2020-05-11

W 2 na 5 firm wykryto w ostatnim czasie incydent bezpieczeństwa (wg raportu Computerworld 2020). Podpowiadamy, co zrobić, aby firma była odporniejsza na działania przestępców.

cyberbezpieczenstwo bank

 

Okolice Łodzi, firma produkująca materiały metalowe otrzymała e-mailem fakturę od stałego dostawcy. Wszystkie dane się zgadzały, adres nadawcy (jak zwykle), nazwa firmy. Jak napisała osoba z działu księgowości – zmienił się tylko nr konta, bo dostawca poinformował, że korzysta już z innego banku. Płatność została zrealizowana w środę. Dwa dni później ten sam dostawca, wysłał taką samą fakturę tylko z numerem konta jak zawsze… Firma z Łodzi straciła kilkaset tysięcy złoty, bo fakturę ze zmienionym numerem konta podstawił przestępca.

Poznań, średniej wielkości firma prowadzi sprzedaż internetową. W poniedziałek, gdy pracownicy magazynu chcieli rozpocząć pakowanie towarów zamówionych przez weekend - okazało się, że system magazynowy nie działa… Po zgłoszeniu problemu informatykowi, diagnoza była jednoznaczna – wszystkie komputery w firmie zostały zablokowane przez przestępców, którzy żądają okupu…

Przedstawione wyżej przypadki to tylko przykłady, ale takie ataki zdarzają się naprawdę i to na całym świecie. Konsekwencje mogą być poważne - wycieki danych, problemy z bieżącą działalnością, milionowe straty, utrata wiarygodności, a nawet bankructwo. Fakty są takie, że cyberataki zarówno dla małych firm, jak i międzynarodowych korporacji stały się realnym zagrożeniem.

 

Phishing jako najpowszechniejsza i najskuteczniejsza forma ataku

Phishing polega na podszyciu się pod firmę, instytucję albo osobę i nakłonienie użytkownika do określonego działania. W większości przypadków będzie chodziło o kliknięcie w fałszywy link albo otwarcie zainfekowanego załącznika. Czasem tylko tyle wystarczy, żeby ktoś przejął kontrolę nad komputerem i np. podmienił numer konta na fakturze jakie firma wystawia, zdobył dostęp do dokumentów i plików umieszczonych na dysku albo wykradł dane do logowania, chociażby do bankowości elektronicznej. Zainfekowane załączniki mogą być też wykorzystywane w atakach typu ransomware, które polegają na uniemożliwieniu dostępu do komputera, bardzo często poprzez zaszyfrowanie plików na dysku (jak w przypadku firmy z Poznania). Przestępcy są też w stanie przejąć dane i szantażować ofiarę ich ujawnieniem. W obu przypadkach rozwiązaniem problemu ma być zapłacenia okupu - tak przynajmniej twierdzą oszuści. Niestety nie zawsze tak się dzieje. Można zatem stracić pieniądze i wcale nie odzyskać skradzionych albo zaszyfrowanych danych. Najgłośniejszy atak typu ransomware miał miejsce w 2017 roku. Oprogramowanie WannaCry zainfekowało ponad 230 tys. komputerów na całym świecie. Ofiarami padły m.in. takie firmy jak Renault, Hitachi, Deutsche Bahn i FedEx.

Ktoś może pomyśleć – skoro tacy światowi giganci nie potrafią uchronić się przed atakiem, to jak ja mam to zrobić? Otóż przed zdecydowaną większością ataków, zwłaszcza tych phishingowych można się obronić. Wystarczy odpowiedni poziom świadomości wszystkich pracowników firmy.

 

Podstawowe zasady cyberbezpieczeństwa

  1. Sprawdzaj bardzo dokładnie adres nadawcy wiadomości – w skrzynkach pocztowych najczęściej widzimy, że napisał do nas Jan Kowalski, a nie kowlaski@nazwafirmy.pl. I temu, co znajduje się po @ warto uważnie się przyglądać – dzięki temu możesz rozpoznać oszustwo Adres może wyglądać tak: nazwafirmy.pl lub nazwaflrmy.pl. Różnią się jedynie literkami „i” oraz „l”(małe L). Oszuści liczą, że nie zauważysz tej drobnostki.
  1. Sprawdzaj dokładnie adres strony, upewnij się również, że zaczyna się on od skrótu https://, a nie skrótu http://. Unikaj witryn bez „s”. Sprawdzaj również certyfikaty stron – wystarczy kliknąć w ikonę kłódki w pasku adresu www. Tylko zgodność adresu, obecność skrótu „https” w adresie oraz prawidłowy certyfikat świadczą o tym, że strona jest bezpieczna.
  1. Adres logowania do banku najlepiej ustawić w zakładce w swojej przeglądarce internetowej. Warto pamiętać, że paski adresu często służą jako paski wyszukiwarek i przenoszą nas do wyników wyszukiwania, a nie od razu do strony banku. Czasami przestępcom udaje się kupić pierwsze miejsce w wynikach wyszukiwania i podstawiona strona może okazać się fałszywa. Korzystając z zakładki możemy tego uniknąć.
  1. Unikaj klikania w podejrzane linki przysłane pocztą. Pamiętaj, że banki nigdy nie wysyłają linków do serwisu transakcyjnego. Jeśli kliknięcie w link jest konieczne – wcześniej najedź na niego kursorem (ale NIE KLIKAJ!) – w ten sposób sprawdzisz adres, gdzie faktycznie prowadzi link. Jeśli wyświetli się inny adres niż ten widoczny w linku to masz do czynienia z oszustwem.
  1. Używaj trudnych haseł i często je zmieniaj – zdarzyło Ci się, że dziecko odblokowało twój telefon wpisując losowy nr pin? Jeśli masz łatwe hasło to przestępcy łatwo je odgadną. Zamiast hasła123456 albo password użyj MoJeBaRDoTudneHasło#5).
  1. Unikaj pobierania plików z poczty – szczególnie od nadawcy, którego nie znasz. Wśród niebezpiecznych plików są m.in. te z rozszerzeniem .exe czy .scr.
  1. Ważne zmiany (np. numeru konta na fakturze) potwierdzaj telefonicznie lub w bezpośrednim kontakcie - oszuści mogą podszyć się pod przełożonego albo prezesa firmy. Gdy czynność należy podjąć niezwłocznie (np. wykonanie przelewu) – warto zadzwonić do osoby zlecającej lub po prostu spotkać się z nią i potwierdzić.
  1. Rób niezależną archiwizację – ważne dane firmy powinny być przechowywane przynajmniej w 2 niezależnych miejscach, z czego jedno poza firmą (np. w bezpiecznej chmurze lub dysku przechowywanym w bezpiecznym miejscu). Wówczas ani pożar, ani zaszyfrowanie dysków firmy przez przestępców – nie sparaliżuje firmy na długo).

 

Phishing to nie wszystko

Zagrożeń, na jakie narażona jest firma istnieje znacznie więcej. Można sobie wyobrazić, że atakującym jest pracownik. Takie sytuacje zdarzają się na całym świecie. Osoba, która została zwolniona lub źle potraktowana w ramach zemsty na pracodawcy infekuje system złośliwym oprogramowaniem, wynosi na zewnątrz poufne informacje (np. bazę klientów lub dostawców).

Zagrożeniem dla firmy może być również niewłaściwe przechowywanie dokumentów i danych, nieprzestrzeganie procedur lub źle zabezpieczone informacje, które posiada przedsiębiorstwo. Z tego powodu ktoś może zdobyć do nich dostęp albo je po prostu wykraść. Najgłośniejszym tego typu zdarzeniem w Polsce jest historia jednego ze sklepów internetowych. Cyberprzestępca wykradł bazę danych klientów, która zawierała m.in. imię i nazwisko, adres e-mail, numer telefonu, a także numery PESEL. W efekcie ataku firma została ukarana przez UODO karą w wysokości prawie 3 mln złotych. Do tego dochodzą oczywiście straty wizerunkowe i spadek zaufania klientów do sklepu.

Innym zagrożeniem dla firm są ataki typu DoS i DDoS. Mówiąc najprościej i najogólniej polegają one na tym, że z daną usługą (np. stroną internetową, aplikacją) łączy się jednocześnie tak dużo innych komputerów lub wykonywane jest tak dużo procesów, że system zostaje przeciążony i nie jest w stanie normalnie funkcjonować. Każdy mógł się z tym spotkać kupując np. bilety na cieszące się dużym zainteresowaniem wydarzenie. Jednocześnie bilety próbuje nabyć tak dużo osób, że strona przestaje normalnie działać.

 

Firma potrzebuje ekspertów

Bezpieczeństwo firmy należy powierzyć ekspertom, którzy będą wiedzieli jak właściwie stworzyć, skonfigurować i zarządzać naszą siecią, programami, systemami, serwerami, aplikacjami itd. Oczywiście zupełnie inaczej będzie to wyglądać w małej firmie, gdzie wystarczy czasem nawet jeden wykwalifikowany i doświadczony informatyk, a zupełnie inaczej w przedsiębiorstwie, które zatrudnia kilka tysięcy osób. Wtedy na pewno bardziej sprawdzi się oddzielny zespół ds. cyberbezpieczeństwa. Firma powinna mieć także przygotowany sposób postępowania i reagowania na incydenty bezpieczeństwa. Pomóc w walce z atakami mogą również różnego rodzaju rozwiązania dostępne na rynku np. monitorujące to, co dzieje się w firmowej sieci.

 

Pracownik nie jest najsłabszym ogniwem, jest pierwszą linią obrony

Zwykło się mówić, że człowiek jest najsłabszym ogniwem systemu cyberbezpieczeństwa. Mi zdecydowanie bliższe jest myślenie, że człowiek jest pierwszą i czasem jedyną linią obrony w naszej organizacji. Żeby jednak pracownik mógł skutecznie stawiać opór atakom potrzebuje odpowiedniej wiedzy i świadomości. Musi też czuć się odpowiedzialny za bezpieczeństwo firmy i wiedzieć, jak wiele od niego zależy. Szkolenia z cyberbezpieczeństwa powinny być odpowiednio skrojone do potrzeb i stanowiska danego pracownika. Na inne zagrożenia jest bowiem narażona osoba z księgowości, a na inne osoba pracująca na recepcji. W edukowanie pracowników warto i należy inwestować. Cyberprzestępcy wiedzą, gdzie uderzyć, żeby atak był skuteczny. Należy więc chronić firmę na różnych frontach.

 

@Marcin Ganclerz
Ekspert w Departamencie Cyberbezpieczeństwa PKO Banku Polskiego

 

Informację zawarte na stronie mają charakter informacyjny, reklamowy i nie stanowią oferty w rozumieniu art. 66 Kodeksu cywilnego, usługi doradztwa inwestycyjnego oraz udzielania rekomendacji dotyczących instrumentów finansowych lub ich emitentów w rozumieniu ustawy o obrocie instrumentami finansowymi, a także nie są formą świadczenia usług doradztwa podatkowego ani pomocy prawnej.