Cyberprzestępcy zaczynają działać jak korporacje

"Doświadczenie pokazuje, że głośne ataki zwiększają zainteresowanie cyberbezpieczeństwem w instytucjach, ale tylko przez około pół roku. Po tym okresie organizacje i firmy zaczynają sądzić, że zainwestowały już wystarczająco dużo pieniędzy, czasu i wysiłku i tracą zainteresowanie tematem, a tym samym bezpieczeństwo znów zaczyna spadać. I tak aż do kolejnego ataku" - powiedział PAP Adam Rafajeński z Deloitte.

Ekspert zauważył, że żadna instytucja nie jest w stanie zabezpieczyć się przed atakiem w 100 procentach, ale musi ograniczać ryzyka.

Cyberbezpieczeństwo jak ochrona budynku

"Problem z cyberbezpieczeństwiem jest taki jak z ochroną budynku, który ma 40 okien i 20 wejść - my musimy pilnować wszystkich, a atakującym wystarczy jeden uchylony lufcik, by wejść" - opisywał. Dlatego - podkreślił - bardzo ważna jest ciągła czujność i tworzenie backupów, które pozwolą firmie czy instytucji wrócić do funkcjonowania po ataku.

"Większość ataków używa technik czy dziur, które zostały odkryte i można by je załatać miesiąc, czasami kwartał a czasami dwa lata temu. Jeżeli organizacja została zaatakowana z wykorzystaniem dziury, która mogła być załatana rok temu, to jest jej zaniedbanie, bo miała wystarczająco dużo czasu, żeby zapobiec tej sytuacji" - ocenił. Podkreślił, że najgroźniejsze są nie te ataki, które w widoczny sposób szyfrują lub niszczą dane, ale te niewidoczne: które podsłuchują, ściągają informacje, kopiują maile.

"To są elementy, które powinny zwrócić uwagę zarówno departamentów bezpieczeństwa, jak i służb. Problem w tym, że jeśli czegoś nie widać, to trudno na to zareagować. Organizacje mają problem z dostrzeżeniem anomalii: np. Jan Kowalski wysyła codziennie 30 kb danych do internetu, a w ostatnim tygodniu wysyłał po 600 kb" - wskazał.

Jak dodał, zdarza się, że firma, która nie zabezpiecza się odpowiednio, nie jest już w stanie podnieść się po cyberataku. "Miałem przynajmniej jedną taką sytuację, że duża firma skutecznie zaatakowana nie była w stanie funkcjonować. Oni byli na krawędzi ogłoszenia upadłości: nie mieli żadnych danych, systemy transakcyjne nie działały. Pomoc takiej firmie, gdy widzimy przed sobą tylko zaszyfrowane dane, jest bardzo trudna" - powiedział.

Działanie jak korporacja

Rafajeński podkreślił, że cyberprzestępcy coraz bardziej się profesjonalizują. "Nie są to - jak kiedyś - idealiści, którzy chcą zmieniać świat, atakując tych, których uznają za wrogów, ale zawodowi przestępcy. Oni coraz częściej działają jak korporacje: rekrutują pracowników, organizują szkolenia z technik włamań. Podczas lockdownu obserwowaliśmy spadek aktywności niektórych grup cyberprzestępców, bo także ich dotknął lockdown i nie mogli pójść do pracy do biura" - powiedział.

Jak mówił, dodatkowym utrudnieniem jest to, że w cyfrowym świecie identyfikacja jest o wiele trudniejsza niż w prawdziwym. "Jeżeli ktoś chce się ukryć, może to zrobić za serwisami proxy. Fenomen IT jest taki, że trudno powiedzieć, że widzimy określony adres IP z jakiegoś kraju - to może być złudne. Niektórzy atakujący przechodzą przez cztery, pięć czy nawet kilkanaście takich serwerów, np. na Malcie, Korei Płd., potem w Rosji i USA. Obserwując taki atak widzimy tylko ostatnie miejsce, z którego on pochodzi" - powiedział.

Wskazał, że z tego powodu, choć większość ataków wydaje się pochodzić z Chin, USA i Rosji, to te kraje nie muszą być rzeczywistym miejscem pobytu cyberprzestępców. "Po prostu w tamtej infrastrukturze jest mnóstwo systemów, które oferują serwisy anonimizacyjne. Wychodzimy bramką, ktoś widzi, że ja wychodzę z Rosji, mimo że jestem w Polsce" - dodał.

Według eksperta, dzisiejsi cyberprzestępcy dokładnie analizują również np. systemy prawne w poszczególnych krajach, żeby mieć pewność, iż w wypadku żądania przez służby pomocy prawnej otrzymanie odpowiedzi z danego kraju zajmie wieki.

"Dlatego np. Rosja jest wygodnym miejscem do takich działań. Jeżeli wyślemy tam prośbę o pomoc prawną, to potrwa rok, dwa lata zanim dostaniemy odpowiedź, że atak wyszedł z Mongolii. Gdy prosimy o pomoc Mongolię, po kilku miesiącach dostajemy odpowiedź, że atak przyszedł z Korei, i tak dalej" - powiedział. Wskazał, że choć w niektórych krajach, takich jak USA, ataki na przykład na funkcjonowanie systemu bankowego SWIFT są bardzo zdecydowanie ścigane, to część rządów przygląda się im biernie, bo uważa, że te działania uderzają w ich rywali geopolitycznych.

Według Rafajeńskiego, profesjonalizacja cyberprzestępców oznacza też jednocześnie, że działają oni w celu maksymalizacji zysku. "Jeśli widzą, że dana firma jest dobrze chroniona, a zarobek będzie trudny, to sobie odpuszczają i wybierają łatwiejszą, słabiej chronioną ofiarę. Dlatego warto inwestować w cyberbezpieczeństwo i mieć silne techniki zabezpieczeń, by odstraszyć atakujących" - podkreślił.