Polska jest jednym z najczęściej atakowanych przez cyberprzestępców państw na świecie, a nawet – jak wylicza CyberPeace Institute – najczęściej atakowanym. Szczególnie narażone są sektory biznesowe i administracja państwowa, które stanowią atrakcyjne cele dla przestępców cyfrowych.
Dane z raportu ESET Digital Security Sentiment ujawniają, że aż 59 proc. polskich MŚP było celem cyberataku w 2022 r. Uczestnicy badania za największą konsekwencję tych zdarzeń uważają utratę danych oraz następstwa finansowe. Na trzecim miejscu znalazła się utrata zaufania partnerów biznesowych.
– Sfera cyberzagrożeń nieustannie ewoluuje, a przestępcy działają wedle coraz to nowych scenariuszy, nawiązujących do zmian w rzeczywistości społecznej. Tym samym nie jest zaskoczeniem, że wobec świadomości niedostosowania własnych możliwości do realnych potrzeb ocena potencjału MŚP co do własnej cyberodporności w perspektywie kolejnych 12 miesięcy pozostaje niska – ocenia Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Zagrożenia stale wysokie
Ataki nie tylko powodują bezpośrednie straty finansowe dla firm, ale również stanowią zagrożenie dla bezpieczeństwa narodowego i prywatności obywateli. Unia Europejska i Polska, w odpowiedzi na rosnące zagrożenia w cyberprzestrzeni, podjęła szereg kroków mających na celu wzmocnienie krajowej infrastruktury cyfrowej i zwiększenie gotowości na ewentualne cyberataki.
Jednym z nich jest utrzymanie alertu CRP Charlie, który jest wprowadzany przez rząd w sytuacji potwierdzenia prawdopodobnego ataku terrorystycznego w cyberprzestrzeni lub otrzymania wiarygodnych informacji o planowanym ataku. To stan gotowości, który podkreśla powagę zagrożeń cybernetycznych i potrzebę ciągłego monitorowania oraz reagowania na potencjalne incydenty w cyberprzestrzeni.
Działaniem mającym wzmocnić cyberbezpieczeństwo kraju jest wdrażanie unijnej dyrektywy NIS2. To inicjatywa mająca na celu wzmocnienie bezpieczeństwa sieci i systemów informacyjnych w państwach członkowskich. Polska ma czas na dostosowanie się do wymogów dyrektywy do października 2024 r. Czasu wbrew pozorom jest bardzo mało, a wiele organizacji wciąż nie podjęło odpowiednich działań mimo, że NIS2 nakłada obowiązki związane z cyberbezpieczeństwem na szereg podmiotów, w tym te kluczowe dla infrastruktury krytycznej oraz ich łańcuchy dostaw.
RaaS – nowa odsłona znanego zagrożenia
Jednym z najpoważniejszych zagrożeń, z jakimi borykają się firmy na całym świecie, jest ransomware. To rodzaj złośliwego oprogramowania, które szyfruje dane na zaatakowanych urządzeniach, w tym na komputerach osobistych, smartfonach, a także w sieciach firmowych. Następnie przestępcy żądają od ofiar okupu w zamian za klucz do odszyfrowania danych. Ransomware rozprzestrzenia się na różne sposoby, często poprzez zainfekowane e-maile lub poprzez wykorzystanie luk w niezaktualizowanym oprogramowaniu.
– Atak ransomware to dla cyberprzestępców sytuacja win-win. Jeżeli zaatakowana firma zdecyduje się opłacić okup, wygrali, ponieważ uzyskali znaczną sumę pieniędzy. Jeżeli organizacja nie zapłaci przestępcom, wtedy prawdopodobnie jej dane zostaną sprzedane w tzw. darknecie, co również przyniesie korzyść finansową przestępcom – wyjaśnia Kamil Sadkowski.
Ataki ransomware stają się coraz bardziej wyrafinowane i skuteczne. Wśród ofiar jest m.in. największa na świecie franczyzowa rozlewnia Coca-Coli FEMSA, Sony czy Royal Mail. Przykład z Polski to choćby system Śląskiej Karty Usług Publicznych.
Skuteczność przestępców i liczba ataków znacząco wzmacnia stosunkowo nowy, lecz szybko rozwijający się model w cyberprzestępczości, który znacznie obniża barierę wejścia dla potencjalnych przestępców, umożliwiając im przeprowadzanie skomplikowanych ataków bez potrzeby posiadania zaawansowanych umiejętności technicznych. To RaaS, czyli Ransomware as a Service, usługa oferowana przez przestępców dla przestępców, w której operatorzy tworzą i udostępniają oprogramowanie ransomware, a inne podmioty płacą za możliwość jego wykorzystania do przeprowadzania ataków.
RaaS znacząco obniża próg wejścia do tego świata, umożliwiając nawet osobom bez specjalistycznych umiejętności technicznych przeprowadzanie ataków. Wynajmują oni gotowe narzędzia, często z dostępem do obszernych baz danych i zaawansowanych funkcji, które zwiększają skuteczność ataków.
Płacić czy nie płacić?
Decyzja o zapłaceniu okupu po skutecznym ataku ransomware jest bardzo ryzykowna. Wiele firm decyduje się na zapłatę, licząc na szybkie odzyskanie danych i minimalizację strat. Jednak płacenie okupu nie gwarantuje odszyfrowania danych i może zachęcać przestępców do dalszych ataków.
Wśród wspomnianych już ofiar Coca-Cola zdecydowała się zapłacić okup (zmniejszony po negocjacjach z 12 do 1,5 mln dolarów) i odzyskała dostęp do danych. Z kolei Royal Mail nie chciała współpracować z szantażystami, czego skutkiem było opublikowanie skradzionych danych.
Według badań aż 80 proc. firm płaci przestępcom, jednak w 21 proc. przypadków, mimo zapłaconego okupu, przestępcy upubliczniali dane.
– I tu właśnie widać sedno problemu: ransomware wykorzystują przestępcy, czyli osoby, które nagminnie i celowo łamią zasady. Czasami wydaje się, że zapłacenie im to jedyny sposób, aby uniknąć dużego kryzysu lub strat biznesowych przewyższających żądaną sumę pieniędzy. Jednak nikt nie może zagwarantować nam, że po wpłaceniu okupu otrzymamy z powrotem dostęp do naszych danych, a one same nie zostaną sprzedane lub opublikowane. Co więcej, opłacając okupy, firmy przyczyniają się do rozwoju cyberprzestępczości, ponieważ sprawiają, że takie działania są opłacalne – komentuje Kamil Sadkowski.
Prewencja i ochrona
Jednym z najważniejszych elementów przeciwdziałania atakom jest utrzymanie aktualności wszystkich systemów operacyjnych i oprogramowania, w tym narzędzi zabezpieczających. Hakerzy często wykorzystują znane luki w oprogramowaniu, które mogłyby być łatwo załatane poprzez regularne aktualizacje.
Wykorzystywanie sprawdzonych, wielowarstwowych rozwiązań zabezpieczających i dbanie o to, by również były aktualizowane może znacznie zwiększyć zdolność organizacji do wykrywania i blokowania ataków. Technologia ESET wykorzystuje w tym cele zaawansowane uczenie maszynowe, pomagając chronić w ten sposób ponad 110 mln użytkowników na całym świecie.
Regularne tworzenie kopii zapasowych ważnych danych i ich przechowywanie w bezpiecznym, odizolowanym miejscu (preferowane są kopie offline) jest niezbędne. Ważne jest również regularne testowanie tych kopii, aby upewnić się, że są one sprawne i mogą być szybko przywrócone w razie potrzeby.
Organizacje powinny też opracować i regularnie aktualizować plan reagowania na incydenty, który określa, jakie działania należy podjąć w przypadku ataku. Taki plan powinien zawierać procedury komunikacji wewnętrznej i zewnętrznej, a także kroki do podjęcia w celu szybkiego przywrócenia systemów.
Nie wolno zapominać o najsłabszym ogniwie wszystkich systemów zabezpieczeń, czyli elemencie ludzkim. Edukowanie pracowników na temat bezpieczeństwa cybernetycznego jest kluczowe. Pracownicy powinni być świadomi zagrożeń, takich jak phishing i inne techniki socjotechniczne, które są często wykorzystywane m.in. do rozprzestrzeniania ransomware.
Lepiej zabezpieczać niż leczyć – koszty prewencji zwykle są kroplą w porównaniu z morzem problemów technicznych i finansowych, jakie zalewa firmę, która stała się przedmiotem ataku. Dzisiaj dbanie o cyberbezpieczeństwo powinno być naturalnym elementem każdej działalności, niezależnie od tego, czy jest to niewielki sklep internetowy czy międzynarodowa korporacja.
Płatna współpraca z marką ESET