Firmy robią zbyt mało, by stawić opór hakerom

Świat cyfrowy stał się areną bezprecedensowej walki, a Polska znalazła się na pierwszej linii ognia cyberprzestępców, zagrażając nie tylko przedsiębiorstwom, ale i fundamentom naszej gospodarki. Eksperci biją na alarm: liczba incydentów nad Wisłą rośnie w zastraszającym tempie. W 2024 r. aż o 62 proc. Dane CERT Polska wskazują, że dziennie rejestrowanych jest nawet 300 zgłoszeń incydentów. W efekcie – jak podaje Eset, firma specjalizująca się w ochronie IT – nasz kraj stał się drugim najczęściej atakowanym przez cyberprzestępców państwem na świecie.

Oczekiwanie na przepisy

Wprowadzenie dyrektywy NIS2 oraz implementującej ją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to ważny krok na wojnie z hakerami. Ale to także istotna zmiana dla tysięcy podmiotów. Ministerstwo Cyfryzacji zapowiedziało, że do końca czerwca zakończy prace nad nową wersją projektu KSC, która ma szansę stać się istotną tamą powstrzymującą zalew hakerskich ataków. Tyle że na ten krok, zwiększający odporność przedsiębiorstw i instytucji, przyjdzie nam jeszcze poczekać.

– Uwzględniając kolejny etap, czyli prace nad projektem w Sejmie, w tym wakacje parlamentarne oraz vacatio legis, można zakładać, że ten istotny akt prawny wejdzie w życie mniej więcej rok po terminie, jaki został ustalony na wdrożenie rozwiązań podnoszących bezpieczeństwo cyfrowe – komentuje Paweł Śmigielski, menedżer z Stormshieldu.

Jak wylicza Europejska Organizacja ds. Cyberbezpieczeństwa (ECSO), dotąd tylko dziesięć krajów UE wdrożyło dyrektywę NIS2 do swojego porządku prawnego. Nie odbiegamy zatem od średniej europejskiej. Nie ma jednak argumentów, by zwlekać – szykowane regulacje to nadzieja w obliczu niepokojącej sytuacji geopolitycznej. Wprowadzają m.in. obowiązek wdrażania systemów zgłaszania incydentów i raportowania ich do centralnych rejestrów. Zmieni się też klasyfikacja podmiotów – na „kluczowe” oraz „ważne”. Z informacji Ministerstwa Cyfryzacji wynika, że szacowana liczba podmiotów objętych nowelizacją oscyluje wokół 38 tys., przy czym znaczącą ich część stanowi administracja publiczna (rządowa i samorządowa). Nic dziwnego zatem, że KSC budzi duże zainteresowanie. I emocje.

– Podczas spotkań z przedsiębiorcami czy administracją pierwsze z pytań, jakie najczęściej pada, dotyczy tego, czy dana organizacja kwalifikuje się jako podmiot „kluczowy” lub „ważny” według nowelizacji ustawy. A należy pamiętać, że odpowiedzialność co do ustalenia tej kwestii spoczywa na danym podmiocie – mówi Aleksander Kostuch, inżynier Stormshieldu. – Wciąż potrzeba działań wyjaśniających istotę oraz niuanse zmian, jakie mają nastąpić, ponieważ podmioty, które będą zobligowane do ich wprowadzenia, nie mają wystarczającej wiedzy – kontynuuje. I dodaje, że dokładnie te same pytania zadawane były również w ub.r.

Eksperci ostrzegają, że wiele podmiotów, głównie na poziomie lokalnym, w przeciwieństwie do dużych operatorów infrastruktury krytycznej, nie wdrożyło jeszcze zabezpieczeń w obszarze cyberbezpieczeństwa na odpowiednim poziomie. Zdaniem Piotra Zielaskiewicza z firmy Dagma Bezpieczeństwo IT dotyczy to przede wszystkim ochrony zdrowia i sektora wodno-kanalizacyjnego.

– Niemal każda gmina posiada własną infrastrukturę wodno-kanalizacyjną, której obsługa odbywa się z wykorzystaniem technologii cyfrowych – podkreśla.

Takie rozproszenie to wyzwanie. Tym bardziej że obecnie w przestrzeni cyfrowej coraz częściej dochodzi do ataków o wysokim stopniu zaawansowania, finansowanych przez państwa, a wymierzonych właśnie w infrastrukturę krytyczną. Do tego rozprzestrzeniają się celowane ataki oparte na inżynierii społecznej oraz tzw. phishingu wspierane coraz częściej przez sztuczną inteligencję, co znacząco podnosi ich skuteczność. Specjaliści twierdzą, iż w obliczu narastającego zagrożenia wielu polskich przedsiębiorców zdaje się tkwić w błogim letargu. I tak jak bezpieczeństwo nadal traktowane jest jako „sprawa działu IT”, a nie strategiczny priorytet zarządu, tak nowe regulacje, choć niewątpliwie potrzebne, często postrzegane są jedynie jako „obowiązek formalny, a nie impuls do strategicznej zmiany”.

Człowiek słabym ogniwem

Eksperci podkreślają, że zapóźnienia to nie tylko kwestia dostosowania technologii. Chodzi bowiem również o kompetencje. Wiele mniejszych firm nie ma wystarczających zasobów ani wiedzy, by sprostać nowym wymaganiom. A jak zaznacza Michał Pukaluk z Ministerstwa Cyfryzacji, wiele incydentów wynika z błędów podstawowych: braku uwierzytelniania dwuskładnikowego i nieaktualizowanego oprogramowania.

Analitycy są zgodni, że kluczową przyczyną celnych cyberataków nieustannie pozostaje czynnik ludzki. Niska świadomość użytkowników, brak podstawowych zabezpieczeń czy nieaktualizowane systemy to wyzwanie. Do tego dochodzą brak integracji cyberbezpieczeństwa z ogólną strategią firm i spóźnione reakcje firm (te często podejmują działania dopiero po incydencie, zamiast działać prewencyjnie i strategicznie). A wystarczy zacząć od podstaw.

– Nowoczesny i skuteczny pakiet antywirusowy zabezpieczy dane nie tylko przed złośliwym oprogramowaniem, lecz także przed niebezpiecznymi linkami i fałszywymi stronami internetowymi, które zostały zaprojektowane w celu kradzieży tożsamości online – radzi Krzysztof Budziński z firmy Marken Systemy Antywirusów.

Jak podkreśla David Furlonger, wiceprezes ds. analityki w firmie Gartner, cyberbezpieczeństwo to jednak dziś nie tylko ochrona. – To kluczowy czynnik napędzający rozwój przedsiębiorstw – przekonuje.

Wtóruje mu Romain Fouchereau z IDC, który uważa, iż „cyberbezpieczeństwo stało się krytycznym czynnikiem, umożliwiającym prowadzenie działalności”. Potwierdzają to globalne badania, z których wynika, że 85 proc. dyrektorów generalnych jest zdania, iż cyberbezpieczeństwo „ma kluczowe znaczenie dla rozwoju firm” (jednocześnie 61 proc. pytanych przez Gartnera szefów jest zaniepokojonych zagrożeniami IT, wynikającymi np. z rosnącej roli sztucznej inteligencji).

Biznes jest jednym z kluczowych celów hakerów. O skali problemu świadczą statystyki Veeam, wedle których blisko siedem na dziesięć przedsiębiorstw nadal pada ofiarą cyberataków, choć wzmacnia swoje zabezpieczenia IT.

– Spośród tych zaatakowanych tylko 10 proc. udało się odzyskać co najmniej 90 proc. swoich danych. W 57 proc. przypadków nie udało się odzyskać nawet połowy – mówi Anand Eswaran, prezes Veeamu.

Szyfrowanie i wykradanie danych w celu wymuszenia okupu to dziś największe zagrożenie w cyfrowym świecie. – Nasze najnowsze badania jednoznacznie wskazują, że zagrożenie atakami ransomware będzie wyzwaniem dla firm nie tylko w br., ale i w latach kolejnych – zapewnia.

Jego zdaniem nastał czas, by każde przedsiębiorstwo zdecydowało się przejść od reaktywnych środków cyberbezpieczeństwa do „proaktywnej strategii odporności danych”.

– Przyjmując proaktywne podejście, inwestując w skuteczne rozwiązania do odzyskiwania zasobów i wspierając współpracę między działami, firmy mogą znacznie ograniczyć skutki ransomware – argumentuje Anand Eswaran.

Raport Veeamu pokazuje, że 69 proc. firm do momentu stania się ofiarą cyberataku uważało, że jest gotowe, by mierzyć się z hakerami stosującymi technikę ransomware. Z drugiej strony z danych wynika, że wartość okupów płaconych hakerom spadła w ub.r. (36 proc. zaatakowanych podmiotów zdecydowało się w ogóle nie płacić przestępcom, a z tych, które zapłaciły, 82 proc. uiściło kwotę niższą od żądanej).

Microsoft, Mastercard, Przelewy24 czy InPost – to pod te marki podszywają się hakerzy

W I kwartale ulubionym narzędziem cyberprzestępców był phishing (ataki wyłudzające dane) – podaje firma Check Point Research. Hakerzy najczęściej podszywali się pod kilka popularnych marek. Na szczycie tej listy, i to nie po raz pierwszy, znalazł się Microsoft. Logo amerykańskiego potentata technologicznego obecne było w ponad 1/3 wszystkich kampanii phishingowych. Kolejną „ulubioną” marką okazał się Mastercard, a w Polsce oszuści wyjątkowo chętnie wykorzystywali m.in. wizerunki Nazwa.pl oraz Przelewy24. Niezmiennie cyberprzestępcy próbują podszywać się pod Apple’a i Google’a, by w ten sposób nakłaniać internautów do kliknięcia w zainfekowany link czy do otwarcia zawirusowanego pliku. W przypadku tej ostatniej marki pojawiła się nowa kampania phishingowa wykorzystująca fałszywe e-maile wysyłane z podrobionego adresu Google’a. Eksperci firmy Marken twierdzą, iż złośliwa kampania jest tak starannie zaprojektowana, że ​​specjaliści ds. bezpieczeństwa mają obawy, iż internauci mogą zostać skutecznie oszukani (cyberprzestępcy wysyłają nieuczciwe wiadomości e-mail, które wydają się pochodzić z oficjalnego adresu Google’a, zaś treść wiadomości zawiera pozornie oficjalne wezwanie do sądu z żądaniem pilnego udostępnienia informacji dotyczących konta Google odbiorcy). Ponadto w ostatnich miesiącach odnotowano wzmożoną kampanię phishingową skierowaną przeciwko użytkownikom kart płatniczych Mastercard. Oszuści stworzyli fałszywe strony internetowe, które łudząco przypominały oficjalną witrynę firmy (wyłudzano numery kart kredytowych i kody CVV).

– Ataki phishingowe wykorzystujące znane marki nadal stanowią jedno z głównych zagrożeń – ostrzega Omer Dembinsky, menedżer ds. badań danych w Check Point Software.