Polskie firmy pod ostrzałem przestępców. Czas na cybersuwerenność
Branża cyberbezpieczeństwa nie odnotowała spowolnienia w czasie pandemii. Nie przeszkodziła jej wojna, wprost przeciwnie: ataki są jeszcze bardziej wyrafinowane i niebezpieczne. Jak wygląda ich krajobraz obecnie, sprawdził właśnie Exatel.
Karol Wróbel, dyrektor depatramentu cyberbezpieczeństwa i depatramentu IT w tej firmie, mówi wprost, że to, jak szybko dostosowaliśmy się w pandemii do pracy zdalnej, to dziś z perspektywy świata IT historia starożytna. Tempo zmian w technologiach i biznesie jest tak szybkie, a dług technologiczny będzie - dla tych, którzy ignorują zmiany - będzie coraz większy. "Ten dług trzeba spłacić i nie warto czekać na kolejne lata, w których być może będzie lepiej, łatwiej, czy też taniej. Nie będzie" - zaznacza w raporcie "Cyberbezpieczeństwo 2022" Exatela.
Widać to zresztą w statystykach. Na przykład ataki DDoS - czyli ataki zapychające ruch na serwerze i paraliżujące stronę czy usługę - od 24 lutego tego roku zostały zintensyfikowane. Są wymierzone zarówno w obiekty rosyjskie, ukraińskie, jak i zachodnie. Każdy taki atak trwa średnio 10 minut, czasem są prowadzone seriami (10 minut, przerwa, 10 minut), a nierzadko trwają w sumie przez kilka dni. DDoS-y są szczególnie groźne, gdy uda się przeprowadzić taki atak skutecznie. Wtedy użytkownicy zaatakowanej usługi tracą do niej dostęp.
Dlatego Exatel zorganizował też konferencję CyberSafe, w trakcie której można było posłuchać m.in. wystąpień ekspertów i paneli dyskusyjnych. Uczestnicy poznali też najczęstsze sposoby ataków. Obok DDoS, wciąż są to phishing (podszywanie się, zazwyczaj w mailu, pod znaną i zaufaną instytcuję lub osobę w celu pozyskania wrażliwych danych) i ransomware (szyfrowanie danych w celu zażądania za nie okupu).
Eksperci zauważyli jednak, że przestępcy coraz częściej łączą ze sobą metody ataków. - Istnieją ataki ransomware, które wykorzystują DDoS. Atakujący najpierw szyfrują dane. Jeśli ofiara mówi, że nie zapłaci, to grożą, iż opublikują informację o tym, że była przedmiotem ataku. Jeśli i to wam nie poskutkuje, to ofiara dowiaduje się, że będzie także atakowana za pomocą DDoS-ów. Będzie więc mieć problem z dostępem do internetu, a jej klienci do jej usług. Mamy tu zatem atak, który niesie za sobą problemy i wewnątrz firmy, i na zewnątrz - mówił podczas konferencji Rafał Litwińczuk, główny inżynier ds. reagowania na incydenty bezpieczeństwa w Exatelu. Jak zwrócił uwagę, zdarza się także, że ransomware dostarczony jest za pomocą phishingu, a więc jako załącznik lub link do maila.
Wśród branż, które są najczęściej dotykane atakami w ogóle, znajdują się sektory usług prawniczych, ochrony zdrowia, przemysłowy i finansowy. Z analiz Exatela wynika, że na ten ostatni przypada aż co czwarty atak w Polsce w ogóle.
Jakie błędy w zabezpieczeniach popełniają polskie firmy?
Exatel zwrócił też uwagę na najczęstsze błędy, jakie popełniają jego klienci przy okazji organizowania i zabezpieczania swoich systemów. Firma wskazała przede wszystkim na:
- obecność zbyt wielu narzędzi, systemów i urządzeń nienależycie zabezpieczonych;
- brak lub nieprawidłowa polityka aktualizacji oprogramowania;
- korzystanie ze sprzętu służbowego do celów prywatnych;
- uruchamianie usług z uprawnieniami administratora;
- nadawanie wysokich uprawnień zwykłym użytkownikom;
- brak odpowiednich mechanizmów uwierzytelniania korporacyjnych sieci wi-fi;
- brak podziału lokalnej sieci komputerowej (LAN), co pozwala zarządzać dostępami i powstrzymać przed atakiem na całą sieć;
- pozostawianie fabrycznych ustawień i poświadczeń w systemach wewnątrz sieci lub w ich segmentach;
- brak lub pospieszne testy bezpieczeństwa przy tworzeniu aplikacji.
Są jednak i plusy. Eksperci wskazują, że poprawiła się kwestia tworzenia kopii bezpieczeństwa serwerów i usług. Tu można uznać, że przedsiębiorstwa wyciągnęły lekcję z tego, czym jest wspominany ransomware, który szyfruje tyle danych, ile potrafi, i żąda okupu. Kto nie ma w takiej sytuacji backupu, często jest w sytuacji beznadziejnej.
Praktyka pokazuje jednak, że błędy pojawiają się także na etapie fundamentalnych zabezpieczeń takich jak... korporacyjne hasła. Exatel przeprowadził badanie na podstawie baz danych z hasłami z - jak pisze w raporcie - "dwóch dużych firm". Za pomocą metody brute force sprawdził, czy użytkownicy posiadali silne hasła. To metoda polegająca na sprawdzaniu po kolei wszystkich słów lub ciągów znaków zapisanych w "słowniku". Maszyna po kolei wpisuje kolejne słowa i sprawdza, czy pasują może one jako hasło. "Słowniki" w przypadku metody brute force mają zapisane różne kombinacje haseł, także z dopisanymi na końcu cyframi, literami lub ze słowami odmienianymi przez przypadki.
Wyniki badania są niepokojące. Badaczom udało się odszyfrować 38 proc. haseł. W 44 proc. przypadków, a więc w niemal co drugim, nazwa firmy pracownika była jednym z członów jego hasła. A aż w 88 proc. haseł występował przynajmniej jeden problem związany z niewystarczająco silnym hasłem (np. brak znaków specjalnych czy dużych liter).
Nadchodzą czasy deglobalizacji
Potrzeba zabezpieczenia swoich systemów to jedno, ale prezes Exatela Nikodem Bończa Tomaszewski zwrócił też uwagę na inny istotny aspekt dotyczący cyberbezpieczeństwa. To cybersuwerenność. Porównał nastroje biznesu sprzed pięciu lat do dzisiejszych. Jak było 5 lat temu? - Biznes mówił, że łatwiej adaptować cudze rozwiązania niż zrobić je samemu. Że taniej kupić, niż wyprodukować. Że nie ma co się wygłupiać z własnymi technologiami, bo globalne procesy, korporacje przykryją taki kraj średniej wielkości jak Polska. I że istnieje dużo ryzyk, a w ogóle to uspokójmy się, mamy partnerów zagranicznych i możemy im zaufać, będzie dobrze, świat jest dobry - opisywał.
Według niego jednak to już nieaktualne argumenty. - Weszliśmy w fazę deglobalizacji. Nie ma powrotu do świata, gdzie USA i Chiny miały układ gospodarczy, który ustalił globalny porządek. Nie ma powrotu do świata, w którym zapomnieliśmy w Europie, jak wygląda wojna. Nie ma powrotu do tego, że globalne łańcuchy dostaw to jest coś nierozerwalnego, trwałego. Cybersuwerenność staje się w epoce deglobalizacji postulatem praktycznym - podsumował Bończa Tomaszewski.