Podatności i socjotechnika: Główne źródła zagrożeń 2024.
W Polsce funkcję krajowego zespołu reagowania na incydenty komputerowe pełni CSIRT GOV – jednostka działająca pod nadzorem Szefa Agencji Bezpieczeństwa Wewnętrznego (ABW). Jej głównym zadaniem jest identyfikacja, przeciwdziałanie oraz reagowanie na incydenty bezpieczeństwa, które mogą zagrozić stabilności systemów administracji publicznej oraz infrastruktury krytycznej państwa. Zespół podzielił się statytykami dotyczącymi cyberataków, jakie wystąpiły w ostatnim roku. Co było głównym źródłem zagrożenia?
W 2024 roku utrzymywał się stan podwyższonego zagrożenia w cyberprzestrzeni Rzeczypospolitej Polskiej. Obowiązywały w tym okresie stopnie alarmowe CRP: do 29 lutego – CHARLIE-CRP, a od 1 marca – BRAVO-CRP. Stan ten odzwierciedlał zwiększoną liczbę incydentów wymierzonych w podmioty kluczowe dla funkcjonowania państwa.
Najczęstsze incydenty: podatności i sektor infrastruktury krytycznej
Z danych CSIRT GOV wynika, że większość incydentów w 2024 roku była wynikiem wykorzystania podatności w systemach i usługach dostępnych z poziomu sieci. Najbardziej narażone były podmioty z sektora instytucji publicznych oraz operatorzy infrastruktury krytycznej – tendencja ta utrzymuje się od 2023 roku.
Autor. Agencja Bezpieczeństwa Wewnętrznego
Autor. Agencja Bezpieczeństwa Wewnętrznego
Czytaj też
Socjotechnika i phishing jako główne narzędzia ataków
W 2024 roku zarejestrowano aż 815 incydentów zaklasyfikowanych jako ataki socjotechniczne, głównie phishing i spearphishing. Ataki te były wymierzone w administrację państwową oraz operatorów infrastruktury krytycznej. Celem kampanii było najczęściej wyłudzenie danych logowania do usług elektronicznych oraz dystrybucja złośliwego oprogramowania.
Szczególnie niebezpieczne były działania prowadzone przez grupy APT (Advanced Persistent Threats), sponsorowane przez państwa. Wykorzystywały m.in. skompromitowane konta e-mail urzędów, fałszywe dokumenty w serwisach takich jak DocuSign, QR kody służące do omijania filtrów bezpieczeństwa czy podszywały się pod instytucje publiczne i międzynarodowe.
Czytaj też
Ataki DDoS na instytucje publiczne
W ciągu 2024 roku CSIRT GOV odnotował 348 ataków typu DDoS, z czego najwięcej miało miejsce w pierwszym kwartale roku. Łącznie celem ataków padły 44 instytucje znajdujące się we właściwości zespołu, w tym urzędy administracji rządowej oraz infrastruktura krytyczna.
Grupy APT i haktywiści na celowniku służb
Zespół CSIRT GOV odnotował również wzrost aktywności grup ofensywnych, takich jak APT28 (znana również jako Fancy Bear).
Grupa ta kierowała swoje działania głównie przeciwko polskiej administracji rządowej oraz sektorom energetycznemu i transportowemu. Wykorzystywane przez nią techniki (np. „living off the land”) pozwalają na długotrwałą obecność w systemach bez wykrycia, co jest szczególnie groźne z punktu widzenia bezpieczeństwa państwa.
Oprócz grup sponsorowanych przez państwa, aktywni byli również tzw. haktywiści – motywowani ideologicznie.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?
Materiał sponsorowany