W świecie cybernetycznym w pierwszej połowie 2018 roku pojawiło się kilka ważnych zjawisk. Pierwszym tematem jest podatność oprogramowań. Odkryliśmy wiele podatności w znanych produktach takich jak: Adobe, Apple, Microsoft czy w infrastrukturze krytycznej urządzeń ICS i IoT. Jest to bardzo istotny problem, ponieważ te podatności stanowią o początku każdego ataku niezależnie, czy jest to atak na firmę czy konsumenta. To pierwsze zjawisko” – mówi w rozmowie z ISBnews.tv/ISBtech Udo Schneider, Security Evangelist w Trend Micro.

Zjawiska w cyberbezpieczeństwie w I półr.

Drugim zjawiskiem na jakie wskazuje są ataki nietechniczne, czyli ataki typu business email compromise (BEC) czy oszustwa korporacyjne. Nie są to ataki związane z atakiem na technologie, jednak atakujący stara się przekonać osoby w organizacji, aby przekazały pieniądze i fundusze.

„Jest to interesujące, ponieważ zaobserwowaliśmy przejście z tradycyjnych ataków typu malware, takich jak: ransomware czy nawet kopalnie kryptowalut, do ataków opartych o procesy, jak właśnie te typu BEC. Jeśli więc połączymy te dwa zjawiska powstaje możliwość ataku i infiltracji organizacji, połączone z wyłudzaniem pieniędzy. Przy połączeniu tych dwóch motywów powstaje nowy model biznesowy dla cyberprzestępców” – podkreśla specjalista Trend Micro.

Jeśli mówimy o cryptojackingu lub o kopalniach kryptowalut to istnieje nowy model biznesowy, za którym podążają cyberprzestępcy. Zarażają i infiltrują oni komputery i zamiast instalować oprogramowania typu ransomware czy spyware instalują koparki kryptowalut. Kradną tym samym moce komputera. Kiedyś był to duży problem urządzeń IoT, które zostały zarażone i służyły do kopania kryptowalut. Teraz problem ten dotyczy także komputerów PC.

„Bardzo niebezpieczną rzeczą jest fakt, że nie ma żadnych widocznych śladów ataku dla użytkownika. Jedyną zauważalną zmianą jest fakt, że komputer pracuje wolniej. W ten sposób atakujący zyskuje dostęp do kryptowalut i bezpośrednią możliwość wyłudzania pieniędzy z komputera. Ta kombinacja łatwego zainfekowania, łatwego zainstalowania kopalni kryptowalut z nowym modelem biznesowym dają ogromne możliwości cyberprzestępcom i oznacza, że dla nas będzie to problem na najbliższe lata” – wyjaśnia Schneider.

Polska póki co nie na celowniku

Specjalista Trend Micro wskazuje, że dobrą wiadomością dla Polski jest fakt, że nie znajduje się ona w czołówce zagrożonych krajów.

„Jeśli więc spojrzymy na ataki typu BEC, ataki ransomware czy kopalnie krypotwalut, Polska nie jest w tych 10 krajach najbardziej zagrożonych takich jak: USA, Australia, czy nawet niektóre państwa Arabskie. Nie oznacza to jednak, że Polska nie jest interesująca dla cyberprzestępców, a jedynie, że cyberprzestepcy nie skupiają swojej uwagi na tym kraju i na języku polskim. Patrząc jednak na ogólny schemat ataków np.: ransomware, w których nie jest istotne, czy komputer jest z Anglii, Francji czy z Polski, to Polska – przynajmniej na razie – nie jest w kręgu najczęściej atakowanych” – dodaje Schneider.

Podatności IoT

„Jeżeli spojrzymy na przemysłowe systemy kontroli, czy inaczej mówiąc urządzenia Przemysłowego Internetu rzeczy, jest tam wiele podatności – zarówno nowych jak i starych. Warto podkreślić, że niektóre urządzenia są podłączone do internetu, mimo, że pierwotnie nie były do tego zaprojektowane. Liczne podatności w połączeniu z relatywnie łatwym dostępem do przemysłowych urządzeń IoT sprawiają, że stają się one łatwym celem ataków hakerów” – ocenia specjalista Trend Micro.

Zaznacza, że tak sprawa wygląda z punktu widzenia technicznego. Są jednak dwa kolejne wątki, które należy wziąć pod uwagę. Przemysłowe systemy kontroli są bardzo skomplikowane, dużo bardziej złożone niż zwyczajne oprogramowanie.

„Jeśli więc jesteś atakującym i chcesz ukraść pieniądze, nie zależy ci, aby zniszczyć urządzenie, ponieważ niszcząc je nie zdobędziesz pieniędzy. Sposobem na wydobycie pieniędzy jest na przykład zmiana parametrów w urządzeniu. Aby to zrobić hakerzy muszą mieć ogromną wiedzę o samym procesie, nie tyle z punktu widzenia technicznego, ale wiedzieć, jaki proces dane urządzenie kontroluje. To jest bardzo ekspercka wiedza, którą niełatwo zdobyć. Jeżeli więc chce się ukraść pieniądze, trzeba znać dokładnie procesy, które dane urządzenie obsługuje. Łatwo jest zlokalizować te maszyny, łatwo je zaatakować pod względem technicznym, ale bardzo trudno jest zrozumieć procesy, za które one odpowiadają” – zaznacza Schneider.

Trzeci wątek w tym temacie dotyczy uregulowania przepisów dotyczących nowych urządzeń IoT, które od początku projektowane są z myślą o bezpieczeństwie. W takich urządzeniach, nawet jeśli uda się zaatakować jedną część maszyny, która może zagrażać bezpieczeństwu całości, pozostałe zabezpieczenia włączą się, aby wzmocnić ochronę.

„Wiele osób uważa bezpieczeństwo IoT za wyzwanie. Chociaż w urządzeniach Internetu rzeczy faktycznie występują podatności, to nie jest koniec świata. Nadal musimy pracować nad wymianą, ulepszaniem urządzeń i zwiększaniem ich bezpieczeństwa” – stwierdza Schneider.

Wskazówki dla przedsiębiorcy

„Jeśli miałbym dać trzy wskazówki dla biznesu, to po pierwsze zwróciłbym uwagę na zachowanie higieny bezpieczeństwa. Są na rynku produkty technologiczne i oprogramowania, które pozwalają zapewnić bezpieczne środowisko pracy dla pracowników, takie jak: firewall, anty-wirusy. Te produkty są podstawową infrastrukturą, która musi być obecna w firmach. Pytanie, jakie należy sobie postawić to rozwiązania, jakiej firmy muszę mieć, niż czy muszę je mieć. Drugą ważną wskazówką jest, i mówię tu o tym jako o osobnej kwestii, łatanie systemów” – radzi specjalista Trend Micro.

Występujące w firmie systemy IT czy urządzenia jak np. podłączony do sieci system telefoniczny należy aktualizować. Jeżeli dostajesz możliwość zaaplikowania poprawek od dostawcy, skorzystaj z niej. Bezbronność nieaktualnych wersji systemów jest najczęstszym sposobem cyberprzestępców na atak.

„Jeżeli „załatasz” dziury w swoim systemach, miejsca zagrożone będą mniej narażone na atak. Należy więc aktualizować wszystkie systemy w firmie. Trzecia wskazówka dotyczy tematyki procesów. Wielu ludzi patrzy na bezpieczeństwo jako temat odrębny od działań IT czy biznesowych. Tak niestety nie jest. Bezpieczeństwo musi być częścią codziennych operacji biznesowych i musi być osadzone w działaniach działu IT, podobnie jak samo IT musi być osadzone w działaniach biznesowych. Bezpieczeństwo musi od samego początku stanowić część operacji biznesowych, ale także przejąć inicjatywę od samego biznesu. W momencie kiedy wyznaczane są cele biznesowe, dział IT i bezpieczeństwa ma dostarczyć środki, które pozwolą na osiągnięcie go. Musi to jednak być zintegrowane. Nie ma sensu posiadać działu IT i bezpieczeństwa, jeżeli są one odłączne od całej firmy” – podsumowuje Schneider.