Trwa badanie przyczyn niedawnego cyberataku na ogólnopolską sieć laboratoriów diagnostycznych Alab. Postępowanie prowadzi prezes Urzędu Ochrony Danych Osobowych wspólnie z Rzecznikiem Praw Pacjenta. Przypomnijmy, że sprawcy tego ataku żądają okupu za przejęte dane medyczne. Żądań nie ujawniono, ale można przypuszczać, że chodzi o wysoką zapłatę. Komentując to zdarzenie, eksperci od cyberbezpieczeństwa zwracają uwagę, że w cieniu takich głośnych spraw przed szantażem „płać albo stracisz cenne pliki” staje wiele dużo mniejszych firm, w tym jednoosobowych działalności gospodarczych. Przy czym cennik żądnych zarobku hakerów ma dużą rozpiętość. Jest elastyczny, tak jak ich działania – przestępcy jedne ofiary wybierają świadomie, na inne trafiają z przypadku, rozrzucając sieć określonych technik, by złapać w nią podmioty z lukami w zabezpieczeniach infrastruktury IT.
Dylematy małych firm
Z licznych badań wynika, że mniejsi przedsiębiorcy, którzy przyznają się do swojej słabej ochrony przed hakerami, tłumaczą to zaniedbanie względami finansowymi.
– Zgłaszany przez przedsiębiorców brak pieniędzy na takie inwestycje to jeden z istotnych problemów Polski w zakresie cyberbezpieczeństwa – przyznaje w raporcie Warsaw Enterprise Institute „Odporni na cyberataki?” jego autor Szymon Witkowski, radca prawny.
Podkreśla, że przyczyny niskiego poziomu inwestycji mają wiele wymiarów, a jednym z najważniejszych jest niestabilne prawo i niejasny system podatkowy.
– Należy wprowadzić rozwiązania podatkowe, które sprzyjają modernizacji przedsiębiorstw, umożliwiając m.in. pełną i szybką amortyzację nakładów w rozwiązania zwiększające cyberbezpieczeństwo, jak np. zakup oprogramowania, utrzymywanie serwerów – postuluje Szymon Witkowski.
Podejście do cyberochrony w małych firmach jest zróżnicowane. Brak specjalnych systemów czy procedur bezpieczeństwa nie zawsze wynika z ich kondycji finansowej.
– Spotykamy się np. z tłumaczeniem, że prowadzony biznes nie jest na tyle znaczący, aby zainteresował hakera i jakoś wpływał na otoczenie – mówi Jolanta Malak, dyrektorka Fortinet w Polsce.
Czy prowadząc małą firmę, można mniejszym nakładem stworzyć szanse odparcia potencjalnego cyberataku? Można – odpowiada Jolanta Malak. Poniżej wyjaśniamy, w jaki sposób.
Drobny biznes nieważny?
Załóżmy, że małą firmę łączy z dużym odbiorcą jej produktów utrwalony dobry kontakt. Pewnego dnia śle ona mejla z prośbą o zapoznanie się z załączonym dokumentem. Po jego otwarciu system IT odbiorcy zostaje zainfekowany, intruz poznaje hasła dostępu do istotnych informacji, w końcu blokuje pliki z żądaniem okupu w zamian za ich przywrócenie. Taki może być – i bywa – skutek odpowiedzi na korespondencję pochodzącą z wydawałoby się zaufanego źródła. Brak zabezpieczeń u nadawcy pozwala znaleźć dziurę w jego infrastrukturze i tą ścieżką dotrzeć do danych kontrahenta.
Oto odpowiedź na argument o nikłym wpływie małej firmy na otoczenie. Bez ochrony staje się ona furtką do ataku na partnera czy urząd, niezależnie od tego, że sama jest łatwym kąskiem dla hakerów.
„Produkuję drobnicę, nie gromadzę ważnych informacji. Raczej niewiele mogę stracić.” Specjalista od cyberbezpieczeństwa odpowie na ten argument krótko: konkurencja nie śpi. Chce wiedzieć, jak i z czego robisz swoją drobnicę, jak uzyskałeś jej kształt, z kim masz umowy i dlaczego jest tańsza od podobnych na rynku. Gdy takie tajemnice firmy wyciekają, traci ona swój wyróżnik, zapewniający jej satysfakcjonujący popyt.
Atak „na chybił trafił”
Cyberprzestępcy mają różne strategie polowań. Gdy nie mają upatrzonej ofiary, celują po prostu w podatne na atak systemy, czyli te, przez które – jak oceniają – można łatwiej wkraść się do firmowych urządzeń. Zarzucają szeroko sieć na takie luki i wypatrują, kto w nią wpadnie.
Cyberatak na sprecyzowanego adresata poprzedza często kilkumiesięczne rozpracowywanie jego łańcucha kontaktów i dostaw. Gdy już przestępcy wiedzą, kto z kim się komunikuje, jakie zawarto kontrakty i jak przepływają informacje, szukają w upatrzonej firmie najsłabszego ogniwa. Ślą do niej mejle z informacją o jakiejś fakturze czekającej na zapłacenie czy nakazem wejścia w pilnej sprawie na adres wskazany w załączonym linku. Liczą, że ktoś odruchowo wykona polecenie, uchylając drzwi do cennych danych – podobnie zresztą, jak podczas wspomnianych ataków „na chybił trafił”.
Okup – płacić, nie płacić?
W ostatnich latach cyberprzestępcy do ataku wykorzystują najczęściej ransomware – szkodliwe oprogramowanie prowadzące do blokady lub zaszyfrowania danych. W przypadku ukierunkowanych akcji liczą na pokaźny łup. Zorientowani w skali działalności upatrzonej firmy potrafią zażądać tak wysokiej kwoty, że niekiedy dochodzi do nieformalnych negocjacji. Czasami też chcą zapłaty w kryptowalucie.
Wyjątkiem nie są jednak i stosunkowo niskie kwoty, jak np. 2 tys. zł. Haker bierze pod uwagę, że gdy „złowiony” mikroprzedsiębiorca okaże się niezasobny, wtedy zapewne dla świętego spokoju przystanie nawet na taką zapłatę. Dla przestępcy to czysty zysk.
W praktyce takie sytuacje mają różny przebieg i finał. Jednym z pierwszych kroków zaatakowanych przedsiębiorstw jest sprawdzenie, jak działa ich backup, o ile w ogóle systemowo tworzą kopie zapasowe, a także co dzieje się z plikami w chmurze, jeśli z niej korzystają. Raczej nie są skłonni płacić okup, gdy system funkcjonuje jak należy i zaszyfrowane przez przestępcę dane są w stanie sami odzyskać. Jednocześnie współpracują z policją, by wyśledzić, skąd i którędy się do nich przedarł.
Niestety, zakłócenia z powodu ataku, jak i działań policji, która czasem nakazuje powstrzymać się z pewnymi aktywnościami, aby zbadać poczynania przestępcy, paraliżują prowadzenie biznesu. Oczywiście przyczynia się do tego także źle określona polityka bezpieczeństwa - choćby rzadka częstotliwość uruchamiania wspomnianego backupu. Wówczas odtworzenie dokumentów dotyczących ważnych i pilnych transakcji może wymagać sporo zachodu, więc niektórzy ostatecznie wolą wyłożyć kilka tysięcy złotych na okup, by pozbyć się problemów.
– Dla części poszkodowanych koszt powrotu do normalnego funkcjonowania wydaje się bardziej bolesny niż zapłata okupu, na co z desperacji się decydują. Inni nie idą na taki układ, starają się odtworzyć biznes, także mimo nadszarpniętej z powodu ataku reputacji – mówi Jolanta Malak.
Ekspertka Fortinet w Polsce przestrzega zarazem przed złudzeniem, że raz zaatakowana firma będzie przez hakerów omijana. Otóż – co podkreśla – kolejny incydent potrafi zaskoczyć wyjątkowo szybko.
Według ekspertów każdego stać na profilaktykę w przeciwdziałaniu cyberzagrożeniom. W razie jej braku i rażących błędów w podejściu do tych kwestii szkody ponoszą nawet duże firmy, ze sztabami ekspertów do spraw bezpieczeństwa. Oto podstawowe zasady ochrony według Jolanty Malak, dyrektorki Fortinet w Polsce.
1. Szyfruj dane ważne dla firmy. Każde urządzenie powinno mieć mechanizm szyfrowania.
2. Zabezpiecz pierwszy styk z internetem - samemu lub skorzystaj z usług np. operatora telekomunikacyjnego. To nie wymaga specjalistycznej wiedzy, zatrudnienia pracownika i nie jest bardzo drogie.
3. Brak funduszy na stworzenie działu do spraw cyberbezpieczeństwa nie zwalnia z konieczności zadbania o nie. Dostawca internetu może dopasować obsługę do możliwości firmy – nawet najprostszy zakres ochrony pozwala spać spokojniej.
4. Jeśli korzystasz z chmury, to ty – a nie jej dostawca – odpowiadasz za migrowane tam dane.
5. Tworząc start-up, nie czekaj z cyberochroną do opracowania finalnej wersji swojego pomysłu – w trakcie jego testowania haker może w nim wiele napsuć.
6. Nie działasz w próżni. Zabezpieczając siebie, chronisz partnera biznesowego i klienta.
Uwaga! Jak mówią eksperci na całym świecie, choćbyś miał najlepsze rozwiązania technologiczne, o skuteczności ochrony decyduje przede wszystkim zachowanie człowieka. Dlatego zakoduj w sobie silnie poniższe nawyki i naucz ich podległe sobie osoby, przypominając im co jakiś czas o tych regułach.
7. Na żadnego mejla nie odpowiadaj odruchowo i niczego w nim w ten sposób nie otwieraj – każdy zweryfikuj, choćby wyglądał jak pochodzący od szefa. Hakerski przekaz zawsze się czymś odróżni, np. słownictwem albo stylem wypowiedzi.
8. Nie ulegaj naciskom, by cokolwiek zrobić natychmiast – to typowa metoda cyberprzestępców.
9. W razie mejlowego nakazu opłacenia faktury sprawdź, kto zlecił płatność i dlaczego, jeśli doskonale wiesz, że na takie konto nigdy nie wysyłasz pieniędzy lub że taki klient nie widnieje w twojej bazie. Dobrze byłoby mieć zainstalowany program, który od razu to wyłapie.
10. Zero zaufania – to generalna złota zasada, która odnosi się też do korespondencji zewnętrznej i wewnętrznej dotyczącej typowych zdarzeń firmowych. Na przykład gdy przychodzi wiadomość od znanego nadawcy, ale nie z tego miejsca co zwykle, potwierdź inną drogą, choćby telefonicznie, czy to mejl rzeczywiście od niego.