Jak skutecznie ochronić firmę przed cyberprzestępcami

W atakach na firmowe systemy są dziś wykorzystywane coraz bardziej wyrafinowane metody. Skalę zagrożeń ujawnia najnowszy raport CERT Orange Polska.

Publikacja: 25.05.2025 21:59

Dziś antywirus i firewall to już za mało – konieczne jest kompleksowe podejście do ochrony firmy przed cyberprzestępczością

Foto: Adobestock

rp.pl

Materiał powstał we współpracy z Orange

Phishing, ataki DDoS i złośliwe oprogramowanie to stali bywalcy raportów dotyczących zagrożeń w sieci. Od lat są najczęściej wykorzystywanymi przez cyberprzestępców metodami, ale to nie znaczy, że sposób ich działania się nie zmienia.

– Metody działania przestępców z każdym rokiem są coraz bardziej złożone i profesjonalne – podkreśla Robert Grabowski, szef CERT Orange Polska. Nowy raport przygotowany przez ten zespół pokazuje skalę i głębokość zagrożenia, przed jakim stoi dziś także biznes.

Na celowniku znajdują się przede wszystkim dane; kradzież danych i późniejsze zarabianie na nich to główny motyw współczesnych ataków. Cyberprzestępcy dziś dzielą się zadaniami jak w dobrze zorganizowanej firmie. Są grupy wyspecjalizowane w przełamywaniu zabezpieczeń i zdobywaniu dostępu do infrastruktury, często przez tzw. urządzenia brzegowe, na przykład kamery IP, routery czy lokalne serwery NAS. Są takie, które zajmują się eksfiltracją danych, czyli wyciąganiem ich z systemów. Inne analizują zdobyte informacje i prowadzą negocjacje. Całość składa się na łańcuch ataku, który coraz częściej przypomina model biznesowy, a nie chaotyczne działanie hakera amatora.

Potrójny szantaż

Jednym z najbardziej niebezpiecznych zjawisk ostatnich lat jest tak zwane ransomware nowej generacji. Kiedyś polegało na tym, że przestępcy szyfrowali dane firmy i żądali okupu za ich odszyfrowanie. Teraz to jest dopiero pierwszy etap szantażu.

– Coraz częściej stosowane są mechanizmy podwójnego lub nawet potrójnego nacisku, tzw. double i triple extortion – wyjaśnia Robert Grabowski. Najpierw dane są kradzione, potem firma straszona jest ich publikacją, a na koniec dochodzi szantaż klientów, albo paraliżujący atak DDoS.

W ten sposób wywiera się presję, która ma wymusić zapłatę: w panice, bez analizy ryzyka, bez konsultacji z ekspertami. Jeszcze groźniejszy jest nowy trend: re-extortion, czyli wykorzystywanie danych z poprzednich wycieków do kolejnych prób wymuszenia pieniędzy.

Aplikacje na celowniku

Niepokoi wzrost intensywności i wyrafinowania ataków DDoS, tych, które polegają na zalewaniu serwera lub sieci ogromnym ruchem, by uniemożliwić jej działanie.

– Od końca 2023 roku obserwujemy wzrost liczby ataków typu carpet bombing. To ataki na całe podsieci, a nie tylko pojedyncze adresy IP – tłumaczy Grabowski. Statystyki są jednoznaczne: średnia wielkość takiego ataku zaobserwowana w sieci Orange Polska wzrosła ponaddwukrotnie – z 3,2 do 7,2 Gb/s, a rekordowy atak sięgnął natężenia 586 Gb/s. Jak dodaje ekspert: – O dotkliwości ataku coraz częściej decyduje nie sama siła, ale format i treść pakietów czy zapytań. Czasem chodzi o to, by uderzyć nie w infrastrukturę, ale w konkretne aplikacje, które są kluczowe dla działania firmy.

– Nasze dane i przewidywania zawarte w ostatnim raporcie znalazły ostatnio potwierdzenie. W maju doszło do rekordowego ataku o sile 1,3 Tb/s – został odparty bez zauważalnego wpływu zarówno na usługi klienta, jak i na naszą sieć. Ważny wpływ miało oczywiście przygotowanie do tego typu ataków zawczasu – pod względem infrastrukturalnym, procedur obsługi oraz komunikacji w czasie trwania DDoS – mówi Robert Grabowski.

Kolejnym niebezpiecznym zjawiskiem są ataki na łańcuchy dostaw. Nie chodzi już o próby złamania bezpośrednio zabezpieczeń dużych firm. Cyberprzestępcy częściej włamują się do mniejszych, gorzej chronionych podmiotów: dostawców, podwykonawców, partnerów biznesowych, a przez ich systemy przedostają się dalej.

– Dlatego dziś monitorowanie własnych systemów to za mało. Konieczne są regularne audyty bezpieczeństwa również u kontrahentów – przekonuje ekspert z CERT Orange Polska. To samo dotyczy rozwiązań chmurowych; popularnych, elastycznych, ale nie zawsze odpowiednio zabezpieczonych.

Coraz częściej w centrum uwagi ekspertów znajdują się też urządzenia brzegowe, czyli routery, modemy, kamery czy wspomniane serwery NAS. Działają one zwykle poza centralnym nadzorem i bywają słabym punktem w całej infrastrukturze. Po ich przejęciu mogą stać się częścią tzw. botnetu, to znaczy sieci zainfekowanych urządzeń wykorzystywanych do przeprowadzania ataków na globalną skalę.

Szczególnego znaczenia nabiera dziś też ochrona infrastruktury przemysłowej i krytycznej. Mowa o systemach Operational Technology (OT), które różnią się od klasycznego IT. Odpowiadają za sterowanie procesami fizycznymi, np. w elektrowniach, oczyszczalniach, fabrykach, stacjach kolejowych. Ponieważ nie chodzi już tylko o zagrożenie związane z utratą danych, bo ma ono też wpływ na życie ludzi: to są przerwy w dostawie prądu, zakłócenia w transporcie, brak wody.

– Bezpieczeństwo systemów IT i OT różni się fundamentalnie. IT skupia się priorytetowo na przetwarzaniu danych, OT – na ciągłości działania. Ale obie sfery łączy m.in. człowiek – zaznacza Piotr Markowicz, dyrektor strategii i rozwoju ICT w Orange Polska. Dlatego coraz częściej mówi się o konwergencji IT i OT – wspólnej strategii, wspólnych procesach i narzędziach, wspólnej odpowiedzialności.

Potrzebny rozsądek oraz wiedza

Dziś Orange Polska rozwija ofertę, która obejmuje oba te światy. Firmy mogą korzystać z przeglądów bezpieczeństwa, systemów IDS do wykrywania ataków w sieciach przemysłowych, a także z Security Operations Center dla OT. Z kolei usługa Orange Internet Protection zatrzymuje niebezpieczny ruch po stronie operatora infrastruktury, zanim dotrze on do serwerów klienta. – Zarządzany UTM (ang. Unified Threat Management) to kolejne rozwiązanie, które zabezpiecza przed zagrożeniami z sieci, ale także chroni dane przekazywane między oddziałami firmy i kontroluje dostęp do kluczowych zasobów – wyjaśnia Piotr Markowicz.

Nawet najbardziej zaawansowane systemy nie zastąpią jednak zdrowego rozsądku i podstawowej wiedzy. – Często to człowiek jest najsłabszym ogniwem w bezpieczeństwie, my dbamy o to, by był najsilniejszym – mówi Markowicz. Dlatego Orange stworzył Centrum Doświadczeń Cyberbezpieczeństwa; jest to miejsce, w którym można przeżyć symulowany cyberatak, zrozumieć jego przebieg i zobaczyć, jak wygląda reakcja zespołu w czasie rzeczywistym. Nie jest to zwykła prezentacja czy szkolenie, bo chodzi o praktyczne doświadczenie, które zostaje w głowie na długo. – Firmy, które padły ofiarą ataku, natychmiast inwestują w bezpieczeństwo. Ale często dopiero po szkodzie. My chcemy zapobiegać, a nie tylko leczyć – dodaje Markowicz.

Centrum Doświadczeń Cyberbezpieczeństwa działa na bazie gry zespołowej, w której uczestnicy wcielają się w różne role, od prezesa po architekta IT, i wspólnie muszą podjąć decyzje w obliczu zagrożenia. Te ćwiczenia reagowania są okazją do tego, żeby zrozumieć, jak różne perspektywy i interesy wpływają na decyzje. – Gra pokazuje, jak czerpać korzyści z długoterminowej strategii cyberbezpieczeństwa. Budowanie bezpieczniejszego społeczeństwa cyfrowego nie odbywa się w pojedynkę. Wymaga wysiłku zespołowego – podkreśla Markowicz.

Wnioski z raportu CERT Orange Polska jasno wskazują, że dziś antywirus i firewall to już za mało. Ważne i wręcz konieczne jest kompleksowe podejście: zabezpieczenie dostępu do danych i systemów, ochrona procesów krytycznych, monitorowanie dostawców, edukacja pracowników, wdrażanie bezpiecznych technologii, w tym również tych opartych na sztucznej inteligencji, oraz regularne aktualizacje. Eksperci podkreślają, że cyberprzestępcy nie śpią. A biznes nie może reagować po szkodzie. Spokojnie patrzeć w przyszłość będą te firmy, które podejmą właściwe działania i nie dadzą się zaskoczyć, gdy nadejdzie prawdziwy test.

Materiał powstał we współpracy z Orange