Szum informacyjny, problemy finansowe oraz strach przed zakażeniem to okoliczności wykorzystywane przez cyberprzestępców, którzy w czasie pandemii stali się szczególnie aktywni. Cyberprzestępstwa, niegdyś motywowane chęcią wykazania się lub ideologią, obecnie bardzo często popełniane są z powodów wyłącznie ekonomicznych, a działalność w tym obszarze stała się modelem biznesowym, zgodnie z zasadą "jeżeli jest nowa okoliczność, na której można się wzbogacić, znajdą się ludzie, którzy to wykorzystają". W związku z aktualną sytuacją osoby, firmy oraz instytucje powinny wdrażać środki minimalizujące rosnące ryzyko wystąpienia cyberataków, które dotykają i będą dotykać ich w przeróżnych aspektach. Sprawna adaptacja do obecnych warunków jest niezbędna. Przestępcy działają szybko, stosując coraz bardziej wyszukane metody.

O jakich cybezagrożeniach słyszymy obecnie najczęściej?

Jedną z najbardziej zuchwałych prób cyberoszustw czasu pandemii jest przypadek, do którego doszło w Indiach na początku kwietnia br., kiedy to próbowano sprzedać w sieci największy pomnik na świecie (182 m) - Statuę Jedności, przedstawiającą Sardara Vallabhbhai'a Patela, jednego z ojców niepodległych Indii. Pomnik został wyceniony przez oszusta na „jedyne" 4 miliardy USD. Pieniądze miały być przez niego rzekomo przekazane rządowi indyjskiemu na pomoc w walce z pandemią COVID-19.

Czytaj także: Sztuczna inteligencja - jakie rodzi wyzwania prawne

Obecna kryzysowa sytuacja powoduje, że wiele grup cyberprzestępczych postanowiło opracować dedykowane kampanie, a więc ataki uderzające jednocześnie w większe grono osób czy firm. W takich kampaniach jednorazowe łupy nie są tak imponujące, jak w przypadku próby sprzedaży wspomnianego pomnika, jednak ich skala jest ogromna. Należy pamiętać, iż kryzys związany z COVID-19 dotyka wszystkich – (1) pojedyncze osoby, które boją się utraty pracy, zakażenia; (2) małe i średnie firmy, które próbują przetrwać zastój gospodarczy; (3) duże oraz globalne firmy, a także (4) instytucje, które realizują wiele planów naprawczych, mających na celu utrzymanie statusu sprzed epidemii, jak również (5) całe państwa oraz organizacje międzynarodowe, które podejmują działania w celu ograniczania skutków zaistniałej sytuacji – w wymiarze zdrowotnym, społecznym, jak i gospodarczym. Wszystkie te osoby czy podmioty mogą potencjalnie stać się celem mniej lub bardziej zorganizowanych cyberataków.

Duża liczba popełnianych obecnie cyberprzestępstw ma związek z COVID-19. Domeny z motywem koronawirusa są potencjalnie 50% częściej złośliwe, a więc występuje dużo większe prawdopodobieństwo, iż przeglądając lub wchodząc na strony o tematyce COVID-19 trafimy na stronę nieoficjalną, stworzoną na potrzeby działań cyberprzestępczych. Popełnianie przestępstw w sieci ułatwia przeniesiony do internetu model pracy, nauczania oraz świadczenia usług.

Poza "internetyzacją" pracy i życia, czynników sprzyjających cyberprzestepczości w trakcie pandemii jest wiele. Część prób wyłudzeń (czy to bezpośrednio pieniędzy, czy danych osobowych) bazuje na strachu przed samym wirusem – widzimy zatem ataki ukierunkowane np. na pojedynczych obywateli, nakłanianych do wzięciu udziału w darmowych lub niedrogich badaniach na występowanie COVID-19. Inne działania mogą uderzać zarówno w pojedyncze osoby, jak i przedsiębiorców. Chodzi tu o podszywanie się pod urzędy lub instytucje finansowe, które mają świadczyć wsparcie w zakresie dofinansowania w czasie kryzysu na korzystnych warunkach, wsparcie prawne, ograniczenie opłat (podatków) etc. Ten wątek jest coraz szerzej wykorzystywany.

Należy również pamiętać o firmach globalnych oraz całych państwach, które są pod stałą obserwacją grup tzw. "state sponsored" (sponsorowanych przez państwa) lub bezpośrednią konkurencję. Są to często tzw. Grupy APT (Advanced Persistent Threat), określane przez specjalistów od cyberbezpieczeństwa również jako "grupy zaawansowane", które swoje działania kierunkują na konkretne podmioty, wykorzystując przy tym rozbudowane metody ataków, pozwalające wejść do środka infrastruktury i pozostać jak najdłużej niezauważonymi. Grupy te wykorzystują bieżącą sytuację do realizacji kampanii dedykowanych konkretnym celom, jak globalne firmy, instytucje rządowe. Coraz więcej firm zajmujących się profesjonalnie tzw. cyberwywiadem ("Threat Intelligence") i moniotorowaniem tego typu organizacji przestępczych wydaje opracowania oraz raporty, pokazujące ich zmienione modus operandi w tych szczególnych warunkach. Z technicznego punktu widzenia nic się nie zmienia, metody pozostają podobne do tych stosowanych przed pandemią, jednak przestępcy wykorzystują teraz częściej czynnik ludzki, czyli pracowników firm i instytucji, którzy są tak samo podatni na psychologiczne manipulacje, jak wszyscy inni ludzie.

Najczęściej słyszymy o cyberatakach zwanych „phishingiem". Jest to podszywanie się pod inną osobę lub organizację przy wykorzystywaniu najczęściej fałszywego adresu e-mail czy też strony internetowej. Celem działania sprawców jest w tym wypadku nakłonienie atakowanego podmiotu do określonego zachowania, które może polegać m.in. na przekazaniu osobie nieuprawnionej danych osoby atakowanej (np. danych karty kredytowej), uregulowaniu fikcyjnych zobowiązań lub też przekazaniu środków finansowych na rzekomo charytatywny cel, np. pomoc medykom lub osobom zakażonym.

Przestępcy podszywają się pod różne organizacje non-profit, ale nie tylko. Ostatnio głośna była sprawa podrobienia przez oszustów strony amerykańskiego Białego Domu, dotyczącej tematyki COVID-19. Kliknięcie przez nieświadomego użytkownika w link fałszywej strony uruchamiało całą akcję „phishingową". Wyłudzanie informacji w ten sposób zyskało już nawet swoją nieoficjalną nazwę, a mianowicie „coronaphish". Na polskim rynku również dochodziło do działań polegających na podszywaniu się pod urzędników np. jednostek lokalnego samorządu czy organów administracji centralnej, z wykorzystaniem motywu przeciwdziałania pandemii COVID-19.

W ramach działań phishingowych, poza podszyciem się pod inną osobę lub instytucję, możemy również otrzymać złośliwe oprogramowanie w formie np. załącznika do emaila lub linka w treści wiadomości, który odeśle nas bezpośrednio do miejsca w Internecie, z którego ma nastąpić pobranie takiego pliku. Nieświadoma instalacja oprogramowania pochodzącego z takiego pliku może doprowadzić do różnych niebezpiecznych następstw, od zdalnego przejęcia kontroli nad urządzeniem, zbierania danych z urządzenia, próby uzyskania wyższych uprawnień, a co za tym idzie – np. ingerencji w sieć wewnętrzną firmy czy instytucji. Grupy cyberprzestępcze (wspomniane wcześniej APT) zaczęły stosować (często wcześniej wykorzystywane) złośliwe pliki już na samym początku globalnej pandemii. Za tymi atakami stoją grupy, które od wielu lat znane są badaczom z zakresu cyberbezpieczeństwa i są odpowiedzialne m.in. za wypuszczenie na rynek takiego złośliwego oprogramowania jak Dridex, Ryuk czy TrickBot. Wsród aktywnych grup APT wykorzystujących COVID-19 można wymienić m.in. Vicious Panda, Mustang Panda, Kimsuky, APT36 czy Hades group.

Należy również zaznaczyć, że złośliwe oprogramowanie jest tworzone nie tylko pod kątem komputerów, lecz również urządzeń mobilnych. Dla przykładu, pod urządzenia z systemem Android cyberprzestępcy opracowali takie aplikacje z pandemicznym motywem, jak: CovidLock (aplikacja teoretycznie śledząca rozwój epidemii na świecie, zawierająca złośliwe funkcjonalności), Cerberus Android (bankowy koń trojański) czy Covid Android Ransomware.

Ten ostatni to przejaw kolejnego występującego obecnie z dużą częstotliwością ataku typu "ransomware". Polega on na zainstalowaniu na urządzeniu osoby atakowanej szkodliwego oprogramowania, które blokuje użytkownikowi dostęp i szyfruje zawarte w nim dane, a za odblokowanie dostępu przestępca żąda zapłaty okupu. Odmianą tego typu ataków jest tzw. Raas, czy „ransomware as a service". Są to ataki na masową skalę, przeprowadzane przez zorganizowane grupy przestępcze na konkretne zlecenia. Z atakiem takim, zorganizowanym przez grupę cyberprzestępczą Maze Ransomware, miał w ostatnim czasie do czynienia brytyjski ośrodek medyczny Hammersmith Medicines Research, który pracuje nad szczepionką przeciwko koronawirusowi, a członkowie grupy zamierzali zapewne przywłaszczyć sobie wyniki prac ośrodka.

Zainfekowanie urządzeń złośliwym oprogramowaniem następuje z reguły w wyniku błędu człowieka. Ludzie są niestety najsłabszym elementem modelu cyberbezpieczeństwa każdej firmy i instytucji. Cyberprzestępcy ubierają więc narzędzia wykorzystywane przez siebie do cyberataków w formy atrakcyjne czy relewantne dla przeciętnych użytkowników Internetu, np. aplikacja do weryfikacji liczby zakażeń COVID-19 lub weryfikacji objawów zakażenia. Należy również dodać, że w związku z zamrożeniem szeregu gałęzi gospodarki wiele podmiotów przeniosło swoją działalność do Internetu – często w sposób bardzo szybki, bez analizy ryzyka i zastosowania odpowiednich środków bezpieczeństwa. W efekcie są one potencjalnie dużo łatwiejszym celem dla przestępców – zarówno jako użytkownicy technologii, jak i podmioty wykorzystujące technologię do realizowania (często nowych) działań biznesowych.

Co z danymi osobowymi w sieci?

Przeniesienie pracy, nauki i świadczenia usług do sieci naraża także nasze dane osobowe na niebezpieczeństwo. Nienależyte zabezpieczenie urządzeń i kanałów, za pośrednictwem których dokonujemy czynności online, skutkuje najczęściej niekontrolowanym wyciekiem danych, które użyte mogą być następnie w celach przestępczych. Rodzi to dodatkowo odpowiedzialność na gruncie RODO po stronie administratora bazy danych osobowych, który nie zabezpieczył jej w należyty sposób.

Do ostatniego głośnego wycieku doszło na Politechnice Warszawskiej. Plik SQL z wrażliwymi danymi (w tym PESEL, NIP, hasze haseł, itd.) ponad 5 tys. studentów z ponad 12 lat znalazł się nagle w sieci. Wyciek nastąpił z programu używanego m.in. do kształcenia na odległość. Jak bardzo negatywne konsekwencje dla studentów może przynieść ta sytuacja w przyszłości, pokazuje chociażby inny świeży przykład, a mianowicie kradzież danych z bazy Krajowej Szkoły Sądownictwa i Prokuratury w lutym br. Stowarzyszenie Sędziów Polskich Iustitia poinformowało niedawno w swoich mediach społecznościowych, że doszło już do pierwszych oszustw, do których sprawca wykorzystał dane wykradzione z tej bazy. Policja przyznaje zaś, że to dopiero początek. Do obu wycieków prawdopodobnie by nie doszło, gdyby bazy danych chronione były w należyty sposób. Przykład kradzież bazy danych z Krajowej Szkoły Sądownictwa i Prokuratury dowodzi dodatkowo, że celem ataku może byc każda instytucja, nawet tak blisko związana z wymiarem sprawiedliwości.

Jak minimalizować ryzyko naruszenia cyberbezpieczeństwa w trakcie pracy zdalnej?

W pierwszej kolejności warto zwrócić się bezpośrednio w kierunku oficjalnych rekomendacji wydawanych przez urzędy i agencje, których przedmiotem działalnosci jest cyberbezpieczeństwo. W marcu 2020 r. wytyczne w tym zakresie opublikowała m.in. Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) w publikacji: „Security for Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Solutions". ENISA wskazuje m.in. na konieczność:

1. korzystania z VPN (wirtualna sieć prywatna), który jest skalowalny i obsługuje dużą liczbę połączeń, w tym udostępnianie aplikacji biznesowych za pośrednictwem szyfrowanych kanałów;

2. zapewnienie bezpiecznych videokonferencji dla klientów (PIN, hasło);

3. wieloskładnikowe i wzajemne uwierzytelnienie w przypadku dostępu do systemów komputerowych;

4. udostępnianie pracownikom służbowych urządzeń z aktualnym oprogramowaniem systemowym i antywirusowym, a w przypadku braku sprzętu służbowego - sprawdzanie (w miarę możliwości) bezpieczeństwa prywatnych urządzeń pracowników;

5. zapewnienie zgodności przetwarzania danych osobowych z przepisami unijnymi;

6. zapewnienie odpowiednich procedur reagowania na incydenty naruszające bezpieczeństwa danych osobowych i informacji.

Powyższe zalecenia nie są uniwersalne dla wszystkich rodzajów działalności, jednak powinny być kierunkowskazem wyznaczającym (w sposób bardzo ogólny) drogę, jaką należy obrać w czasach COVID-19 w trosce o bezpieczeństwo danych osobowych i informacji. Wagę cyberbezpieczeństwa w aktualnej sytuacji uwypukla fakt, że pomimo spowolnienia gospodarczego, a tym samym niepewnej sytuacji w obszarze zatrudnienia, rynek pracy w branży cyberbezpieczeństwa jest jednym z nielicznych, w którym momentami można zauważyć nie tylko nie malejącą, ale wręcz rosnącą dynamikę. Wynika to głównie z faktu, że przy stosowanym obecnie przez wiele firm modelu pracy zdalnej, pracodawca musi sprawować jak najszerszą kontrolę nad bezpieczeństwem pracowników i podejmowanych przez nich działań. Aby sprostać poszerzającemu się zakresowi kontroli, niezbędne są większe zasoby kadrowe o wysoko wyspecjalizowanych kwalifikacjach z różnych dziedzin (m.in. wykrywania zagrożeń, odpowiedzi na incydenty, sprawdzania skuteczności zabezpieczeń, itd.). W zależności od wielkości organizacji oraz charakteru jej działalności należy rozważyć rozbudowę systemów monitorowania, prowadzenie ciągłej analizy ryzyka i zagrożeń, jak również prowadzić wzmożone testy bezpieczeństwa. Te ostatnie można przeprowadzać na różny sposób. Jedną z metod, która symuluje w sposób rzeczywisty potencjalne ataki cyberprzestępców, jest tzw. "Red Teaming", po który firmy sięgają coraz częściej. Są to działania prowadzone przez zespoły (zewnętrzne lub budowane wewnątrz firmy), które pomagają organizacjom doskonalić zabezpieczenia przez odwzorowanie potencjalnych scenariuszy ataków, które mogą nastąpić i zostać wykorzystane przez prawdziwe grupy cyberprzestępcze.

Waga budowania świadomości członków organizacji

Najsłabszym elementem w modelu cyberbezpieczeństwa jest człowiek. Aby zatem model cyberbezpieczeństwa w organizacji był skuteczny, należy w pierwszej kolejności zadbać o odpowiednią edukację pracowników, a także spójną komunikację wewnętrzną.

Działania te powinny obejmować w szczególności:

1. edukowanie pracowników w dziedzinie podstawowych obowiązków prawnych związanych z przetwarzaniem danych osobowych i tajemnic przedsiębiorstwa;

2. szkolenie pracowników w zakresie bezpiecznych sposobów korzystania ze sprzętu i oprogramowania powierzonych im przez pracodawcę, a także w przypadku pracy na własnym sprzęcie;

3. uczulanie pracowników na sposoby obchodzenia się z danymi, w szczególności ich przekazywania, w tym szyfrowanie oraz uwierzytelnianie;

4. ustalenie odpowiedniej procedury reagowania na incydenty i konsekwentne stosowanie ich w praktyce, a także wdrożenie planu kontynuacji działalności po wystąpieniu incydentu;

5. zarządzanie tożsamością użytkowników (tj. poziomem dostępu do poszczególnych usług, rozliczalnością działań oraz po prostu kontami w systemie, w którym pracuje dana organizacja) i ich dostępem do danych informacji;

6. realizacja dedykowanej wewnątrzfirmowej kampanii informacyjnej, gdzie przekazane zostaną informacje odnoszące się do zagrożeń z zakresu cyberbezpieczeństwa w czasie epidemii COVID-19 - tego typu działania, mające odniesienie do realnych i namacalnych przykładów, potrafią mieć znacząco większy wpływ na świadomość pracowników, aniżeli kampanie o charakterze ogólnym.

Czy jesteśmy na to gotowi?

Żadna firma nie może stwierdzić z całą pewnością, że jest w pełni gotowa na cyberataki, ponieważ osiągnięcie takiego stanu nie jest możliwe, choćby z uwagi na szybki postęp technologiczny dostarczający przestępcom nowych narzędzi, czy też na dużą kreatywność atakujących.

Możliwe jest natomiast wzmacnianie zabezpieczeń w oparciu o dotychczasowe doświadczenia i nowe technologie. Nie ulega wątpliwości, że istotnym elementem jest współpraca sektora publicznego i prywatnego. Wyzwania takie jak obecna pandemia, mogą wpłynąć na zwiększenie aktywności w tym zakresie. I nie mówimy tu jedynie o postulowanych od jakiegoś czasu przez firmy technologiczne zmianach w prawie podatkowym, polegających na kwalifikowaniu wydatków na cyberbezpieczeństwo jako wydatków na innowacje, co wiązałoby się z odpisami od podatku CIT oraz rozszerzeniem stosowania ulgi na działalność badawczo-rozwojową zmniejszającą podatek dochodowy.

Przykładem efektów współpracy tych dwóch sektorów może być opublikowane w dniu 23 marca 2020 r. na stronach Urzędu Komunikacji Elektronicznej porozumienie Prezesa Urzędu z Ministrem Cyfryzacji, NASK oraz operatorów telefonii komórkowej dotyczące współpracy w zakresie szczególnej ochrony użytkowników Internetu przed stronami wyłudzającymi dane, w tym dane osobowe, w okresie stanów nadzwyczajnych, m.in. w warunkach pandemii. Porozumienie jest podstawą do wspólnego działania ww. podmiotów w celu stworzenia i sprawnego prowadzenia listy ostrzeżeń dotyczących domen internetowych wykorzystywanych do wyłudzania danych i środków finansowych abonentów. Rejestr ma być stworzony przez NASK i stanowić uzupełnienie dotychczasowych działań UKE ukierunkowanych na zapobieganie oszustwom.

Podsumowując powyższe, wydaje się zatem, że o ile przed pandemią COVID-19 mogły funkcjonować jeszcze organizacje, które nie przykładały dużej wagi do kwestii związanych z cyberbezpieczeństwem, to obecna sytuacja wymusiła na nich zapewne rewizję dotychczasowego podejścia. Pandemia i spowodowane nią zmiany w systemie pracy i świadczeniu usług wpłyną na pewno znacząco na rozwój świadomości użytkowników systemów informatycznych, a także narzędzi służących do zapewnienia bezpieczeństwa w cyberprzestrzeni.

- Piotr Borkowski, Dyrektor ds. Operacji Red Team oraz Testów Cyberbezpieczeństwa, Standard Chartered

- Magdalena Bartosiewicz, Radca prawny, specjalista prawa karnego i compliance w Eversheds Sutherland Wierzbowski