Bezpieczna firma. Nie daj się hakerom

8 listopada nie był najszczęśliwszym dniem dla władz koncernu Media Markt Saturn. To jeden z największych w Europie sprzedawców elektroniki, obecny także w Polsce. Jego serwery padły ofiarą hakerów. Wykradziono dane, ale w dodatku przestępcy w zamian za odzyskanie dostępu do maszyn zażądali początkowo… 240 mln dol. w bitcoinach.

Atak uderzył przede wszystkim w sklepy na terenie Niemiec, Belgii i Holandii, ale i sieć na terenie Polski zadeklarowała ograniczenie usług. Pracownicy sklepów dostali także informację o odłączeniu kas fiskalnych od internetu oraz o nierestartowaniu systemów. Polscy klienci nie mogli np. odbierać części zamówień internetowych. Czy firma zapłaci szantażystom? W momencie oddania tego numeru do drukarni taka informacja nie została ujawniona, ale według niemieckiej prasy hakerzy obniżyli żądania do 50 mln dol. Nie wiadomo także, czy nie wyciekły dane klientów, w tym ich adresy e-mailowe.

Wciąż nie wiadomo, w jaki sposób hakerom udało się zaatakować firmę. Takie historie dzieją się dosłownie codziennie. W piątek, 5 listopada, firma bzX zajmująca się kryptowalutami straciła łącznie 55 mln dol. po przejęciu kluczy do portfeli. Na początku listopada Robin Hood, jedna z największych platform do obrotu akcjami dla inwestorów indywidualnych, poinformowała o wycieku danych ponad 2 mln użytkowników. W październiku i listopadzie w Polsce o atakach informowały m.in. Totolotek (doszło do wycieku danych) czy Luxmed (tu oficjalnie do wycieku miało nie dojść). Przykłady można mnożyć.

Każdy jest zagrożony

Przede wszystkim zaatakowana może być każda firma, niezależnie jak duża i w jakiej branży działa. Oznacza to, że zagrożone mogą być biznesy nie tylko działające w sferze internetowej czy technologicznej. Nie liczmy na to, że skoro nie prowadzimy dużego biznesu, to nie znajdziemy się na celowniku hakerów. Rzeczywiście, prawdopodobieństwo, że właśnie teraz gdzieś w Rosji albo w Chinach działa grupa, która próbuje dostać się na twoje serwery jest bardzo małe. Problem w tym, że dziś zdecydowana większość ataków jest zautomatyzowana. Jeśli jeden z twoich systemów nie został zaktualizowany a w internecie działa program, który potrafi to wykorzystać, by „wstrzyknąć” złośliwe oprogramowanie, to możemy mieć problem.

– Ataki typu phishing, skutkujące często instalacją ransomware, a następnie żądaniem okupu za odzyskanie dostępu do danych, mają charakter masowy. W efekcie drobny przedsiębiorca wcale nie jest bezpieczniejszy ze względu na mniejszą skalę działalności, szczególnie w czasach, gdy duże firmy bardzo poważnie podchodzą do kwestii związanych z ochroną danych – komentuje Krzysztof Skibicki, dyrektor ds. technicznych w M/platform.

Skala ataków także przybiera na sile. Od kilku lat poziomowi cyberbezpieczeństwa w Polsce przygląda się KPMG. W 2020 r. co najmniej jeden incydent odnotowało 64 proc. polskich przedsiębiorców. A należy pamiętać, że niektóre ataki mogą nie zostać zasygnalizowane (np. wykradzenie danych klientów i ich sprzedaż w internecie). Co ważniejsze, znacznie częściej niż duże firmy ataki dotykają przedsiębiorstwa średnie.

Co można stracić

Wyobraźmy sobie scenariusz, w którym tracimy dostęp do wszystkich komputerów w firmie, a przestępcy żądają 100 tys. dol. okupu za ich odblokowanie. Bez komputerów nie możemy prowadzić normalnej działalności. Ile kosztuje nas każdy dzień przestoju? Co, jeśli mimo zapłacenia okupu, nie odzyskamy dostępu do komputerów? Nie ma prostego rozwiązania. A taki atak nie jest niczym niezwykłym.

Weźmy inny przykład. Nasz pracownik przez przypadek umieszcza dane kontaktowe do wszystkich kontrahentów w miejscu, do którego jest wolny dostęp z sieci. Dokument wycieka i trafia do internetu, m.in. w ręce naszej konkurencji. Tracimy nie tylko cenne dane, ale też prawdopodobnie i klientów, do których nasza konkurencja ma bezpośredni dostęp. To nie zdarza się często? Polecamy serwis niebezpiecznik.pl, który o podobnych sytuacjach w Polsce informuje regularnie.

Mamy mały zakład fryzjerski i trzymamy numery telefonów do naszych klientów bez żadnego zabezpieczenia? Jeśli nasze dane wyciekną, wówczas możemy trafić na celownik UODO. Kara za naruszenie bezpieczeństwa może być dramatyczna (do 4 proc. rocznego obrotu przedsiębiorstwa).

Jak nie dać się atakom

Po pierwsze – buduj świadomość zagrożenia u swoich pracowników. Nie klikamy w nieznane linki i prowadzimy „weryfikację dwuetapową” różnych kluczowych decyzji. Przykładowo, robiąc przelewy na znaczne kwoty, upewniamy się, czy numer konta jest odpowiedni – również dzwoniąc co kontrahenta. Zdarzały się bowiem przypadki podszywania się przestępców pod prezesów firm i zlecania przelewów na ich konta.

Wielkie wyzwanie przyniosła także praca zdalna. Sieci domowe są najczęściej o wiele gorzej zabezpieczone niż służbowe. Poza tym pracując z domu, również potrzebujemy mieć dostęp do kluczowych systemów w firmie. Wystarczy zainfekować ich sieć wi-fi, by przestępcy mogli umieścić złośliwe oprogramowanie na serwerach służbowych. Są na to sposoby, ale pracownicy i tak muszą być czujni.

Najlepszym wyjściem są szkolenia. Nawet najlepsze systemy zawiodą, jeśli nasz pracownik otworzy e-mail o dziwnym tytule: „Książę z Nigerii chce ci dać 10 milionów dolarów” i kliknie w załącznik. Ataki są także bardziej wyrafinowane, np. podszywanie się pod kontrahentów wysyłających zapytania ofertowe z zainfekowanymi plikami Excela.

Po drugie – zabezpiecz systemy. Niezależnie od tego, z jakiej technologii korzystamy ani jakie urządzenia wykorzystujemy, trzeba mieć aktualne oprogramowanie i jednocześnie zapewniać dodatkowe poziomy ochrony. Tu musimy zdać się na wsparcie ekspertów – czy to wewnętrznych w firmie, czy tych zewnętrznych. Dobrym rozwiązaniem jest także wykorzystanie zewnętrznych audytorów, którzy zbadają odporność naszej firmy na ataki i potencjalnie wskażą miejsca, które musimy poprawić.

---

Ubezpieczenie od cyberzagrożeń

Autor komentarza: Grzegorz Waszkiewicz, broker ubezpieczeniowy, członek zarządu Krajowego Biura Obsługi Roszczeń Ubezpieczeniowych, twórca marki: BezpieczenstwowBiznesie.pl

Czy firma może zabezpieczyć się przed atakiem cyberprzestępców? Niestety, nie sposób uniknąć ataku, ale można zabezpieczyć się przed negatywnymi skutkami takiego zdarzenia. Wraz ze wzrostem pracy zdalnej wzrasta też prawdopodobieństwo popełnienia błędu przez pracowników oraz niespodziewanych awarii technicznych. Utrata danych czy odpowiedzialność za ich nieuprawnione wykorzystanie, czyli naruszenie standardów bezpieczeństwa prywatności czy przechowywania danych, będzie wiązać się zawsze z poważnymi stratami finansowymi. Wynikają one np. z konieczności zapłaty odszkodowań na rzecz osób poszkodowanych i kar na rzecz organów nadzoru (Urząd Ochrony Danych Osobowych).

Podstawowym zadaniem polisy od cyberataków jest ochrona na wypadek przerwy w prowadzeniu działalności spowodowanej awarią systemu komputerowego firmy. Ubezpieczyciel pokrywa koszty odzyskania utraconych danych elektronicznych, zakupu nowego czy usunięcia złośliwego oprogramowania. Firma ubezpieczeniowa wypłaca odpowiednie środki, gdy cyberprzestępca przeprowadzi atak komputerowy na serwery i zablokuje dostęp do danych, wskutek czego nastąpi wstrzymanie działalności przedsiębiorstwa. Towarzystwa ubezpieczeniowe oferują w ramach polis nie tylko zwrot poniesionych kosztów przywrócenia danych czy kosztów porady prawnej, ale również finansowanie tzw. informatyki śledczej. Pokrywają koszty związane ze wsparciem w komunikacji kryzysowej oraz zewnętrznego doradztwa IT. Ubezpieczyciele oferują również zwrot kosztów związanych z usługami public relations mającymi na celu przywrócenie dobrego imienia organizacji po ataku. Dodatkowo w zakres ten wchodzą koszty przeniesienia zachowanych danych na nowe serwery.

Cena ubezpieczenia zawsze jest uzależniona od poziomu ryzyka, branży, liczby pracowników (użytkowników systemu) czy ilości danych, które znajdują się w zasobach firmy. Już podczas wnioskowania o ofertę, widząc pytania, dana firma może zweryfikować poziom swoich zabezpieczeń i procedur bezpieczeństwa. Ubezpieczenie Cyber można zakupić bezpośrednio u ubezpieczyciela. Jednak skorzystanie z doradztwa niezależnego brokera daje szanse na dostosowanie polisy i jej warunków do oczekiwań konkretnej firmy.

---

Skuteczna ochrona przed cyberatakiem

Z roku na rok fala cyberataków przybiera na sile. Hakerzy polują na wrażliwe informacje i próbują wymuszać okup. Problemem może być także zwykły wyciek danych na skutek błędu pracownika. Zagrożenia czają się wszędzie, a wiele firm nie ma nawet podstawowej wiedzy o własnym poziomie bezpieczeństwa. – Często rozmawiamy z przedsiębiorstwami, które nie potrafią nam podać szczegółów rozwiązań związanych z bezpieczeństwem krytycznych systemów – mówi Monika Ściuba, koordynator ds. Underwritingu w PZU.

Wiele do zrobienia

Jak tłumaczy Monika Ściuba, jakość ochrony polskich firm poprawia się. Przykładowo, dziś praktycznie nie ma firm, które nie miałyby antywirusów czy firewalli. Co więcej, wiele z nich dba o to, by zabezpieczenia były aktualne. Z tym jeszcze do niedawna były problemy. Firmy są także zainteresowane nowymi narzędziami takimi jak systemy do badania stopnia ochrony strony internetowej.

PZU oferuje np. bezpłatną usługę PZU Cyber Raport. To projekt przygotowany we współpracy ze startupem w ramach programu #PZUReadyForStartups. Raport dostępny jest dla wszystkich (nie tylko klientów PZU) i pozwala wygenerować zestawienie podatności na zagrożenia cybernetyczne oraz ocenić ryzyko i koszty ich wystąpienia.

Wciąż jednak jest wiele do zrobienia w kwestii ochrony danych przez cyberatakami. Przykładowo wiele firm dba o to, by posiadać kopie zapasowe swoich systemów czy plików, ale często zapomina o ich odpowiednim zabezpieczeniu lub regularnej aktualizacji. Wyzwaniem jest wciąż praca zdalna i brak wieloskładnikowego uwierzytelniania dostępu do systemów firmowych. – Widzę poprawę, ale wciąż zarządzający firmami nie zdają sobie sprawy, jak kosztowne mogą być same incydenty, nie mówiąc już o kosztach przerw w funkcjonowaniu firmy – tłumaczy Ściuba.

Proste zablokowanie systemu rodzi nie tylko konieczność jego odblokowania (a to sporo kosztuje nawet, jeśli nie zapłacimy hakerom), ale także paraliżuje działalność firmy. Same koszty zgodnego z prawem zawiadomienia osób, których dane wyciekły mogą wynieść kilkaset tysięcy złotych. – Nie każda firma zatrudnia prawników, którzy potrafią zarządzać zdarzeniami cybernetycznymi. Koszt zatrudnienia takich osób może być spory, a to najłatwiejszy scenariusz – dodaje. Prosty błąd, który doprowadził do umieszczenia wrażliwych danych w internecie, sprowadził na jedną z polskich firm wiele problemów. – Sprawa trwała rok i musiała zostać zgłoszona do UODO. Prezes urzędu nie nałożył ostatecznie kary. Firma korzystała z pomocy specjalistów w ramach ubezpieczenia ryzyk cybernetycznych. Dzięki temu nie poniosła kosztów prawników, kosztów prowadzenia sprawy oraz kosztów zatrudnienia informatyków śledczych, którzy przez cały czas wyjaśniania incydentu współpracowali z ubezpieczonym i PUODO oraz pomogli wypracować zasady bezpieczeństwa na przyszłość – komentuje Monika Ściuba.

Ubezpieczenie w świecie cyfrowym

Na rynku jest jednak narzędzie, które może pomóc w takich sytuacjach. To ubezpieczenie od cyberzagrożeń. Jego koszt zaczyna się od kilkuset złotych i zależy od skali biznesu i potencjal­nego ryzyka. To nie jest wysoka kwota, biorąc pod uwagę nie tylko proces obsługi szkód, ale także sam koszt zarządzania incydentem. Bo praca informatyków, którzy próbują uratować sytuację w firmie kosztuje, nie mówiąc już o kosztach prawników.

– W PZU oferujemy klientom ubezpieczenia cyber – dla małych i średnich podmiotów oraz dużych przedsiębiorstw. W pierwszym produkcie proces oceny ryzyka jest uproszczony, w samej ofercie skupiamy się na zarządzeniu zdarzeniem cybernetycznym, czyli pomocy ekspertów i na pokryciu kosztów odtworzenia naruszonych danych lub strat wynikających z zakłócenia działalności. Dochodzi do tego ochrona OC, która zabezpieczy wszelkiego rodzaju roszczenia w stosunku do klienta wynikające z wycieku danych wrażliwych. Dla największych podmiotów – w szczególności dla klientów z segmentu infrastruktury krytycznej – mamy przygotowany tzw. duży produkt. Kluczowym jego wyróżnikiem jest to, że klient może również ubezpieczyć szkody rzeczowe po cyberatakach. Przykładem takiej szkody może być wybuch, a następnie pożar w serwerowni klienta spowodowany bezpośrednio przez atak hakerski. Jest to coś unikatowego na rynku polskim. Warto też zwrócić uwagę na e-kradzież, czyli nieuczciwe transfery elektroniczne – mówi Monika Ściuba.

– Jeśli zdajemy sobie sprawę, że istnieje ryzyko, to musimy się na nie przygotować. Nie musimy być zaatakowani, by mieć problemy. Wystarczy błąd ludzki taki jak ujawnienie danych klientów – uściśla przedstawicielka PZU.

PZU dla ubezpieczonych firm oferuje też dostęp do specjalnej infolinii 24h na dobę 7 dni w tygodniu. W razie incydentu klient może uzyskać pomoc incydent menedżera. Specjalista sprawdzi, co dokładnie wydarzyło się u klienta i ustali plan działania tak, by jak najszybciej wyjść z sytuacji kryzysowej. Jeżeli skala ataku tego wymaga, możliwe jest wsparcie i pomoc kancelarii prawnej, agencji public relations czy informatyka śledczego.

---

Najpopularniejsze metody ataków

Ransomware - jedne z najbardziej niebezpiecznych z punktu widzenia przedsiębiorców. Opiera się na zainfekowaniu komputerów złośliwym oprogramowaniem (Malware), które szyfruje dane. W zamian za jego odblokowanie przestępcy mogą żądać okupu. Niewykluczone, że nawet jeśli zapłacimy, to albo nie odzyskamy dostępu do komputerów, albo i tak pozostaną na nich nieprzyjemne niespodzianki, jak np.: spyware – oprogramowanie śledzące działalność na komputerze i w sieci czy keyloggery – oprogramowanie odczytujące hasła wpisywane np. na kontach bankowych.

Phishing - odszywanie się pod strony internetowe lub kontrahentów. Celem jest albo zainstalowanie złośliwego oprogramowania albo wyłudzenie dostępów do kont bankowych. Często wykorzystywany jest do tego Spoofing, czyli podszywanie się pod inny adres e-mailowy.

Pharming - zainfekowanie strony internetowej poprzez stworzenie systemu przekierowań, który doprowadza użytkownika do strony, na której znajduje się złośliwe oprogramowanienDoS/DDoS – atak na stronę lub serwery, który doprowadza do przeciążenia systemów.