Choć na pierwszy rzut oka pandemia nie dotyka cyberbezpieczeństwa, to w świecie, gdzie technologie cyfrowe są powszechne, zasługuje na specjalne ujęcie. Koronawirus wywiera wszak wymierny wpływ na społeczeństwa.

Choćby taki, że więcej pracowników pracuje zdalnie. Czasem są oni proszeni o zainstalowanie dodatkowego, niestandardowego oprogramowania. Także na urządzeniach osobistych.

Więcej podmiotów wdrożyło tzw. organizacyjne plany ciągłości działania. Wszyscy jesteśmy poddani ekspozycji na informacje dotyczące patogenu.
Każdy jest aż za dobrze zaznajomiony z motywem SARS-CoV-2 jako zdarzenia globalnego i lokalnego. Małe są więc szanse, że kogoś zaskoczy kolejny e-mail typu „z powodu nadzwyczajnej sytuacji związanej z epidemią należy…” od pracodawców czy instytucji.
Zmiany są szybkie. To może wywołać efekt psychologiczny związany z tzw. heurystyką dostępności, co wpływa na indywidualne sposoby wnioskowania i podejmowania decyzji pod wpływem pośpiechu lub poczucia naglącej sytuacji. Może się tak stać, gdy ludzie przywykną, że oczekuje się od nich działań wyjątkowych, a odejście od normy jest nową normą. „Zainstaluj to nowe oprogramowanie”, „kliknij tutaj w celu…” – warianty takich poleceń można spotkać także w przypadku prób oszustw, np. w phishingu, gdzie atakujący podszywa się pod kogoś i przekonuje ofiarę do wykonania czegoś, czego normalnie by nie zrobiła.
Pracownicy bywają uczeni, jak takie próby wykrywać. Wielu w trakcie pracy z domu może być jednak zmuszonych do korzystania z oprogramowania, którego nie zna, i do mniej znanych procesów organizacyjnych. Zdarzenia z pandemią w tle oraz wizja legalnych działań nadzwyczajnych będą świeżo w ich pamięci. Próby phishingu mogą wykorzystywać tę nowo zaistniałą w ludzkich umysłach i życiu sytuację. W przypadku koronawirusa ryzykujemy, że efekt ten będzie oddziaływał na niespotykaną dotąd skalę. To atrakcyjny środek nadużyć, oszustw lub innego rodzaju działań ze strony przestępców, ale także podmiotów państwowych.
Wszechstronne poczucie wyjątkowości może przyczynić się do skuteczności oszustw. Ludzie staną się podatni na próby cyberprzestępców i innych graczy chcących wykorzystać słabość, by hakować, kraść pieniądze lub dane albo – w przypadku rządów – uzyskiwać nieautoryzowany dostęp do danych. Do pewnego stopnia to się już dzieje. Liczba prób oszustw i cyberataków związanych z wirusem rośnie.
Przykładem są próby podszywania się pod pracowników Światowej Organizacji Zdrowia czy brytyjski urząd skarbowy. „Kliknij tu, by otrzymać nadzwyczajny zwrot podatkowy”, a w rzeczywistości zostać zhakowanym i na własne życzenie rozstać się z własnymi pieniędzmi. Cyberataki dotknęły też szpitale. Ten w czeskim Brnie uwidocznił podatność na ataki systemu ochrony zdrowia, ale podobne miały miejsce we Francji i w Hiszpanii. Dziś cyberbezpieczeństwo to kwestia życia lub śmierci, bo w sytuacji kryzysu liczy się każda minuta.
Może być dużo gorzej i prawdopodobnie będzie. Na edukację już za późno. W sytuacji kryzysowej cyberbezpieczeństwo być może nie jest największym zmartwieniem, ale konsekwencje będą długofalowe. W Polsce także były już próby wykorzystania epidemii. Ministerstwo Zdrowia informowało o przestępcach podszywających się pod resort i chcących skłonić odbiorców SMS-ów do wejścia na szkodliwą stronę internetową. Dlatego Urząd Komunikacji Elektronicznej i telekomy zdecydowały się skorzystać z istniejących już zrębów infrastruktury blokowania treści, by zmniejszyć skalę nadużyć.
Trzeba też zadać pytanie, dlaczego w pierwszych dniach kryzysu nie skorzystano z uprawnień specustawy i nie wysłano wiadomości SMS z ostrzeżeniem do wszystkich Polaków. Potrzebujemy działań proaktywnych, a nie reaktywnych. Mamy okazję sprawdzić, jak w praktyce działa państwo w sytuacji kryzysowej, także polski system cyberbezpieczeństwa. Rządowe Centrum Bezpieczeństwa potrafi wysyłać wiadomości SMS, gdy idzie burza. Obecnie w cyberprzestrzeni mamy do czynienia ze sztormem i nie chodzi tylko o dezinformację, ale i twarde przełamywanie zabezpieczeń przez zespoły, które wykonują takie operacje na zimno. Dla nich kryzys to okazja.
Wszyscy dbamy o higienę i czystość. Cyberhigiena to wymóg podobnej natury, co mycie rąk – chodzi o bezpieczeństwo kolektywne. Jak się zabezpieczać? Uwierzytelnianie wieloskładnikowe pomaga tylko tym firmom i instytucjom, które już wcześniej zdążyły te rozwiązania wdrożyć i przetestować. Koronawirus podważa wiele prawd, których uczono pracowników na szkoleniach i prelekcjach: „nie daj sobie wmówić, że występuje sytuacja nadzwyczajna”. Dziś ona jak najbardziej występuje. Komunały, za które firmy zwykły płacić trenerom cyberbezpieczeństwa, zostały podważone przynajmniej w perspektywie krótkoterminowej. Dzięki temu można przynajmniej rozpoznać prawdziwych ekspertów.
Dobrym pomysłem dla organizacji jest klarowne wyłożenie wymogów i zasad, ale i ograniczenie do minimum stosowania środków wyjątkowych. Trzeba poinformować użytkowników i pracowników, jakie są wobec nich oczekiwania oraz co na pewno nie będzie od nich wymagane. Nie wolno zakładać, że w związku z pandemią wszystko jest już wyjątkowe. Ponieważ sytuacja rodzi bezprecedensowe cyberryzyko, wcześniej czy później ktoś te podatności zauważy i wykorzysta. Dobrze, jeśli to my zauważymy ryzyko wcześniej.