Biznes i Finanse

Cyberprzestępcy działają jak korporacje. Ekspert: dążą do maksymalizacji zysku

Fot.  Jefferson Santos/unsplash.com
Fot. Jefferson Santos/unsplash.com

Głośne ataki chwilowo zwiększają zainteresowanie cyberbezpieczeństwem, jedynie na okres ok. pół roku, podczas gdy cyberprzestępcy coraz bardziej się profesjonalizują i sami zaczynają działać jak korporacje - podkreślił w rozmowie z PAP Adam Rafajeński z Deloitte.

Doświadczenie pokazuje, że głośne ataki zwiększają zainteresowanie cyberbezpieczeństwem w instytucjach, ale tylko przez około pół roku. Po tym okresie organizacje i firmy zaczynają sądzić, że zainwestowały już wystarczająco dużo pieniędzy, czasu i wysiłku i tracą zainteresowanie tematem, a tym samym bezpieczeństwo znów zaczyna spadać. I tak aż do kolejnego ataku - powiedział PAP Adam Rafajeński z Deloitte.

Ekspert zauważył, że żadna instytucja nie jest w stanie zabezpieczyć się przed atakiem w 100 procentach, ale musi ograniczać ryzyka.

Cyberbezpieczeństwo jak ochrona budynku

Problem z cyberbezpieczeństwiem jest taki jak z ochroną budynku, który ma 40 okien i 20 wejść - my musimy pilnować wszystkich, a atakującym wystarczy jeden uchylony lufcik, by wejść - opisywał. Dlatego - podkreślił - bardzo ważna jest ciągła czujność i tworzenie backupów, które pozwolą firmie czy instytucji wrócić do funkcjonowania po ataku.

Większość ataków używa technik czy dziur, które zostały odkryte i można by je załatać miesiąc, czasami kwartał a czasami dwa lata temu. Jeżeli organizacja została zaatakowana z wykorzystaniem dziury, która mogła być załatana rok temu, to jest jej zaniedbanie, bo miała wystarczająco dużo czasu, żeby zapobiec tej sytuacji - ocenił. Podkreślił, że najgroźniejsze są nie te ataki, które w widoczny sposób szyfrują lub niszczą dane, ale te niewidoczne: które podsłuchują, ściągają informacje, kopiują maile.

To są elementy, które powinny zwrócić uwagę zarówno departamentów bezpieczeństwa, jak i służb. Problem w tym, że jeśli czegoś nie widać, to trudno na to zareagować. Organizacje mają problem z dostrzeżeniem anomalii: np. Jan Kowalski wysyła codziennie 30 kb danych do internetu, a w ostatnim tygodniu wysyłał po 600 kb - wskazał.

Jak dodał, zdarza się, że firma, która nie zabezpiecza się odpowiednio, nie jest już w stanie podnieść się po cyberataku. Miałem przynajmniej jedną taką sytuację, że duża firma skutecznie zaatakowana nie była w stanie funkcjonować. Oni byli na krawędzi ogłoszenia upadłości: nie mieli żadnych danych, systemy transakcyjne nie działały. Pomoc takiej firmie, gdy widzimy przed sobą tylko zaszyfrowane dane, jest bardzo trudna - powiedział.

Cyberprzestępcza korporacja 

Rafajeński podkreślił, że cyberprzestępcy coraz bardziej się profesjonalizują. Nie są to - jak kiedyś - idealiści, którzy chcą zmieniać świat, atakując tych, których uznają za wrogów, ale zawodowi przestępcy. Oni coraz częściej działają jak korporacje: rekrutują pracowników, organizują szkolenia z technik włamań. Podczas lockdownu obserwowaliśmy spadek aktywności niektórych grup cyberprzestępców, bo także ich dotknął lockdown i nie mogli pójść do pracy do biura - powiedział.

Jak mówił, dodatkowym utrudnieniem jest to, że w cyfrowym świecie identyfikacja jest o wiele trudniejsza niż w prawdziwym. Jeżeli ktoś chce się ukryć, może to zrobić za serwisami proxy. Fenomen IT jest taki, że trudno powiedzieć, że widzimy określony adres IP z jakiegoś kraju - to może być złudne. Niektórzy atakujący przechodzą przez cztery, pięć czy nawet kilkanaście takich serwerów, np. na Malcie, Korei Płd., potem w Rosji i USA. Obserwując taki atak widzimy tylko ostatnie miejsce, z którego on pochodzi - powiedział.

Wskazał, że z tego powodu, choć większość ataków wydaje się pochodzić z Chin, USA i Rosji, to te kraje nie muszą być rzeczywistym miejscem pobytu cyberprzestępców. Po prostu w tamtej infrastrukturze jest mnóstwo systemów, które oferują serwisy anonimizacyjne. Wychodzimy bramką, ktoś widzi, że ja wychodzę z Rosji, mimo że jestem w Polsce - dodał.

Systemy prawne mają duże znaczenie

Według eksperta, dzisiejsi cyberprzestępcy dokładnie analizują również np. systemy prawne w poszczególnych krajach, żeby mieć pewność, iż w wypadku żądania przez służby pomocy prawnej otrzymanie odpowiedzi z danego kraju zajmie wieki.

Dlatego np. Rosja jest wygodnym miejscem do takich działań. Jeżeli wyślemy tam prośbę o pomoc prawną, to potrwa rok, dwa lata zanim dostaniemy odpowiedź, że atak wyszedł z Mongolii. Gdy prosimy o pomoc Mongolię, po kilku miesiącach dostajemy odpowiedź, że atak przyszedł z Korei, i tak dalej - powiedział. Wskazał, że choć w niektórych krajach, takich jak USA, ataki na przykład na funkcjonowanie systemu bankowego SWIFT są bardzo zdecydowanie ścigane, to część rządów przygląda się im biernie, bo uważa, że te działania uderzają w ich rywali geopolitycznych.

Według Rafajeńskiego, profesjonalizacja cyberprzestępców oznacza też jednocześnie, że działają oni w celu maksymalizacji zysku. Jeśli widzą, że dana firma jest dobrze chroniona, a zarobek będzie trudny, to sobie odpuszczają i wybierają łatwiejszą, słabiej chronioną ofiarę. Dlatego warto inwestować w cyberbezpieczeństwo i mieć silne techniki zabezpieczeń, by odstraszyć atakujących - podkreślił.


Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image

Źródło:
PAP

Komentarze

    Czytaj także