Autor: Rafał Gałka

Z analiz firmy Sophos wynika, że aż 95% stron internetowych korzysta z szyfrowanej transmisji treści. Pozostałe 5% to m.in. witryny zawierające narzędzia do śledzenia użytkowników w celach reklamowych (tzw. trackery), niegroźne pod kątem cyberbezpieczeństwa. Przy okazji Black Friday miliony klientów będą przeglądały oferty sklepów internetowych czy korzystały z Wi-Fi w galeriach handlowych podczas zakupów. Internet nigdy nie był bezpieczniejszy dla użytkowników, jednak nie oznacza to, że zagrożenia zniknęły. Czy jest się czego obawiać w kwestii prywatności danych?Wi-Fi bezpieczniejsze niż może się wydawać

Transmisja danych w publicznych sieciach Wi-Fi jest z reguły nieszyfrowana, dlatego przyjęło się, że korzystanie z nich nie jest bezpieczne. Rzeczywiście, praktycznie każdy w zasięgu radiowym (do ok. 100 metrów od punktu dostępowego) może „podejrzeć” informacje przesyłane między urządzeniem użytkownika a stronami, takie jak hasła i loginy, ale tylko wpisywane na niezabezpieczonych witrynach. Aby skutecznie przeprowadzić taki atak, przestępca musi znaleźć się blisko ofiary. Niskie dochody i ograniczony zasięg tej metody powodują, że cyberprzestępcy wolą wykorzystywać inne techniki takie jak phishing czy ransomware, które nie wymagają przebywania w zasięgu wzroku ofiary.

– Dla większości użytkowników działania w publicznych sieciach Wi-Fi są bezpieczne i przeglądanie za ich pomocą Facebooka, poczty elektronicznej czy ofert na Black Friday i Cyber Monday nie niesie większego zagrożenia. Oczywiście, zawsze istnieje pewne ryzyko przechwycenia informacji, ale jeśli nie jesteśmy wysoko postawionym politykiem czy celebrytą możemy założyć, że jest ono niewielkie. Osoby, które mimo wszystko obawiają się o swoje dane, mogą rozważyć korzystanie z VPN oraz funkcji DNS over HTTPS, dostępnej w ustawieniach przeglądarki. Jeśli obawy dotyczą bezpieczeństwa bankowości mobilnej, warto przełączyć się na komórkową transmisję danych na czas dokonywania transakcji – radzi Grzegorz Nocoń, inżynier systemowy w firmie Sophos. Zamknięta kłódka to nie wszystko

W 2013 roku, kiedy Edward Snowden ujawnił jak wiele informacji władze zbierają o użytkownikach, jedynie 27,5% stron internetowych korzystało z szyfrowanej transmisji danych – obecnie to około 95%. Użytkownicy przyzwyczaili się do szukania prefiksu „HTTPS” na początku adresu witryny. Towarzysząca mu zamknięta kłódka nie oznacza jednak, że strona jest w pełni bezpieczna. Nadal może być wykorzystywana do ataków ransomware lub phishingu czy wyłudzania danych. Przestępca może np. przechwycić stronę docelową i przekierowywać ruch na inny adres, pod którym zbiera dane logowania, lub wręcz uzyskać ważny certyfikat dla fałszywej strony phishingowej.

Bezpieczeństwo na barkach sklepów i administratorów

Nawet transmisja danych ze strony, na której są one przesyłane za pomocą protokołu HTTPS, może zostać naruszona przez przestępców, jeśli nie zastosowane jest dodatkowe zabezpieczenie, tzw. HSTS (HTTP Strict Transport Security). Mechanizm ten wymusza używanie szyfrowania, więc przestępca nie może przekierować połączenia na niezabezpieczoną witrynę, aby przechwycić przesyłane informacje. Z analiz badaczy Sophos wynika, że aż 61% stron z zamkniętą kłódką, oznaczonych jako zgodne z HTTPS, nie korzysta z ochrony HSTS, są więc podatne na atak. Nie są to oczywiście witryny, na których przestępcom najbardziej zależy, takie jak media społecznościowe, poczta elektroniczna, aplikacje biurowe, instytucje finansowe czy serwisy randkowe. Wyraźnie widać jednak, że wciąż nie są powszechnie stosowane funkcje, które są dla administratorów stron darmowe i zapewniają znaczną poprawę bezpieczeństwa.

– W ostatnich latach poziom ochrony danych w sieci znacznie się poprawił. Szyfrowanie komunikacji stało się wymogiem, udoskonalono sposoby ochrony użytkowników przed fałszywymi stronami. Dzięki mechanizmom takim jak m.in. HSTS internauci mogą swobodnie przeglądać strony nawet w niezaufanych sieciach Wi-Fi. Oczywiście, problemy związane z cyberbezpieczeństwem nie zostały w pełni rozwiązane, więc niezmiennie ważne jest zachowywanie ostrożności i zdrowego rozsądku. Robiąc zakupy można raczej bez obaw korzystać z publicznej sieci, wciąż trzeba jednak pamiętać, że przestępcy wyłudzają dane podszywając się pod firmy kurierskie, a w wiadomościach z przecenami nakłaniają do klikania w linki prowadzące do złośliwych stron. Sprzedawcy internetowi oraz dostawcy usług powinni więc zadbać o dodatkowe zabezpieczenia – szczególnie tam, gdzie użytkownicy nie są w stanie łatwo dostrzec zagrożeń – podsumowuje Grzegorz Nocoń.

44% pracowników w Polsce wciąż pracuje z domu, całkowicie lub w modelu hybrydowym – wynika z badania firmy Sophos. W trakcie przechodzenia na pracę zdalną co piąty zatrudniony nie otrzymał żadnego wsparcia IT. Połowa firm nie zapewniła kadrze szkoleń z zakresu cyberbezpieczeństwa; częściej dbały o to duże przedsiębiorstwa. W największych podmiotach zwracana jest też baczniejsza uwaga na kontrolowanie dostępu do danych i szyfrowanie połączeń za pomocą VPN.Pracownicy wrócili do biur
W Polsce do pracy w biurze wróciła ponad połowa osób (56%), które na początku epidemii musiały wykonywać swoje obowiązki zdalnie. Podobnie jest u południowych sąsiadów: taki sam odsetek pracuje stacjonarnie w Czechach, a na Węgrzech 44%. Jednak wciąż wiele osób, przynajmniej częściowo, pracuje z domu: w modelu hybrydowym jest to 31% pracowników, całkowicie zdalnie – 13% badanych.Wsparcie techniczne i szkolenia wciąż mało popularne
W Polsce podczas przechodzenia na pracę zdalną 22% pracowników nie otrzymało wsparcia IT, takiego jak pomoc w konfiguracji sprzętu ani szkolenia z zakresu cyberbezpieczeństwa. Z kolei 27% otrzymało tylko wsparcie IT. Na obie formy pomocy mogło liczyć 37% badanych. Tyle samo pracowników otrzymało kompleksowe wsparcie na Węgrzech. W Czechach nieco mniej – 31%. U naszych południowych sąsiadów znacznie częściej zdarzało się, że pracownik przechodząc na pracę zdalną nie otrzymał jakiejkolwiek pomocy (co trzeci w Czechach i 35% badanych na Węgrzech).

– Człowiek stanowi „najsłabsze ogniwo” zabezpieczeń firm przed cyberatakami. Zmiana sposobu pracy, zarówno przejście na pracę zdalną, jak i powrót do biur, to dla pracowników spore wyzwanie. Kadra nie powinna być więc pozostawiona sama sobie. Konieczne jest zwiększanie świadomości o potencjalnych niebezpieczeństwach, takich jak fałszywe maile podszywające się pod kuriera lub współpracownika, niebezpieczne aplikacje i strony, stosowanie tych samych haseł w wielu serwisach. Z naszego badania wynika, że jedynie połowa firm zapewniła szkolenia z zakresu cyberzagrożeń, wciąż jest więc sporo do zrobienia, zwłaszcza w mniejszych przedsiębiorstwach – podkreśla Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

 Większa firma = lepsze wsparcie?
We wszystkich badanych krajach wsparcie w przechodzeniu na pracę zdalną częściej zapewniały duże firmy. W Polsce wśród osób zatrudnionych w przedsiębiorstwach z ponad 250 pracownikami, pomoc działu IT oraz szkolenie z cyberzagrożeń otrzymało 44%. W średnich firmach zatrudniających od 50 do 250 osób na wsparcie mogło liczyć 26% badanych, natomiast w małych (do 50 pracowników) – 32%. Największe przedsiębiorstwa prawie dwukrotnie rzadziej całkowicie pomijały szkolenia i wsparcie techniczne (tylko 15% pracowników pozostawiono bez pomocy, w porównaniu z 27% w firmach do 50 osób).

 Kontrola dostępu najpopularniejszą ochroną
Spośród zabezpieczeń polskie firmy najczęściej korzystają z kontroli dostępu do danych. Aż 71% pracowników ma możliwość korzystania wyłącznie z tych plików, które są im potrzebne. Znacznie częściej takie zasady stosują największe przedsiębiorstwa zatrudniające powyżej 250 osób – aż o 20 pp. więcej niż w przypadku małych firm (odpowiednio 82% i 62%). Polskie przedsiębiorstwa częściej niż czeskie i węgierskie stosują również uwierzytelnianie wieloskładnikowe (przez SMS, token lub aplikację). Wciąż jednak na taki sposób weryfikacji decyduje się jedynie połowa firm (w Czechach 39%, na Węgrzech – 38%). Podobny odsetek korzysta z szyfrowanego połączenia takiego jak VPN (53%). Co ciekawe, w przypadku uwierzytelniania wieloskładnikowego odsetek był niemal taki sam niezależnie od wielkości firmy.

– Kontrola dostępu do danych to podstawowy sposób ochrony, z którego powinny korzystać firmy. Pozwala on minimalizować skutki ewentualnych naruszeń systemu i na bieżąco nadzorować sieć pod kątem niebezpiecznych zdarzeń. Badanie wykazało, że stosuje go większość przedsiębiorstw, co świadczy o ich świadomości dotyczącej cyberzagrożeń czy obowiązków wynikających z RODO. Jednak wciąż jedynie połowa firm stosuje wieloskładnikowe uwierzytelnianie czy szyfrowanie połączenia, które wzmocniłyby ich odporność na ataki. Przedsiębiorstwa powinny zwracać większą uwagę na łączenie jak największej liczby rozwiązań chroniących sieć i pracowników – zwłaszcza, że nie wszystkie szkolą kadrę w zakresie zagrożeń – podsumowuje Grzegorz Nocoń.

O badaniu
Badanie zostało zrealizowane we wrześniu 2021 roku za pomocą ankiet internetowych CAWI w Polsce, Czechach i na Węgrzech, na próbie 800 pracowników w każdym z krajów.

Badacze Sophos wykryli nowy rodzaj oszustwa, którego ofiarami padają użytkownicy systemów iOS w USA i Europie. Cyberprzestępcy, wykorzystując fałszywe profile w serwisach randkowych takich jak Tinder, Grindr czy Facebook Dating, nakłaniają do zainstalowania złośliwych aplikacji do handlu kryptowalutami. Za ich pomocą nie tylko kradną środki finansowe, ale mogą też mieć zdalny dostęp do iPhone’ów ofiar. Na konto przestępców stosujących ten mechanizm wpłynęło już co najmniej 1,39 mln dolarów.(Nie)bezpieczny App Store

Cyberprzestępcy zakładają fałszywe profile na portalach randkowych (Tinder, Bumble, Facebook Dating i Grindr) i nawiązują kontakt z ofiarą. W kolejnym kroku nakłaniają ją do zainstalowania fałszywej aplikacji Binance do handlu kryptowalutami. Po zainwestowaniu w niej niewielkiej kwoty pozwalają użytkownikowi wypłacić pieniądze z zyskiem. Następnie zachęcają do wyłożenia większych środków. Kiedy ofiara nabiera podejrzeń lub chce odzyskać pieniądze, zostaje zablokowana. Przestępcy zarabiają na tym procederze miliony dolarów – badacze Sophos wyśledzili adres portfela bitcoin, na który oszukane osoby wysłały już ponad 1,39 mln dolarów. Prawdopodobnie takich adresów jest więcej.

– Już na początku roku Interpol ostrzegał przed rosnącą skalą oszustw dokonywanych przez aplikacje randkowe i media społecznościowe. Teraz celem są głównie użytkownicy iPhone’ów. Chociaż platforma iOS jest ogólnie uważana za bezpieczną, nawet aplikacje w App Store mogą stanowić zagrożenie. Pełno jest tam na przykład „darmowych” programów typu fleeceware, które po kilku dniach obciążają użytkowników kilkutysięcznymi subskrypcjami. Oszustwo wykorzystujące fałszywe aplikacje do kryptowalut omija kontrole bezpieczeństwa App Store. Użytkownicy systemu iOS powinni więc mieć się na baczności – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Kradzież pieniędzy i danych osobowych

Cyberprzestępcy do rozpowszechniania fałszywych aplikacji wykorzystują system dla programistów Enterprise Signature, który umożliwia testowanie aplikacji na iOS zanim zostaną zatwierdzone przez Apple. Dzięki temu przestępcy mogą rozsyłać do użytkowników iPhone’ów fałszywe programy bez recenzji App Store. W ten sposób zyskują też zdalny dostęp do urządzeń ofiar. Potencjalnie mogą więc zbierać dane osobowe, dodawać lub usuwać konta, instalować aplikacje i zarządzać nimi.

Enterprise Signature był już wcześniej używany przez przestępców. Apple podjęło działania aby ukrócić proceder. Za rozsyłanie aplikacji do konsumentów tą drogą cofnięto nawet certyfikaty Google’a i Facebooka (potem zostały przywrócone). Nie uniemożliwiło to jednak omijania kontroli App Store.

– Oszuści są nadal aktywni, każdego dnia kolejne ofiary mogą zostać nakłonione do zainwestowania pieniędzy, z niewielką szansą na ich odzyskanie. Apple powinien ostrzegać użytkowników instalujących aplikacje za pośrednictwem systemu Enterprise, że nie zostały one sprawdzone. Właściciele iPhone’ów powinni natomiast instalować wyłącznie programy z App Store. Kluczowa zasada, o której trzeba pamiętać brzmi: jeśli coś jest zbyt piękne, aby było prawdziwe, np. nowo poznana osoba wspomina o inwestycji, która zapewni duży zysk, to niestety zazwyczaj jest to oszustwo – przestrzegai Grzegorz Nocoń.

Phishing to wciąż popularna metoda ataków na firmy. Jak wynika z badania Sophos, aż 59% dużych przedsiębiorstw w Polsce zauważyło wzrost liczby tego typu wiadomości trafiających na skrzynki pracowników w ostatnim roku. Nawet jeden e-mail ze złośliwym linkiem może skutkować wielomilionowymi stratami, związanymi z kradzieżą i zaszyfrowaniem firmowych danych. Konieczna jest edukacja pracowników, jednak trzeba przy tym pamiętać, że nawet specjaliści IT różnie definiują phishing.Od fałszywego e-maila do zablokowania systemu

Na całym świecie aż 7 na 10 firm zatrudniających co najmniej 100 pracowników zanotowało wzrost liczby ataków phishingowych w ostatnim roku. Przestępcy szybko wykorzystali możliwości, jakie stworzyła pandemia: gwałtowny wzrost liczby osób pracujących z domu, popularności zakupów online, powszechny niepokój. Podobną skalę ataków zanotowały wszystkie sektory, co wskazuje, że cyberprzestępcy starają się przede wszystkim dotrzeć do jak największej liczby pracowników.

–  Phishing pozostaje skuteczną metodą cyberataków od ponad 25 lat. Przestępcy grają na ludzkich emocjach i zaufaniu: wyłudzają dane oraz nakłaniają do kliknięcia w złośliwe linki lub załączniki, podszywając się pod znane firmy i instytucje – ostrzega Monika Sierocinski, Team Lead CAM w firmie Sophos. – Firmy często uważają phishing za niewielkie zagrożenie, jednak zazwyczaj to tylko pierwszy etap bardziej złożonego ataku. E-mail od „współpracownika” i kliknięcie w złośliwy link może skutkować wielomilionowymi stratami. Przestępcy zyskują wtedy dostęp do komputera ofiary oraz firmowej sieci, mogą pobierać z niej informacje, blokować je, a nawet kraść pieniądze.Wiele definicji phishingu

Badanie Sophos wykazało, że nawet specjaliści IT różnie rozumieją phishing. W Polsce najczęściej wskazują, że są to e-maile ze złośliwym załącznikiem (69%), e-maile wysyłane w ramach targetowanych kampanii, poprzedzonych wywiadem środowiskowym (63%), kradzież danych uwierzytelniających przez pocztę elektroniczną (63%) i e-maile ze złośliwymi linkami (62%). Wiadomości SMS nakłaniające do podania informacji (smishing) za phishing uważa 41%.

Duże firmy edukują pracowników – czy właściwie?

84% firm w Polsce, zatrudniających co najmniej 100 osób, prowadzi działania edukacyjne, aby przeciwdziałać phishingowi. Głównie są to szkolenia i symulacje ataków. 3 na 4 firmy miały program edukacyjny jeszcze przed wybuchem pandemii. Wciąż jednak tylko połowa przedsiębiorstw śledzi współczynnik kliknięć w wiadomości phishingowe, a nieco ponad 3/5 liczbę zgłaszanych podejrzanych e-maili. Takie informacje mogłyby pomóc zespołom IT w dopasowywaniu szkoleń do potrzeb pracowników oraz poprawianiu poziomu ochrony.

–  Najlepiej oczywiście uniemożliwiać docieranie złośliwych wiadomości do adresatów, z wykorzystaniem zabezpieczeń poczty elektronicznej. Jednak zawsze należy je też uzupełniać zwiększaniem świadomości zagrożeń wśród pracowników. Trzeba przy tym pamiętać, że phishing dla poszczególnych osób nie zawsze znaczy to samo. Aby szkolenia, zwłaszcza kadry nietechnicznej, były skuteczne, ważne jest wyjaśnienie definicji ataków i kanałów, którymi są podejmowane oraz upewnienie się, że wszyscy rozumieją je podobnie. Równie istotne jest sprawdzanie czy pracownicy zgłaszają podejrzane wiadomości i czy wiedzą w co nie powinni klikać – radzi Monika Sierocinski.

O badaniu

Badanie „Phishing Insights, 2021” zostało przeprowadzone przez niezależną agencję Vanson Bourne na zlecenie Sophos. Ankieta objęła 5,4 tys. decydentów IT z firm zatrudniających od 100 do 5 tys. pracowników. Badanie przeprowadzono w styczniu i lutym 2021 roku wśród respondentów z 30 krajów Europy (w tym w Polsce), obu Ameryk, Azji i Pacyfiku, Azji Środkowej, Bliskiego Wschodu i w Afryce.

Prawie połowa instytucji edukacyjnych została w ostatnim roku zaatakowana przez ransomware – wynika z badania firmy Sophos. Placówki oświatowe ponoszą najwyższe ze wszystkich branży koszty zniwelowania skutków ataku, średnio to aż 2,73 mln dolarów. Aż 35% decyduje się na zapłacenie przestępcom okupu, jednak tylko co dziesiąta odzyskuje wszystkie dane. Największe problemy stanowi przestarzała infrastruktura IT oraz braki kadrowe. Zdalne nauczanie okazją dla cyberprzestępców

Rok 2020 był trudny dla instytucji edukacyjnych – aż 44% z nich doświadczyło ataku ransomware, co stanowi największy odsetek spośród wszystkich branż. Szybkie przejście na zdalny tryb nauczania przyniosło zespołom IT z placówek oświatowych dodatkowe wyzwania: musiały zabezpieczyć nowe platformy i urządzenia, a także zapewnić szkolenia. Prawie trzy czwarte wskazuje, że w ubiegłym roku wzrosło obciążenie pracą związaną z cyberbezpieczeństwem. Prawie dwie trzecie (65%) stwierdziło zaś, że wydłużył się czas ich reakcji.

– Branża edukacyjna od dawna jest atrakcyjnym celem dla przestępców. Należące do niej placówki dysponują wrażliwymi danymi, a jednocześnie często brakuje w nich odpowiedniej infrastruktury IT, specjalistów i budżetu – komentuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos. – Zespoły IT muszą zabezpieczać przestarzałe systemy, dysponując przy tym ograniczonymi narzędziami i zasobami. Pandemia przyniosła dodatkowe wyzwania: brakowało czasu na zaplanowanie strategii bezpieczeństwa czy wybór nowych rozwiązań. Ryzyko ataków dodatkowo zwiększa niska świadomość zagrożeń wśród użytkowników szkolnych systemów.Placówki oświatowe za ataki płacą najwięcej

Aby odzyskać zaszyfrowane dane, 35% instytucji zapłaciło okup – średnio 112 tys. dolarów. Większą skłonność do płacenia przestępcom wykazały jedynie branża energetyki i usług komunalnych oraz samorządy lokalne. Tylko co dziesiąta placówka edukacyjna po spełnieniu żądań atakujących odzyskała wszystkie informacje. Co trzecia odzyskała połowę lub mniej danych.

Jak wynika z badania Sophos, oświata ponosi największe straty z powodu ransomware’u. Średnio to aż 2,73 mln dolarów, o połowę więcej niż światowa średnia. Na tę kwotę składają się koszty zapłacenia okupu, ale też odzyskania danych, załatania luk w zabezpieczeniach i usuwania skutków ataku. Wysokie straty mogą wynikać w dużej mierze z przestarzałej i rozproszonej infrastruktury IT. Po ataku instytucje często muszą odbudowywać i zabezpieczać swoje systemy od podstaw.

– Presja zapłacenia okupu wynika z konieczności zapewnienia ciągłości działalności. Cyberatak uniemożliwia dostęp do systemów i prowadzenie zajęć, dlatego w tej sytuacji kluczowy jest szybki powrót do normalnego funkcjonowania. Trzeba jednak pamiętać, że zapłacenie przestępcom nie gwarantuje odzyskania zaszyfrowanych informacji – ostrzega Grzegorz Nocoń. 

Szkoły nieprzygotowane na ataki

33% placówek edukacyjnych nie doświadczyło ataku ransomware w ubiegłym roku, ale obawia się, że nastąpi to w przyszłości, zaś 22% uważa, że nie zostaną zaatakowane. Aż 6 na 10 respondentów, którzy nie spodziewają się ataku, polega przy tym na rozwiązaniach, które nie chronią przed ransomware.

– Najlepszym sposobem na powstrzymanie cyberataku i uniknięcie związanych z tym kosztów jest przygotowanie się na niego. Dlatego każda placówka i instytucja powinna przyjąć, że stanie się celem przestępców. W minimalizowaniu skutków ransomware’u ważny jest plan reagowania na incydenty oraz posiadanie kopii zapasowych. Kluczowe znaczenie ma też utrzymanie przestępców z dala od środowiska IT. Instytucje, które nie mają odpowiedniej wiedzy czy specjalistów, mogą skorzystać z pomocy zewnętrznych ekspertów „polujących” na zagrożenia. Nie należy też zapominać o potrzebie zwiększania świadomości zagrożeń wśród kadry i uczniów – radzi Grzegorz Nocoń.

 

O badaniu

Badanie Sophos „State of Ransomware in Education 2021” przeprowadzono w styczniu i lutym 2021 roku, na próbie 5,4 tys. menedżerów z obszaru IT, w tym 499 z branży edukacyjnej. Respondentów wybrano z 30 krajów w Europie (w tym także w Polsce), Ameryce Północnej i Południowej, Azji-Pacyfiku i Azji Środkowej, na Bliskim Wschodzie i w Afryce.

Ostatnie głośne ataki ransomware na firmy Kaseya i Colonial Pipeline były dotkliwe: cyberprzestępcy zatrzymali działanie rurociągu dostarczającego 45% ilości paliwa na Wschodnim Wybrzeżu USA i sparaliżowali działanie nawet ponad 350 przedsiębiorstw. Czego można się na tych przykładach nauczyć? Eksperci Sophos wskazują 6 najważniejszych lekcji, o których należy pamiętać.

1. Płacenie okupu rzadko się opłaca

Wiele firm płaci przestępcom, gdyż nie mają kopii zapasowych i chcą jak najszybciej wznowić działanie systemów; często obawiają się także upublicznienia skradzionych informacji. Jednak, według badania Sophos, nie gwarantuje to przywrócenia dostępu do zasobów. Przedsiębiorstwa, które decydują się na zapłatę okupu, odzyskują średnio tylko 65% danych, zaś jedynie w przypadku 8% odblokowywane są wszystkie. Poza tym, nawet jeśli uda się odszyfrować informacje, trzeba jeszcze przywrócić pracę systemów, naprawić szkody i zakłócenia spowodowane atakiem oraz wzmocnić zabezpieczenia, a to wymaga kolejnych nakładów.

 

2. Szkolenie pracowników to konieczność

Wejście do sieci Colonial Pipeline umożliwiło skradzione przez przestępców hasło do usługi VPN. Prawdopodobnie wykorzystali dane logowania ujawnione we wcześniejszym wycieku. W celu uniknięcia takich sytuacji konieczne jest przede wszystkim wdrożenie uwierzytelniania wieloskładnikowego, jednak równie istotne jest, aby pracownicy wiedzieli, jak chronić swoje dane dostępowe. Cyberprzestępcy wykorzystują niewiedzę atakowanych i brak ich umiejętności, stosują coraz bardziej dopracowane manipulacyjne metody socjotechniczne, takie jak phishing. Pracownicy powinni wiedzieć jak rozpoznać zagrożenia, jakiego zachowania unikać i jak reagować na podejrzane incydenty.

 

3. Najważniejsze jest szybkie wykrycie ataku

Według śledczych, przestępcy mieli dostęp do sieci Colonial Pipeline przez co najmniej osiem dni, zanim uruchomili ransomware. Brak możliwości wglądu w to, co robili w tym czasie, był jednym z powodów wyłączenia rurociągu. Przeprowadzone przez Sophos analizy pokazały, że przestępcy „spędzają” w sieci ofiary średnio 11 dni, a w niektórych przypadkach nawet pół roku, zanim zostaną wykryci. W tym czasie mogą uzyskać dostęp do danych i systemów, wykradać informacje, a nawet sabotować działanie firmy. Dlatego równie ważne jak programy ochronne są narzędzia pozwalające szybko wykryć podejrzane incydenty i aktywnie „polować” na ukryte zagrożenia.

Sophos Active Adversary Playbook 2021

4. Warto regularnie sprawdzać zabezpieczenia

Sprawdzanie poziomu ochrony przed cyberzagrożeniami pozwala znaleźć luki w zabezpieczeniach, zanim wykorzystają je przestępcy. Warto zlecać to zadanie nie tylko pracownikom działu IT, ale także zewnętrznym ekspertom. Często bowiem można spotkać się z nieświadomym przyzwoleniem na niedociągnięcia – z niewiedzy lub w działaniu z przeświadczeniem, że „zawsze tak było”. Ważne są ćwiczenia polegające na symulacjach ataków, próbach odzyskiwania danych i analizie sposobu reagowania na incydenty. Odpowiednie przygotowanie to często jedyny sposób na zminimalizowanie szkód i przestojów.

 

5. Cyberbezpieczeństwo priorytetem, bez względu na wielkość firmy

Firmy często uważają, że ataki dotykają tylko duże podmioty, gdyż te mniejsze nie są interesującym celem dla cyberprzestępców. Jednak każde przedsiębiorstwo, bez względu na wielkość czy branżę, może doświadczyć ataku. Poszukiwanie potencjalnej ofiary jest obecnie w dużym stopniu zautomatyzowane, więc kryterium „zainteresowania” pozostaje praktycznie bez znaczenia. Strategię cyberbezpieczeństwa powinna więc opracować każda firma: stworzyć plan reagowania na incydenty, przywracania systemów do działania i odzyskiwania danych, a także wdrożyć właściwe narzędzia ochrony oraz przygotować kroki, które należy podjąć, gdy coś pójdzie nie tak.

 

6. W walce z cyberprzestępczością ważna jest współpraca

Colonial Pipeline zobowiązało się do udostępnienia pełnego raportu na temat ataku, aby inne przedsiębiorstwa mogły wyciągnąć wnioski z popełnionych błędów. Na całym świecie w ramach takich inicjatyw jak Centrum Wymiany Informacji i Analiz (ISAC) czy lokalnych grup DEF CON zrzeszone są firmy, które dzielą się informacjami o zagrożeniach i zapewniają narzędzia oraz wytyczne ograniczające ryzyko. Oprócz uczestniczenia w nich, firmy powinny też prosić o pomoc, gdy już zetkną się z zagrożeniem. Mogą wspomagać się zewnętrznymi usługami, w ramach których eksperci monitorują sieć i pomagają reagować na zagrożenia.

Spadł odsetek polskich firm zaatakowanych przez ransomware, według badania Sophos w ostatnim roku doświadczyło go 13%. Trudniej jednak usunąć skutki ataku. Kosztuje to polskie firmy średnio 1,49 mln złotych. W ciągu ostatniego roku całkowite straty spowodowane przez ransomware wzrosły ponad dwukrotnie. Badanie potwierdza, że nie warto płacić przestępcom – mniej niż 1 na 10 firm, które to zrobiły, zdołało odzyskać wszystkie dane.Ransomware kosztuje dwa razy więcej

Prawie połowa (46%) polskich średnich i dużych firm w wyniku ataku ransomware straciła od 50 do nawet 254 tys. złotych. 31% poniosło koszty między 2,5 a 5 mln złotych – związane były one z przestojami w działalności, utraconymi zamówieniami, kosztami operacyjnymi, karami związanymi z nieodpowiednim zabezpieczeniem danych itp. W ciągu ostatniego roku na świecie całkowity koszt usunięcia skutków ransomware’u wzrósł ponad dwukrotnie: z 761 tys. do 1,85 mln dolarów. To aż 10 razy więcej, niż średnia wartość zapłaconego okupu (170 tys. dolarów).

Okup nieskutecznym sposobem na odzyskanie danych

Odsetek firm, które padły ofiarą ransomware’u, spadł na całym świecie, z 51% w 2020 roku do 37% w 2021. Polska odnotowuje jeden z najniższych wskaźników – 13% przedsiębiorstw, wobec których podjęto próbę ataku, w porównaniu z 28% w 2020 roku. Może to wynikać z niższego poziomu PKB w Polsce, a co za tym idzie, mniejszej szansy uzyskania przez przestępców wartościowego okupu. Natomiast więcej firm płaci za odblokowanie danych – rok temu na świecie było to 26%, w 2021 już 32%. Jednak jedynie 8% z nich zdołało odzyskać wszystkie zasoby; co trzecia odzyskała mniej niż połowę informacji.

– Widoczny spadek odsetka firm dotkniętych przez ransomware prawdopodobnie oznacza, że przestępcy zmieniają strategię działania. Zamiast masowych, zautomatyzowanych ataków, stosują ukierunkowane, wymierzone w konkretne przedsiębiorstwo. Ogólna liczba ataków jest więc mniejsza, jednak trudniej zneutralizować ich efekty, a wartość wyrządzanych szkód dynamicznie rośnie. Odzyskiwanie danych może trwać przez lata, nie ma też gwarancji, że się uda. Wykorzystywanie przez przestępców niskiej jakości lub pospiesznie tworzonego złośliwego kodu może utrudnić lub wręcz uniemożliwić odszyfrowanie zasobów, nawet gdy firma zapłaci okup – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Polskie firmy z lepszą ochroną

Średnie i duże polskie firmy coraz lepiej zabezpieczają się przed cyberzagrożeniami. 43% deklaruje, że ma szczegółowy plan odzyskiwania danych po ataku. Spośród firm, wobec których podjęto próbę ataku ransomware, aż 77% zablokowało go zanim dane zostały zaszyfrowane. Jedynie 15% incydentów kończyło się powodzeniem i zablokowaniem przez przestępców dostępu do informacji.

Ataku ransomware spodziewa się 6 na 10 firm, które dotąd go nie doświadczyły. Ponad połowa z nich (54%) wskazuje, że cyberataki są obecnie zbyt zaawansowane, aby je zatrzymać. 39% spodziewa się ataku, gdyż inne podmioty z branży już go doświadczyły. Co trzecia (27%) polska firma zakłada jednak, że nie padnie ofiarą ransomware’u. Aż 3 na 4 z nich wskazują, że specjaliści IT są odpowiednio wyszkoleni do zatrzymywania ataków i dysponują skutecznymi rozwiązaniami ochronnymi. 63% posiada kopie zapasowe, które pozwolą na przywrócenie działania firmy.

– Coraz częściej ataki ransomware wiążą się nie tylko z zaszyfrowaniem danych, ale też żądaniem okupu za nieujawnianie skradzionych informacji. Dlatego ważna jest warstwowa ochrona, która powstrzyma przestępców jeszcze zanim zdołają wejść do firmowej sieci. Aby ograniczać koszty neutralizacji ataku, warto opracować plan przywracania działania firmy i stosować podejście 3-2-1 – trzy zestawy kopii zapasowych, na dwóch różnych nośnikach, z których jeden jest przechowywany w trybie offline. Jeśli firma padnie jednak ofiarą ataku, nie musi stawiać czoła przestępcom sama. Na rynku dostępne są usługi zewnętrznych centrów eksperckich, które oferują wsparcie specjalistów i reagowanie w trybie 24/7 – mówi Grzegorz Nocoń.

O badaniu

Badanie State of Ransomware 2021 zostało przeprowadzone przez niezależną agencję badawczą Vanson Bourne w styczniu i lutym 2021 roku. W ramach badania przeprowadzono wywiady z 5400 decydentami IT w 30 krajach: USA, Kanadzie, Brazylii, Chile, Kolumbii, Meksyku, Austrii, Francji, Niemczech, Wielkiej Brytanii, Włoszech, Holandii, Belgii, Hiszpanii, Szwecji, Szwajcarii, Polsce, Czechach, Turcji, Izraelu, ZEA, Arabii Saudyjskiej, Indiach, Nigerii, RPA, Australii, Japonii, Singapurze, Malezji i na Filipinach. Respondenci pochodzili z firm zatrudniających od 100 do 5 tys. pracowników.

Z TikToka miesięcznie korzysta prawie 690 mln użytkowników. W Polsce aż 40% osób, które posiadają konto w tym serwisie, spędza na oglądaniu i tworzeniu filmów ponad godzinę dziennie. Jednak, publikując je, mogą nieświadomie narazić swoje wrażliwe dane na niebezpieczeństwo. Jak zachować prywatność i jednocześnie nie rezygnować z TikToka? Problem bezpieczeństwa danych na TikToku był poruszany m.in. w Stanach Zjednoczonych, gdzie armia zabroniła instalowania tej aplikacji na służbowych telefonach pracowników. W Indiach rząd całkowicie zablokował możliwość korzystania z serwisu. Obawy budzi przede wszystkim fakt, że TikTok to aplikacja pochodząca z Chin. Przedsiębiorstwa w tym kraju mają obowiązek przekazywania rządowi gromadzonych informacji. Chociaż firma twierdzi, że dane użytkowników są bezpieczne, niektóre państwa i organizacje nie wierzą w te zapewnienia.

Najmłodsi nieświadomi zagrożeń

Niepokoić może fakt, że z aplikacji korzystają głównie dzieci i młodzież. W Polsce 1 na 4 użytkowników nie ma jeszcze 13 lat, a 90% to osoby niepełnoletnie.

– Najmłodsi użytkownicy często nie mają odpowiednich umiejętności oceny zagrożeń w sieci i nie są świadomi niebezpieczeństw. Przez nierozważne udostępnianie swojego wizerunku na zdjęciach i filmach, a także innych wrażliwych danych, mogą stać się ofiarami nie tylko przeróbek czy hejtu ze strony rówieśników, ale też cyberprzestępców. Tak zdobyte informacje mogą zostać użyte do spersonalizowanego ataku przez SMS czy e-mail. W ten sposób wyłudzane są na przykład dane logowania do banku i rozsyłane złośliwe linki. Może to być zagrożenie także dla rodziców, którzy współużytkują urządzenia ze swoimi dziećmi – wskazuje Grzegorz Nocoń, inżynier systemów w firmie Sophos.Jak zadbać o prywatność?

1. Zablokuj aplikacji dostęp do zbędnych dla niej danych
   Każdy program przy pierwszym uruchomieniu prosi o zgodę na dostęp do wielu informacji na smartfonie, np. lokalizacji GPS, książki adresowej, kalendarzy, danych zdrowotnych itp. Żeby ograniczyć zakres zbieranych przez aplikację danych, najlepiej zablokować wszystkie możliwości. W niektórych przypadkach aplikacje nie będą wtedy działać, ale do nagrywania własnych TikToków wystarczy dostęp do aparatu i mikrofonu.
2. Zmień konto na prywatne
   Domyślnie nowe konto na TikToku jest publiczne. Oznacza to, że użytkownik nie ma kontroli nad tym, kto ogląda publikowane przez niego treści. Przełączenie konta na prywatne sprawi, że każdy nowy znajomy będziemy musiał zostać zatwierdzony – funkcja ta działa podobnie jak na Instagramie.
3. Nie daj się znaleźć
   Domyślnie TikTok może promować treści użytkownika w całym serwisie, również poza gronem jego obserwatorów. Jeżeli jednak konto w aplikacji nie jest wykorzystywane do prowadzenia biznesu, lepiej wyłączyć tę opcję. Profil nie będzie się też wtedy pojawiać w wyszukiwarkach internetowych, a filmy nie będą polecane innym osobom. Dzięki temu aby trafić na konto konkretnej osoby będzie trzeba wpisać nazwę użytkownika w wyszukiwarce.
4. Ogranicz możliwość interakcji z filmami
   Istotną funkcją TikToka jest nagrywanie duetów i stitchy. To filmy, które nawiązują do wcześniej istniejącego nagrania. Każdy użytkownik może jednak zablokować możliwość nagrywania kompozycji ze swoimi filmami – dzięki temu prywatne treści nie będą rozpowszechniane dalej. W tym samym celu należy wyłączyć możliwość pobierania filmów. W ustawieniach można też wyłączyć (lub ograniczyć tylko do obserwujących) możliwość komentowania nagrań i wysyłania wiadomości prywatnych.
5. Pamiętaj o ochronie najmłodszych
   Tryb rodzinny pozwala na ustawienie kont na TikToku w relacji rodzic-dziecko. To oznacza, że z telefonu opiekuna da się zdalnie kontrolować ustawienia konta pociechy. Można też zdecydować ile czasu dziecko będzie spędzać w aplikacji. Ponadto rodzic ma możliwość zablokowania wyszukiwania niektórych fraz, kont i hasztagów. Warto też zadbać, aby podczas zakładania konta dziecko podało prawdziwą datę urodzenia. Dzięki temu aplikacja zastosuje dodatkowe filtry i ograniczenia dla niepełnoletnich.

Firma Sophos dostarczy oprogramowanie do ochrony urządzeń końcowych Intercept X dla komputerów PC z łącznością 5G, zasilanych przez platformy obliczeniowe Qualcomm Snapdragon produkcji Qualcomm Technologies Inc. Połączenie tych dwóch technologii zapewni danym użytkowników ochronę nowej generacji, bazującą na mechanizmach głębokiego uczenia (deep learning). Współpraca obu firm jest odpowiedzią na rosnącą potrzebę zabezpieczania stale podłączonych do sieci urządzeń.

Ochrona nowej generacji dla komputerów 5G

Platformy obliczeniowe Snapdragon zostały skonstruowane na bazie technologii wykorzystywanej w smartfonach. Umożliwiło to nie tylko łączność z siecią komórkową 4G i 5G, ale też zapewniło maksymalną wydajność i efektywność w cienkich i lekkich laptopach z chłodzeniem pasywnym. W drugiej połowie 2021 roku platformy zostaną wyposażone w narzędzia ochronne nowej generacji Sophos Intercept X, zaprojektowane do zabezpieczania zaawansowanych systemów obliczeniowych oraz urządzeń końcowych. Dzięki głębokiemu uczeniu powstrzymują one zaawansowane zagrożenia, w tym ransomware. 

– Stale połączone z siecią, interaktywne środowisko obliczeniowe łączy technologię mobilną i komputery, co daje wyjątkowe możliwości cyberochrony. Na urządzeniach mobilnych obserwowano dotąd znacznie mniejszą liczbę incydentów bezpieczeństwa niż na komputerach zbudowanych na bazie tradycyjnej architektury. Przyczyną takiego stanu rzeczy jest przede wszystkim nowoczesna, bardziej przewidywalna konstrukcja platformy systemowej, która umożliwia producentom aplikacji projektowanie wydajnego i bezpiecznego oprogramowania. Układy Snapdragon zapewniają wydajność komputera PC, a jednocześnie zachowują wiele korzyści charakterystycznych dla nowoczesnych urządzeń mobilnych. Ta przewidywalność jest dla bezpieczeństwa szczególnie ważna – mówi Joe Levy, główny specjalista ds. technologii w firmie Sophos.

Połączenie oprogramowania Sophos Intercept X z platformą Qualcomm Snapdragon zapewnia wiele korzyści:

– Ciągłość połączenia – nieprzerwana komunikacja z komputerami bazującymi na platformie Snapdragon zabezpieczy przed utratą danych spowodowaną przełączeniem urządzeń w tryb offline i ułatwi pracę specjalistom ds. bezpieczeństwa.

– Mechanizm Qualcomm AI Engine przyspieszy sztuczną inteligencję – umożliwi to optymalizację w czasie rzeczywistym pracy coraz bardziej zależnego od sztucznej inteligencji oprogramowania, co ma szczególne znaczenie w przypadku urządzeń pracujących na baterii.

– Gwarancja bezpieczeństwa danych – zaimplementowany sprzętowo mechanizm Root of Trust zapewnia integralność procesu szyfrowania oraz silnych mechanizmów uwierzytelniania.

– Platformy obliczeniowe Snapdragon z technologią 5G nie tylko umożliwią nieprzerwane połączenie komputerów z siecią. Zapewnią także ochronę nowej generacji, bazującą na zaawansowanych mechanizmach sztucznej inteligencji i łączności 5G. Nasza współpraca z Sophos przenosi bezpieczeństwo urządzeń na nowy poziom. Uczenie maszynowe przyspiesza wykrywanie zagrożeń, co wzmacnia wiodącą rolę rozwiązań ochronnych firmy na rynku zabezpieczeń urządzeń końcowych. Cieszymy się, że wspólnie w firmą Sophos będziemy tworzyć profesjonalnie zabezpieczone rozwiązanie klasy korporacyjnej nowej generacji, bazujące na platformie Snapdragon i wyposażone w łączność 5G – komentuje Miguel Nunes, senior director, Product Management w Qualcomm Technologies Inc.

Więcej informacji o rozwiązaniach dostępnych jest pod linkiem:

Qualcomm Snapdragon oraz Sophos Intercept X.