zaczęli otrzymywać maile z załącznikiem przypominającym faktury za usługi telekomunikacyjne. Był w nich zaszyty złośliwy kod zidentyfikowany później jako odmiana trojana Tiny Banker.

– Od wcześniejszych przypadków phishingu przypadki te różniły się tym, że maile były napisane dobrą polszczyzną. Cyberprzestępcy przechwycili bowiem autentyczny mail jednego z klientów i podawali później jego rachunek, na który należało uregulować płatność z faktury. Nie chodziło jednak o ściągniecie tej płatności, ale o zainfekowanie komputera użytkownika, by np. później używać go jako bota, czy zbierać z niego informacje – mówi Tomasz Matuła, dyrektor infrastruktury IT i bezpieczeństwa teleinformatycznego w Orange Polska.

Około 3 tys. klientów Orange zgłosiło tego typu przypadki, z czego kilkanaście osób uregulowało fałszywą fakturę.

Wśród innych cyberzagrożeń, na które zwracają uwagę specjaliści z CERT Orange Polska oraz eksperci od sieciowego bezpieczeństwa, są tzw. bankery, czyli złośliwe oprogramowanie wykradające dane logowania do systemów e-bankowości oraz malware inicjujący ataki APT (Advanced Persistent Threat), których celem są konkretne systemy i sieci, łamane długotrwałymi, dedykowanymi technikami.

Według Orange w najbliższych miesiącach należy się spodziewać nasilenia cyberzagrożeń szczególnie jeśli chodzi o urządzenia mobilne oraz "Internet Rzeczy".

Piotr Muszyński zwrócił uwagę, że instytucje państwowe przeprowadzając przetargi na usługi telekomunikacyjne rzadko uwzględniają aspekt bezpieczeństwa, co może je w przyszłość dużo kosztować.

Uwzględnienie tego aspektu mogłoby też skłonić innych operatorów do zwrócenia większej uwagi na obszar bezpieczeństwa w ich sieciach – uważa wiceprezes Orange. Dziś w Polsce tylko Orange obok NASK ma uprawnienia do posługiwania się zastrzeżoną nazwą CERT (Computer Emergency Response Team) dla zespołu reagowania na zagrożenia bezpieczeństwa teleinformatycznego. – Niestety w przetargach publicznych nie daje nam to przewagi – ubolewa Piotr Muszyński.

Raport CERT Orange Polska za rok 2014