Bezpieczeństwo cyfrowe. Jak się chronić przed atakami?

Bezpieczeństwo cyfrowe

Liczba cyberataków stale rośnie, a wraz z nimi znaczenie instrumentów z zakresu bezpieczeństwa cyfrowego. Przede wszystkim dla instytucji publicznych i przedsiębiorstw przemysłu budowy maszyn i instalacji programy wymuszające okup stanowią największe zagrożenie. Skutkiem cyberataku są zakodowane ważne pliki lub nawet blokada całego systemu. A jego ofiary otrzymują dostęp do swoich danych dopiero po zapłaceniu wysokiego okupu. W rzeczywistości przekazanie pieniędzy hakerom nie gwarantuje odkodowania danych. Mimo to aktualne badanie przeprowadzone przez firmę Sophos, która oferuje rozwiązania w zakresie cyberbezpieczeństwa, wykazało, że 46% przedsiębiorstw dotkniętych atakami hakerskimi w roku 2021 zgodziło się na zapłacenie okupu. Niestety nie gwarantował on pewności, czy odzyskają swoje dane.

Wysoka kwota okupu to nie jest jedyny problem. Również długi okres przestoju, nawet do 6 tygodni, jest często powodem ogromnych strat finansowych. Bitkom alarmuje, że powstałe w ten sposób szkody w 2021 roku szacowane są łącznie na 223,5 miliarda euro.

W jaki sposób przedsiębiorstwa mogą rozpoznać atak oprogramowania wymuszającego okup?

Analizy ataków mających na celu wymuszenie okupu pokazały, że cyberprzestępcy wkradają się do przedsiębiorstw w precyzyjny i ukierunkowany sposób. Klasyczne wiadomości e-mail wyłudzające informacje rzadko odgrywają znaczącą rolę. Hakerzy odpowiadają zwykle na maile przesłane im przez samych pracowników, przez co początkowo nie wzbudzają żadnych podejrzeń. Zgodnie z metodą „Konia Trojańskiego” cyberprzestępcy najpierw biorą pod lupę partnerów biznesowych z łańcucha logistycznego, żeby za ich pośrednictwem przeprowadzić atak na przedsiębiorstwa przemysłu budowy maszyn i instalacji. Dane są często przechwytywane tygodniami, bez wiedzy poszkodowanych. Na koniec przestępcy blokują system, a szkody powstałe do tego momentu są już zwykle nieodwracalne. Bezpieczeństwo cyfrowe przedsiębiorstwa zostaje przerwane.

Podejrzenie cyberataku

Jeżeli istnieje podejrzenie cyberataku, przedsiębiorstwa sprawdzają, czy jest to zwykły wirus lub mail wyłudzający informacje, czy też zagrożenie wywołane przez oprogramowanie wymuszające okup. Taki atak rozpoznaje się wtedy, gdy dostęp do danych lub całego systemu nie jest już możliwy. Wskazówki jednak odczytujemy dużo wcześniej, gdy np. na pulpicie lub serwerze pojawiają się pliki, których żaden pracownik przedsiębiorstwa tam nie umieścił. Sygnałem, że system zostanie zablokowany, są również samoistne wydruki dokumentów zawierające zdanie „What happened?”.

W jaki sposób można się chronić przed cyberatakami?

Ataku oprogramowania wymuszającego okup nie można niestety wykluczyć. Obecnie istnieje w tym zakresie ponad 20 profesjonalnie zorganizowanych grup, których celem jest wyrządzanie szkód przedsiębiorstwom.Każdy z nas może się jednak przyczynić do ograniczenia sukcesów cyberprzestępców do absolutnego minimum.

Trzy najważniejsze środki to:

• Unikanie lub czasowe ograniczanie bezpośredniego dostępu do przedsiębiorstwa (np. VPN, RDP, Citrix).
• Co najmniej dwu-, lub wielopoziomowe uwierzytelnianie wszystkich dostępów, np. hasło i SMS.
• Zamykanie wszystkich programów i funkcji, które nie są niezbędne i regularne aktualizowanie wykorzystywanych oprogramowań.

Zachowaj spokój i działaj szybko!

W przypadku wystąpienia cyberataku obowiązuje – Zachowaj spokój i działaj szybko! Optymalną reakcją jest przystąpienie do realizacji niezbędnych kroków, zgodnie z listą kontrolną opracowaną na wypadek takiego ataku – niestety taka lista przeważnie nie istnieje. Przestępcy są jednak równie często tak samo źle przygotowani jak ich ofiary. Ponieważ większość ataków za pośrednictwem oprogramowania do wymuszania okupu jest sterowana ręcznie, hakerzy przez dłuższy czas operują w systemie i dzięki temu można ich wyśledzić.

Kolejne trzy kroki dla przedsiębiorstw to:

• Blokada wszystkich dostępów z zewnątrz
• Wyłączenie sieci
• Ochrona najważniejszych systemów

Jeżeli dostępna jest wystarczająca liczba pracowników i pozostało trochę czasu, powinien powstać sztab kryzysowy łączący najważniejsze obszary przedsiębiorstwa.

1. Na początek należy stworzyć alternatywne drogi komunikacji, np. poprzez komunikator Messenger.
2. Ważne numery telefonów powinny zostać zapisane – co najmniej przez dział IT – również poza systemem.
3. Następnie należy poinformować pracowników. Wyzwaniem jest sytuacja, w której większość z nich pracuje z domu, ponieważ bez VPN dostęp do skrzynki pocztowej często nie jest możliwy.
4. Przedsiębiorstwa zaatakowane przez oprogramowanie wymuszające okup nie powinny komunikować się z cyberprzestępcami.
5. Najlepiej poprosić o pomoc ekspertów, którzy zajmują się bezpieczeństwem cyfrowym i wiedzą, jak odtworzyć system po ataku.

Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) przygotował katalog zagadnień z zakresu bezpieczeństwa IT zawierający różnorodne informacje dla przedsiębiorstw dotkniętych tym problemem. Te zalecenia są dopasowane do poszczególnych oprogramowań wykorzystywanych przez przedsiębiorstwa.

Dlaczego bezpieczeństwo cyfrowe jest tak ważne dla przemysłu budowy maszyn i instalacji?

Przemysł budowy maszyn i instalacji jest atrakcyjnym celem dla hakerów i dlatego wymaga zastosowania różnorodnych środków ochronnych – nie tylko w celu udaremnienia ataków programów wymuszających okup. Zarówno małe, jak i duże przedsiębiorstwa z tej branży są w równym stopniu narażone na ataki, nawet jeśli są odpowiednio zabezpieczone. Bez odpowiednich środków ochronnych cyberataki szkodzą nie tylko poszczególnym przedsiębiorstwom, ale całej branży.

Szczególnie ważne są przy tym dwa aspekty:

1. Okres użytkowania maszyn i instalacji znacząco się różni od okresu użytkowania oprogramowań.

Podczas gdy maszyny wykorzystywane nawet przez 30 lat, oprogramowanie, które nie jest regularne aktualizowane, już po kilku miesiącach staje się przestarzałe. Przedsiębiorstwa powinny pamiętać, że wraz z cyfryzacją obejmującą stosowane maszyny i instalacje, znaczenie cyberbezpieczeństwa stale rośnie.

2. Łańcuchy dostaw są częstym celem ataków hakerskich:

Ponieważ producenci maszyn i instalacji zaopatrują infrastrukturę krytyczną, mogą zostać pośrednio wykorzystani do ataku na operatorów obiektów tej infrastruktury. Możliwe jest przykładowo wywołanie jednoczesnej awarii niezależnych systemów, jeżeli wykorzystują one takie same podzespoły.

Competence Center Industrial Security niemieckiego Stowarzyszenia Producentów Maszyn i Instalacji (VDMA) przeanalizowało kompleksowy temat, jakim są programy do wymuszania okupów oraz cyberbezpieczeństwo i na podstawie analiz przygotowało listę 15 obowiązkowych środków zapobiegawczych dla przemysłu budowy maszyn i instalacji. Najważniejsze cztery z nich to:

• Oferowanie regularnych szkoleń z zakresu uwrażliwiania pracowników i członków zarządu na zagrożenia związane z cyfryzacją.
• Tworzenie procedur dla administratorów i pracowników posiadających szerokie prawa dostępu, ponieważ to oni są najczęściej celami ataków.
• Przeprowadzenie segmentacji sieci, np. w celu izolacji poszczególnych obszarów na poziomie cyfrowym, aby ewentualny atak nie dotknął całego przedsiębiorstwa.
• Sprawdzenie, czy system może zostać przywrócony na podstawie kopii zapasowych.

Przedsiębiorstwa i instytucje muszą bezsprzecznie wnieść swój wkład w bezpieczeństwo cyfrowe. Kluczowe jest jednak świadome postępowanie każdego indywidualnego użytkownika sieci, które może udaremnić niejeden atak programu wymuszającego okup.