Ochrona przed hakerami jest jak hamulce w bolidzie F1 [WYWIAD]

Krzysztof Białek Orange
Krzysztof Białek, dyrektor Marketingu i Rozwoju Produktów Cyberbezpieczeństwa w Orange, fot. materiały prasowe
Bezpieczeństwo musi iść w parze z rozwojem biznesu, nie może go blokować – mówi Krzysztof Białek, dyrektor Marketingu i Rozwoju Produktów Cyberbezpieczeństwa w Orange.
ARTYKUŁ BEZPŁATNY

z miesięcznika „My Company Polska”, wydanie 4/2021 (67)

Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!

Z raportu IBM wynika, że znacznie zwiększyła się liczba ataków hakerskich, zwłaszcza na branże wspierające walkę z COVID-19 – służbę zdrowia i sektory produkcji. Czy stajemy właśnie przed największymi wyzwaniami, jeżeli chodzi o cyberbezpieczeństwo w historii?

Dziś atakujący kierują się przede wszystkim chęcią zysku. Jeszcze kilkanaście lat temu synonimem hakera był młody, pryszczaty student, który coś chce popsuć, żeby wywołać jakąś sensację. Współcześnie atakują głównie zorganizowane grupy, których obroty są już porównywane z osiąganymi przez handlarzy bronią czy narkotykami. Z tym, że hakerzy są trudniejsi do wykrycia – nie trzeba szmuglować przez granice, z dowolnego miejsca można zaatakować dowolną firmę.

Jak zmieniły się sposoby ataków?

Obserwujemy wzrost popularności phishingu, a więc spreparowanej wiadomości e-mail, która ma nakłonić ofiarę do kliknięcia w link, zainstalowania jakiegoś programu na komputerze czy otworzenia normalnie wyglądającego pliku pdf, ale oczywiście zainfekowanego. Atakujący najczęściej podszywają się pod banki czy sklepy internetowe, tak wyłudzając dane do kart kredytowych czy hasła do bankowości, portali społecznościowych czy poczty elektronicznej. Wielu internautów niestety używa tych samych haseł zarówno prywatnie, jak i służbowo. Ich wyciek w jednym miejscu pozwala na użycie w innych.

Co z infekcją samego komputera?

Na początku lat 2000 był taki słynny wirus „I love you”, który m.in. kasował pliki twardych dysków i wysyłał swoje kopie do wszystkich kontaktów e-mail ofiary. Tak jak wspominałem – dziś już mało kto „bawi się” dla samej zabawy, chodzi o zdobycie pieniędzy, a największą wartość mają dane wrażliwe. Zainfekowany komputer staje się również częścią sieci zainfekowanych komputerów wykorzystywanych do działań przestępczych, tzw. botnetu. Fizycznie sprzęt należy do właściciela, ale steruje nim ten, kto zarządza taką siecią.

Dlaczego te dane wrażliwe są najcenniejsze dla hakera? Tu chodzi o handel nimi?

W tzw. darknecie są giełdy, gdzie sprzedaje się dane. Oczywiście tymi najbardziej pożądanymi informacjami są dane z kart kredytowych i bankowości elektronicznej. Choć te drugie trochę mniej, bo tam przy wykonywaniu operacji zwykle jest potrzebny dodatkowy element uwierzytelniający w postaci kodu SMS czy potwierdzenia w aplikacji. Ponadto od czasu do czasu pojawia się w internecie informacja o ataku ransomware – to złośliwe oprogramowanie, które powoduje zaszyfrowanie danych na twardym dysku. Hakerzy żądają okupu za odszyfrowanie takich danych. Kwoty trafiają już na konto przestępców najczęściej w formie bitcoinów, bo trudniej jest wykryć transfer środków.

Rozumiem, że przedsiębiorca może nabrać się na wiadomość udającą bank. Ale ostatnio hakerzy podszywają się też np. pod Adidasa – to przez popularność ich sneakersów.

Trzeba pamiętać o tym, że najsłabszym ogniwem jest człowiek. Tu nie chodzi o to, że przedsiębiorca da się nabrać, ale przecież pracownicy korzystają ze sprzętu służbowego nie tylko do celów służbowych. A infekcja jednego komputera w firmie powoduje, że złośliwe oprogramowanie szybko się w niej rozprzestrzenia. Ostatnio atakujący często podszywają się też pod firmy kurierskie. Jest informacja o przesyłce, do której trzeba dopłacić kilka złotych. Orange – we współpracy z Kantar Polska – przeprowadziło niedawno badania nad cyberbezpieczeństwem w małych i średnich przedsiębiorstwach. Okazało się, że co czwarta firma zdaje sobie sprawę z tego, że brak odpowiednich zabezpieczeń w kanale internetowym jest największym zagrożeniem dla bezpieczeństwa ich danych. Jednocześnie większość firm uważa, że panaceum na wszystko jest program antywirusowy. To jedynie kupienie sobie świętego spokoju.

To znaczy?

Antywirusy trzeba aktualizować, a nie każdy to robi. Wiele podmiotów uważa, że sam zakup programu jest wystarczający. Antywirus jest tak silny, jak baza danych, którą w danej chwili posiada, bo wirusy oczywiście się mnożą i mutują. Po drugie, takie oprogramowanie jest dobre jako podstawa, dlatego my namawiamy do korzystania z rozwiązań typu EDR. Niektóre narzędzia (np. oferowany przez nas Morphisec) potrafią w trybie rzeczywistym, bez konieczności aktualizacji, rozpoznać złośliwą aktywność i ją zablokować. Jednak samym nawet najlepszym antywirusem i EDR-em nie zapewni się bezpieczeństwa danych firmy.

Jaki jest pomysł waszej firmy na ochronę przedsiębiorców przed cyberzagrożeniami?

Jako Orange tak współpracujemy z klientami, żeby wspólnie budować bezpieczeństwo ich organizacji. Prowadzimy szereg nieodpłatnych działań, np. udostępniając bazę wiedzy na stronie CERT Orange Polska 

https://cert.orange.pl/ w postaci chociażby filmów i artykułów, które w lekki sposób opisują różnego rodzaju zagrożenia. Na kwestię bezpieczeństwa patrzymy holistycznie. W swojej ofercie mamy zarówno niedrogie usługi pozwalające zapewnić podstawową ochronę komputerów, smartfonów czy sieci wewnętrznych klientów, jak i bardzo zaawansowane usługi i wdrożenia integracyjne dla tych, którym zależy na minimalizacji ryzyka. Jednym z działań, które oferujemy jest np. kontrolowany atak phishingowy, który ma sprawdzić, czy pracownicy danego przedsiębiorstwa są podatni na oszustwa. Po jego przeprowadzeniu wszystkim organizujemy szkolenie.

Kradzież baz danych klientów to częsty problem?

Tak. I taki wyciek ma poważne konsekwencje prawne – zasądzane kary są bardzo wysokie i dotkliwe. Warto się przed tym zabezpieczyć. Jest jeszcze jedna usługa, którą świadczymy, ale już mniej związana z bezpieczeństwem. W ostatnim czasie pracownicy w wielu firmach działają zdalnie. Pracodawcy chcą mieć możliwość kontroli, czy rzeczywiście wykonują oni swoje obowiązki w godzinach pracy. Mamy narzędzia, które to sprawdzają.

Załóżmy, że mimo działań prewencyjnych do ataku doszło. Jak przedsiębiorstwo powinno wtedy reagować? Bo rozumiem, że to będzie jak z udarem mózgu – im szybciej zareagujemy, tym negatywne skutki będą mniejsze.

W branży bezpieczeństwa krąży żart, że najprostszym sposobem jest wypięcie wtyczki z internetu, ale oczywiście nie każdy może sobie na to pozwolić. Na pewno warto zgłosić się do jednostek mających doświadczenie w analizie śledczej, bo pojawi się kilka elementów, które należy zweryfikować. 

Jakich?

Po pierwsze trzeba zablokować dostęp atakującym, bo to, że dane wyciekły, nie oznacza, że przestępca nie ma nadal dostępu do infrastruktury zaatakowanej firmy. Drugim koniecznym działaniem jest poinformowanie odpowiednich organów – m.in. Urzędu Ochrony Danych Osobowych – o wycieku. To szczególnie ważne w przypadku wycieku danych klientów, których oczywiście też należy poinformować o takim zdarzeniu. To ważna okoliczność łagodząca dla zaatakowanych firm podczas ewentualnego postępowania sądowego. Kolejną rzeczą jest dokładna weryfikacja tego, jakie dane wyciekły. To może bardzo pomóc w takiej poprawie zabezpieczeń, żeby na przyszłość podobne ataki nie miały miejsca. W wielu przypadkach jest też tak, że przestępcy zgłaszają się z żądaniami okupu. W żadnym wypadku nie należy przystać na warunki przestępców w myśl zasady, że jeśli ktoś raz zapłaci, to będzie płacił już zawsze.

Jak będzie wyglądała przyszłość, jeśli chodzi o cyberbezpieczeństwo w firmach? Bo z jednej strony eksperci podkreślają, że normalna praca w biurze nie wróci – prawdopodobnie przejdziemy na model hybrydowy, czyli kilka dni z domu, kilka z biura. Z drugiej jednak, obserwujemy ułatwianie pewnych procesów – logowania do różnych aplikacji są coraz prostsze, czasem niepotrzebne są nawet hasła. Czy sami nie kręcimy na siebie bicza?

Na pewno wzrasta poziom świadomości zagrożeń. Wzrost nie jest skokowy, raczej liniowy. Świadomość zwiększają oczywiście pojawiające się co jakiś czas informacje o spektakularnych atakach czy wyciekach danych. Z roku na rok zwiększają się też nakłady na bezpieczeństwo. To, co powiedział pan o upraszczaniu pewnych procesów, rzeczywiście występuje, ale wraz z upraszczaniem zwiększa się również poziom bezpieczeństwa niedostrzegalny na pierwszy rzut oka. Bezpieczeństwo musi iść w parze z rozwojem biznesu, nie może go blokować. To jest tak, jak z hamulcami w bolidzie F1. Tam są bardzo dobre hamulce, zdecydowanie mocniejsze niż w każdym seryjnym samochodzie. Ale one nie są po to, żeby spowalniać ten pojazd tylko po to, by pozwalać mu bezpiecznie jechać i w sytuacji, kiedy jest potrzeba – zadziałać. Podobnie jest z cyberbezpieczeństwem – ono musi być wprowadzane w sposób przemyślany, bo oczywiście wszyscy chcemy, żeby biznes rozwijał się jak najszybciej. Po utracie wizerunku spowodowanym np. wyciekiem danych klientów, bardzo trudno jest się podnieść. Zwłaszcza, jeśli wyciek spowodowany jest niedopatrzeniem ze strony zaatakowanego przedsiębiorstwa.

My Company Polska wydanie 4/2021 (67)

Więcej możesz przeczytać w 4/2021 (67) wydaniu miesięcznika „My Company Polska”.


Zamów w prenumeracie

ZOBACZ RÓWNIEŻ