Wirtualna kradzież, realne straty

Dziś złodzieje nie włamują się do firm za pomocą łomów i nie wynoszą z nich sprzętów. Dużo cenniejsze są dla nich informacje zgromadzone w firmowych komputerach. Kradną je, będąc na drugim końcu świata.

kto pada ofiarą cyberataków / Dziennik Gazeta Prawna

Dane osobowe, dokumentacja finansowa, plany rozwoju, dane o zakupach i inwestycjach – każdego dnia przedsiębiorstwa gromadzą ogromne ilości nowych informacji na swoich komputerach. Część z nich są strategiczne z punktu widzenia funkcjonowania firmy, a także bardzo cenne dla ich klientów czy kontrahentów. Na tyle cenne, że coraz częściej padają ofiarą cyber- ataków.

Jak wynika z najnowszego raportu firmy Symantec, w 2012 r. trzykrotnie wzrosła liczba ataków internetowych na małe i średnie firmy. Ataki te w ogromnej części tworzone są specjalnie po to, aby wykradać własność intelektualną, i coraz częściej dotyczą też sektora przemysłowego oraz małych firm (to aż jedna trzecia wszystkich przypadków). Te są nie tylko atrakcyjnym celem same w sobie, lecz także umożliwiają cyberprzestępcom dotarcie do większych przedsiębiorstw będących elementem łańcucha dostaw. Tę tendencję potwierdza badanie Ponemon Institute przygotowane przez firmę Solera – wynika z niego, że w ciągu ostatnich dwóch lat firmy z całego świata, zarówno te duże, jak i bardzo małe, zaczęły masowo padać ofiarami cyberprzestępców. A jedynie dwie piąte firm przyznaje, że ma odpowiednie narzędzia, personel oraz środki finansowe, by takie zagrożenie zniwelować. Co więcej, firmy orientują się, że zostały zaatakowane średnio po upływie niemal trzech miesięcy, a następnie potrzebują kolejnych czterech miesięcy (123 dni), aby naprawić szkodę.

Nieaktualne programy to zaproszenie do włamania

– Dopóki przedsiębiorstwa nie zidentyfikują słabych punktów w swoich systemach bezpieczeństwa, nie będą w stanie skutecznie walczyć z cyberprzestępczością. W każdej firmie powinien odbyć się dokładny audyt zarówno technologii, jak i procedur, który pozwoli wyłapać wszelkie niedociągnięcia. Z kolei w firmach, które padły już ofiarą ataków, należy dokładnie, punkt po punkcie, prześledzić to zdarzenie i wyciągnąć wnioski, aby zapobiec podobnym naruszeniom w przyszłości – radzi Cezary Piekarski, starszy menedżer w dziale zarządzania ryzykiem Deloitte.

Na bezpieczeństwo danych przechowywanych przez firmy należy jednak spojrzeć z dwóch stron. Pierwsza z nich to zadbanie o stan i aktualizację infrastruktury komputerowej. Druga – zadbanie o wypełnienie wszystkich prawnych obowiązków związanych z przechowywaniem i przetwarzaniem danych.

Podstawowym błędem popełnianym przez większość firm jest to, że nie dbają o aktualizację swojego oprogramowania. Według danych F-Secure zebranych w drugiej połowie 2012 r. w ponad 200 tys. stacji roboczych w większych i mniejszych firmach aż 87 proc. komputerów nie ma niezbędnych aktualizacji oprogramowania. Najczęściej przedsiębiorstwa nie dokonywały aktualizacji oprogramowania Java (39 proc. spośród wszystkich komputerów nie miało krytycznych, czyli naprawdę niezbędnych do zachowania bezpieczeństwa aktualizacji), systemów Windows (23 proc.), programów Adobe Flash Player (15 proc.), przeglądarki Firefox (14 proc.) oraz pakietów Open Office (8 proc.).

Word narzędziem kradzieży

Także statystyki dotyczące Polski nie są optymistyczne. Według Raportu F-Secure nasz kraj znalazł się na szóstym miejscu pod względem częstości występowania luk w zabezpieczeniach oprogramowania ochronnego. Polska zajęła również 14. miejsce na liście krajów europejskich najczęściej atakowanych przez wirusy wykorzystujące wadliwe zabezpieczenia. – A przecież od 70 do 80 proc. złośliwego oprogramowania najczęściej wykrywanego przez naszych ekspertów to tzw. exploity, wykorzystujące w działaniu luki w zabezpieczeniach powstałe z braku dokonywania koniecznych update’ów – mówi Esa Tornikoski, product manager w F-Secure.

Nieaktualne, czyli dziurawe systemy operacyjne, programy czy aplikacje stanowią wręcz zaproszenie do ataku. Tak było choćby ze słynnym złośliwym malwerem (z ang. malicious software – złośliwe oprogramowanie) „Red October” używanym do kradzieży danych oraz informacji geopolitycznych z systemów komputerowych, telefonów komórkowych oraz korporacyjnego sprzętu sieciowego w ponad 30 krajach. Bazował on właśnie na lukach w oprogramowaniu Microsoft Word, Excel oraz Java.

Większe firmy, oprócz regularnej aktualizacji samego oprogramowania, powinny też zadbać o odpowiednie zorganizowanie i zabezpieczenie serwerowni. Należy szczególnie wziąć pod uwagę instalacje w niej występujące, ponieważ każdy element wpływa na poziom bezpieczeństwa. Na przykład odpowiednio zaprojektowana i wykonana klimatyzacja zapewni taką temperaturę i wilgotność powietrza, aby sprzęt mógł bezpiecznie działać. Oprócz takich zabezpieczeń równie ważne jest też zabezpieczenie serwerowni przed dostępem dla osób niepowołanych i koniecznie stworzenie backupu, czyli kopii zapasowych.

Musisz chronić dane swoich klientów

W świetle tego wszystkiego nie można też zapominać o obowiązkach wynikających z ustawy o ochronie danych osobowych. Po pierwsze, firmy przechowujące bazy danych o swoich klientach, współpracownikach czy kontrahentach są zobowiązane zarejestrować je w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Taki obowiązek dotyczy nawet bazy adresów mailingowych. Takiej bazy nie muszą rejestrować tylko adwokaci, lekarze, radcy prawni, rzecznicy patentowi, biegli rewidenci oraz związki wyznaniowe. Nie trzeba też rejestrować danych, których potrzebujemy do zawarcia umowy o pracę, wystawienia faktury bądź rachunku.

Obowiązek rejestracji takiej bazy nie jest – jak się niektórym przedsiębiorcom wydaje – martwy. Od 2013 r. Państwowa Inspekcja Pracy ma prawo sprawdzać prawidłowość przetwarzania danych osobowych w firmach, a kara, jaka grozi za niedochowanie tego obowiązku, to grzywna w wysokości nawet 50 tys. zł.

Jeszcze dalej idzie przygotowywana właśnie nowa dyrektywa unijna o ochronie danych osobowych. Według jej założeń każda firma i instytucja, którą dotknie wyciek danych osobowych, będzie zobowiązana raportować odpowiednim organom, a za złamanie nowych przepisów mają grozić bardzo wysokie, sięgające 2 mln euro kary. Warto więc zawczasu się przygotować i zadbać o to, aby posiadane przez firmę bazy były naprawdę bezpieczne.

Cyberprzestępca na usługach konkurencji

Internetowi przestępcy nie kradną, co popadnie, tylko pracują na konkretne zamówienie – najczęściej konkurencji. Ich struktura przypomina dobrze zarządzaną korporację. Na samym jej szczycie znajdują się menedżerowie, którzy często nie są nawet hakerami. Ich zadanie to zorganizowanie zespołu oraz wybranie celów ataku. Niżej plasują się programiści tworzący złośliwe oprogramowanie, wykorzystywane do wykradania poufnych informacji. Współpracują oni z ekspertami technicznymi odpowiedzialnymi za utrzymanie całej infrastruktury informatycznej (serwerów, baz danych) oraz wyszukiwanie luk w zabezpieczeniach programów, systemów oraz sieci. To przez te dziury przestępcy instalują złośliwe oprogramowanie wewnątrz firm. Jeszcze niżej w strukturach znajdują się dystrybutorzy, którzy zajmują się już handlem i sprzedażą skradzionych danych.

Zdaniem ekspertów Kaspersky Lab cyberprzestępcy organizują już nawet imprezy dla klientów, tworzą specjalne narzędzia marketingowe oraz fora dyskusyjne. Działają jak dobrze zarządzane firmy i skupiają się na spełnianiu potrzeb klientów.