Oszustwa komputerowe i szkodliwe oprogramowanie – to dwa najczęstsze rodzaje zagrożeń cyberbezpieczeństwa w tym roku – wskazuje CERT Polska, które monitoruje tego typu zagrożenia i incydenty na poziomie krajowym.
Od stycznia do połowy czerwca doszło do 9333 takich incydentów, z tego 7733, czyli ponad 80 proc., to oszustwa komputerowe, których celem padał handel hurtowy i detaliczny (ok. 2,8 tys. incydentów), a blisko 200 to próby i włamania – głównie do kont administracji publicznej.
Urzędnicy odnotowują najwięcej ataków poprzez szkodliwe oprogramowanie (było 68 takich zgłoszeń). Zresztą samych incydentów w podmiotach publicznych stwierdzono w tym roku aż 212.
Z 11 incydentów uznanych za poważne 9 było wymierzonych w bankowość, a po jednym w sektory energetyki i ochrony zdrowia. Z kolei obraźliwe i nielegalne treści ujawniono 148 razy – co piąty uderzał w administrację publiczną.
Słabszy pada szybciej
Dlaczego to sektor publiczny jest głównym celem cyberataków? Przemysław Krejza, dyrektor ds. badań i rozwoju w Laboratorium Informatyki Śledczej Mediarecovery, uważa, że to rezultat tego, jakie dane są w tym sektorze przetwarzane.
– Obecnie mamy do czynienia z przemysłem cyberataków. Uogólniając, nie sądzę więc, że kryje się za nimi jakiś konkretny kierunek – po prostu słabszy pada szybciej. Polskie podmioty są w tym zakresie mocno niedoinwestowane technologicznie i kadrowo, a nakłady na cyberedukację zatrudnionych tam pracowników są znikome lub żadne – tłumaczy Krejza.
Sądzi, że ataków jest o wiele więcej, niż wykazuje CERT. – Zgłasza się incydenty, które wystąpiły, a więc zaszyfrowane dyski czy zmiany treści na stronach. W tle są jeszcze zdarzenia, o których nie wiadomo – np. szkodliwe oprogramowanie, które „zostało zainstalowane", ale „czeka" na właściwą okazję – dodaje ekspert. I uważa, że edukacja musi być ciągła i przemyślana, a taka nie jest, co widać na każdym kroku.
– Od niedopuszczalnego stosowania prywatnych skrzynek mailowych do celów służbowych, aż po informacje, jakie osoby publiczne publikują na portalach społecznościowych, dzięki którym ataki socjotechniczne są o wiele łatwiejsze – dodaje ekspert.
Pokazuje to sprawa szefa Kancelarii Premiera Michała Dworczyka, któremu włamano się do prywatnej poczty, na jaką kierował też pocztę służbową. Treść maili upublicznia rosyjski komunikator Telegram.
Do sprawy zhakowania konta szefa KPRM odniósł się premier Mateusz Morawiecki. – To jest nowe oblicze współczesnej wojny – wskazał w poniedziałek, dodając, że atak jest kierowany najprawdopodobniej „zza naszej wschodniej granicy, na co wskazują rusycyzmy, które pojawiają się w sfabrykowanych wpisach na Facebooku i w mailach". – To lekcja, którą cała polska klasa polityczna powinna wziąć sobie do serca, i sprawdzić używane zabezpieczenia – mówił.
Jaki był powód akurat tego ataku? Zdaniem dr Pauliny Piaseckiej, dyrektor Centrum Badań nad Terroryzmem Collegium Civitas, „zakładając, że włamanie, o którym mówimy, rozpatrywać można w kontekście walki informacyjnej oraz ekspansywnej polityki naszych wschodnich sąsiadów, na przykład Federacji Rosyjskiej czy Białorusi, można brać pod uwagę kilka powodów".
Podważenie zaufania
– Kompromitacja wysokiego szczebla polityka, podważenie zaufania społecznego do skuteczności działań w zakresie kontrwywiadowczym i bezpieczeństwa informacyjnego prowadzonych przez polskie służby, podważenie zaufania partnerów międzynarodowych do profesjonalizmu polskich instytucji, organów i służb, z którymi współpracują, to tylko niektóre z nich – wylicza dr Piasecka.
Eksperci uważają, że ataki będą się nasilać. – Musimy inwestować w monitoring bezpieczeństwa i mieć przygotowane plany działania na wypadek incydentu. Dzięki temu reagujemy natychmiast i powstrzymujemy „przeciwnika", zanim nam coś ukradnie lub popsuje – mówi Krejza.
Kolejny krok to inwestycja w technologie bezpieczeństwa (systemy SIEM, SOAR) i specjalistów (zespoły SOC). – Do tego należy położyć nacisk na ustawiczną edukację pracowników w zakresie nie tylko tego, czego nie klikać, ale jak się w sieci zachowywać i komu należy zgłosić problem, bo w wielu organizacjach i podmiotach publicznych nawet tego pracownicy nie wiedzą – mówi dyr. Krejza.
Poseł PiS Arkadiusz Czartoryski, którego konto kilka miesięcy temu zhakowano, wyciągnął wnioski z tej lekcji.
– Tamtą skrzynkę zlikwidowałem, a maile przerzuciłem do nowo założonej, która jest poufna i dobrze zabezpieczona za podpowiedzią służb, już na zupełnie innym portalu – mówi nam poseł Czartoryski. Nie potrafi jednak zlikwidować profilu na Facebooku, bo portal nie odpowiada.
