Skąd te wnioski? Specjaliści z Deloitte przeprowadzili symulację. Szukali „furtek”, punktów wejścia do sieci kilku firm z sektora bankowego, energetycznego i motoryzacyjnego. Sprawdzili ogólnodostępne kanały zarówno dużych organizacji zatrudniających ok. 250 osób, jak i małych firm liczących 10 pracowników. – Działaliśmy w sposób nieinwazyjny i całkowicie legalny – zaznaczył Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa w Deloitte. Na taką kurtuazję ze strony cyberprzestępców firmy nie mogą jednak liczyć.
Atak na główne łącze przypomina napad na bank w stylu Bonniego i Clyde, czyli wejście głównymi drzwiami. A przecież dużo efektywniejszy jest napad w stylu Kwinto, czyli wejście przez komin.
Wynik eksperymentu zaskoczył nawet jego organizatorów. Okazało się, że w dużych instytucjach furtek dla hakerów jest od 190- do 200, zaś w małych przedsiębiorstwach – od 20 do 50. – Szefowie działów IT często myślą, że wystarczy zabezpieczyć główne łącze internetowe, by firma była bezpieczna. To błąd. Atak na główne łącze przypomina napad na bank w stylu Bonniego i Clyde, czyli wejście głównymi drzwiami. A przecież dużo skuteczniejszy jest napad w stylu Kwinto, czyli wejście od tyłu, przez komin – obrazuje problem Jakub Bojanowski.
Jako przykład nierozsądnego działania podaje tworzenie ankiet w Google Docs, przygotowywanych przez dział kadr dla kandydatów na pracowników. Takie z pozoru niewinne narzędzie otwiera drogę do systemów firmy dla cyberprzestępców. Hakerzy atakują m.in. przez strony internetowe, media społecznościowe, na których aktywni są pracownicy i firma, używane aplikacje mobilne oraz infrastrukturę techniczną. –Moim zdaniem pracownicy działów IT zdają sobie sprawę z ok. 10 procent kanałów, które mogą być potencjalną furtką – szacuje Bojanowski.
Przestępcy najpierw szukają furtek i wejść od tyłu, tzw. backdoor. Faza rekonesansu to fundament ich działań.
Według ekspertów z Deloitte zawodowi przestępcy swoje akcje przygotowują przez wiele miesięcy. – Atak na stronę dużego tygodnika był zaplanowany od dawna, a hakerzy tylko czekali na dobrą okazję – twierdzi Bojanowski.
Chodzi o zeszłotygodniowe uderzenie hakerów z grupy Cyber Justice Team na stronę tygodnika „wSieci”. W wyniku ataku strona zniknęła i pojawił się komunikat 404.
Akcje cybeprzestępców zawsze odbywają się według tego samego schematu. Napastnicy najpierw rozpoznają cel. – Robią dokładnie to samo, co my, czyli szukają furtek i wejść od tyłu, tzw. backdoor. Faza rekonesansu to fundament ich działań – opisuje Ludwiszewski.
Następnie hakerzy z długiej listy furtek wybierają te miejsca, które są najkorzystniejsze do przeprowadzenia włamania. Wykorzystując luki w systemie bezpieczeństwa infekują system firmy. Stopniowo przejmują coraz większą kontrolę, zwiększając swoje uprawnienia i prawa dostępu. Wyciągają wrażliwe dane, które następnie sprzedają na czarnym rynku.
- Mówimy o całej podziemnej gospodarce opartej na prawach popytu i podaży. Złodziej informacji nie musi być osobą, która je spienięży. On te dane sprzedaje dalej – mówi Ludwiszewski.
Czy firmy są bezbronne w obliczu dobrze zaplanowanego, przygotowywanego przez wiele miesięcy cyberataku? Niekoniecznie. Można się przed tym obronić, ale należy skupiać się na wszystkich etapach działalności przestępców, nie tylko na końcowym efekcie, czyli samym włamaniu. Specjaliści radzą, by na bieżąco zbierać, monitorować i analizować potencjalne zagrożenia. Ważne, żeby zracjonalizować swoją obecność w Sieci, ekspozycję oraz powierzchnię ataku. Każdy nowy panel dostępu dla pracowników lub klientów to ułatwienie w pracy, ale też kolejna furtka dla intruzów.
Specjaliści podkreślają konieczność ciągłego testowania odporności na ataki, w tym na aplikacje i infrastrukturę. Ćwiczenie systemów bezpieczeństwa nie może być incydentalne, lecz powinno stać się ciągłym procesem.