Ustalenie przyczyn i przebiegu ataku na ŚKUP zostawmy odpowiednim organom, natomiast proponuję wykorzystać sytuację do przemyślenia własnych nawyków. Jeśli nie mogliśmy dziś skasować biletu, to możemy się przekonać, że cyberataki dotykają nas bezpośrednio. Przypadek ŚKUP dotyczy biletów, jednak nie można wykluczyć, że w kolejnych przypadkach efektem będzie brak możliwości zalogowania się do bankowości elektronicznej, opłacenia rachunku za prąd czy złożenia wniosku o paszport. Nie mamy bezpośrednio wpływu na bezpieczeństwo serwisów samorządowych czy rządowych, mamy natomiast wpływ na to jak zabezpieczamy osobiste dane. Czy nadal wysyłamy skany swojego dowodu różnym instytucjom? Czy może logujemy się tym samym hasłem do swojej poczty elektronicznej i setek innych miejsc czy sklepów internetowych? Może nadal nie włączyliśmy logowania dwuskładnikowego do swojej poczty na Gmailu? Cyberbezpieczeństwo to nawyki, pewna kultura niezbędna do stosowania na co dzień, która aby była skuteczna musi wejść w krew, niczym poranne mycie zębów. Wyzwaniem jest to, że te nawyki dość szybko się zmieniają, stąd wiele osób bazuje na swoich nawykach z młodości, kiedy świat funkcjonował inaczej. Trzeba być na bieżąco, jeśli nie chcemy paść ofiarą cyberprzestępców – mówi Paweł Jurek, ekspert cybersecurity DAGMA Bezpieczeństwo IT.
Czy posiadanie kopii zapasowych danych jest kluczowe dla instytucji w przypadku cyberataku?
P.J. Należy założyć, że nie ma zabezpieczeń, których nie można złamać. Jeśli atakującym się to udało, specjaliści ds. cyberbezpieczeństwa starają się w pierwszej kolejności ustalić jak do tego doszło, aby poprawić słaby element, który zawiódł. Kiedy tylko udaje się to ustalić, systemy przywracane są do stanu sprzed ataku właśnie z kopii zapasowych. Gdybyśmy przywrócili dane z kopii bezpieczeństwa i uruchomili system, a nadal nie wiedzielibyśmy, jak cyberprzestępcy przełamali zabezpieczenia, ryzykujemy powtórzenie skutecznego ataku. Dlatego cały proces musi trwać, dajmy pracować specjalistom. Jednak posiadanie kopii zapasowych jest absolutnym fundamentem. Każda instytucja powinna mieć opracowane procedury mówiące o tym, jak często tworzone są kopie bezpieczeństwa, jak się nimi zarządza, gdzie przechowuje i jaki jest czas odtworzenia systemów z kopii. Kopie zapasowe dla krytycznych systemów przechowuje się zwykle w kilku lokalizacjach, na wypadek fizycznego zniszczenia jednej z nich np. w wyniku pożaru.
Dlaczego w środowisku IT mówi się, że podobnych ataków hakerskich na samorządy i instytucje państwowe będzie coraz więcej? Czy to znaczy, że ich poziom bezpieczeństwa cyfrowego nie jest wysoki i mają jeszcze wiele do zrobienia?
P.J. Razem z postępującą cyfryzacją, coraz częściej będzie dochodziło do sytuacji, w których cyberataki będą wpływały na nasze codzienne życie. Z prostej przyczyny. Coraz więcej codziennych czynności wykorzystujemy przy wsparciu technologii. To piekielnie wygodne, bo każdy z nas chce prostoty, jaką daje przyłożenie telefonu do kasownika, czy zakupu biletu w aplikacji. Ale odpowiednie zabezpieczenie intrastruktury jest również dużym wyzwaniem. Niestety nadal borykamy się ze swego rodzaju "długiem technologicznym". Kiedy specjaliści utrzymujący taką infrastrukturę zgłaszają przełożonym informację o ryzykach bezpieczeństwa, słyszą niejednokrotnie "po co się tym zajmować, skoro działa". Tymczasem bezpieczeństwo to proces. Dbanie o taką infrastrukturę, to nie tylko bieżące utrzymanie, ale również cykliczne przeglądanie pojawiających się ryzyk i odpowiednie reagowanie.
Jakie metody są aktualnie najczęściej wykorzystywane do ataków na instytucje? Dlaczego są skuteczne?
P.J. Najczęściej ataki są prowadzone za pomocą oprogramowania szyfrującego – tzn. ransomware. Oprogramowanie pierwotnie tworzono, aby zaszyfrować dane i zażądać okupu. Teraz często nie dochodzi nawet do prób uzyskania okupu, ale krążące w sieci zagrożenia zbierają swoje żniwo, unieruchamiając systemy i organizacje. Niejednokrotnie firmy tracą swoje dane i efekty pracy, jeśli nie prowadziły właściwej polityki tworzenia kopii zapasowych. Osobnym, znacznie trudniejszym zagrożeniem są tzw. ataki targetowane, w których hakerzy biorą na celownik daną organizację i czasami przez tygodnie czy miesiące szukają słabych punktów w jej zabezpieczeniach. Łączą przy tym działania z pomocą technologii (podatności w systemach, ransoware itp.) z atakami socjotechnicznymi. Podając się za pracowników, próbują uzyskać dostęp do systemów przez zmylenie chociażby pracowników sekretariatu. Tego typu ataki są znacznie trudniejsze w wykryciu, ale ich przeprowadzenie wymaga znacznie więcej nakładów od atakujących. Niestety zapewnienie bezpieczeństwa infrastruktury informatycznej, to coraz bardziej skomplikowane zagadnienie. Ataki są skuteczniejsze z dwóch powodów. Coraz więcej zależy od technologii, a więc jest więcej miejsc, gdzie można dokonać cyberataku. Po drugie, stale rośnie poziomom skomplikowania zapewnienia cyberbezpieczeństwa. Rosną więc koszty zatrudnienia ekspertów. Dlatego coraz częściej instytucje nie tylko kupują rozwiązania ochronne, ale szukają wyspecjalizowanych partnerów, aby wspólnie opracować odpowiednie sposoby ochrony. Największym wyzwaniem jest teraz bowiem nie to, jakie zabezpieczenia stosować, ale jak zaprojektować całość procesów, żeby wszystko skutecznie razem funkcjonowało.
Materiał prasowy: DAGMA