Cyberprzestępcy działają jak korporacje. Ekspert: dążą do maksymalizacji zysku

„Doświadczenie pokazuje, że głośne ataki zwiększają zainteresowanie cyberbezpieczeństwem w instytucjach, ale tylko przez około pół roku. Po tym okresie organizacje i firmy zaczynają sądzić, że zainwestowały już wystarczająco dużo pieniędzy, czasu i wysiłku i tracą zainteresowanie tematem, a tym samym bezpieczeństwo znów zaczyna spadać. I tak aż do kolejnego ataku” - powiedział PAP Adam Rafajeński z Deloitte.

Ekspert zauważył, że żadna instytucja nie jest w stanie zabezpieczyć się przed atakiem w 100 procentach, ale musi ograniczać ryzyka.

Cyberbezpieczeństwo jak ochrona budynku

„Problem z cyberbezpieczeństwiem jest taki jak z ochroną budynku, który ma 40 okien i 20 wejść - my musimy pilnować wszystkich, a atakującym wystarczy jeden uchylony lufcik, by wejść” - opisywał. Dlatego - podkreślił - bardzo ważna jest ciągła czujność i tworzenie backupów, które pozwolą firmie czy instytucji wrócić do funkcjonowania po ataku.

„Większość ataków używa technik czy dziur, które zostały odkryte i można by je załatać miesiąc, czasami kwartał a czasami dwa lata temu. Jeżeli organizacja została zaatakowana z wykorzystaniem dziury, która mogła być załatana rok temu, to jest jej zaniedbanie, bo miała wystarczająco dużo czasu, żeby zapobiec tej sytuacji” - ocenił. Podkreślił, że najgroźniejsze są nie te ataki, które w widoczny sposób szyfrują lub niszczą dane, ale te niewidoczne: które podsłuchują, ściągają informacje, kopiują maile.

„To są elementy, które powinny zwrócić uwagę zarówno departamentów bezpieczeństwa, jak i służb. Problem w tym, że jeśli czegoś nie widać, to trudno na to zareagować. Organizacje mają problem z dostrzeżeniem anomalii: np. Jan Kowalski wysyła codziennie 30 kb danych do internetu, a w ostatnim tygodniu wysyłał po 600 kb” - wskazał.

Jak dodał, zdarza się, że firma, która nie zabezpiecza się odpowiednio, nie jest już w stanie podnieść się po cyberataku. „Miałem przynajmniej jedną taką sytuację, że duża firma skutecznie zaatakowana nie była w stanie funkcjonować. Oni byli na krawędzi ogłoszenia upadłości: nie mieli żadnych danych, systemy transakcyjne nie działały. Pomoc takiej firmie, gdy widzimy przed sobą tylko zaszyfrowane dane, jest bardzo trudna” - powiedział.

Cyberprzestępcza korporacja 

Rafajeński podkreślił, że cyberprzestępcy coraz bardziej się profesjonalizują. „Nie są to - jak kiedyś - idealiści, którzy chcą zmieniać świat, atakując tych, których uznają za wrogów, ale zawodowi przestępcy. Oni coraz częściej działają jak korporacje: rekrutują pracowników, organizują szkolenia z technik włamań. Podczas lockdownu obserwowaliśmy spadek aktywności niektórych grup cyberprzestępców, bo także ich dotknął lockdown i nie mogli pójść do pracy do biura” - powiedział.

Jak mówił, dodatkowym utrudnieniem jest to, że w cyfrowym świecie identyfikacja jest o wiele trudniejsza niż w prawdziwym. „Jeżeli ktoś chce się ukryć, może to zrobić za serwisami proxy. Fenomen IT jest taki, że trudno powiedzieć, że widzimy określony adres IP z jakiegoś kraju - to może być złudne. Niektórzy atakujący przechodzą przez cztery, pięć czy nawet kilkanaście takich serwerów, np. na Malcie, Korei Płd., potem w Rosji i USA. Obserwując taki atak widzimy tylko ostatnie miejsce, z którego on pochodzi” - powiedział.

Wskazał, że z tego powodu, choć większość ataków wydaje się pochodzić z Chin, USA i Rosji, to te kraje nie muszą być rzeczywistym miejscem pobytu cyberprzestępców. „Po prostu w tamtej infrastrukturze jest mnóstwo systemów, które oferują serwisy anonimizacyjne. Wychodzimy bramką, ktoś widzi, że ja wychodzę z Rosji, mimo że jestem w Polsce” - dodał.

Systemy prawne mają duże znaczenie

Według eksperta, dzisiejsi cyberprzestępcy dokładnie analizują również np. systemy prawne w poszczególnych krajach, żeby mieć pewność, iż w wypadku żądania przez służby pomocy prawnej otrzymanie odpowiedzi z danego kraju zajmie wieki.

„Dlatego np. Rosja jest wygodnym miejscem do takich działań. Jeżeli wyślemy tam prośbę o pomoc prawną, to potrwa rok, dwa lata zanim dostaniemy odpowiedź, że atak wyszedł z Mongolii. Gdy prosimy o pomoc Mongolię, po kilku miesiącach dostajemy odpowiedź, że atak przyszedł z Korei, i tak dalej” - powiedział. Wskazał, że choć w niektórych krajach, takich jak USA, ataki na przykład na funkcjonowanie systemu bankowego SWIFT są bardzo zdecydowanie ścigane, to część rządów przygląda się im biernie, bo uważa, że te działania uderzają w ich rywali geopolitycznych.

Według Rafajeńskiego, profesjonalizacja cyberprzestępców oznacza też jednocześnie, że działają oni w celu maksymalizacji zysku. „Jeśli widzą, że dana firma jest dobrze chroniona, a zarobek będzie trudny, to sobie odpuszczają i wybierają łatwiejszą, słabiej chronioną ofiarę. Dlatego warto inwestować w cyberbezpieczeństwo i mieć silne techniki zabezpieczeń, by odstraszyć atakujących” - podkreślił.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.