Transformacja cyfrowa czy cyfryzacja gospodarki to pojęcia odmieniane w ostatnim czasie przez wszystkie przypadki. Pandemia covid-19 zmieniła sposób funkcjonowania firm oraz administracji państwowej, które musiały szybko dostosować się do działania w nowej rzeczywistości. By przetrwać i mieć szansę na dalszy rozwój przeniosły się do cyfrowej rzeczywistości. Część już wcześniej korzystała z rozwiązań digitalowych, inne zostały zmuszone do ich wdrożenia w przyspieszonym trybie. Obserwowaliśmy zmiany nie tylko związane z przechodzeniem na pracę zdalną, ale przede wszystkim ekspresowe przeobrażanie procesów biznesowych w logistyce, sprzedaży czy obsłudze klienta. Najważniejsze było utrzymanie ciągłości działania. Wraz z cyfryzacją musieliśmy też na nowo spojrzeć na cyberbezpieczeństwo, którego znaczenie od dawna rośnie, a w czasach przyspieszenia cyfrowego powinno stać się priorytetem. Już połowa ludzkości prowadzi działalność w przestrzeni cyfrowej. Gdy tak dużo ludzi załatwia tak wiele spraw w cyberprzestrzeni zawsze pojawią się ci, którzy będą chcieli tę sytuację wykorzystać. Słabym ogniwem w cyfrowym świecie jest najczęściej człowiek i to on z jednej strony staje się obiektem ataku cyberprzestępców, z drugiej zaś sam atak najczęściej dzieje się przez jego błąd.
Nie tylko covid katalizatorem zmian
Koronawirus przypomniał o cyberbezpieczeństwie, na które do tej pory wielu firmom brakowało czasu, czasami budżetów, wyobraźni lub po prostu były zmęczone tym tematem. Wg raportu „Cyberbezpieczeństwo trendy 2020” opracowanego przez Xopero w 2019 r. czyli jeszcze przed pandemią, co trzecia organizacja doświadczyła naruszenia danych. Ataki ransomeware, cyberszpiegostwo czy wycieki danych nie są już fenomenem, a powszechnym zjawiskiem. Serwisy internetowe piszące o incydentach związanych z naruszeniem bezpieczeństwa każdego dnia notują nowe przypadki ataków. Nawet giganci technologiczni, przeznaczający na cyberbezpieczeństwo olbrzymie zasoby, nie są w stanie się przed nimi ustrzec. Pandemia spowodowała wzrost liczby oszustw w krajach najbardziej dotkniętych koronawirusem. Tam gdzie jest chaos i niepokój, przestępcy mają jeszcze większe pole do popisu. Wyraźny wzrost liczby ataków phishingowych odnotowano m.in. we Włoszech. Światowa Organizacja Zdrowia w kwietniu odnotowała pięciokrotny wzrost cyberataków, a brytyjski urząd nadzoru finansowego podał dane, z których wynika, że spada liczba oszustw finansowych, jednak spadek ten nie dotyczy oszustw dokonywanych w internecie, więc w tym przypadku trend jest odwrotny. Z drugiej strony Google, który w maju tego roku blokował dziennie około 258 milionów maili związanych z COVID-19, twierdził, że liczba phishingowych wiadomości podczas pandemii nie wzrosła, a jedynie zmienił się ich temat. 18 milionów maili zawierało złośliwe oprogramowanie (malware) lub było próbą phishingu, a 240 milionów zwykłym spamem. Dodatkowo IoT, sztuczna inteligencja, uczenie maszynowe otworzyło furtkę do zupełnie nowego świata nie tylko jego użytkownikom, ale i przestępcom. Te zjawiska również zmieniają nasze podejście do cyberbezpieczeństwa.
Według najnowszego raportu PMR o rynku cyberbezpieczeństwa w Polsce całkowite wydatki na oprogramowanie, sprzęt i usługi w tym obszarze oscylują wokół 1,5 miliarda zł. W perspektywie 5 lat do wygrania dla dostawców jest kolejny 1 miliard.
Firmy wskazują zwyczajowo cyberbezpieczeństwo jako jeden z priorytetów, ale nie zawsze idą za tym konkretne wydatki i osobne wydzielone budżety. Z badań wynika również, że 66 procent dużych firm w Polsce nie wdrożyło lub ma tylko nieformalny program wymiany informacji o zagrożeniach. Większość firm nie dysponuje też zespołem SOC do monitorowania potencjalnych cyberataków. Coraz częściej jednak celem przestępców nie są korporacje i międzynarodowe koncerny, ale małe i średnie firmy, które często są bardziej skore do zapłaty okupu. Najczęściej atakowanymi branżami pozostają: zdrowie, finanse, energetyka, przemysł i nowe technologie – firmy te najczęściej stają się ofiarami ransomware i wycieków danych.
Zorganizowane grupy cyberprzestępców
Hakerzy do niedawna byli kojarzeni z samoukami, zdolnymi, młodymi ludźmi, często samotnikami, którzy w zaciszu swojego domu włamują się do komputerów innych osób i dokonują w nich operacji, które prowadzą do mniej lub bardziej wymiernych strat po stronie ofiary. Samo pojęcie powstało w latach 70., a wg niektórych źródeł nawet w 60. ubiegłego wieku. W 1980 roku w artykule na temat uzależniania się ludzi od komputera, opublikowanym w „Psychology Today” użyto terminu „haker” w tytule: „The Hacker Papers”.
Niestety hacking z młodzieńczych zabaw przeobraził się w bezprawną działalność cyberprzestępczą i jednocześnie biznes wart miliardy dolarów. Stoją za nim ludzie, którzy z różnych powodów, finansowych czy ideologicznych lub chcąc gromadzić informacje w różnych celach, włamują się do pojedynczych systemów komputerowych, a nawet przejmują całe sieci teleinformatyczne. Hakerzy tworzą złośliwe oprogramowanie, ale używają też sztuczek psychologicznych, by skłonić użytkownika do podania danych osobowych czy też kliknięcia w link ze złośliwym oprogramowaniem lub otwarcia załącznika poczty elektronicznej, zawierającego takie oprogramowanie. Oprócz inżynierii społecznej i złośliwych reklam, hakerzy często posługują się botnetami, jako infrastrukturą do prowadzenia swojej działalności, często za wektor ataku przyjmują przejmowanie kontroli nad przeglądarkami, stosują ataki typu Denial of Service, w celu sparaliżowania usług online ofiary. Oprócz wspomnianych już sztuczek , elementem niemalże każdego ataku jest wykorzystanie złośliwego oprogramowania. W tej kwestii, w ostatnich kilkunastu miesiącach niechlubnym liderem jest ransomware. Szantażowanie związane z zaszyfrowaniem cennych danych stało się niestety bardzo skutecznym sposobem nielegalnego wzbogacania się cyberprzestępców.
Obok typowych działań cyberprzestępczych o motywacji finansowej, w ostatnich latach na sile przybierają działania określane mianem „state-sponsored”. Inspirowane są one, a coraz częściej także bezpośrednio realizowane przez organizacje państwowe stworzone do aktywnej działalności w cyberprzestrzeni. Takie działania stały się obecnie najgroźniejszą formą ataków. Ich sprawcy działają na rzecz konkretnego państwa i dokonują kradzieży gospodarczych lub prowadzą działalność wywiadowczą, by zdestabilizować inne państwo. Są bardzo zdeterminowani i posiadają olbrzymie środki na prowadzenie swojej działalności. Wspominając o pobudkach natury politycznej, warto również przypomnieć o haktywiźmie, gdy sprawcy działają z pobudek politycznych, społecznych lub ideologicznych. I tu można przypomnieć o atakach Anonymous, WikiLeaks czy LulzSec.
Nadal najczęstsze działania hakerów to ataki na międzynarodowe korporacje, które zdarzają się teraz już tak często, że niedługo będziemy do nich podchodzić jak do klasycznych przestępstw, mających miejsce każdego dnia, tak często, że już prawie nie zwracamy na nie uwagi. Przykładem z tego roku może być na atak na amerykańskiego producenta inteligentnych zegarków i opasek fitnessowych Garmin. Przez kilka dni użytkownikom na całym świecie nie działała żadna usługa Garmina, w tym aplikacja do monitorowania aktywności fizycznej. Niedostępna była też strona internetowa spółki i obsługa klienta. Wg doniesień medialnych zablokowane zostały również linie produkcyjne w zakładach produkujących zegarki. Innym przykładem może być zdarzenie, które spotkało FireEye, czołową firmę na świecie zajmującą się cyberbezpieczeństwem z siedzibą w Dolinie Krzemowej. Od lat jest ona dla agend rządowych i globalnych korporacji, nie tylko w Stanach Zjednoczonych, ważnym partnerem w zwalczaniu poważnych ataków sieciowych, jakich doświadczały te organizacje. W grudniu tego roku sama stała się ofiarą ataku, co pokazuje, że nie ma na świecie instytucji, która może czuć się w stu procentach bezpieczna. W tym samym miesiącu ofiarą cyberataku padły telefony iPhone należące do dziennikarzy katarskiej telewizji Al-Dżazira, choć do niedawna mówiło się, że systemu IOS nie da się złamać. W tej sprawie specjaliści z Uniwersytetu w Toronto sporządzili raport, z którego wynika, że użyto złośliwego oprogramowania umożliwiającego używanie mikrofonu zhakowanego smartfona, nagrywanie rozmów, robienie zdjęć i ustalanie położenia posiadacza telefonu. Wszystko działo się bez wiedzy właścicieli. Przykłady zatem można mnożyć. Dopiero po tego rodzaju incydentach związanych z poważnym naruszeniem bezpieczeństwa, organizacje są nieco bardziej skłonne do zatrudniania kadry, która profesjonalnie jest w stanie zająć się tematem cyberbezpieczeństwa, z CISO (Chief Information Security Officer) na czele, co powoduje lepsze planowanie strategiczne i że więcej czasu na spotkaniach zarządu poświęca się sprawom bezpieczeństwa.
Systemowe zmiany i bezpieczeństwo jako zespół
Większość firm i instytucji ma świadomość, że niektóre obszary ich działalności i posiadane aktywa są związane lub uzależnione od cyberbezpieczeństwa. Nie zawsze jednak ta wiedza faktycznie obejmuje obszary najbardziej narażone na ataki. Nadal powszechna jest niska świadomość pracowników co do potencjalnych zdarzeń i ignorowanie zagrożeń. Brak całościowego spojrzenia na obszary mogące być celem potencjalnego ataku to elementarny błąd, który uniemożliwia zaprojektowanie i wdrożenie skutecznego rozwiązania. A bardziej zaawansowane narzędzia wymagają pełnej koordynacji i współpracy struktur odpowiedzialnych za cyberbezpieczeństwo, działu IT i biznesu. Tak do cyberbezpieczeństwa podchodzą nieliczni, najczęściej tylko duże organizacje.
Jest wiele powodów niedostatecznej troski o bezpieczeństwo w sieci. Najpowszechniejsze to brak wsparcia ze strony kierownictwa, niska świadomość zagrożeń, rozproszona odpowiedzialność oraz brak właściciela cyberbezpieczeństwa w organizacji. Często całościowo za to zagadnienie odpowiada i realizuje je dział IT, który nie zawsze ma pełen obraz biznesu prowadzonego przez organizacje i nie jest w stanie poprawnie określić wszystkie priorytety. W wielu przypadkach inwestycje są prowadzone chaotycznie i nieefektywnie. Firma korzysta z wielu różnych rozwiązań jednocześnie i nie patrzy na problem całościowo. Nie planuje strategicznie rozwiązań zapobiegających zagrożeniom, a działa jedynie reaktywnie. Punktem zwrotnym w podejściu do bezpieczeństwa staje się dopiero incydent związany z jego naruszeniem. Jeśli ktoś ma więcej szczęścia, może obejść się tylko strachem. Jednak w wielu przypadkach atak wpływa negatywnie na biznes, wiąże się ze stratami łatwymi do oszacowania (utrata przychodów, koszty okupu czy kary finansowe) i trudnymi do wymiernej oceny takimi jak zatrzymanie ciągłości biznesu, a w skrajnych przypadkach nawet do likwidacji firmy). Dobrze, jeśli faktycznie incydent otwiera zarządzającym oczy na wiele spraw i sprawia, że zaczynają szukać rozwiązań.
Bardzo ważne więc jest, by firmy i kadra zarządzająca miała świadomość, że skuteczne zabezpieczenia, które mogłyby przeciwdziałać incydentom wiążą się z kosztami niewspółmiernie mniejszymi niż jednokrotnie straty poniesione w wyniku incydentu, który miał miejsce. Dlatego tak istotne jest systemowe i całościowe podejście do zarządzania cyberbezpieczeństwem i jednocześnie właściwy dobór dostawcy rozwiązania i partnera w realizacji tego zadania, który powinien rozumieć to systemowe podejście i myśleć kompleksowo o bezpieczeństwie klienta. Nie można także zapomnieć o pracy zespołowej, która także jest istotnym gwarantem powodzenia całego przedsięwzięcia, zarówno współpraca wewnątrz organizacji pomiędzy poszczególnymi działami, jak i porozumienie oraz wzajemne zrozumienie pomiędzy firmą a dostawcą.
Gdy to nastąpi, zapewnienie bezpieczeństwa staje się łatwiejsze i skuteczniejsze, a podejście „bezpieczeństwo jako zespół” przynosi efekty.
Kluczowe bezpieczne oprogramowanie
Jednym z najważniejszych elementów bezpiecznej infrastruktury organizacji jest bezpieczne oprogramowanie. To ono często staje się celem ataków, może stanowić pośredni lub docelowy obiekt ataku. Dlatego najważniejsze przy wyborze oprogramowania jest zaufanie do dostawcy, który powinien posiadać doświadczenie, renomę na rynku i być w stanie zapewnić odpowiednią jakość usługi. Na świecie jest ok. 30 renomowanych, globalnych dostawców rozwiązań z zakresu cyberbezpieczeństwa. Na lokalnych rynkach liczą się krajowi producenci, oferujący oprogramowanie i usługi butikowe, szyte na miarę, najczęściej dla dużych klientów mających rozbudowane systemy. Tacy dostawcy wdrażają również gotowe programy globalnych producentów. Produkt powinien być dobierany do konkretnych potrzeb i specyfiki działania danego klienta.
Niezależnie na jakie rozwiązanie się zdecydujemy, ważne jest, aby dostawca uwzględnił w projekcie jak najlepsze i jak najszersze testowanie. Szczególnie istotne jest kilkukrotne testowanie przez zewnętrzne podmioty. Z jednej strony mamy rodzimych dostawców oferujących rozwiązania napisane specjalnie pod potrzeby danego klienta, dobrze przetestowane przez kilka podmiotów, na bieżąco rozwijane i aktualizowane. Przy takim oprogramowaniu mamy także możliwość wyłapywania błędów funkcjonalnych, a w przypadku błędów krytycznych aktualizacja jest realizowana w trybie ekspresowym. Na potrzeby niektórych branż i klientów strategicznych takie produkty sprzedawane są wraz z kodem źródłowym, by klient mógł sam śledzić system, wyłapywać ewentualne luki w systemie i odpowiednio reagować. Korzystanie z rozwiązań oferowanych przez dostawców globalnych daje nam dla odmiany pewność testowania przez tysiące, jeśli nie miliony użytkowników. Jednak z racji powszechnej dostępności, każdy może je sobie kupić za kilkadziesiąt dolarów, dlatego są one potencjalnie bardziej narażone na ataki zorganizowanych grup, które mają do nich łatwy dostęp, wyszukują luki i mogą dokonywać ataków na podmioty, które również z ich korzystają. Z drugiej strony producenci dbają o bezpieczeństwo i są gotowi płacić duże pieniądze, nawet przypadkowym użytkownikom, entuzjastom cyberbezpieczeństwa, gdy ci potrafią wskazać lukę w oprogramowaniu czy błąd.
Szkoły rzucone na głęboką wodę
Przejście szkół na nauczanie zdalne to świetny przykład cyfrowej transformacji. Do tej nowej rzeczywistości udało się bardzo szybko dostosować dzięki technologii. Cyfryzacja polskich szkół od dawna była koniecznością, której realizacja natrafiała na wiele problemów. Sytuację zmienił dopiero koronawirus, który wręcz wymusił ekspresową zmianę w tym zakresie. Unowocześnienie placówek edukacyjnych to ogromne wyzwanie zarówno dla administracji na poziomie rządowym i samorządowym, ale również samego społeczeństwa – nauczycieli, uczniów oraz rodziców. Do tej pory wszyscy skupieni byli w dużej mierze na infrastrukturze, szybkim łączu internetowym w każdej szkole i zapewnieniu sprzętu komputerowego. Wraz z wyzwaniem w postaci zdalnego nauczania ujawniła się m.in. potrzeba jeszcze większego położenia nacisku na kwestię cyberbezpieczeństwa na wielu poziomach.
Mówiąc o cyberodporności systemu do zdalnej edukacji, warto również wykorzystać ten moment przemian i zadbać także o edukację w zakresie cyberbezpieczeństwa. Powinna być ona wprowadzana od samego początku stykania się dzieci i młodzieży z usługami cyfrowymi. Zagadnienia związane z zagrożeniami jakie niesie za sobą korzystanie z internetu powinny być rozwijane na jak najwcześniejszym etapie edukacji, najlepiej aby znalazły się w podstawie programowej młodszych klas szkół podstawowych, a zupełne podstawy może nawet na etapie przedszkola. Należy także stosować środki proaktywne zamiast reaktywnych, tworzyć strategie ochrony danych obejmujące edukację użytkowników, wdrożenie odpowiednich technologii i stosowanie działań naprawczych.
Dzięki przeszkoleniu pracowników oświaty w zakresie ochrony przed zagrożeniami, wdrożeniu właściwej infrastruktury oraz stosowaniu odpowiednich protokołów działań naprawczych, instytucja edukacyjna może znacząco zwiększyć odporność swojego środowiska informatycznego na najgroźniejsze ataki i ich skutki, takie jak ransomware, utrat danych, strat finansowych i utraty reputacji. Często słabym punktem w całej strukturze zabezpieczeń są ludzie. Cyberprzestępcom o wiele łatwiej jest użyć psychologicznego podstępu i nakłonić daną osobę do kliknięcia niebezpiecznego odnośnika URL, w celu uzyskania dostępu do systemu niż złamać zaporę sieciową lub inne technologiczne zabezpieczenia. W sytuacji, kiedy wielu pracowników z dostępem do wrażliwych danych pracuje zdalnie, często poza systemem bezpieczeństwa swoich firm czy organizacji, ten problem staje się szalenie ważny.
Podnoszenie cyberodporności w firmie czy instytucji to jest proces ciągły. Cyberprzestępcy są coraz sprytniejsi, używają coraz bardziej wyszukanych metod, by osiągnąć swoje cele. Użytkownicy zatem muszą być gotowi na stałą ostrożność i ciągłe udoskonalanie metod zabezpieczeń.