Zagrożenie cyberatakmi to nie jest wirtualny problem. Nie mogą się przed nimi ustrzec nawet największe spółki. W maju 2016 r. hakerzy oferowali na sprzedaż dane około 117 mln użytkowników serwisu LinkedIn, które pozyskali podczas ataku w 2012 r. Kilka miesięcy później spółka Yahoo poinformowała, że w 2014 r. hakerzy wykradli jej informacje dotycząc ponad 500 mln kont. Sony Pictures Entertainment, Morgan Stanley, Uber — to inne znane firmy, które padły ofiarą takich ataków. Ale wiara w to, że o celach hakerów decyduje wielkość czy ranga firmy, jest złudna.
Uwaga na mejle
Według najnowszego raportu firmy Symantec, podsumowującego stan cyberzagrożeń na świecie w 2016 r., przez ostatnie 3 lata szczególnie wzrosła liczba złośliwego oprogramowania w komunikacji mejlowej. W 2015 r. jeden na 244 mejli był zainfekowany, w 2015 r. jeden na 220, a w 2016 r. już jedna na 131 wiadomości zawierała złośliwe programy. Najczęściej takie próby ataku odnotowywano w firmach zatrudniających 251-500 osób — tam zainfekowany był jeden na 95 mejli. Niemal równie często (jeden na 104 wiadomości) takie zagrożenia dotyczyły pracowników spółek o wielkości 1501-2000 pracowników, ale i mniejszych firm, w których pracuje do 250 osób (jeden złośliwy program na 127 mejli).
Ataki phishingowe, polegające na tym, że przestępcy podszywają się pod znane i zaufane firmy lub instytucje, by wykraść informacje, w ostatnich latach osłabły. W 2014 r. jedna na 965 wiadomości była próbą phishingu, w 2015 już jedna na 1846, a w 2016 r. — jedna na 2596. Zależność między wielkością firmy a częstotliwością ataków była jednak wciąż taka sama. Najwięcej mejli phishingowych (jeden na 2554) odnotowano w firmach zatrudniających 251-500 osób, nieco mniej (jeden atak na 2610 mejli) w zatrudniających 1501-2000 osób, a mających do 250 zatrudnionych jeden na 2897.
Stan bezpieczeństwa. Użytkownicy i działy IT są coraz bardziej wyczuleni na typowe metody ataku, ale ciągle pojawiają się nowe cyberzagrożenia. A wraz z pojawianiem się kolejnych gadżetów i rozmycia granic IT poprzez integrację dostępu z dostawcami usług chmurowych, rośnie złożoność infrastruktury. Skuteczna obrona przed cyberatakami jest coraz bardziej wielowymiarowa — mówi Leszek Tasiemski, wiceprezes Rapid Detection Center w firmie F-Secure.
Zabezpieczyć skrzynkę
Liczba ataków nie przesądza o samej infekcji, ale jak mówi Michał Walachowski, dyrektor zarządzający firmy EmailLabs, całkiem spora część cyberataków wykorzystujących skrzynki e-mailowe kończy się powodzeniem.
— Między innymi Verizon podaje, że aż 30 proc. wiadomości phishingowych jest otwieranych. Natomiast Barracuda, jedna z największych na świecie organizacji antyspamowych i zabezpieczających skrzynki odbiorcze, wskazuje, że skuteczność w przypadku ataków phishingowych może wynieść nawet 90 proc. — podkreśla Michał Walachowski.
Skuteczny atak może przynieść realne straty firmie — i wizerunkowe, i finansowe. Według analizy firmy Cloudmark, spółki, które padły ofiarą phishingu, traciły na tym średnio 1,6 mln USD.
— Sposobów zabezpieczenia komunikacji e-mailowej jest kilka. Pierwszy to uwierzytelnienie domeny, czyli wprowadzanie wpisów SPF, klucza DKIM oraz wpisu DMARC. To najważniejsze od strony technicznej. Nasza firma oferuje też np. usługę Trusted Sender (zaufany nadawca), którą przygotowaliśmy wraz z polskimi operatorami. Dzięki niej wiadomości wysłane od prawdziwego nadawcy będą wyróżnione w skrzynce głównej specjalnym znakiem graficznym, potwierdzającym autentyczność wiadomości. Kolejny sposób to wprowadzenie certyfikatu s/mime, czyli cyfrowego podpisu wiadomości, które również mają specjalny znak graficzny. S/ mime jest jednak wspierany tylko przez programy Outlook, Thunderbird i Apple Mail — tłumaczy Michał Walachowski.
Dodaje, że firmy mogą również korzystać z pełnego szyfrowania połączenia TLS między systemem tworzącym wiadomość, serwerem wysyłającym i skrzynką pocztową. Dzięki temu nikt nie może podejrzeć wiadomości podczas jej przekazywania i wykraść cennych danych, haseł, loginów i innym informacji zawartych w treści. Prewencyjną metodą jest edukacja klientów. Dobrym pomysłem może być chociażby strona internetowa, na której mogą się dowiedzieć, jak rozpoznać prawdziwego e-maila i skonsultować treść.
Ograniczyć ryzyko
Przy ochronie firmy przed cyberzagrożeniami technologia idzie w parze z ludzkim zachowaniem, ale dobry system musi uwzględnić to, że hakerom może udać się przechytrzyć pracownika. Według Leszka Tasiemskiego, wiceprezesa Rapid Detection Center w firmie F-Secure, do pewnego stopnia technologia może ograniczyć skutki ludzkiego błędu lub naiwności. Dlatego ważne jest przekazywanie wiedzy o cyberbezpieczeństwie na wszystkich poziomach, ale również pilnowanie technicznych zabezpieczeń. — Podam dwa przykłady. Użytkownik „stracił” swoje hasło, ale wyciek danych był minimalny, ponieważ dobrze skonfigurowane mechanizmy dostępu nie pozwoliły na kradzież najcenniejszych plików. Drugi: ostatnie ataki ransomware WannaCry. Jeśli użytkownik przez nieuwagę się zainfekował, to dane na jego komputerze zostały zaszyfrowane. Jeżeli jednak administrator nie zadbał o aktualizację systemu operacyjnego, to wszystkie komputery w sieci lokalnej mogły zostać zainfekowane automatycznie. Jak widać, trzeba połączyć dbałość o zabezpieczenia techniczne i edukację użytkowników końcowych. Należy tak skonfigurować zabezpieczenia techniczne, żeby ograniczały straty w razie błędu użytkownika. Nasze ostatnie badania pokazują, że mimo większej wiedzy, przeważająca część użytkowników kliknie w link w dobrze przygotowanym mailu phishingowym. Trzeba to po prostu uwzględnić w firmowym modelu ryzyka — opowiada Leszek Tasiemski.
Unia wchodzi do gry
Swoją cegiełkę do walki z cyberprzestępcami dorzuca Unia Europejska. W maju 2018 r. wejdzie w życie unijne rozporządzenie o ochronie danych osobowych, które zastąpi krajowe przepisy. — Ta data jest zakreślona w kalendarzach wielu osób odpowiedzialnych za zarządzanie bezpieczeństwem informacji i ryzykiem w firmach. Nie należy się spodziewać cudów, jeśli chodzi o poprawę bezpieczeństwa, ale na pewno wzrośnie transparentność. Firmy będą miały72 godziny na poinformowanie o incydencie dotyczącym danych osobowych. Początkowo można będzie mieć wrażenie, że liczba ataków skokowo wzrosła. Będzie to jednak wynikało z tego obowiązkowego informowania. Istotne jest to, że wolno będzie zbierać tylko konieczne minimum danych osobowych i ograniczony będzie czas ich przechowywania. Pojawią się także dodatkowe wymagania odnośnie do szyfrowania i pseudoanonimizacji [zastąpienie danych osobowych pseudonimem — red.]. Nie czyni to infrastruktury mniej podatną na ataki, ale powinny one być mniej dotkliwe. W rezultacie prywatne dane będą nieco bezpieczniejsze — uważa Leszek Tasiemski.