#CyberMagazyn: Inwazja Rosji. Jak chronić się przed cyberatakami?

Cyberataki poprzedziły rosyjską inwazję na Ukrainę. Jak informowaliśmy, rosyjscy dowódcy zostali skierowani do centrów dowodzenia i rozpoczęli cyberoperacje wymierzone w Ukrainę. Mychajło Fedorow, wicepremier i minister transformacji cyfrowej tego kraju, wskazał, że specjaliści całą noc z 23 na 24 lutego br. „bronili ukraińskiej cyberprzestrzeni”. Nad ranem do cyberataków doszły uderzenia rakietowo-lotnicze na miasta na Ukrainie, w tym m.in. Kijów, Charków i Kramatorsk. Zaczęła się inwazja.

Wcześniej, dokładnie 15 i 23 lutego, zaobserwowano zakłócenia działania rządowych stron i instytucji finansowych na Ukrainie. Problemy dotyczyły m.in. ministerstwa obrony, resortu spraw zagranicznych, SBU (Służby Bezpieczeństwa Ukrainy), a także banku Privat.  

Czy jesteśmy zagrożeni?

Ze względu na gwałtowne zaostrzenie konfliktu na Ukrainie polskie władze podjęły decyzję wprowadzeniu stopnia alarmowego  CHARLIE-CRP (trzeci w czterostopniowej skali). To najwyższy stopień, jaki kiedykolwiek obowiązywał w naszym kraju. Wdrożono go na podstawie decyzji premiera Mateusza Morawieckiego w poniedziałek 21 lutego na terenie całego państwa. Jak tłumaczono, to efekt działań, jakie zaobserwowano w polskiej cyberprzestrzeni. Czy jesteśmy więc zagrożeni?

Żyjąc w rzeczywistości, której integralną częścią jest cyfryzacja, każdy z użytkowników musi być świadomy ryzyka związanego z funkcjonowaniem w sieci. Jednak to, co ma miejsce obecnie na Ukrainie, czyli zbrojna agresja Rosji, wymaga od nas jeszcze większego wyczulenia na zagrożenia i rozwagi. 

Specjaliści naczelnych instytucji odpowiedzialnych za cyberbezpieczeństwo kraju z różnych sektorów – CSIRT MON, CERT Polska, CSIRT KNF – podzielili się rekomendacjami dla obywateli, których wdrożenie powinno podnieść naszą ochronę w sieci. Skontaktowaliśmy się z nimi również, aby poznać szczegóły dotyczące potencjalnego ryzyka i scenariuszy prawdopodobnych cyberataków. 

Ryzyko dla Polski

Komisja Nadzoru Finansowego, w ramach którego funkcjonuje Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego – CSIRT KNF, podkreśla, że w związku z obecną sytuacją geopolityczną jej specjaliści wskazują na ryzyko wystąpienia wzmożonej aktywności w polskiej cyberprzestrzeni. Eksperci NASK-u (odpowiedzialni za CERT Polska) dodają, że w przypadku działań hybrydowych celem mogą być przede wszystkim instytucje publiczne i firmy użyteczności publicznej. 

Chodzi m.in. o próby destabilizacji funkcjonowania poszczególnych podmiotów czy też utrudnianie użytkownikom dostępu do określonych usług: od problemów z dostępem do strony internetowej dostawcy aż do przerwania ich działania.

„Celem działań cyberprzestępców, oprócz wspomnianej wcześniej próby destabilizacji, jest często także kradzież środków finansowych, co w oczywisty sposób wskazuje, że to właśnie rynek finansowy (rozumiany zarówno jako instytucje rynku finansowego oraz jego klienci) jest w głównej mierze narażony na wrogie działania” – podkreśla KNF. 

Na Ukrainie użyto m.in. DDoS

Tomasz Klecor, prawnik, partner w kancelarii Legal Geek, specjalizującej się w obsłudze rynku finansowego, wskazuje, że w naszym kraju mamy bardzo rozbudowany sektor fintech, tj. pozabankowych usług płatniczych. „Ataki typu DDoS na trzech - czterech kluczowych dostawców usług płatniczych (odwołanie do ostatnich ataków na Ukrainie – red.) mogą sprawić, że nie tylko nie zapłacimy za zakupy w internecie, ale też np. nie opłacimy biletu w parkomacie czy przejazdu autostradą” – tłumaczy.

Specjalista dodaje, że usługi finansowe są integralną częścią współczesnego e-biznesu, a często nawet ich nie dostrzegamy. „Wyłączenie którejś z nich na kilka, kilkanaście godzin mogłoby spowodować znaczne straty dla rynku e-commerce” – podkreśla. 

Z kolei specjaliści NASK-u na łamach naszego portalu podkreślają, że brak działania bankowości internetowej nie oznacza automatycznie, iż nie będą działać pozostałe kanały dostępu do naszego rachunku bankowego. „W przypadku najbardziej prawdopodobnego ataku DDoS na portal internetowy banku, pozostałe formy dostępu do środków na naszych kontach: płatności kartami, wypłaty z bankomatów oraz oddziałów banków będą najprawdopodobniej wciąż dostępne” – wskazują.

Ryzyko utraty naszych oszczędności, nawet gdyby doszło do czasowej utraty możliwości dostępu do środków, jest w praktyce zerowe. Ochroną nawet przed takim scenariuszem jest dywersyfikacja naszego portfela poprzez umieszczenie naszych oszczędności w różnych instytucjach, w różnych instrumentach, a także posiadania niedużej ilości gotówki.
NASK

Napięta sytuacja i czas konfliktu. Jak chronić się przed cyberatakami?

KNF nie ukrywa, że „napięta sytuacja geopolityczna" generuje dodatkowe ryzyko pojawienia się wrogich działań w polskiej cyberprzestrzeni. Celem jest wywołanie destabilizacji poprzez m.in. uderzenie w sektor finansowy. A przecież każdy z nas chce mieć pewność, że jego dane i fundusze są bezpieczne. Pytanie więc, jak mamy postępować w przypadku incydentu? 

Eksperci wskazują, że w zakresie cyberbezpieczeństwa konieczne jest stosowanie prostych, ale równocześnie jakże ważnych zasad. 

• Nie używajmy prywatnych kont (e-mail i w ramach komunikatorów) do korespondencji służbowej.
• Nie korzystajmy z prywatnego sprzętu (komputery, telefony itd.) do pracy służbowej i odwrotnie – urządzeń firmowych dla prywatnych celów (ani też nie udostępniajmy ich naszym bliskim).
• Gdy logujemy się na konto, zawsze sprawdzajmy domenę z jakieś korzystamy, czy jest prawidłowa.
• Ignorujmy dodatkowe komunikaty i prośby o podanie danych logowania (często fikcyjne alerty są łudząco podobne do oficjalnych).
• W przypadku wystąpienia czasowej niedostępności naszej bankowości elektronicznej nie wpadajmy w panikę. Najważniejsze jest zachowanie spokoju. Często wywołanie silnych emocji w ten właśnie sposób jest celem sprawców. Nie dawajmy im tej satysfakcji. Eksperci KNF uspokajają: „podmioty rynku finansowego posiadają profesjonalne i wyspecjalizowane zespoły reagowania na tego typu incydenty. Daj im działać".  
• Nie kierujmy się anonimowymi opiniami czy komentarzami, które docierają do nas z np. social mediów, ponieważ mogą to być fake newsy.
• Gdy jakaś wiadomość wzbudza nasze wątpliwości, postępujmy ostrożnie: w nic nie klikajmy, nie podawajmy danych, nie odpowiadajmy, ani nie spełniajmy żadnych innych „próśb”, jakie w niej zawarto. Taką korespondencję można zgłosić do np. CERT Polska. A jeśli dostaliśmy ją na służbowe konto, poinformujmy administratora.
• Stosujmy długie, skomplikowane hasła. Najlepiej, aby składały się z kilku słów, dużych i małych liter, a także znaków specjalnych oraz liczb, np. NaMałymJeziorku97%PływaSmok. Ważne, aby hasło nie było związane z informacjami na nasz temat, zwłaszcza tymi dostępnymi publicznie (np. w social mediach), ponieważ to tylko ułatwia działanie sprawcą. Tak więc imię, nazwisko i data urodzenia, to kiepski pomysł...
• Hasła możemy zmieniać wtedy, gdy mamy podejrzenie, że ktoś mógł je odkryć lub złamać. Jeśli już ustalamy nowe, nie używajmy podobnego do poprzedniego – wymyślmy coś zupełnie innego, stosując zasady z poprzedniego punktu.
• Jedno hasło do wielu kont – to nie jest dobre rozwiązanie, ponieważ naraża nas na duże ryzyko. W momencie, gdyby ktoś je przejął, miałyby dostęp do naszych pozostałych profili.
• Stosujmy uwierzytelnienie wieloskładnikowe wszędzie tam, gdzie to tylko możliwe. Warto także korzystać z kluczy zabezpieczających U2F.
• Zweryfikujmy dane kontaktowe w ustawieniach skrzynki e-mail i platform społecznościowych, co może pozwolić nam odzyskać konto w przypadku incydentu.
• Gdy podejrzewamy, że ktoś mógł się włamać na nasze konto – od razu zmieńmy hasło, a następnie sprawdźmy historię logowania i zakończmy aktywne sesje.
• Niezbędna jest także regularna aktualizacja oprogramowania. W jej ramach producenci udostępniają m.in. łatki niwelujące groźne podatności.
• Zadbajmy o kopie zapasowe ważnych plików, dokumentów itd., abyśmy mogli z nich korzystać w przypadku pojawienia się incydentu. 
• Podstawę ochrony stanowi także skuteczny i aktualny antywirus.
• Do komunikacji używajmy, zwłaszcza wrażliwej prywatnej, komunikatorów z szyfrowaniem end-to-end. Warto także korzystać z opcji automatycznego kasowania wiadomości po upływie wskazanego czasu.

A ponadto...

W obecnej sytuacji związanej z wydarzeniami na Ukrainie musimy zachować szczególną czujność i kierować się rozumem, a nie emocjami. Dochodzące do nas powiadomienia, komunikaty czy inne wiadomości traktujmy z rozwagą. Wiele treści, które już teraz do nas docierają „żeruje” na odczuciach użytkowników, nakłaniając do interakcji (np. do kliknięcia w link).  Jeśli nie jesteśmy czegoś pewni, nie klikajmy, nie pobierajmy, nie instalujmy. 

Najlepszym sposobem do uniknięcia nieprzyjemnych sytuacji jest weryfikacja informacji, najlepiej w kilku źródłach. Zanim podamy coś dalej, upewnijmy się, że nie mamy do czynienia z fake newsem lub inną formą niebezpiecznych działań w sieci. Czasem lepiej wstrzymać się, niż podać coś dalej. Sianie paniki nikomu nie pomaga, a wręcz przeciwnie – wzmacnia chaos i sprzyja przeciwnikowi. 

1. Wyłącz emocje, włącz myślenie

2. Nie szukaj sensacji, lecz faktów

3. Najpierw weryfikuj, potem udostępniaj

4. Nie jesteś pewny? Wstrzymaj się i bądź bezpieczny

Pamiętajmy, że specjaliści ds. cyberbezpieczeństwa, jak m.in. CERT Polska, CSIRT MON, CSIRT KNF, w swoich social mediach regularnie publikują informacje dotyczące najnowszych kampanii, cyberataków oraz metod działa cyberprzestępców. Bycie na bieżąco z pewnością pozwoli nam być wyczulonym na wrogie działania i odkryć, że coś jest nie tak, gdy staniemy się celem cyberoperacji. 

Każdą niepokojącą nas aktywność można zgłaszać do specjalnych instytucji. Tutaj dane kontaktowe:

• CERT Polska: „[email protected]”, formularz na stronie „incydent.cert.pl” oraz nr telefonu 799 448 084;
• CSIRT MON: „csirt-mon(at)ron.mil.pl”, nr tel.: 261 86 53 33;
• CSIRT KNF: „[email protected]”

Bądźmy (cyber)bezpieczni.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o którychtrzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.