Umiarkowany optymizm
z miesięcznika „My Company Polska”, wydanie 5/2025 (116)
Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!
Portugalia, Wielka Brytania i Nigeria – co łączy te trzy kraje?
Zapewne ktoś z nich usilnie próbuje się do ciebie dodzwonić?
Ostatnie dwa tygodnie to jakieś totalne zatrzęsienie.
To proceder znany od dawna, choć nie zauważyłem w ostatnich miesiącach natężenia z nim związanego – może kliknąłeś w coś, w co nie powinieneś i twoje dane trafiły do jakiejś bazy. Tego typu połączeń najlepiej nie odbierać i od razu blokować podejrzane numery. A już na pewno nie wolno na nie oddzwaniać, bo to się wiąże najczęściej z ogromnymi kosztami za połączenie, a w innym scenariuszu będą to socjotechniczne próby nakłonienia cię do dalszej komunikacji via WhatsApp i próby wyłudzeń.
Jaki był 2024 r. pod względem cyberbezpieczeństwa w naszym kraju?
Ostatnio rozmawialiśmy kilka miesięcy temu, prawda?
Tak. I kiedy zapytałem cię wówczas o prognozy, stwierdziłeś, że jesteś umiarkowanym optymistą.
Jestem nim nadal, ponieważ liczba ochronionych użytkowników wciąż spada, z czego się bardzo cieszę, bo to pokazuje, że jako CERT Orange Polska dobrze wykonujemy swoją pracę, a ludzie stają się coraz bardziej świadomi. Z drugiej strony,niestety odnotowaliśmy sporo poważnych w skutkach ataków na firmy – mam trochę wrażenie, że wbrew wszystkiemu ataki ransomware wciąż, kolokwialnie mówiąc, mają się świetnie, więc regularnie słyszymy chociażby o wyciekach danych z organizacji.
Preludium ataku ransomware są zarówno podatności w systemach wystawionych do internetu, jak i ataki phishingowe – np. różnego rodzaju wiadomości z zainfekowanymi załącznikami wysyłane na służbowe skrzynki e-mail – dlatego tak często mówimy o tym, że pracowników trzeba stale edukować z zakresu cyberbezpieczeństwa. Przyjmuje się, iż ransomware niszczy dane, bo przecież zaszyfrowane dane są kompletnie bezużyteczne – jeśli nie masz bezpiecznego backupu, twoja firma de facto się zatrzymuje.
Czy któreś wektory ataku w minionych miesiącach szczególnie cię zaskoczyły? Sporo mówiło się ostatnio o oszustwach „na dziecko” – kiedy do rodzica pisze, rzekomo, syn lub córka z informacją o tym, że zgubił/-a telefon, trzeba więc skontaktować się z innym numerem.
To jest bardzo ciekawy scenariusz, ponieważ w ogromnym stopniu opiera się na socjotechnice – cechuje go gigantyczny ładunek emocjonalny, ma też bardzo dużą liczbę wariantów. Tego typu ataki najczęściej przekierowują ofiarę na komunikatory pozostające poza jakąkolwiek kontrolą, co ma zazwyczaj tragiczne skutki. Hakerzy, by ominąć blokady, wysyłają wiadomości z licznymi błędami, co teoretycznie powinno wzbudzić naszą czujność, jednak w praktyce przyjmujemy je jako coś naturalnego – zagubienie smartfonu to dla dziecka niemały stres, więc nie dziwią nas literówki czy błędy ortograficzne. Sami w podobnej sytuacji bylibyśmy do pewnego stopnia roztrzęsieni, a co dopiero młoda osoba. Taka socjotechnika działa zwłaszcza w przypadku rodziców, którzy z jakichś względów nie mają regularnego kontaktu z potomkiem.
Czyli nic szczególnego cię nie zaskoczyło, co nie oznacza, że nie pojawiły się nowe rodzaje złośliwego oprogramowania?
Oczywiście pojawiły się, choć żaden z nich nie okazał się rewolucyjny. Dostrzegalny jest za to rozwój szkodliwych narzędzi – to na ogół stricte techniczne zagadnienia, związane z komunikacją, ukrywaniem się w systemie operacyjnym czy chociażby z rozszerzeniami plików, więc nie będę cię nimi zanudzał. Natomiast podam prosty przykład: otrzymujesz załącznik w nieznanym ci formacie. Nie masz specjalistycznej wiedzy, więc wydaje ci się, że to jakieś kolejne prawidłowe rozszerzenie, o którym wcześniej nie wiedziałeś. Otwierasz więc plik i wpuszczasz do organizacji hakerów, bo format okazał się szkodliwy. Nowe techniki mają to do siebie, że są trudniejsze do wykrycia, gdyż zabezpieczenia na początku raczej ich nie obejmują.
W 2024 r. sporo firm cierpiało także przez złe zabezpieczenia infrastruktury swoich dostawców. I nie mówię tu np. o głównych, największych graczach chmurowych, lecz chociażby o mniejszych firmach świadczących wsparcie, agencjach marketingowych, software house’ach, do których outsourcuje się pewne kwestie. Atak za pomocą złośliwego kodu na software house prowadzi do tego, że twoja firma – jako odbiorca ich oprogramowania – przejmuje taką infekcję bez żadnej kontroli i niekoniecznie musisz o tym wiedzieć, ponieważ zdarza się, że dostawcy oprogramowania nie informują swoich klientów o ataku. W taki sposób możesz np. stracić dostęp do swojego CRM-a.
Jak duży wpływ na cyberbezpieczeństwo firm ma sztuczna inteligencja? Podczas prezentacji najnowszego raportu CERT Orange Polska stwierdziłeś, że wiele firm nie radzi sobie z wdrażaniem u siebie zabezpieczeń opartych na AI.
Powstaje mnóstwo modeli językowych – jak również hubów je agregujących – a poziom wiarygodności wielu z nich, ostrożnie mówiąc, jest niewystarczający. Przedsiębiorcy aplikują wątpliwe modele w swoich organizacjach, a to najkrótsza droga do tragedii, bo model może być przecież zainfekowany. Dobry menedżer powinien mieć kontrolę nad tym, na jakich narzędziach pracują programiści w firmie – ufajmy, ale kontrolujmy.
Widziałem już sporo konkretnych przykładów tego, że przedsiębiorcy mają problem z wdrażaniem sztucznej inteligencji w organizacji. Załóżmy np., że prowadzisz sklep online i chcesz wrzucić na stronę chatbota do kontaktu z klientem. Takie narzędzie musi zostać wcześniej wytrenowane. Na jakich danych? Co, jeśli na takich, że jeśli haker wpisze mu odpowiedni prompt, bot poda mu np. adresy e-mail innych klientów? Albo będzie w stanie wyłączyć w sklepie jakąś usługę? AI trzeba wdrażać odpowiedzialnie – rozumieć zagrożenia, jakie wiążą się z tą technologią, i wprowadzać warstwy chroniące przed potencjalną szkodą. Na stronie CERT Orange Polska można znaleźć interesujące poradniki w tym temacie – warto zajrzeć.
W tym roku mija 10 lat od powstania CyberTarczy. Jak podsumujesz okres jej działania?
Rozwijanie CyberTarczy to nieustanny tryb deweloperski, dzięki któremu narzędzie może stale odpowiadać na kolejne zagrożenia. Wdrażanie nowych rozwiązań i unikanie błędów to niemałe wyzwanie – z którym zresztą mierzą się wszyscy deweloperzy odpowiedzialni za duże systemy. Usilnie pracujemy nad mechanizmami obronnymi, wykrywania oraz detekcji, żeby CyberTarcza wciąż mogła szybko reagować. Patrząc wstecz, na początku działania CyberTarczy nie spodziewałem się, iż praca nad nią będzie tak wymagającym zadaniem.
Z oferowanych przez was nowości warto wspomnieć o Hasło Alert.
Poprzez to narzędzie skupiamy się na jak najszerszym zbieraniu danych – rozwiązanie umożliwia ci sprawdzenie znanych baz wycieków pod kątem twojego adresu e-mail. To usługa dostępna jednorazowo – kiedy tego potrzebujesz – lub w modelu subskrypcyjnym, dzięki któremu dostaniesz powiadomienie w momencie pojawienia się adresu w takowej bazie. Hasło Alert potrafi sięgać nawet do mniej oczywistych źródeł, tj. jak kanały telegramowe, gdzie cyberprzestępcy wymieniają się informacjami. Usługa jest oczywiście darmowa.
Jak sądzisz, czy kiedy będziemy rozmawiać za kolejnych kilka miesięcy, nadal będziesz umiarkowanym optymistą?
Mówienie o przyszłości w kontekście cyberbezpieczeństwa zwykle ma znamiona wróżenia z fusów. Istotne stało się nie tylko monitorowanie swoich systemów, ale także dostawców i kontrahentów oraz regularne przeprowadzanie audytów bezpieczeństwa, aby zidentyfikować potencjalne luki. Zabezpieczanie dostępu do danych i systemów powinno być priorytetem dla każdej firmy. Ważne są również: przestrzeganie podstawowych zasad bezpieczeństwa, regularne aktualizacje oprogramowania oraz edukacja pracowników na temat zagrożeń. Wiele incydentów wynika z błędów ludzkich, dlatego inwestycja w szkolenia i świadomość pracowników jest kluczowa.
Więcej możesz przeczytać w 5/2025 (116) wydaniu miesięcznika „My Company Polska”.
![Każda firma jest kopalnią złota [WYWIAD]](/images/18755/2e083ac6863b63f6fd1be31935c36583.webp)
