Cyberprzestępcy coraz częściej podejmują próby cyberataków na polskich przedsiębiorców. Największym zagrożeniem jest phishing, czyli
maile czy SMS-y podszywające się pod różne instytucje, mające na celu
wyłudzenie danych i pieniędzy. Rośnie też liczba prób ataku ransomware,
czyli szyfrowania zasobów organizacji dla okupu. Większość
przedsiębiorców nic nie robi w przypadku rozpoznania próby oszustwa.
Tylko niewielki odsetek zgłasza incydenty do CERT Polska, często
nie wiedząc, jakie korzyści może to przynieść.
 |
| Cyberprzestępcy coraz częściej atakują przedsiębiorców. Fot. px |
"Patrząc
na badanie KPMG „Barometr Cyberbezpieczeństwa” z 2024 roku, 2/3 firm
zetknęło się z próbą cyberincydentu w swoim działaniu. Jako ING
pytaliśmy klientów, jakiego typu cyberataków doświadczają. Najczęstszym
typem ataków jest phishing, czyli klienci na swojego maila otrzymują
z jakiegoś podejrzanego adresu załącznik bądź link do fałszywej strony" – mówi Wojciech Kordas, dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim.
Badanie
przeprowadzone na zlecenie ING Banku Śląskiego wskazuje, że 56 proc.
firm zetknęło się z próbą phishingu. Z kolei fałszywą fakturę czy
propozycję fałszywej inwestycji otrzymało po 44 proc. badanych. KPMG
wskazuje, że firmy w Polsce zgłaszają wyższy poziom dojrzałości, a 40
proc. wysoko ocenia bezpieczeństwo sieci wewnętrznej. Jednocześnie
prawie co piąta firma nie kontroluje bezpieczeństwa w procesach
wytwarzania oprogramowania.
"Najczęstszymi
atakami wymierzonymi w firmy, jakie obserwujemy jako CERT Polska, są
ataki typu ransomware, czyli takie, gdzie dochodzi do zaszyfrowania
organizacji, wykradzenia danych i potem żądania okupu od organizacji,
który ma ona zapłacić, żeby te dane nie były publikowane i żeby je
odzyskać" – wskazuje Marcin Dudek, kierownik CERT Polska. – "Powodem ataku są głównie podatności, czyli urządzenia czy oprogramowanie
wystawione do internetu, które przestępcy wyszukują w wersji
posiadającej podatności i umożliwiającej atak na organizację. Tutaj
najważniejsze są aktualizacje".
Z
badania ING wynika, że 90 proc. przedsiębiorców uważa, że ma
przynajmniej podstawową wiedzę o bezpieczeństwie w internecie.
Niekoniecznie jednak znają poszczególne rodzaje ataków i metody ochrony
przed nimi. Na pytanie o to, czym jest spoofing, czyli podszywanie się
przestępców pod banki czy urzędy w celu wyłudzenia danych lub pieniędzy,
poprawną odpowiedź wskazała połowa badanych. Nieco mniej wiedziało,
jaki jest cel ataku DDoS. Zdecydowana większość niewłaściwie wskazała
najskuteczniejszą metodę ochrony przed phishingiem – nie jest nią ani
firewall, ani antywirus, ale klucz U2F (wskazany przez 28 proc.
badanych).
"W momencie, kiedy
wycieknie hasło, przestępcy mogą go użyć, żeby zalogować się zdalnie do
firmy. Jeśli nie ma drugiego składnika, czyli np. tokenu fizycznego,
urządzenia, które musi być podpięte do komputera, to przestępca uzyska
pełny dostęp do firmy. Jeśli do poczty nie ma wymagania podania
dodatkowego kodu SMS, to przestępca, mając hasło, będzie mógł się
zalogować i przeprowadzić atak na organizację, np. wykorzystując tę
skrzynkę i wysyłając wewnątrz organizacji maile wyłudzające dane czy
atakujące kolejnych pracowników" – tłumaczy kierownik CERT Polska.
Kolejny
powszechny błąd to trzymanie kopii zapasowych w tej samej sieci, co
pozostałe zasoby firmy. Włamanie do sieci wiąże się wówczas z ryzykiem
zaszyfrowania wszystkich danych organizacji, również kopii zapasowych
przygotowywanych właśnie na wypadek cyberataku.
"Bardzo ważne jest to, żeby kopie zapasowe były odseparowane. To jest
kluczowe, jeśli chodzi potem o podniesienie się po takim ataku" – mówi Marcin Dudek.
"ING
w swoim badaniu zapytało przedsiębiorców o to, jak reagują na próby
ataków. Okazało się, że przedsiębiorcy zwykle ignorują tego typu próby
i są zadowoleni, że nie ulegli atakowi, natomiast przeważnie nie robią
więcej nic" – mówi Wojciech Kordas.
W
zależności od typu ataku od 56 proc. do 69 proc. badanych
odpowiedziało, że nie zrobili nic lub nie pamiętają. Wśród
przedsiębiorców, którzy reagowali, 8–22 proc. zgłosiło incydent do CERT
Polska. Najczęściej dotyczyło to phishingu i fałszywych faktur. 8–14
proc. zgłosiło incydent na policję – najczęściej w reakcji na phishing,
spoofing oraz złośliwe oprogramowanie. Z kolei do banków przedsiębiorcy
najczęściej zgłaszali próby phishingu (19 proc.) oraz spoofingu (27
proc.).
"Nie każda firma zgłasza
atak do nas, do CERT Polska, ponieważ tylko 1/4 firm wie o tym, że CERT
Polska istnieje. Widzimy więc potrzebę, żeby pomóc naszej widoczności. Z
drugiej strony, nawet jak firmy wiedzą o naszym istnieniu, często boją
się zgłosić, bo myślą, że to się wiąże z jakimiś konsekwencjami. Chcę
więc uspokoić – nie publikujemy informacji o ataku, nie idziemy z nią do
mediów, dane ze zgłoszenia są chronione, podmiot może jedynie zyskać na
zgłoszeniu" – przekonuje Marcin Dudek.
Jak
podkreśla, masowe cyberoszustwa wymagają od przestępców czasu
i pieniędzy na organizację. Zgłoszenie do CERT Polska może pokrzyżować
im plany:
"Musimy mieć
świadomość, że tego typu cyberataki są atakami masowymi. Maile
z linkami, SMS-y, telefony trafiają do tysięcy ludzi. Poprzez reakcję
i zgłoszenie tego incydentu do CERT Polska możemy przerwać ten ciąg.
CERT jest w stanie zablokować fałszywą stronę czy SMS-y" – podkreśla przedstawiciel ING Banku Śląskiego.
Jednym
z narzędzi opracowywanych przez ekspertów CERT Polska są wzorce SMS
tworzone na podstawie zgłoszeń od obywateli. Dotychczas powstało blisko
kilkaset takich wzorców, co pozwoliło zatrzymać 1,5 mln wiadomości od
oszustów, zanim dotarły one do użytkowników. Zespół blokuje też dostęp
do stron wyłudzających dane, na które kierują oszuści. CERT Polska
w marcu 2020 roku uruchomił listę ostrzeżeń przed niebezpiecznymi
stronami. Dziś wprowadza na nią średnio 265 adresów dziennie. W 2024
roku zablokowano 75 mln prób wejścia na strony z listy.
"Zgłoszenie
ataku do CERT Polska daje szereg korzyści. Przede wszystkim poprawia
widoczność, co pozwala uchronić kolejne firmy. Wiemy, jakie ataki są
obecnie w Polsce podejmowane, przed czym mamy ostrzegać, jak mamy
edukować, żeby do ataku nie dochodziło. Ale jest też korzyść
bezpośrednia, bo pomagamy w obronie przed atakami i po incydencie,
wysyłamy szereg porad, jak się zachować, jak rozmawiać z mediami, jakie
działania trzeba podjąć pod kątem prawnym" – wymienia Marcin Dudek.
ING
od lat wspiera klientów w dbaniu o bezpieczeństwo w sieci. Promowanie
działalności CERT Polska to kolejny sposób na niwelowanie negatywnych
skutków cyberprzestępczości. Na potrzeby kampanii „Cyberbezpieczeństwo
dla firm” bank we współpracy z Piotrem Koniecznym, ekspertem ds.
bezpieczeństwa w internecie, przygotował „10 zasad bezpiecznej firmy
w sieci”.
"W ramach kampanii przypominamy przedsiębiorcom, jak najlepiej reagować na tego typu ataki – dodaje Wojciech Kordas. – Przedsiębiorcy
powinni reagować aktywnie i zgłaszać każdą próbę tego typu ataków na
stronę incydent.cert.pl. To jest właściwa instytucja, która może podjąć
działania w tym zakresie".
A Ty co o tym myślisz? Czy Twoja firma przeżyła cyberatak i wyszła obronną ręką? Jakich sztuczek użył cyberprzestępca, aby wymusić na firmie określone działanie?
