Cyberryzyko w natarciu. Kierunki rozwoju

dr Jerzy Podlewski

Nie ma już dnia, żeby media nie donosiły na pierwszych stronach o nowych cyberatakach na kolejne banki, przedsiębiorstwa, urzędy, znanych polityków czy „zwykłych” obywateli. Oczywiście popularne media widzą tylko czubek góry lodowej, ponieważ obraz zagrożeń dla cyberświata, który malują nam źródła profesjonalne, jest znacznie czarniejszy.

Na zdj. Jerzy Podlewski

Na zdj. Jerzy Podlewski

Ot, choćby niezauważona prawie w Polsce, a szeroko komentowana na świecie wpadka drugiego w USA ubezpieczyciela zdrowotnego, Towarzystwa Anthem, któremu zupełnie niedawno cyberprzestępcy skradli dane personalne (PII – personally identifiable information) 80 milionów byłych i obecnych klientów. 

W informowaniu o cyberprzestępczości istnieje olbrzymia szara strefa ukrywanej i niechcianej informacji o cyberatakach, ponieważ nikomu nie zależy na nagłaśnianiu, że stał się takiego ataku ofiarą, a poza tym przestępcy uczą się na błędach i potrafią całym miesiącami, a nawet latami "dobijać się" (nawet, jeżeli bez sukcesu) do zasobów informacyjnych swoich ofiar. 

Instytucje finansowe starają się coraz częściej przekształcić w cybertwierdze nie do zdobycia.
Dowiedz się więcej o specjalistach zajmujących się ryzykiem IT. Przejdź do artykułu »

Opisywanie problemu jest również trudne dlatego, że cyberryzyko zmienia się ze swej technologicznej natury rzeczy niezmiernie szybko, co nie oznacza, że w obszarze tego tak przecież zróżnicowanego ryzyka nie rysują się pewne zauważalne, poddające się analizie trendy.

Jak donoszą jednoznacznie badania prowadzone przez ekspertów od zabezpieczeń, głównym i najbardziej pożądanym celem ataków jest sektor finansowy, przede wszystkim banki, e-płatności, a także e-sklepy. I nie trzeba wyjaśnić chyba dlaczego. Producent antywirusów Kaspersky w kolejności na liście potencjalnych cyberofiar stawia następujące: media społecznościowe, telekomy i różne strony rządowe. Co ciekawe, wśród najbardziej pożądanych ofiar cyberataków różna jest świadomość zagrożenia. Według Global Fraud Survey 2013 firmy EY najwyższa świadomość jest właśnie u finansistów; nawet w sektorze rządowym ponad połowa badanych oceniało cyberryzyko jako wysokie. Najgorzej jest (o zgrozo) w przemyśle chemicznym. Tam cyberryzyko jako wysokie i bardzo wysokie ocenia poniżej połowy badanych. 

Skoro o sektorze finansowym mowa, to według Verizon Data Breach Report 2014 gwałtownie rośnie skala ataków na banki, podczas gdy na klientów bankowych poziom ataków od kilku lat jest dość stały. Choć znowu, najświeższe doniesienia pokazują wzrost zainteresowania cyberprzestępców klientami banków…

Dodać należy, że w rzeczywistości "łączne" nasilenie ataków na wszystkie gałęzie biznesu sukcesywnie rośnie. Jak wspomniano, zdecydowany największy trend wzrostowy notuje ciągle branża finansowa, ale na drugim miejscu są już media & entertainment (przykład Sony). Jeżeli chodzi o podział geograficzny, to jak ponownie donosi Kaspersky (Financial Cyber Threat 2013) na przykładzie phishingu prym (jako cel ataku) wiedzie (tu bez zaskoczenia) USA z 30 proc. wszystkich znanych ataków, potem Rosja (11 proc.), a potem ponownie kraje wysoko rozwinięte – po kilka procent. Polska jest nielistowana, ale domyśleć się można, że pozostaje w 22 procentach goniących peleton.

Przy tej okazji jeszcze ze smutkiem należy dodać, że Apple i jego iOS nie są już więcej bezpieczni, jak to się utarło mówić i zakładać. Niestety, ta nieaktualna już pewność bezpieczeństwa Apple pokutuje wśród jego zwolenników, a nikt nie jest już dziś bezpieczny. O urządzeniach mobilnych nie wspominając…

Kradną, włamują się – ale kto? Tu, jak w każdym współczesnym biznesie, widać rosnący trend profesjonalizacji. Oczywiście nie brakuje nastoletnich script kiddies ("skryptowych małolatów"),  próbujących po lekcjach małego "włamu" tu i ówdzie, aktywne są potężne grupy haktywistów jak Anonymous i niezależni (?) hakerzy jak Snowden (choć i tutaj należy być ostrożnym z ocenami, kto za kim stoi...). 

Zresztą całe wywiady, a nawet całe prawdziwe armie toczą już swoje cyberwojny na całego, bo przecież wiadomo, że już parę lat temu ktoś Stuxnet Irańczykom do programu atomowego zaimplementował… Ale, żeby było sprawiedliwie, nikt z głównych graczy nie pozostaje sobie najwyraźniej dłuży, bo, jak już zauważono, cyberataki to potężne narzędzie niezbędne dzisiaj w militarnych arsenałach, tak samo jak armata czy bombowiec. Także w przypadku "zwykłej" wojny mówi się o sektorze finansowym jak pierwszym celu cyberataku wroga. 

Oprócz walk toczonych przez globalne, amerykańskie, rosyjskie, chińskie czy izraelskie wywiady pojawiają się "ciekawe" przykłady bardziej lokalnych cyberarmii, ale też o tak globalnych jak sama sieć rażeniu. Przykładem jest Syryjska Armia Elektroniczna (ataki na Skype, Twittera czy "zachodnie" media) czy armia koreańska, wsławiona atakiem na Sony w obronie dobrego imienia Ukochanego Przywódcy, Genialnego Programisty i tak dalej... 

Ale też oczywiście nie należy zapominać, że cyberataki to przede wszystkim biznes i to bardzo dobry, więc główną rolę zaczynają w nim odgrywać zorganizowane grupy przestępcze. Przestępcy włamują się i kradną na własny rachunek, ale chętnie również wynajmują się na godziny. I to zupełnie dosłownie, bo w sieci można znaleźć wiele stron "kwotujących" cennik cyberataków. Za taki DDoS ceny od kilkuset do kilku tysięcy dolarów, ale prosimy sprawdzać bieżące notowania.        

Jeżeli chodzi o podstawowe "typy" ataków, to amerykański Verizon wskazuje, że najwięcej w 2014 roku było ataków na aplikacje webowe (35 proc.), potem było cyberszpiegostwo (22 proc.), terminale płatnicze (14 proc.), i różne nieautoryzowane działania insiderów (8 proc.). W dość drugiej liście rodzajowej nie zabrakło i zwykłych "fizycznych" kradzieży, choć to "tylko" 1 proc. Cyberataki można również analizować w podziela na credentiale (prawa dostępu, loginy) i same dane (secrets) i tu widać duży trend wzrostowy ataków na uprawnienia.   

Bardzo niepojący jest również postęp w obszarze ransomware, na przykład przez zaszyfrowanie (enkryptację) wrażliwych danych, w celu wymuszenia okupu, jak choćby Synolocker. Może tu nawet wystarczyć sama groźba. I to kolejny obszar bardzo trudny do analizy, ponieważ dotyczy zwykle ofiar z biznesu, a te z pewnością nie pochwalą się wypłatą okupu. Wieść niesie, że mamy już takie przypadki w Polsce i wcale nie takie mało znane, ale znowu oficjalnych danych nie ma. 

Ile to wszystko kosztuje biznes, rząd i jego agencje, prywatne ofiary? W ogólności miliardy, w przypadku państwa rozwiniętych idące w dziesiątki miliardów. Różne źródła podaję też różne szacunki kosztów cyberataków na poziomie przedsiębiorstw. Na przykład według Ponemona to ok. 190 dolarów za skradziony we włamaniu rekord. Można się więc by pokusić się o szacunek, że w przypadku wspomnianego na początku amerykańskiego ubezpieczyciela może to być kwota kilkuset milionów dolarów. To jednak bardzo zgubne szacunki, bo w przypadku cyberryzka chyba najbardziej cenna jest tracona reputacja. Stąd i efekty sprzedażowe, inwestycyjne mogą być bardzo odłożone w czasie i być liczone w trudne do oszacowania zaraz po ataku kwoty. 

A na krótkie podsumowanie wiadomość zła i jednocześnie dobra. Jak donoszą jednoznacznie chyba wszystkie specjalistyczna źródła większość, bo nawet 80 proc. zakończonych sukcesem ataków, nie była wcale wysoce zaawansowana, w nawet 60 proc. przypadków organizacje posiadały procedury, "siły" i środki, żeby przed atakiem się ustrzec. Nawet ponad trzy czwarte ataków pozostało jednak niezauważonych, pomimo że informacja o zagrożeniu była łatwo dostępna. O tym mówią również specjaliści od bezpieczeństwa informacji i doradcy od zarządzania: kluczowa jest świadomość zagrożenia i budowanie kultury zarządzania cyberryzykiem, bez tego walka z cyberprzestępcami pozostaje wciąż nierówna.


Dr Jerzy Podlewski - Wiceprezes Stowarzyszenia Zarządzania Ryzykiem POLRISK. Ekspert i entuzjasta zarządzania ryzykiem. Posiada ponad 20-letnie doświadczenie zawodowe na różnych stanowiskach w renomowanych firmach polskich i międzynarodowych. Obecnie doradca zarządów firm wdrażających systemy zarządzania ryzykiem korporacyjnym typu enterprise risk management (ERM). Certyfikowany Manager Ryzyka POLRISK. Certyfikowany project manager PRINCE2. Członek europejskiej federacji managerów ryzyka FERMA. Doktor nauk ekonomicznych. Wykładowca zarządzania ryzykiem na anglojęzycznych studiach MBA. Mówca i panelista na konferencjach biznesowych (Dyrektor Finansowy Roku magazynu "Forbes", Krajowej Izby Biegłych Rewidentów, Polskiego Instytutu Dyrektorów, GPW, Gazety Ubezpieczeniowej, klubów biznesu). Autor wielu publikacji branżowych, w tym 3. e-bestsellera za 2013 w kategorii Biznes i ekonomia księgarni empik.com, pt. Zombie atakują! Zarządzanie ryzykiem po prostu. Od 2012 roku prowadzi stałą rubrykę Ryzykonomia w "Gazecie Ubezpieczeniowej" poświęconą zarządzaniu ryzykiem biznesowym, a od 2009 roku popularny blog profesjonalny o zarządzaniu ryzykiem www.ryzykonomia.pl.

Autor

dr Jerzy Podlewski

dr Jerzy Podlewski