Żyjemy w niebezpiecznych czasach

Orange Polska
Robert Grabowski, szef CERT Orange Polska
W pierwszej kolejności dbajmy o to, co dla nas najważniejsze – dla jednej firmy będą to szkolenia pracowników, dla innych przeniesienie procesów do chmury. Dlatego tak ważny jest audyt, który pomaga ustalić priorytety – mówi Robert Grabowski, szef CERT Orange Polska.
ARTYKUŁ BEZPŁATNY

z miesięcznika „My Company Polska”, wydanie 11/2022 (86)

Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!

Tylko dzisiaj dostałem trzy SMS-y, które były próbą wyłudzenia moich danych. Czy żyjemy w najniebezpieczniejszych czasach, jeśli chodzi o aktywność cyberprzestępców?

Gdyby przeanalizować wyłącznie najszybsze kanały komunikacji, to wydaje mi się, że tak. Szybkość komunikacji, wiara w technologię, pewnego rodzaju naiwność – zauważalne zwłaszcza u młodszych pokoleń – znacząco wpływają na obniżenie poziomu bezpieczeństwa.

Wydaje mi się wręcz, że jesteśmy technologicznymi ignorantami. Kolekcjonuję płyty, jestem aktywnym członkiem wielu grup w social mediach. Liczba oszustw – do których nigdy nie powinno dojść, bo sprawdzenie nieuczciwego sprzedawcy to dosłownie trzy kliknięcia – jest przerażająca. Niestety okazja czyni złodzieja. Sad but true.

Zdecydowanie zbyt często zostajemy okradzeni na własne życzenie. Regularnie mam styczność z oszukanymi ludźmi według metody „na kupującego” – popularnej na portalach aukcyjnych – i widzę, że schemat się powtarza. Oszust przysyła link do płatności, ale domena jest już zablokowana np. przez CyberTarczę. Odbiorcy nie zapala się czerwona lampka, tylko odpowiada, nie czytając pełnego komunikatu od dostawcy internetu, że witryna nie działa. Cyberprzestępca ma do dyspozycji mnóstwo domen, więc przesyła nowy link do płatności, który jeszcze nie został wykryty jako niebezpieczny. No i dochodzi do oszustwa... Trudno mi się pogodzić z takim stanem rzeczy, bo przecież wyświetlamy użytkownikowi wyraźne ostrzeżenie. Czasami zastanawiam się, co – jako operator telekomunikacyjny – możemy zrobić więcej, żeby ochronić klientów?

Żeby było jasne – absolutnie nie stoję po tej „znieczulonej” stronie barykady, która uważa, że tych najbardziej naiwnych użytkowników trzeba zostawić samym sobie. Nie rozumiem ich postępowania, ale zawsze szukam sposobu, by ich ochronić. 

Wiele mówi się – zwłaszcza w kontekście prowadzenia działalności gospodarczej – o czymś, co ładnie nazywa się „cyfrową transformacją biznesu”. Mam jednak wrażenie, że przedstawiamy wyłącznie jej zalety, a nie zwracamy uwagi na zagrożenia. Czy wzrost aktywności cyberprzestępców to najmroczniejsza strona digitalizacji?

Najmroczniejszą stroną digitalizacji jest fakt, że często dążymy do niej całkowicie bezrefleksyjnie, co skrzętnie wykorzystują przestępcy. Nagminnie ignorujemy wszelkie ostrzeżenia. Spójrz, co się stało z Peiterem Zatko, byłym już szefem bezpieczeństwa Twittera. Wszystkie znalezione przez niego luki w zabezpieczeniach zostały zamiecione pod dywan, propozycje naprawy zignorowane, więc naprawdę świetny fachowiec po prostu rozstał się z firmą. Jeśli przykład nie płynie od największych, to skąd ma płynąć?

Co takiego musiałoby się stać, żeby odwrócić tę tendencję? Jakiś naprawdę spektakularny atak zmieniłby optykę?

Nie sądzę, żeby to cokolwiek zmieniło, bo wystarczy przeanalizować ostatnie miesiące i fakt, ilu gigantów padło ofiarą cyberataku: Uber, Revolut, Rockstar... To wszystko już się dzieje – padają najwięksi, ale dzień się kończy i większość osób zasypia z przeświadczeniem, że „mnie to przecież nie spotka”. To jest trochę jak z klimatem. Dzieje się wiele złego, ale mnóstwo osób wciąż nie zdaje sobie sprawy ze skali problemu.

Nie uważasz, że to pewnego rodzaju „cyberparadoks”? Prezesi firm lubią podkreślać znaczenie cyberbezpieczeństwa, chwalą się zabezpieczeniami na wszelakich branżowych konferencjach, ale za słowami rzadko idą czyny.

I znów warto przyjrzeć się największym. CD Projekt ogłosił szeroki nabór do działu bezpieczeństwa dopiero po gigantycznym włamaniu. Znamienne, prawda? Cyberbezpieczeństwo to z pewnością ulubiony buzz word wielu przedsiębiorców, ale szkoda, że realne działania i refleksje przychodzą zbyt późno. 

A może to jest tak jak z długiem technologicznym, który tworzy się, bo kadra zarządzająca nie potrafi rozmawiać z działem IT. Może w przypadku cyberbezpieczeństwa również szwankuje podstawowa komunikacja?

Dialog jest na pewno bardzo ważny i niezbędny, tymczasem menedżerowie często boją się mówić o bezpieczeństwie, bo to może wiązać się z koniecznością dokonania gruntownych zmian w danym projekcie czy zwiększenia budżetu. Oczywiście jednocześnie trzeba pamiętać, że nie wszystko naprawimy wyłącznie dialogiem, za nim muszą pójść konkretne działania, bo dopiero kiedy mamy wnioski, chęci do ich zrealizowania i fundusze – wtedy możemy mówić o istotnej poprawie cyberbezpieczeństwa.  

Jak duży wpływ na rosnącą ilość zagrożeń ma fakt, że zmienił się profil hakera? Kiedyś to byli ludzie działający głównie dla idei, dziś to wręcz zorganizowane grupy przestępcze, dla których liczy się wyłącznie zysk.

Jeśli trzymalibyśmy się tradycyjnej nomenklatury, to dla mnie haker wciąż jest raczej pozytywną postacią. W powszechnej świadomości haker zawsze jest identyfikowany jako cyberprzestępca, a przecież nie zawsze tak było. Pierwsi hakerzy robili to wszystko dla frajdy, z ciekawości, z chęci poznania pewnych procesów. Dopiero po kilku latach pojawiły się takie pojęcia jak chociażby cyberwojna, a hakerzy zorientowali się, że na swojej aktywności mogą przecież „zarabiać”. O hakerach w pierwotnym rozumienia tego słowa już się w ogóle nie mówi.

Ostatnio za to głośno było o grupie Anonymous i ich antyrosyjskiej aktywności w związku z wojną w Ukrainie.

I właśnie ich opinia publiczna nazywa raczej „dobrymi hakerami”. Ja nie poczuwam się do jednoznacznej oceny, niemniej ich motywacja jest z pewnością dużo lepsza niż cyberprzestępców, którzy wyłącznie chcą okradać ludzi. Nie dziwię się tym, którzy w emocjonalny sposób wspierają tę grupę, bo Anonymous atakują państwo nierespektujące żadnych obowiązujących praw. 

Niech tego typu działania nie przysłonią jednak ogólnego oglądu na cyberprzestępczą działalność – konsekwencje ataku, np. na firmę, mogą być tragiczne.

To rzeczywiście nie tylko straty finansowe, ale także wizerunkowe. Nie mówiąc już o sytuacji, kiedy ofiarą padają takie placówki jak szpitale, których przerwa w działalności może mieć jeszcze bardziej zgubne skutki...

Znam kilka przykładów mniejszych firm, które przez cyberatak bezpowrotnie utraciły zaszyfrowane dane, co wiązało się w zasadzie z czasowym zamknięciem całego biznesu. I właśnie dlatego cyberbezpieczeństwo powinno być kluczowe zwłaszcza dla sektora MSP. Zauważ, że wielkie korporacje zawsze sobie jakoś radzą z atakami – czasem wiąże się to z chwilowym kryzysem, czasem z rebrandingiem, ale nigdy nie z całkowitym zamknięciem działalności. Pamiętajmy, że mniejsi gracze zwykle są też słabiej rozwinięci technologicznie, przez co dane są gorzej zabezpieczone. 

Co więc przedsiębiorca powinien robić, żeby zdążyć przed hakerem?

Zadbać o bezpieczeństwo! Raz na jakiś czas należy zinwentaryzować firmowe dane i zbiory, przeprowadzić pogłębioną analizę ryzyka. Taki proces warto wykonać we współpracy z fachowcami, bo tylko profesjonaliści rzetelnie ocenią poziom zabezpieczeń. To podstawy, ale trzeba o nich mówić, bo najmniejsze przedsiębiorstwa rzadko o nich pamiętają. 

Kolejna sprawa: dbajmy o backup danych – nawet relatywnie niedrogie rozwiązania powinny poprawić bezpieczeństwo firmy. Jestem również zwolennikiem organizowania regularnych szkoleń dla pracowników, gdyż większość ostatnich spektakularnych ataków wykorzystywało socjotechnikę. Ważne, by działania były właściwie usystematyzowane, bo jeśli najpierw skupimy się na tych mniej istotnych aspektach pod kątem prowadzenia naszej działalności, to poziom bezpieczeństwa się nie zwiększy. Dbajmy w pierwszej kolejności o to, co najważniejsze i najbardziej nas zabezpieczy, dopiero później zabierajmy się za następne obszary. Dla jednej firmy najistotniejsze będzie szkolenie pracowników, dla innej – wyzwania związane z przeniesieniem usług do chmury. Dlatego tak ważny jest audyt, który pomaga ustalić priorytety.

A co, jeśli przedsiębiorca nie zdąży przed hakerem? Całkowita minimalizacja strat jest możliwa czy w takim przypadku mówimy wyłącznie o gaszeniu pożaru?

To zależy od konkretnych przypadków, ale jeśli w ogóle nie dbamy o cyberbezpieczeństwo firmy, to musimy się liczyć z pewnymi konsekwencjami. Oczywiście wciąż zdarza się, że również przestępcy popełniają błędy, ale na to absolutnie nie wolno liczyć. Reagować zawsze trzeba jak najszybciej, bo nawet w ciągu kilku godzin może stać się wiele złego.

My Company Polska wydanie 11/2022 (86)

Więcej możesz przeczytać w 11/2022 (86) wydaniu miesięcznika „My Company Polska”.


Zamów w prenumeracie

ZOBACZ RÓWNIEŻ