Z raportu przygotowanego przez KPMG wynika, że w 2023 r. aż 66 proc. firm zarejestrowało przynajmniej jeden incydent związany z cyberbezpieczeństwem. To o 8 punktów procentowych więcej niż w poprzednim roku. Żadna firma nie jest zbyt mała, by stać się celem przestępców. Potencjalne zagrożenia dotyczą wszystkich przedsiębiorstw, a redukcja szkód po udanym ataku może okazać się długim i kosztownym procesem.
– Każdy z nas jest narażony na działania cyberprzestępców. Ich konsekwencje będą się różnić w zależności od typu ataku. Mogą obejmować utratę danych, kradzież pieniędzy czy zaszyfrowanie infrastruktury, które sparaliżuje działania firmy, niosąc dodatkowo straty wizerunkowe – zauważa Iwona Prószyńska z CERT Polska, zespołu reagującego na incydenty, działającego w ramach NASK.
Główne wyzwania
W obszarze cyberbezpieczeństwa firmy codziennie mierzą się z wieloma wyzwaniami, a także zagrożeniami ze strony cyberprzestępców. Eksperci twierdzą, że groźne cały czas pozostają proste ataki phishingowe.
– Wciąż najpopularniejszy jest phishing. W wypadku firm często mamy do czynienia z jego bardziej zaawansowaną formą, czyli spear phishingiem. Zagrożenie dla wizerunku firmy to też ataki typu DDoS, ale najgroźniejsze są ataki z użyciem oprogramowania szyfrującego ransomware – mówi Iwona Prószyńska.
Ataki phishingowe przybierają różne formy. Choć cel jest jeden, metody stają się coraz bardziej wyrafinowane. Cyberprzestępcy mogą wykorzystywać algorytmy sztucznej inteligencji do tworzenia deep fake'ów bazujących na głosie.
– Motyw phishingu na CEO jest znany od lat. Cyberprzestępcy podszywają się np. pod przełożonych i wysyłają do pracowników e-maile z prośbą o pilne wykonanie przelewu czy udostępnienie danych. Jednak w dobie stosunkowo łatwego dostępu do narzędzi wyposażonych w AI należy pamiętać, że maile mogą zamienić się w wiadomości głosowe. Dziś w prosty sposób można sklonować głos szefa – podkreśla Michał Sajdak, założyciel serwisu Sekurak.pl.
Schemat działania jest dość prosty, a droga do przejęcia kontroli nad całą firmą często rozpoczyna się od udanego ataku na jednego z pracowników.
– Jeśli jeden pracownik zostanie zhakowany, a często to w zupełności wystarczy, atakujący uzyskuje dostęp do jego komputera i rozpoczyna rekonesans sieci firmowej, tzn. sprawdza, jakie są tam zasoby z danymi, serwery, aplikacje czy inne urządzenia. W ten sposób stopniowo przenika do kolejnych urządzeń sieci, aż w końcu przejmuje kontrolę nad całą firmą. Jednak na początek ważne dla atakującego jest to, aby zorganizować sobie przyczółek, tj. pierwszy zaatakowany komputer – dodaje Michał Sajdak.
Wyzwaniem dla firm będzie zabezpieczenie łańcuchów dostaw przed potencjalnymi atakami. W Polsce brakuje również specjalistów od cyberbezpieczeństwa, co dodatkowo komplikuje możliwość uzyskania odpowiedniego poziomu zabezpieczenia.
– Jeśli chodzi o łańcuchy dostaw, dobrym przykładem może być dowolny system księgowy dla firm, który został zainfekowany. Oznacza to, że atakujący przejmuje kontrolę nad firmą wytwarzającą oprogramowanie lub nad serwerem, z którego jest dystrybuowane. Oprogramowanie jest w ostrożny sposób infekowane. Działa ono prawidłowo, ale posiada dodatkowe funkcje, które umożliwiają atakującemu uzyskanie dostępu do systemów firm, które je zainstalowały. W rezultacie atak na jeden punkt w łańcuchu dostaw może umożliwić cyberprzestępcom dostęp do wielu firm korzystających z zainfekowanego oprogramowania – stwierdza Michał Sajdak.
Edukacja – fundament cyberbezpieczeństwa
Cyberataki stanowią zagrożenie dla wszystkich firm, niezależnie od ich wielkości. Z obserwacji cyberprzestrzeni i zgłoszeń, które wpływają do CERT Polska, wynika, że każda branża jest dziś narażona na działania oszustów. Z kolei budowanie cyberodporności organizacji jest złożonym procesem obejmującym wiele elementów.
– Wśród nich znajdziemy m.in. zasady dotyczące bezpieczeństwa kopii zapasowych. Najważniejsze, by kopie były przechowywane w sposób odizolowany i regularnie sprawdzane. Ma to kluczowe znaczenie w wypadku coraz częstszych niestety ataków ransomware. Kolejną ważną zasadą jest dbałość o aktualizację systemów, zwłaszcza tych dostępnych z poziomu internetu i urządzeń będących w bezpośrednim posiadaniu pracowników. W tym kontekście bardzo ważne jest także, by dostęp zdalny do zasobów firmowych możliwy był tylko po podwójnym uwierzytelnianiu – wyjaśnia Iwona Prószyńska.
Nie można również zapomnieć o znaczącej roli pracowników w aspekcie bezpieczeństwa cybernetycznego. W dobie wzmożonych ataków phishingowych często to właśnie oni stanowią pierwszą linię obrony przed zagrożeniami.
– Jednak tym, co uważam za fundament bezpieczeństwa, jest edukacja pracowników i budowanie świadomości dotyczącej cyberzagrożeń oraz tego, jaki mają wpływ na bezpieczeństwo całej organizacji. W edukacji mieści się także to, by pracownicy wiedzieli, komu zgłaszać incydenty czy zagrożenia i nie bali się tego robić – mówi Iwona Prószyńska.
Jak zauważa Michał Sajdak, szkolenia pracowników powinny odbywać się regularnie, na przykład co pół roku. Jest to istotne w kontekście nowo pojawiających się zagrożeń. Cykliczne szkolenia, uzupełnione testami phishingowymi, pozwalają firmom upewnić się, czy wdrożone przez nie procedury działają.
– Podczas testów pracownicy mogą otrzymać np. spreparowane e-maile. Firma sprawdza, ile osób da się w ten sposób podejść, a następnie przeprowadza szkolenie, podczas którego pokazuje przebieg ataku oraz omawia skuteczne metody ochrony – dodaje ekspert.
Nie ma wątpliwości, że cyberataki będą przybierać na sile. Dlatego cyberbezpieczeństwo firm powinno być priorytetem. Konieczne jest zwiększenie świadomości na temat metod działania i sposobów wykorzystywanych przez przestępców.