Jak chronić firmowe... błękitne walenie

opublikowano: 29-04-2022, 14:59
Play icon
Posłuchaj
Speaker icon
Close icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl

O cyberatakach na kluczowych pracowników firm i metodach obrony przed nimi opowiada Radosław Kaczorek, ekspert firmy Grant Thornton.

„PB”: Phishing może dotknąć każdego z nas, ale przestępcy czasem specjalnie celują w kluczowych pracowników w firmach. Jak wyglądają takie ataki i jakie mogą być ich konsekwencje?

Proceder, dość powszechny obecnie, czasem nazywa się z angielskiego whalingiem, czyli łowieniem wielorybów. Konsekwencje mogą być bardzo różne. To nie jest prosty atak, w którym oddajemy swoje hasło. Przypadki, które znam z doświadczenia, były różne. Były znane już opinii publicznej przypadki wymuszenia przelewu z firmy — atakowany jest prezes, a potem przestępca, podszywając się pod niego, dysponuje przelew dużej kwoty na swój rachunek. Inny znany mi scenariusz polega na tym, że atakujący przejął kontrolę nad skrzynką mejlową członka zarządu i monitorował ją przez ponad miesiąc. Wiedząc, z kim koresponduje, jaki jest charakter tej korespondencji i jakiego języka używa menedżer, po pewnym czasie odezwał się do kontrahentów i przekierował wszystkie przelewy od nich na swoje rachunki. Firma przestała dostawać pieniądze, gdy księgowość skontaktowała się z kontrahentami w sprawie przedawnionych przelewów. Ten atak może mieć też jeszcze inny wymiar. Pomagałem kiedyś w niwelowaniu skutków ciekawego ataku, który miał wpływ na bardzo duże transakcje kapitałowe. Osoba odpowiedzialna ze te transakcje została zaatakowana i jej skrzynka była monitorowana przez prawie pół roku. W momentach kluczowych dla poważnych milionowych transakcji albo przekierowywano płatności dla sprzedających, albo wprost wpływano na przebieg transakcji. Trzeba pamiętać, że poza efektem finansowym takich ataków mają one również ogromny negatywny wpływ na reputację.

To jest powszechny proceder w Polsce? Często obsługujecie takie przypadki?

Skala jest ogromna. W ciągu ostatnich dwóch-trzech lat dynamika wzrostu zagrożeń przekracza rok do roku 100 proc., czyli liczba incydentów co roku się podwaja. Blisko 70 proc. incydentów to ataki o charakterze socjotechnicznym — wykorzystujące phishing, a potem ewentualnie inne techniki. Mamy do czynienia z bezprecedensową skalą ataków phishingowych.

W jaki sposób — poza zachowaniem zdrowego rozsądku przy klikaniu w linki — można bronić się przed takimi atakami?

Zdrowy rozsądek jest oczywiście podstawą. Stopień zaawansowania ataków phishingowych jest jednak taki, że przeciętny człowiek ma problem z rozpoznaniem, że jest celem ataku. W takiej sytuacji zdecydowanie powinniśmy wyszkolić się w zakresie podstawowych metod rozpoznawania technik ataku, żeby zrozumieć, jakie symptomy świadczą o tym, że jesteśmy atakowani. Doczekaliśmy też takich czasów, że po prostu nie możemy ufać technologiom komunikacji, takim jak e-mail. Musimy mentalnie zmienić punkt widzenia — nie możemy zakładać, że e-mail od znanej nam osoby naprawdę został przez nią wysłany. Trzeba wykazywać się bardzo, podkreślam —bardzo, ograniczonym zaufaniem. Żeby państwu uświadomić, z czym mamy do czynienia, przyznam się bez wstydu do jednej rzeczy. Pracuję w obszarze cyberbezpieczeństwa od blisko 25 lat, więc jestem bardzo blisko tych zagadnień, ale też stałem się celem ataku phishingowego. I też mu uległem. Nawet mając wiedzę, nie zapobiegłem skutecznemu atakowi. Atak to nie jest kwestia „czy”, to jest kwestia „kiedy” — każdemu z nas prędzej czy później to się może zdarzyć. Absolutnie kluczowa w takich warunkach jest więc umiejętność zareagowania na atak, żeby ograniczyć jego skutki. Jeśli się nie wyszkolimy, jeśli ktoś nie wyćwiczy w nas mechanizmu niemal automatycznej reakcji na atak, to konsekwencje będzie widać w finansach firmy i jej reputacji.

Czyli musimy wyszkolić sobie ścieżkę natychmiastowej reakcji, wiedzieć, jakie hasła zmieniamy itp.?

Tak. Udany atak może się zdarzyć, ale gdy się zdarzy, nie możemy zaczynać od białej kartki. Musimy wiedzieć, co natychmiast trzeba zmienić, jakie wykonać blokady — wtedy jego skutki można wygasić bardzo szybko.

W ubiegłym roku przyjęto pakiet ustaw związanych z cyberbezpieczeństwem, powołujących m.in. Centralne Biuro Zwalczania Cyberprzestępczości. Jak pan ocenia te regulacje i jakich narzędzi potrzebuje państwo, by skutecznie walczyć z oszustami?

Legislacja w tym zakresie jest dość dynamiczna — mówimy też o wojskach obrony cyberprzestrzeni. To dobrze, że tak się dzieje. Nie wystarczy jednak je powołać — kluczowe jest to, kto działa w takich służbach, i tu mierzymy się z największym problemem, zresztą nie tylko w Polsce. Największym problemem jest dostępność wykwalifikowanej kadry w obszarze cyberbezpieczeństwa. Jeśli chodzi o narzędzia technologiczne, nie ma problemu — one są, niektóre wymagają inwestycji, ale część jest open source’owa. Na końcu jest jednak człowiek potrzebny do obsługi tego wszystkiego. Z tym jest poważny problem. Takie kompetencje są ekstremalnie drogie — i to jest największy element hamulcowy w tym obszarze.

Rozmawiał Marcel Zatoński

Szukaj Pulsu Biznesu do słuchania w Spotify, Apple Podcast, Podcast Addict lub Twojej ulubionej aplikacji

w tym tygodniu: „Jak zablokować cyberoszustów”

goście: Witold Tomaszewski – Urząd Komunikacji Elektronicznej, Filip Marczewski – CERT Polska/NASK, Robert Grabowski – CERT Orange, Radosław Kaczorek – Grant Thornton

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane