Postawić cyfrowe mury obronne

Niedawno odświeżyliśmy sobie „House of Cards”, czyli kultowy serial Netflixa, który niestety zestarzał się dosyć kiepsko, zwłaszcza jeśli weźmiemy pod uwagę ostatnie sezony. W trzeciej odsłonie serii – i nie będzie to spoiler – pojawia się postać Gavina Orsaya, czyli hakera, którego działania są najlepszym urzeczywistnieniem przekonania, że kto posiada dane, ten ma władzę. Bohater jest przedstawiony dosyć stereotypowo – działający w zaciszu swojego mieszkania, pośród ekranów komputerów. Typowy wizerunek hakera w popkulturze.

Dlaczego o tym wspominamy? Bo współcześnie – co alarmujące – cyberprzestępcą może zostać każdy dysponujący odpowiednim zapleczem finansowym. Niech nie zwiodą nas filmy, książki – poprzez phishing czy vishing atakują nas już osoby bez jakiejkolwiek wiedzy o programowaniu, na pierwszy plan wysuwają się kompetencje miękkie hakerów. Zagrożenia czyhają na każdym kroku, a wraz z przeniesieniem wielu procesów do sieci cyberbezpieczeństwo stało się kwestią istotną jak nigdy wcześniej. – Ile hakerzy mają z psychologów? Okazuje się, że bardzo dużo. Najczęstszą przyczyną incydentów związanych z bezpieczeństwem wbrew pozorom nie są techniczne ataki, lecz ataki phishingowe oparte na socjotechnice. Żeby obejść zabezpieczenia, najłatwiej jest wykorzystać słabość człowieka – wskazuje Maciej Markiewicz, konsultant ds. bezpieczeństwa IT w Netguru.

Powrót z dłuższych wakacji

Codziennie wyspecjalizowane jednostki zajmujące się cyberbezpieczeństwem odnotowują na całym świecie dziesiątki poważnych ataków hakerów na wielkie koncerny i małe firmy. Z danych Polskiej Agencji Rozwoju Przedsiębiorczości wynika, że w naszym kraju działa ponad 2,3 mln przedsiębiorstw, z czego zdecydowana większość – ok. 

99,8 proc. – to podmioty z sektora MSP. Niepokojący w tym kontekście jest fakt – co potwierdzają nasze rozmowy z przedsiębiorcami – że przedstawiciele najmniejszych firm często bagatelizują kwestię cyberbezpieczeństwa, sądząc, że ten problem to domena w największym stopniu banków i wielkich korporacji. Zatem – teoretycznie – ich nie dotyczy. To ogromny błąd, który może kosztować organizacje nie tylko straty finansowe, ale również wizerunkowe, wszak kto chce współpracować z przedsiębiorstwem nieprzykładającym należytej uwagi chociażby do ochrony danych? – Małe i średnie przedsiębiorstwa najczęściej mają kilka słabych punktów. Dużym wyzwaniem jest podejście do cyberbezpieczeństwa, sposób, w jaki ten temat jest traktowany. Najczęściej podmioty z sektora MSP mają ograniczony dostęp do zasobów czy wykwalifikowanych specjalistów, których zresztą brakuje na rynku pracy. O kosztownym oprogramowaniu czy narzędziach już nawet nie wspomnę. Brakuje metodyki, którą nazwałabym „from zero to hero”, czyli kilkunastu kroków gwarantujących znaczącą poprawę zabezpieczeń – tłumaczy Lucy Szaszkiewicz, CEO 1strike.io. I dodaje: – Wyobraź sobie, że wracasz z dłuższych wakacji. W skrzynce mailowej czeka na ciebie mnóstwo wiadomości oczekujących na przeczytanie. A teraz wyobraź sobie, że pocztę e-mail sprawdzasz raz w roku – cały spam, informacje, oferty od klientów czekają na ciebie w jednym folderze. Małe i średnie przedsiębiorstwa dokładnie w taki sposób „dbają” o swoje bezpieczeństwo – raz w roku zlecają testy penetracyjne. To sposób bardzo nieefektywny.

Takie podejście – choć jego powody mogą wydawać się zrozumiałe – niezmiennie dziwi, szczególnie jeśli weźmiemy pod uwagę statystyki związane z cyberbezpieczeństwem. Z szóstego raportu KPMG „Barometr cyberbezpieczeństwa” wynika, że w 2022 r. ponad połowa polskich firm odnotowała przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa. Aż 85 proc. przepytanych przedsiębiorców potwierdzało, że zagrożenie cyberbezpieczeństwa może mieć negatywny wpływ na ich organizacje, z czego aż 57 proc. stwierdziło, że efektem może być zniknięcie z rynku. Teoria jednak sobie, a praktyka sobie.

Co z tymi uczelniami

Które sektory są najbardziej narażone na ataki? Eksperci firmy Vecto – w raporcie „Cyberbezpieczeństwo w polskich firmach” – przekonują, iż na baczności powinny się mieć przede wszystkim instytucje z branży bankowej, finansowej, medycznej, e-commerce oraz administracji publicznej. 

– Powszechność wykorzystania narzędzi IT w biznesie przełożyła się bezpośrednio na wzrost liczby groźnych cyberincydentów. Ransomware oraz inne szkodliwe oprogramowanie, ataki hakerskie, blokady systemów i procesów informatycznych to dziś, jak nigdy wcześniej, absolutnie realne zagrożenie dla każdej firmy bez względu na jej wielkość, poziom zatrudnienia czy osiągane wyniki finansowe. Problem ten dotyczy również instytucji, jednostek samorządowych czy nawet urzędów centralnych – piszą we wstępie do publikacji jej autorzy. I dodają, że zaledwie niespełna 15 proc. firm ma przygotowany scenariusz reagowania w przypadku wystąpienia cyberataku.

Ciekawą perspektywę na świadomość rodzimych przedsiębiorstw daje opublikowany w tym roku raport Państwowego Instytutu Badawczego NASK, w którym m.in. przedstawiciele uczelni wyższych przekonują, że w naszym kraju występują ogromne luki między potrzebami i oczekiwaniami branży cyberbezpieczeństwa a poziomem kompetencji, jakie absolwenci wnoszą do miejsca pracy. Respondenci przepytani przez instytucję wskazują, że poziom kompetencji przekrojowych określony jako „dobry” bądź „umiarkowany” to cecha charakterystyczna zaledwie 67 proc. młodych ludzi. Mogło być lepiej. 

Jak więc poprawić ten stan rzeczy? Zdaniem badanych najskuteczniejszym sposobem na zmianę bieżącej sytuacji jest prowadzenie szkoleń, m.in. kursów, programów rozwojowych, warsztatów, spotkań, seminariów, projektów, wykładów, mentoringu. Jako najpopularniejsze metody szkoleniowe wskazywano: uczenie się oparte na problemach, współpraca i uczenie się od siebie nawzajem w przeciwieństwie do szkoleń prowadzonych przez instruktorów. – Kluczowe jest uświadamianie znaczenia cyberbezpieczeństwa na wszystkich poziomach edukacji, a także usprawnienie współpracy między biznesem a sektorem edukacyjnym. Raport wyraźnie wskazuje też na potrzebę zadbania o coraz większą obecność kobiet, których wciąż w świecie cyberbezpieczeństwa jest za mało – podkreśla ekspertka NASK Julia Piechna.

Potrzebne latarnie

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa opublikowała specjalny poradnik, w którym zalecenia dla przedsiębiorców podzieliła na trzy kategorie.

Po pierwsze: ludzie. Nie od dziś wiadomo, że najsłabszym ogniwem każdej organizacji jest człowiek. Przedstawiciele unijnej instytucji tłumaczą, że pracownicy firm muszą być na bieżąco z najnowszymi trendami, zdobyczami technologii i aktualnymi zagrożeniami, dlatego niezbędne są inwestycje w odpowiednie szkolenia. Przykład? Podopieczni powinni chociażby wiedzieć, jakimi danymi wrażliwymi mogą dzielić się z partnerami biznesowymi.

Po drugie: procesy. Każda firma musi wprowadzić odpowiednie procedury związane z regularnymi audytami, reagowaniem na incydenty, polityką dotyczącą tworzenia bezpiecznych haseł, aktualizacją oprogramowania i ochroną danych. Czyli to coś, z czym – jak już zaznaczyliśmy – rodzime przedsiębiorstwa wciąż mają spory problem.

I w końcu trzecia kwestia, czyli aspekty techniczne: nowoczesne programy antywirusowe, szyfrowanie i monitorowanie bezpieczeństwa, regularne tworzenie kopii zapasowych. – Każda organizacja radzi sobie, jak potrafi. Jeżeli w firmie brakuje ekspertów, którzy mogliby być swego rodzaju latarnią prowadzącą przez meandry cyberbezpieczeństwa, to trudno mówić o wysokiem poziomie zabezpieczeń. O zagrożeniach trzeba stale przypominać, zdejmować otoczkę tabu z ciężkiego i skomplikowanego tematu, do jakiego urosło cyberbezpieczeństwo. Musimy do niego podchodzić z pasją, ekscytacją oraz ciekawością, w innym wypadku niczego nie zmienimy – mówi Szaszkiewicz.

Ech to AI…

W czerwcu br. Group-IB zidentyfikował ponad 101 tys. zainfekowanych urządzeń z zapisanymi danymi uwierzytelniającymi do ChatGPT, natomiast liczba przejętych kont na platformie w maju osiągnęła szczytowy poziom, przekraczając 26 tys. profili.

Co to oznacza? Że dynamiczny rozwój sztucznej inteligencji znacząco zwiększa liczbę cyberzagrożeń. Coraz więcej pracowników korzysta z chatbotów w celu optymalizacji swojej pracy - czy to w zakresie rozwoju oprogramowania, czy komunikacji biznesowej. ChatGPT domyślnie przechowuje historię zapytań użytkownika i odpowiedzi AI, a więc nieuprawniony dostęp do kont w nim założonych może ujawnić poufne lub wrażliwe informacje, które mogą być wykorzystane do ukierunkowanych ataków na firmy i ich pracowników. Według najnowszych ustaleń Group-IB konta ChatGPT zdobyły już znaczną popularność wśród społeczności podziemnych. W Europie na czele listy z największą liczbą zainfekowanych infostealerami urządzeń z zapisanymi danymi uwierzytelniającymi do ChatGPT znalazły się Francja, Hiszpania, Niemcy, Włochy i – niestety - Polska.

– Pytanie o to, jak duże znaczenie w kontekście cyberbezpieczeństwa będzie miała sztuczna inteligencja, jest pytaniem podobnym do tego o znaczeniu rozwoju internetu. Suwaka nie da się cofnąć, o czym świadczy sposób komunikowania się młodych ludzi i zmiana ich przyzwyczajeń. Haker w tradycyjnym rozumieniu tego słowa raczej nie będzie korzystać z takich narzędzi jak ChatGPT, ponieważ ma wielką radochę z pisania własnych scenariuszy ataku. Co nie zmienia faktu, że współcześnie znacznie łatwiej nauczyć się infekować organizacje – mówi ekspert ds. cyberbezpieczeństwa.

Jakiś czas temu głośno było o liście, w którym m.in. Elon Musk apelował o rozwagę w kwestii sztucznej inteligencji, gdyż coraz więcej specjalistów wprost twierdzi, iż powoli przestajemy panować nad tą technologią. – Należy ostrożnie podchodzić do rewolucji wywołanej m.in. przez OpenAI, bo możemy się obudzić, kiedy będzie już za późno. Boty potrafią pisać złośliwy kod, zmyślać, używać socjotechniki. Myślę wręcz, że ChatGPT wciąż jest w pewnym stopniu zagadką dla samych jego twórców – wyjaśniał na łamach naszego magazynu Robert Grabowski, szef CERT Orange Polska.

Bijmy na alarm

Jak słusznie zauważa w rozmowie z „My Company Polska” Lucy Szaszkiewicz, nie możemy przestać mówić o cyberbezpieczeństwie. Wyzwania z tym związane poruszane są już niemal na każdej konferencji branżowej, a czasopisma pełne są materiałów, w których specjaliści tłumaczą, jak chronić się przed zagrożeniami. 

– Uważam, że lista ataków nie zacznie maleć, głównie przez rosnącą złożoność problemu, będącą wypadkową postępu technologicznego. W końcu wraz z rosnącą złożoności zwiększa się również liczba możliwości zaatakowania organizacji czy użytkowników. Natomiast zmianą na lepsze jest rosnąca świadomość świata IT dotycząca cyberbezpieczeństwa. Świadomość to klucz do wyrównania szans – podsumowuje Maciej Markiewicz.

Październik to Europejski Miesiąc Cyberbezpieczeństwa. Unia Europejska szacuje globalny roczny koszt cyberprzestępczości na aż 5,5 bln euro. Kolejne rozporządzenia – pod groźbą kar finansowych – wymuszają na przedsiębiorstwach jeszcze więcej działań mających za zadanie poprawę bezpieczeństwa. Zapewnienie wysokiego poziomu cyberbezpieczeństwa to obecnie jedno z największych wyzwań, przed jakimi stoi biznes. Edukacji więc nigdy za wiele.