Głośne ataki zwiększają zainteresowanie cyberbezpieczeństwem, ale tylko na około pół roku, tymczasem cyberprzestępcy coraz bardziej się profesjonalizują i sami zaczynają działać jak korporacje - powiedział Adam Rafajeński z Deloitte.
- Doświadczenie pokazuje, że głośne ataki zwiększają zainteresowanie cyberbezpieczeństwem w instytucjach, ale tylko przez około pół roku. Po tym okresie organizacje i firmy zaczynają sądzić, że zainwestowały już wystarczająco dużo pieniędzy, czasu i wysiłku i tracą zainteresowanie tematem, a tym samym bezpieczeństwo znów zaczyna spadać. I tak aż do kolejnego ataku - powiedział Adam Rafajeński z Deloitte.
Ekspert zauważył, że żadna instytucja nie jest w stanie zabezpieczyć się przed atakiem w 100 procentach, ale musi ograniczać ryzyka.
- Problem z cyberbezpieczeństwiem jest taki jak z ochroną budynku, który ma 40 okien i 20 wejść - my musimy pilnować wszystkich, a atakującym wystarczy jeden uchylony lufcik, by wejść - opisywał. Dlatego - podkreślił - bardzo ważna jest ciągła czujność i tworzenie backupów, które pozwolą firmie czy instytucji wrócić do funkcjonowania po ataku.
- Większość ataków używa technik czy dziur, które zostały odkryte i można by je załatać miesiąc, czasami kwartał a czasami dwa lata temu. Jeżeli organizacja została zaatakowana z wykorzystaniem dziury, która mogła być załatana rok temu, to jest jej zaniedbanie, bo miała wystarczająco dużo czasu, żeby zapobiec tej sytuacji - ocenił.
Podkreślił, że najgroźniejsze są nie te ataki, które w widoczny sposób szyfrują lub niszczą dane, ale te niewidoczne: które podsłuchują, ściągają informacje, kopiują maile.
- To są elementy, które powinny zwrócić uwagę zarówno departamentów bezpieczeństwa, jak i służb. Problem w tym, że jeśli czegoś nie widać, to trudno na to zareagować. Organizacje mają problem z dostrzeżeniem anomalii: np. Jan Kowalski wysyła codziennie 30 kb danych do internetu, a w ostatnim tygodniu wysyłał po 600 kb
Jak dodał, zdarza się, że firma, która nie zabezpiecza się odpowiednio, nie jest już w stanie podnieść się po cyberataku.
- Miałem przynajmniej jedną taką sytuację, że duża firma skutecznie zaatakowana nie była w stanie funkcjonować. Oni byli na krawędzi ogłoszenia upadłości: nie mieli żadnych danych, systemy transakcyjne nie działały. Pomoc takiej firmie, gdy widzimy przed sobą tylko zaszyfrowane dane, jest bardzo trudna - powiedział.
Rafajeński podkreślił, że cyberprzestępcy coraz bardziej się profesjonalizują.
- Nie są to - jak kiedyś - idealiści, którzy chcą zmieniać świat, atakując tych, których uznają za wrogów, ale zawodowi przestępcy. Oni coraz częściej działają jak korporacje: rekrutują pracowników, organizują szkolenia z technik włamań. Podczas lockdownu obserwowaliśmy spadek aktywności niektórych grup cyberprzestępców, bo także ich dotknął lockdown i nie mogli pójść do pracy do biura
Jak mówił, dodatkowym utrudnieniem jest to, że w cyfrowym świecie identyfikacja jest o wiele trudniejsza niż w prawdziwym.
- Jeżeli ktoś chce się ukryć, może to zrobić za serwisami proxy. Fenomen IT jest taki, że trudno powiedzieć, że widzimy określony adres IP z jakiegoś kraju - to może być złudne. Niektórzy atakujący przechodzą przez cztery, pięć czy nawet kilkanaście takich serwerów, np. na Malcie, Korei Płd., potem w Rosji i USA. Obserwując taki atak widzimy tylko ostatnie miejsce, z którego on pochodzi - powiedział.
Wskazał, że z tego powodu, choć większość ataków wydaje się pochodzić z Chin, USA i Rosji, to te kraje nie muszą być rzeczywistym miejscem pobytu cyberprzestępców.
- Po prostu w tamtej infrastrukturze jest mnóstwo systemów, które oferują serwisy anonimizacyjne. Wychodzimy bramką, ktoś widzi, że ja wychodzę z Rosji, mimo że jestem w Polsce - dodał.
Według eksperta, dzisiejsi cyberprzestępcy dokładnie analizują również np. systemy prawne w poszczególnych krajach, żeby mieć pewność, iż w wypadku żądania przez służby pomocy prawnej otrzymanie odpowiedzi z danego kraju zajmie wieki.
- Dlatego np. Rosja jest wygodnym miejscem do takich działań. Jeżeli wyślemy tam prośbę o pomoc prawną, to potrwa rok, dwa lata zanim dostaniemy odpowiedź, że atak wyszedł z Mongolii. Gdy prosimy o pomoc Mongolię, po kilku miesiącach dostajemy odpowiedź, że atak przyszedł z Korei, i tak dalej
Wskazał, że choć w niektórych krajach, takich jak USA, ataki na przykład na funkcjonowanie systemu bankowego SWIFT są bardzo zdecydowanie ścigane, to część rządów przygląda się im biernie, bo uważa, że te działania uderzają w ich rywali geopolitycznych.
Według Rafajeńskiego, profesjonalizacja cyberprzestępców oznacza też jednocześnie, że działają oni w celu maksymalizacji zysku.
- Jeśli widzą, że dana firma jest dobrze chroniona, a zarobek będzie trudny, to sobie odpuszczają i wybierają łatwiejszą, słabiej chronioną ofiarę. Dlatego warto inwestować w cyberbezpieczeństwo i mieć silne techniki zabezpieczeń, by odstraszyć atakujących - podkreślił.