News

Eksperci o cyberatakach

Pandemia zmieniła świat. Żyjemy i pracujemy w nowej, pełnej ograniczeń rzeczywistości.

Pracownik poza firmową strefą bezpieczeństwa często narażony jest na cyberataki. Zdarza się też, że sam nieświadomie ułatwia ich dokonanie.

Czy twój pracownik wie, jak chronić firmę pracując zdalnie? Jeżeli nie – konsekwencje mogą być poważne.

14 kwietnia ponad pół miliona użytkowników komunikatora Zoom straciło swoje konta. Zostały one przechwycone przez hakera i wystawione na sprzedaż. Wśród poszkodowanych jest wiele znanych firm i instytucji. Większość skradzionych kont zabezpieczona była hasłami identycznymi do tych, którymi poszkodowani posługiwali się wcześniej w innych serwisach internetowych – poinformował Forbes.

19 kwietnia do sieci wyciekł dane trzystu osób poddanych kwarantannie w związku z podejrzeniem zakażenia koronawirusem. Ofiarami są mieszkańcy powiatu gnieźnieńskiego.

24 kwietnia Nintendo – japoński gigant branży elektronicznej rozrywki – poinformował o ataku hakerskim na usługę Nintendo Switch Online. Skradziono dane dostępu do 160 tys. kont graczy.

W każdym z tych przypadków zawinił czynnik ludzki. To jest czas na wyciąganie wniosków i zmianę przyzwyczajeń – mówi Piotr Błaszczeć ekspert ds. bezpieczeństwa informacji.

– Musimy mieć świadomość, że nowa rzeczywistość, w jakiej przyszło nam funkcjonować, została bardzo szybko zaadoptowana przez cyberprzestępców. Mnożą się ataki bazujące na phishingu i wykorzystaniu socjotechniki, to już nie tylko wiadomości e-mail, ale też wiadomości SMS nakłaniające nas do kliknięcia w link, telefony od osób podszywających się pod pracowników banków, czy instytucji np. Policji, Sanepidu, ZUS-u. To pułapki, które mają doprowadzić ofiarę do miejsca, z którego można przeprowadzić atak. Każde z tych miejsc stanowi arsenał, a czasami wylęgarnię kodu złośliwego, który na wszelkie sposoby próbuje zdobyć pewne informacje. Czasami są to hasła lub inne dane uwierzytelniające, czasami informacje o danej osobie firmie, albo dane osobowe, a finalnie pieniądze, które znikają w niewiadomy sposób lub sami je przekazujemy, łapiąc się na sztuczki socjotechniczne. Czasami jest jeszcze inaczej i całość sprowadza się nie tyle do ataku na nas, co podszycia się i wykorzystania danej osoby do ataku na kogoś innego. Kogoś, kto nas zna i w większości przypadków jest odporny na podejrzane maile, SMS-y, żądania z nieznanych miejsc, a jego czujność zostanie zupełnie osłabiona, jeśli atak odbywa się z „zaufanego” źródła, czyli dobrego znajomego. Czasami natomiast ataki te mają wprost doprowadzić do przejęcia kontroli nad danym urządzeniem, tylko po to by dostać się do sieci danej organizacji i wykraść z niej np. bazę danych, która później posłuży do ataku o jeszcze większej sile rażenia, z powodu olbrzymiej populacji, której to będzie dotyczyć – dodaje Piotr Błaszczeć.

W ubiegłym roku w Polsce tylko w sieci Orange doszło do 11,5 miliona prób wejścia na strony phishingowe (strony podszywające się pod znane instytucje i firmy, po to, by wyłudzić wrażliwe dane użytkowników), ponad 2,5 mln klientów było celem cyberataków. Takie dane zawiera raport CERT Orange Polska. Wszystkie ataki udało się udaremnić.

– Firmy, których pracownicy musieli przenieść swoje stanowiska pracy do domów, muszą teraz zadbać o to, by każdy członek zespołu miał świadomość zagrożeń i wiedzę, która zapobiegnie ewentualnym atakom – wyjaśnia Emilia Marczuk z firmy UNISECO.

– W naszej firmie postawiliśmy na elastyczność, by udział w szkoleniach nie zakłócał cyklu działania firmy. Dlatego też w zakresie cyberbezpieczeństwa i ochrony danych nie realizujemy jednorazowych szkoleń, bo są mało skuteczne. Zamiast tego stosujemy formułę modułową i „nie przeszkadzamy w pracy”. Każda firma i instytucja może formatować cykl szkoleń do własnych potrzeb i elastycznie rozwijać o nowe i stale aktualizowane zagadnienia, które dostępne są w formie pojedynczych lekcji. To wiedza, którą powinien posiąść każdy pracownik, bo cyberbezpieczeństwo i ochrona danych zaczyna się od świadomości pojedynczego człowieka – dodaje Emilia Marczuk.

Akademia Bezpieczeństwa UNISECO to obecnie najbogatszy merytorycznie system szkoleń e-learningowych w Polsce w zakresie bezpieczeństwa IT oraz ochrony danych osobowych. W multimedialnych szkoleniach wzięło już udział blisko 300 tys. pracowników.

– Najważniejszym elementem przeciwdziałania zagrożeniom jest dziś odbudowywanie świadomości bezpieczeństwa – security awareness. Tego nie da się osiągnąć z dnia na dzień – mówi Piotr Błaszczeć ekspert ds. bezpieczeństwa informacji. – To jest proces, który musimy przejść w sytuacji, gdy z dnia na dzień wprowadzono w nasze życie zawodowe nowe dane wejściowe (związane z przymusem pracy zdalnej) i nakazano funkcjonować tak jak wcześniej mimo faktu, że zagrożeń jest wiele razy więcej.

W Polsce ponad 2,5 miliona osób pracuje w branżach, które dają możliwość wykonywania pracy w domu.

Dla hakerów jest to 2,5 miliona okazji.