Zgodnie z najnowszym raportem IBM „Cost of a Data Breach Report 2021”, średni koszt naruszenia danych wzrósł do 4,5 mln USD. To najwyższy wynik w historii! Aż 83% badanych firm w roku 2021 dotknęły co najmniej dwa tego typu ataki. O tym, czy ostatnie wydarzenia na świecie zwiększyły skalę cyberzagrożeń dyskutowali (od lewej): Sebastian Kondraszuk, kierownik CERT Polska NASK; Paulina Piasecka, dyrektorka Centrum Badań nad Terroryzmem Collegium Civitas; Przemysław Wolek, dyrektor Pionu Bezpieczeństwa Cybernetycznego ING Hubs Poland oraz Łukasz Strzelec, dyrektor Pionu Zarządzania Infrastrukturą ING Hubs Poland. Jak mówili eksperci, obecna sytuacja z jednej strony się poprawia, bo rośnie doświadczenie firm w walce z cyberzagrożeniami i świadomość użytkowników. Z drugiej zaś statystycznie wzrasta liczba cyberataków. „Dokonują ich już nie tylko pojedynczy przestępcy. Dziś - w głównej mierze - są to zorganizowane grupy przestępcze, również sponsorowane przez państwa. Wybuch konfliktu w Ukrainie wymaga więc zmiany priorytetów” – uważa Paulina Piasecka. Pandemia, geopolityka a skala cyberataków Według danych CERT Polska NASK, w 2021 roku instytucja ta otrzymała ok. 120 tys. zgłoszeń cyberataków. Co trzecie było faktycznym incydentem naruszenia bezpieczeństwa. „Najczęstsze są dziś oszustwa komputerowe, a zwłaszcza phishing. Co ciekawe, kilka lat temu to zagrożenie właściwie nie istniało. Dziś nie tylko użytkownicy potrafią je nazwać, ale także poprawnie zidentyfikować tego typu atak” - opowiada Sebastian Kondraszuk. „Wbrew pozorom, tuż po inwazji Rosji na Ukrainę incydentów w najbardziej powszechnych kategoriach cyberzagrożeń nie tylko nie było więcej, ale wręcz ich liczba zmalała. Choć jednocześnie mamy do czynienia ze zmasowaną skalą cyberwojny. Na stronie CERT Ukraina można znaleźć informacje o tym, że tamtejsze systemy rządowe i osoby związane z administracją są celem permanentnego ataku Rosji” - dodaje. Wrażenia Grupy ING są podobne. „Nie obserwujemy zwiększonej liczby incydentów. Wciąż też są to głównie próby kradzieży poświadczeń czy środków na rachunkach naszych klientów. Zdecydowanie większość ataków na pracowników i klientów jest również przez nas blokowana. Nie zmienia się więc skala ataków, mimo że stają się coraz bardziej inteligentne. Stale rozwijamy nasze systemy detekcji i antyfraud. Cały czas trwa wyścig między nami a cyberprzestępcami. W cyberbezpieczeństwo trzeba inwestować w sposób ciągły, choć oczywiście także bilansować poziom wydatków i ewentualny koszt ponoszonych strat” – mówi Przemysław Wolek. Aby zwiększyć poziom bezpieczeństwa klientów i użytkowników, Grupa ING scentralizowała działania związane z cyberbezpieczeństwem. Odpowiada za nie dla wszystkich, 27 krajów ING Hubs Poland. „Dzięki większej skali działania możemy też ponosić dużo większe koszty na cyberochronę, bo rozkłada się na wiele krajów” – opowiada Przemysław Wolek. „W walce z cyberzagrożeniami pomagają nam również wewnętrzne polityki, często bardziej restrykcyjne niż regulacyjne, poszczególnych państw” – dodaje. Nowe zagrożenia i konieczność stałej edukacji użytkowników Zdaniem przedstawicieli ING Hubs Poland, największym zagrożeniem jest obecnie zmiana charakteru ataków. Wcześniej nastawione były głównie na zysk. Teraz, coraz częściej mogą zagrażać infrastrukturze krytycznej. Są też nastawione na jej zniszczenie. Wymagają więc mniejszego przygotowania niż ataki skierowane np. na kradzież poufnych danych. Warto podkreślić, że cały sektor IT się zmienił. Nie tylko wojna i pandemia powinny uczulać nas na bezpieczeństwo. „Stale powinniśmy ponosić wspólny wysiłek na zwiększanie poziomu bezpieczeństwa. Dotyczy to także użytkowników domowych. Trzeba pamiętać, że wśród trzech najczęstszych ataków - poza atakiem na poufne dane oraz phishingiem i malware - są cyberataki na inteligentne urządzenia, których mamy coraz wiecej nie tylko w biurach i fabrykach, ale i w naszych domach” – uczula Łukasz Strzelec. „W cyberbezpieczeństwie najsłabszym ogniwem zawsze jest człowiek. Stąd konieczność ciągłego szkolenia i uświadamiania użytkownikom systemów IT skali i źródeł potencjalnych zagrożeń” - dodaje Paulina Piasecka. „Nie ‘kamienowałbym’ od razu użytkownika. Oczywiście trzeba go szkolić w trybie ciągłym. Z drugiej jednak strony trzeba też pamiętać, że cyberataki stają się na tyle innowacyjne, że mogą dziać się niemalże poza percepcją zwykłego użytkownika” – stwierdza Sebastian Kondraszuk. „W Grupie ING idziemy w kierunku wdrożenia idei Zero Trust Network. Pozwala to zniwelować większość ataków na urządzenia końcowe użytkowników. Ponadto inwestujemy w tzw. fundamenty, wskazując ściśle określone granice w korzystaniu z danej platformy czy systemu IT” - mów Łukasz Strzelec. Jak podkreślali uczestnicy debaty, należy pamiętać, że haker i cyberprzestępca to nie to samo. Ci pierwsi pomagają w ulepszaniu technologii, pracują w wielu firmach, także w ING Hubs Poland, jako tzw. pentesterzy, biali hakerzy. Oni testują systemy IT pod kątem ewentualnych luk, tak aby można było je w kolejnym kroku wyeliminować. Cyberprzestępca również szuka podatności, ale już po to, aby je wykorzystać do przeprowadzenia ataku, a w jego wyniku - kradzieży poufnych danych lub środków finansowych. „Najnowszym przykładem z Polski są oszustwa inwestycyjne. Straty z tego tytułu liczone są już w milionach złotych. Widzimy coraz większą liczbę domen zaangażowanych w tego typu cyberprzestępstwa. Po 2 latach na naszej liście ostrzeżeń jest ich już ponad 70 tys.” – ostrzega Sebastian Kondraszuk. „Co istotne, tego typu ataków nie da się wykrywać w sposób automatyczny. Po obu stronach ‘barykady’ jest człowiek, a cyberprzestępca w sposób elastyczny reaguje na to, co robi ofiara” - dodaje. Nowy krajobraz bezpieczeństwa IT Jak mówi Przemysław Wolek, trzeba też pamiętać, że CyberSec staje się towarem. Wielu dużych graczy – np. dostawcy systemów SIEM – rozwija dostarczane przez siebie narzędzia w taki sposób, aby nie trzeba było ich znacząco dostosowywać do potrzeb konkretnej organizacji. Inwestują ogromne środki, by nadążyć za cyberprzestępcami. „Dostarczają reguły monitoringu, które generują tzw. wynik True Positive. Dzięki temu są bardziej skuteczne. Zdejmują dużą część pracy z analityków. Jednocześnie to, co wcześniej musieliśmy budować wewnętrznie, teraz będziemy mogli kupić na rynku. Pozwoli nam to skoncentrować się na tym, co jest specyficzne dla działalności ING” - wyjaśnia. Jak podkreślali rozmówcy, warto też pamiętać o tworzeniu kopii zapasowych. Jest to istotne zwłaszcza w kontekście ataków ransomware polegających na szyfrowaniu danych firmowych, a następnie żądaniu okupu za odzyskanie do nich dostępu. Ich zorganizowanie jest coraz tańsze, a tym samym prostsze. „Tworzenie kopii zapasowych to dobry pomysł. Ale trzeba również umieć je szybko i we właściwy sposób odtworzyć, w przypadku ransomware z niezaszyfrowanej kopii. Warto pamiętać, że backupy mają ‘zwyczaj’ przeterminować się, a systemy IT są ciągle rozwijane, co może oznaczać, że zbyt stara kopia nie będzie już z nimi kompatybilna” - podkreśla Przemysław Wolek. „Powoduje to też zmianę podejścia do zarządzania infrastrukturą IT, tak aby była jak najmniejsza interakcja z użytkownikiem. Staramy się więc, by cała nasza infrastruktura była opisana kodem, odchodząc dzięki temu od zbyt częstej ingerencji użytkownika” – dodaje Przemysław Wolek. „Trzeba pamiętać, że cyberprzestępcy reagują na działania swoich ofiar, także regularne tworzenie backupów. Przed zaszyfrowaniem danych coraz częściej wyprowadzają je na zewnątrz. Ważne jest więc ciągłe monitorowanie sieci, aby sprawdzić, czy właśnie nie trwa atak” – podkreśla Sebastian Kondraszuk. „Powinniśmy również odchodzić do posiadania jednej osoby od wszystkiego. Ważna jest specjalizacja, a cyberbezpieczeństwo to gra zespołowa. Nie działamy w próżni” - podsumowuje Sebastian Kondraszuk. „Warto podkreślić, że o bezpieczeństwo IT dbają nie tylko tzw. bezpiecznicy, lecz także każdy pracownik z dostępem do danych. Konieczne jest zatem odwzorowanie kluczowych operatorów danych, zadbanie o ich szkolenia” – przypomina Paulina Piasecka. „Panaceum na cyberatak nie istnieje. Ale musimy mitygować i minimalizować zagrożenie, utrudniając działania cyberprzestępców, także - powtórzę to po raz kolejny - uświadamiając użytkownikom cyberzagrożenia. Tym bardziej że wielu z nich w dzisiejszych czasach pracuje zdalnie” – mówi Łukasz Strzelec. „Zwiększa się również obszar, który musimy chronić. Obejmuje on nie tylko zdalnych pracowników, lecz także zasoby cloud computing czy czujniki IoT. Konieczne jest więc podejście Defence in Depth, czyli ochrona w wielu warstwach. Scenariusz cyberataku jest dziś tak skomplikowany, że nie będziemy w stanie się przed nim ochronić, jeśli nie wprowadzimy wielu dodatkowych barier. Każdy, kolejny mechanizm obronny to większe ryzyko dla cyberprzestępcy na wykrycie jego ataku” – podsumowuje Przemysław Wolek.
