Dlaczego nikt nie jest dziś bezpieczny w zinformatyzowanym świecie?
Wraz z rozwojem technologii zmieniają się cyberzagrożenia, rośnie ich skala i złożoność. Kilkanaście lat temu, gdy mieliśmy systemy centralne, odseparowane od internetu, inaczej podchodziło się do bezpieczeństwa niż dzisiaj, kiedy wrażliwe dane są przechowywane w chmurze lub na smartfonach w naszych kieszeniach. Słowem, kiedy dane – często w niekontrolowalny sposób – opuszczają granice urzędów czy przedsiębiorstw, niezwykle trudno je chronić. Mówiąc obrazowo, już nie da się zabezpieczyć informacji budując dookoła zasobów mur, jak w twierdzy. Jesteśmy skazani, by działać jak ochrona lotniska: umożliwić płynny ruch danych, ale wdrożyć procedury pozwalające na wykrycie nieprawidłowości i ograniczające ryzyko ich wystąpienia. Jednak wyeliminowanie wszelkich zagrożeń jest niemożliwe.
W jakim tempie rośnie zagrożenie cyberatakami?
Od 19 lat prowadzimy badania zagrożeń dla systemów informatycznych, widzimy, że ich liczba stale rośnie. W tym roku aż 57 proc. respondentów przyznało, że wystąpiły u nich istotne incydenty naruszające bezpieczeństwo, czyli że padli ofiarą ataków.
A pozostali są pewni, że nie byli atakowani, czy raczej nie wykryli ataków?
Dobre pytanie. My tego nie badaliśmy, ale inne raporty wskazują, że upływa bardzo dużo czasu od momentu włamania się do systemu do jego wykrycia. Mówi się tu średnio o 150, a nawet 200 dniach, więc wiele organizacji może nie być świadomych, że w ich infrastrukturze jest haker. Co więcej, w naszym badaniu aż 65 proc. poszkodowanych przyznało, że atak na ich systemy został wykryty przez biznes lub stronę trzecią, partnera spoza organizacji. To znaczy, że jest pewna sfera cienia i że skala skutecznych ataków jest większa.
Które z podsystemów urzędów czy organizacji biznesowych są najbardziej podatne na cyberataki?
Tu nie ma zaskoczeń. Jak sięgam pamięcią, zawsze najbardziej zawodnym ogniwem systemów bezpieczeństwa był człowiek. Czyli nieświadomy pracownik, który daje się podejść manipulacji. Drugą słabością są kiepskie zabezpieczenia przed nieautoryzowanym dostępem. Nie najlepiej zabezpieczone są też aplikacje udostępniane przez internet. Jak wynika z przebadanych przez nas ponad 100 systemów, znacząca większość – przeszło 80 proc. – była podatna na atak w stopniu wysokim czy wręcz krytycznym. Jest to skutek pośpiechu programistów, którzy mają za mało czasu i niewystarczające środki na uważne pisanie aplikacji. Jeszcze inną słabością są nieadekwatne, przestarzałe zabezpieczenia. Nie można zapominać, że dynamiczny rozwój technologii informatycznych daje hakerom coraz to nowe narzędzia. Mówimy o technologiach mobilnych, przetwarzaniu w chmurze, internecie rzeczy itp. Podłączamy do sieci coraz więcej urządzeń i często nie mamy pojęcia, jak groźne mogą one być. Całkiem niedawno ktoś wykorzystał dziurę bezpieczeństwa w kamerach internetowych, stworzył sieć zainfekowanych urządzeń i za ich pomocą przeprowadził na dużą skalę atak DDoS.
Jakie są najpowszechniejsze metody cyberataków?
Z naszego badania wynika, że numer jeden to złośliwe oprogramowanie, czyli wirusy, trojany itp., natomiast numer dwa to phishing, czyli próba uzyskania danych dostępowych poprzez wysyłanie fałszywych e-maili do pracowników. Obie techniki nakierowane są na ludzi.
Jakie są główne cele przestępczości internetowej?
Wszystko zależy od profilu grupy, która przeprowadza atak. Najliczniejsze są grupy hakerskie zajmujące się kradzieżą pieniędzy. W polu ich zainteresowań jest bankowość elektroniczna, zarówno banki, jak i klienci. Ich metody działania to między innymi wyłudzenia poprzez podstawienie za pomocą manipulacji czy złośliwego kodu fałszywego konta. Inną metodą jest wykorzystywanie oprogramowania szyfrującego komputer użytkownika, czyli tzw. ataki ransomware. Poszkodowany musi zapłacić okup albo traci cenne dane. Kiedy dotyczy to np. zdarzających się w USA ataków na szpitale, ich dyrekcje nie mają wyboru. Są też grupy zajmujące się kradzieżą wrażliwych danych dla okupu bądź ich odsprzedaży. Aż jedna trzecia badanych wskazywała na ataki grup wspieranych przez rządy obcych państw. To ataki bardzo zaawansowane technologicznie i niezwykle trudne do wykrycia. Zwykle nakierowane na kradzież konkretnych informacji.
Czy zdarzają się ataki wspierane przez inne państwa, których celem jest unieruchomienie infrastruktury?
Tak. Mieliśmy taki przykład, gdy w 2009 roku zaatakowano Estonię. Można się spotkać z jeszcze inną grupą hakerów, tzw. haktywistami. To źródło zagrożeń nawet częstsze niż ataki wspierane przez rządy. Tworzą je hakerzy atakujący dla idei. Ich działania uderzają w sektor publiczny, agendy rządowe i samorządy. Celem może być blokada stron internetowych, pozyskiwanie kompromitujących władzę informacji, które mogą być następnie publikowane w sieciach społecznościowych. Najgłośniejsze przypadki to działania Wikileaks oraz kradzież e-maili w ostatnich wyborach prezydenckich w USA.
Czy z badań przeprowadzonych przez EY wiadomo, jakie są główne ograniczenia dla zapewnienia bezpieczeństwa w organizacjach publicznych i administracji?
Przede wszystkim niewystarczające są budżety na ochronę infrastruktury teleinformatycznej i zasobów informacyjnych. To zawsze był problem. Coraz bardziej dojmującym brakiem jest również niedostatek wykwalifikowanych kadr, ekspertów ds. bezpieczeństwa. Sektor publiczny jest szczególnie narażony na utratę specjalistów, ponosi wysokie nakłady na ich doskonalenie zawodowe, a potem doświadczonych pracowników łatwo wysysają firmy komercyjne, bo – jeśli są to na przykład międzynarodowe firmy, budujące w Polsce swoje centra kompetencji – mogą zaoferować dużo wyższe wynagrodzenia. Coraz mniej istotny, ale nadal ważny, może być brak wystarczającej świadomości i wsparcia dla kwestii bezpieczeństwa ze strony kierownictwa. Jest do deficyt szczególnie groźny, bo jeśli nie ma zrozumienia dla tej sprawy, to nie ma pieniędzy, ludzi i innych potrzebnych zasobów.
Jakie kroki doradza EY klientom, aby w sposób systemowy poprawiali bezpieczeństwo swoich organizacji?
Aż 86 proc. badanych stwierdziło, że zabezpieczenia w ich urzędach i firmach są niewystarczające, co raz jeszcze potwierdza, że pełna ochrona jest niemożliwa i że trzeba się chronić w inny sposób niż dotychczas. Radzimy skupiać się na procesach pozwalających na wczesne wykrywanie zagrożeń, ale gdy atak nastąpi potrzebne są wypracowane procedury pozwalające na szybką i odpowiednią reakcję. Zaatakowana organizacja jest w sytuacji kryzysowej, a wtedy występują duże emocje, podejmowane działania bywają chaotyczne i przypadkowe, może też wystąpić paraliż. To powoduje największe straty, wtedy zdarza się utrata np. materiałów dowodowych, co w przyszłości nie pozwoli podjąć skutecznych kroków przeciwko przestępcom. Dlatego trzeba przygotować reakcję, sformalizować procesy, wytyczyć ścieżkę podejmowania decyzji, opracować metody komunikacji etc. Przygotowanie procedur reagowania to bardzo złożone, wręcz interdyscyplinarne zadanie. Trzeba sobie zdawać sprawę, że reagowanie na incydenty nie jest wyłączną domeną działów IT, powinien być w nie zaangażowany między innymi dział prawny, biuro rzecznika prasowego i PR, a także najwyższe kierownictwo. Niestety, aż 40 proc. badanych przez nas organizacji przyznało, że nie ma wypracowanych procedur postępowania w przypadku cyberincydentu.
Czym powinna się charakteryzować organizacja odporna na zagrożenia?
Przede wszystkim powinna mieć świadomość samej siebie, swoich celów biznesowych i realnych możliwości, bo bez tego nie da się stworzyć spójnego systemu działania w żadnej dziedzinie. Po drugie, trzeba zrozumieć ekosystem cyfrowy, w którym urząd funkcjonuje, zidentyfikować wszystkie połączenia ze światem zewnętrznym, rozpoznać wrażliwość systemów tych organizacji, z którymi urząd współpracuje i wymienia informacje. Jeśli to możliwe, trzeba im narzucić własne wymogi bezpieczeństwa, bo to urząd odpowiada za ochronę swoich danych. Następnie trzeba skupić działania ochronne na kluczowych zasobach, bo jak już mówiłem, nie da się bronić wszystkiego. To dziś absolutnie krytyczne zagadnienie, bo okazuje się, że wiele organizacji ma problem z identyfikacją własnych kluczowych zasobów informacyjnych. Po czwarte, należy rozpoznać czynniki ryzyka, przewidywać skąd i jaki atak może nadejść. Samorządy powinny uważnie śledzić i wykorzystywać możliwości ochrony, które tworzy administracja rządowa. Budowane jest Narodowe Centrum Cyberbezpieczeństwa, tworzone są zalecenia ogólne i CERT-y sektorowe. Misją tych instytucji jest także przekazywanie wiedzy na temat cyberzagrożeń. To trzeba wykorzystywać. Piąty czynnik charakteryzujący odporną organizację to pilnowanie, aby minimalizować ryzyko spowodowane czynnikiem ludzkim. Chodzi zarówno o świadomość pracowników, aby byli odporni na próby manipulacji, ale jest też potrzebna kompetentna kadra w dziale IT i security. Jako zasadę należy przyjąć, że trzeba inwestować w ludzi i wspierać ich narzędziami. Nigdy na odwrót. Niestety, obserwuję to bardzo często w sektorze publicznym, że łatwiej jest znaleźć pieniądze na sprzęt niż na usługi czy poprawę kompetencji i wynagrodzenia kadry. Po szóste, należy dążyć do wytworzenia w urzędzie kultury gotowości do zmian i po siódme, muszą zostać opracowane skuteczne metody wykrywania ataków oraz sprawne procedury sprawnego reagowania na zaistniałe incydenty.
Pełna treść raportu (w wersji angielskiej) do pobrania <link file:107941_blank download file>>>>
