Cyberprzestępczość stała się nie tylko domeną osób chcących zdobyć pieniądze lub udowodnić swoją wyższość nad ekspertami odpowiedzialnymi za zabezpieczenie cybernetyczne. Obecnie działania nakierowane na włamanie się do systemów informatycznych motywowane są również politycznie, stanowią oręż w wojnach dalekich od konwencjonalnych. Praktycznie każda dziedzina gospodarki i życia zwykłych obywateli jest zależna od rozwiązań cyfrowych narażonych na ataki. O tym, jak w sferze cyfrowej wygląda wyścig przestępców z ekspertami
Forbes.pl opowiada Robert Lipovsky, Principal Threat Intelligence Researcher w firmie ESET.
Cyberprzestępczość stała się nie tylko domeną osób chcących zdobyć pieniądze lub udowodnić swoją wyższość nad ekspertami odpowiedzialnymi za zabezpieczenie cybernetyczne. Obecnie działania nakierowane na włamanie się do systemów informatycznych motywowane są również politycznie, stanowią oręż w wojnach dalekich od konwencjonalnych. Praktycznie każda dziedzina gospodarki i życia zwykłych obywateli jest zależna od rozwiązań cyfrowych narażonych na ataki. O tym, jak w sferze cyfrowej wygląda wyścig przestępców z ekspertami od cyberbezpieczeństwa Forbes.pl opowiada Robert Lipovsky, Principal Threat Intelligence Researcher w firmie ESET, której rozwiązania na polskim rynku oferuje Dagma.
- Cyberprzestępcy atakujący z pobudek finansowych (aby ukraść pieniądze lub na zlecenie, za pieniądze) to obecnie eksperci działający w ramach zaawanasowanych przedsiębiorstw przestępczych.
- Skuteczna ochrona przed atakami cyberprzestępców zaczyna się od prawidłowo wykorzystywanych podstawowych zabezpieczeń i nawyków użytkowników sprzętu i systemów.
- Wartościowe rozwiązania z zakresu ochrony cybernetycznej nie wpływają na efektywność działania systemów i urządzeń IT.
Jakie wyzwania stoją przed obywatelami Polski i Europy, firmami i rządami teraz iw najbliższej przyszłości w zakresie bezpieczeństwa cyfrowego?
Mogę mówić o różnych trendach i zmianach w krajobrazie zagrożeń na przestrzeni ostatnich 15 lat. Tyle czasu spędziłem w branży i obserwowałem, jak się rozwija. Istnieją różne kategorie zagrożeń i różne motywacje podmiotów stojących za zagrożeniami. Po jednej stronie spektrum mamy zwykłych cyberprzestępców, którzy działają dla zysku finansowego, a z drugiej strony (w ostatnim czasie – przynajmniej od lutego o wiele więcej wspominanej w wiadomościach, jak rosyjskie APT ) – sponsorowane przez państwa stałe, zaawansowane zagrożenia. Oczywiście żadna z tych kategorii nie jest nowa. Z ogólnej perspektywy różnią się one pod względem wolumenu. Zagrożeń przestępczych motywowanych finansowo jest znacznie więcej, niezależnie od tego, czy są skierowane przeciwko osobom prywatnym, firmom, czy instytucjom rządowym. O groźbach APT ze strony państw widzieliśmy od dawna. Jednak teraz cyberwojna staje się coraz bardziej rzeczywistością, a nie tylko czymś, co jest opisane, szeroko omawiane na konferencjach bezpieczeństwa, w kręgach akademickich etc. Widzimy cyberwojnę tuż za granicą na Ukrainie.
Jeszcze 10 lat temu z jednej strony mieliśmy do czynienia motywowanymi finansowo zagrożeniami o nieukierunkowanym charakterze. Polegają one na masowym rozsyłaniu e-maili. Tego typu próby skierowane są na tzw. nisko wiszące owoce — firmy i osoby o niskich standardach bezpieczeństwa i znikomym poziomie świadomości zagrożeń. Tego typu przestępstwa cybernetyczne można określić jako stosunkowo nieskomplikowane. Po drugiej stronie spektrum były aktywności przestępcze technicznie bardziej zaawansowane. Stosowali je hakerzy sponsorowani przez państwa narodowe. Można ich nazwać elitą. To rozróżnienie już nie obowiązuje. Powiedziałbym, że granice nie są do końca jasne. Przez przestępców działających na zlecenie różnych państw przeprowadzane są również ataki motywowane finansowo. Często przypisuje się takie działania Korei Północnej, na przykład Łazarza. Państwa objęte sankcjami chcą uzyskać korzyści finansowe, wynajmują wysoko płatnych hakerów, którzy nie są już niewyrafinowani. Uczą się od tych państwowych APT i używają bardzo podobnych technik. Działają dla państw, ale także samodzielnie lub na zlecenie regularnych przestępców. Dlatego dość często obserwujemy ataki, w których trudno jest nawet odróżnić, do której kategorii należałoby pod względem motywacji, ponieważ techniki, których używają, stają się coraz bardziej zaawansowane. Dla zwykłych firm i organizacji przekłada się to na to, że muszą zwracać uwagę i zwiększać swoją ochronę przed atakami cyfrowymi. Nawet małe i średnie firmy są zmuszone zainwestować swoje zasoby i edukację pracowników oraz poważnie traktować cyberbezpieczeństwo, jakby były znacznie większą organizacją. Wiele firm mierzy się z własnymi wyzwaniami utrudniającymi sfinansowanie zatrudnienia ekspertów cyberbezpieczeństwa. Muszą one delegować tego typu usługi do różnych dostawców usług zarządzanych.
Przeżywamy wysoką inflację, być może recesję, a czeka nas kryzys energetyczny. Czy jednym z pierwszych cięć kosztów nie będzie koszt przeznaczony na bezpieczeństwo IT i jakie to może wywołać skutki?
Obecna sytuacja potencjalnie może być poważnym problemem. Widzieliśmy już w przeszłości, że w wielu firmach cyberbezpieczeństwo było czymś, co znajdowało się gdzieś dalej na liście priorytetów. Większe firmy z poważniejszymi zasobami poważnie traktują zagrożenia. Mniejsze firmy tego nie robią. Trochę się to poprawiło w ostatnich latach, więc ogólna świadomość i zwracanie przez firmy uwagi na zagrożenia rośnie. Czynnikiem przyczyniającym się do tej zmiany, jest przykład Ukrainy, która walczy z rosyjską cyberagresją od ośmiu lat. Wiele organizacji rządowych, ale także prywatnych firm było celem cyberataków ze strony Rosji. Ofiary tych działań musiały inwestować w poprawę zabezpieczeń pomimo innych pilnych wydatków. Ograniczanie kosztów w obszarze zabezpieczenia przed cyberprzestępczością nie może skutkować obniżeniem jej jakości. Ale trendy związane z możliwą recesją zwiększają ryzyko, że cyberbezpieczeństwo zostanie ponownie zepchnięte niżej pod względem priorytetów. Może mieć szkodliwe skutki. Ponieważ, jak widzieliśmy w przypadku braku najkosztowniejszego cyberataku w historii skierowanego przeciwko firmom Myers i FedEx może nawet największe korporacje na świecie. Ten atak oznaczał ponad 10 miliardów dolarów strat bieżących dla tych firm.
Jakie metody – narzędzia, technologie i techniki – wykorzystują obecnie cyberprzestępcy?
Odpowiem na to krótko, aby nie wchodzić w zbyt wiele szczegółów technicznych. Istnieje kombinacja złośliwego oprogramowania. Jest ono jednym z narzędzi w arsenale przestępców. Na tym skupiamy się przede wszystkim w obszarze technicznym. Zajmujemy się ochroną — wykrywaniem złośliwego oprogramowania i blokowaniem jego uruchamiania. Ponadto są różne narzędzia, które nie są do końca złośliwym oprogramowaniem. Są to skrypty, których używają cyberprzestępcy, ręczne wykonywanie poleceń i tym podobne. Kolejnym ważnym elementem są próby nadużycia elementu ludzkiego dzięki socjotechnikom. Nie ma powodu, ale którego atakujący miałby podejmować wysiłki stworzenia jakiegoś zaawansowanego technicznie lub wyszukania luki w oprogramowaniu, jeśli może spróbować przekonać użytkownika do kliknięcia łącza i zainstalowania złośliwego oprogramowania. Niestety jest to bardziej skuteczne. Tak więc zarówno środki techniczne, jak i nietechniczne są czymś, z czego korzystają atakujący.
Kim są cyberprzestępcy?
Mówiłem już o kategoriach z punktu widzenia celów. Jest grupa cyberprzestępców, którzy mają motywację finansową. Pozostali to APT państw narodowych. Są też inne kategorie stanowiące mniejszość, a warto o nich wspomnieć. Więc to nie są państwa narodowe i nie są finansowo motywowanymi przestępcy, a aktywiści próbujący przekazać wiadomości społeczeństwom. To, co zmieniło się w stosunku do przeszłości, to fakt, że cyberprzestępczość stała się profesjonalnym biznesem, czego dobrym przykładem jest niedawny wyciek wszystkich wewnętrznych danych i komunikacji grup ransomware Conti, który naprawdę dał opinii publicznej wgląd w to, jak taka organizacja cyberprzestępcza działa, a funkcjonuje jako profesjonalna firma. Organizacje tego typu mają swoje procesy, workflowy i działy HR. Nie są to już pojedynczy gikowie siedzący gdzieś w piwnicy, jak to było 30 lat temu. Mamy do czynienia z zawodowymi przestępcami, których codzienną pracą jest podejmowanie prób zaatakowania coraz większej liczby ofiar ich złośliwym oprogramowaniem i zarabianie na tym pieniędzy.
Czy są szanse na wystarczającą ochronę przed cyberatakami?
W tym pytaniu jest kluczowe słowo – wystarczy. Nie ma czegoś takiego jak 100% bezpieczeństwa. Każdy, kto tak mówi, kłamie. Jednak z pewnością istnieje szansa na to, aby nie być nisko wiszącym owocem dla cyberprzestępców. Każdy może podjąć kroki, aby zabezpieczyć się i sprawić, że praca napastników będzie znacznie trudniejsza i znacznie droższa. Ponieważ mamy do czynienia z biznesami, które mając zły zwrot z inwestycji, jeśli jest im zbyt trudno przeprowadzać różnego rodzaju ataki, to będą szukać szans gdzie indziej. Dzięki temu skala ataków spadnie. Są szanse na ochronę. Oczywiście zawsze będą też kategorie napastników, którzy zrobią wszystko, co w ich mocy, i będą próbować ominąć wszelkiego rodzaju mechanizmy ochronne. Jedyna szansa na walkę z tego typu wyspecjalizowanymi i wysoce zmotywowanymi napastnikami wiąże się z koniecznością użycia dużej ilością zasobów wdrażających wielowarstwowe podejście do bezpieczeństwa. To oznacza, musi być oparte na wielu technologiach i narzędziach. Nie istnieje pojedyncza technologia, która rozwiązałaby problemy wszystkich. Trzeba stworzyć wiele warstw na wypadek, gdyby atakującym udało się obejść jedną z nich. Jako producent rozwiązań z zakresu cyberbezpieczeństwa zawsze szukamy proaktywnych metod wykrywania zagrożeń. Oznacza to, że nie reagujemy tylko na złośliwe oprogramowanie i zagrożenia, które już znamy, ale także staramy się wykryć złośliwe zachowanie per se. Oprócz zabezpieczeń technicznych musisz mieć zabezpieczenia nietechniczne. Na przykład, jeśli jesteś firmą, musisz stale i regularnie edukować swoich pracowników. Jesteśmy ludźmi, a ludzie zapominają, więc działania zmniejszające ryzyko związane z czynnikiem ludzkim muszą być prowadzone stale.
W Polsce nadal obowiązuje 3 poziom alertu CRP Charlie, co to oznacza w praktyce?
Oznacza to, że istnieje zwiększone ryzyko cyberataków. W Polsce podobnie jak w USA CISA ma podobne lub alerty zwane osłonami. Dla organizacji oznacza to, że muszą być w pogotowiu i monitorować narzędzia, takie jak EDRS — wykrywanie punktów końcowych i odpowiedzi, lub rozwiązania XDR, które zapewniają im wgląd w to, co dzieje się w ich systemach komputerowych i środowisku sieciowym, ponieważ istnieje podwyższone ryzyko ataków, które ma również związek z sytuacją na Ukrainie. Widzimy, że wszystkie te ataki i rosyjskie ATS skupiają się przede wszystkim na Ukrainie, ale nie tylko. Widzieliśmy dokładnie, jak rosyjskie grupy APT, takie jak Sandworm, które zostały przypisane GRU, przeprowadzały ataki na różne inne kraje poza Ukrainą, na przykład na Turcję, Gruzję — co nie jest zaskakujące — przeciwko Francji, a nawet w Polsce w ostatnich latach. Odnotowaliśmy ataki na instytucje państwowe, na firmy prywatne, na polską energetykę. Jest to więc realne zagrożenie i oznacza to, że ludzie odpowiedzialni za cyberbezpieczeństwo muszą być szczególnie czujni.
Co w takim przypadku powinny zrobić organizacje? Jakie są twoje wskazówki?
To dobre pytanie, jednak obrony cybernetycznej nie jest ograniczyć do jednego działania, które możesz wykonać i mieć pewność, że sprawa jest załatwiona. Nie możesz powiedzieć — OK, skończyliśmy. Dlatego trudno jest jednoznacznie odpowiedzieć na to pytanie. Dbałosć o cyberbezpieczeństwo musi być ciągłym procesem, w którym poświęca się zasoby i podejmuje wysiłki. Zatem to dobre pytanie z trudną odpowiedzią. Zacząłbym o tego, że najpierw konieczne jest sprawdzenie, w jakie standardowe zabezpieczenie wyposażone jest dane urządzenie, a system jak ma wzmocnione punkty wejścia, uwierzytelnianie itp. Konieczne jest sprawdzenie, czy zabezpieczone jest odpowiednie tworzenie kopii zapasowych, które są testowane i uwierzytelnianie wieloskładnikowe. To kilka konkretnych kroków. Ale oczywiście nie jest to nic nowego, choć firmy muszą stale o tym pamiętać.
W jaki sposób firma ESET wspiera klientów w zakresie cyberbezpieczeństwa?
Jesteśmy producentami oprogramowania zabezpieczającego, które jest zabezpieczeniem punktów końcowych dla wszystkich typów użytkowników, niezależnie od tego, czy są to osoby fizyczne, czy duże przedsiębiorstwa. Narzędzia, które dostarczamy, są dostosowane do typu odbiorcy. Proponowane przez nas ER lub XDR mają zastosowanie do pojedynczych osób. Regularne rozwiązania antymalware kierujemy do wszystkich. Rozpowszechniamy również informacje o zagrożeniach, ponieważ wiele z nich widzimy jako pierwsi. Analizujemy i monitorujemy wszystkie te wydarzenia, o których mówiono, i udostępniamy te informacje subskrybentom naszych raportów i kanałów analizy zagrożeń. Prowadzimy również ogólne działania uświadamiające na te tematy dla różnych typów odbiorców, jak teraz na konferencji Peers Virus Bulletin w Pradze, ale także publikując ogólnodostępne blogi. Prowadzimy bloga livesecurity.com, na którym zwykli użytkownicy mogą znaleźć informacje o tym, jak poprawić swoje bezpieczeństwo.
Czy rozwiązania ESET spowalniają systemy IT i komputery?
ESET jest dobrze znany z tego, że oferuje rozwiązania o bardzo niskim wpływie na wydajność komputerów. Jest to jedna z naszych mocnych stron. Firma świętuje w tym roku 30. rocznicę, a oprogramowanie i technologia są nawet starsze, bo sięgają 1987 roku, więc mają 35 lat i „od zawsze” sposób ich tworzenia i cała filozofia kodu miała na celu, mają bardzo mały wpływ na wydajność i nie spowalniają systemów.
Co powinienem zrobić, a czego nie robić – jako osoba fizyczna, pracownik lub właściciel małej firmy – aby zmniejszyć ryzyko powodzenia cyberataku?
Nie klikaj podejrzanych linków. To po pierwsze. Jest na to dobre powiedzenie po angielsku – think before you click, czyli pomyśl, zanim klikniesz. To jest coś, co każdy może zrobić, nawet jeśli jest to na wyk nieco paranoiczny. Jest też druga rada. Jeśli coś jest zbyt piękne, aby mogło być prawdziwe, to prawdopodobnie tak jest. Inne podpowiedzi? Mając biznes, ale nie tylko, zastosuj wszystkie dostępne techniczne środki bezpieczeństwa, jeśli jeszcze tego nie zrobiłeś. Używaj uwierzytelniania wieloskładnikowego, ponieważ znacznie podnosi to barierę dla atakujących oraz edukuj.
Kto wygra wyścig cyberprzestępców z ekspertami ds. cyberbezpieczeństwa?
Nie będzie momentu, który będzie można uznać za koniec. Ten wyścig to ciągły proces i niekończący się cykl. Więc nie będzie tak, jak na koniec meczu, gdy wiemy, kto jest ostatecznym zwycięzcą. Wrócę do koncepcji zwrotu z inwestycji. Jeśli podniesiemy barierę dla atakujących na tyle wysoko, że przeprowadzenie ataków nie będzie dla nich opłacalne, wtedy sądzę, że wygrają obrońcy. Jeśli powodem ataku są pieniądze, a do pokonania zabezpieczeń trzeba wydać za dużo w stosunku do potencjalnego zysku, przestępcy pójdą gdzie indziej, gdzie bariera jest mniejsza. Zatem poprawa bezpieczeństwa i ponoszenie coraz większych kosztów to coś, co zdecydowanie musi się wydarzyć.