W pandemii nastąpił wzrost cyberataków? Na czym polegają i kogo przede wszystkim dotykają?
Pandemia przyniosła ze sobą zagrożenie nie tylko dla bezpieczeństwa zdrowotnego w dotkniętych ją krajach, ale także dla bezpieczeństwa ich mieszkańców w innych obszarach. Szczególnie podatni staliśmy się na zagrożenia dla bezpieczeństwa informacyjnego. Chroniąc bezpieczeństwo fizyczne, przenieśliśmy wiele swoich aktywności do sieci – od aktywności zawodowej, poprzez zakupy, aż po indywidulaną komunikację. Znaczna część wykrywanych ataków związana jest zatem nie tylko z rosnącą „kreatywnością” przestępców – ale i ze wzrostem okazji do popełniania takich czynów. I mówimy tu zarówno o wykorzystywaniu złośliwego oprogramowania w celu przejmowania danych, tworzenia sytuacji okupowych (ransomware), czy wreszcie o atakach socjotechnicznych, wykorzystujących strach i niepewność, a zatem intensywne emocje do skłaniania osób do klikania w niebezpieczne linki. A przecież to tylko nieliczne przykłady możliwych działań w sieci.
Ile pieniędzy stracili Polacy w związku z cyberatakami? Czy można to policzyć? Jest instytucja, która zna odpowiedź na to pytanie?
Trudno mi podać dokładne dane dla Polski – można jednak ocenić skalę zagrożenia ogólnie. Już w ciągu pierwszego miesiąca od rozpoczęcia pandemii Światowa Organizacja Zdrowia alarmowała, że liczba cyberataków wzrosła pięciokrotnie. Zgodnie z danymi podawanymi przez FBI, w 2020 roku liczba otrzymanych skarg wzrosła o 69 procent, a zgłoszone straty sięgały rekordowych 4,2 mld dolarów. Na dodatek nie można zapominać, że to tylko szacunki – nie wszystkie ofiary takich przestępstw zgłaszają ich popełnienie, nie każda firma chce się chwalić, że stanęła przed koniecznością zapłacenia przestępcom okupu za odzyskanie dostępu do swoich danych.
Kilka dni temu wyciekły dane ponad 20 tysięcy polskich funkcjonariuszy publicznych, w tym policjantów, również z CBŚ, pracowników SOP, Administracji Skarbówek, Straży Granicznej, Pożarnej, Miejskiej a nawet ze Służby Więziennej. Chodzi o takie wrażliwe dane jak numery PESEL, numery dowodów tożsamości, adresy, emaile prywatne i służbowe. Zawinił pracownik Rządowego Centrum Bezpieczeństwa. Na czym polega tu niebezpieczeństwo wycieku danych i jakie de facto zagrożenie powstało?
Chyba najlepszym początkiem odpowiedzi na to pytanie będzie informacja o tym, że – jak podaje rzecznik KGP - Komendant Główny Policji podjął decyzję, aby ze środków budżetowych Policji zostały wykupione kody alertu BIK dla wszystkich policjantów, których dane znajdują się na liście. A pieniądze to tylko początek. Dla funkcjonariuszy służb stojących na straży bezpieczeństwa i porządku publicznego zagrożeniem zupełnie „namacalnym” może stać się uzyskanie dostępu do ich danych przez ściganych przez nich obecnie lub w przeszłości przestępców.
Nie pierwszy raz słyszymy o danych, które wyciekły i stały się publiczne. Czy dane z mediów społecznościowych wyciekają dziś najczęściej?
Nie można chyba ograniczać tego zagadnienia jedynie do mediów społecznościowych. Fakt, ostatni wyciek danych, który niewątpliwie przyciągnął naszą uwagę dotyczył Facebooka (dane ok. 500 mln kont, z tego 2,7 mln z Polski), ale wśród największych tego rodzajów wskazać można także te związane z siecią Marriott, chińską platformą mikroblogową Sina Weibo, czy serwisem LinkedIn. To, co robi wrażenie ostatnimi czasy, to skala ujawnianych danych – warto sprawdzać, czy i nasze dane nie znalazły się w którymś z nich. Można w tym celu użyć na przykład serwisu HaveIBeenPwned.com, którego autor stale gromadzi i aktualizuje informacje o zagrożonych danych.
Komu są potrzebne nasze dane z Facebooka czy Twittera i co można z nimi robić?
Sporo zależy od tego, kim „my” jesteśmy. Zagrożenia obejmować mogą bowiem szeroki wachlarz scenariuszy – od skutecznego podszywania się pod osoby opiniotwórcze, co może tworzyć poważne zagrożenia dezinformacyjne i manipulacyjne, aż po wykorzystanie technik mikrotargetowania. Co się może stać i jaka jest skala ryzyk wynikających z detalicznego profilowania użytkowników społecznościowych dobrze pokazały wybory w USA w 2016, kiedy to dzięki danym na temat użytkowników serwisu możliwe było przeprowadzenie zindywizualizowanej kampanii, która miała wpłynąć na wyniki wyborów. W skali indywidualnej – zdumiewająco często użytkowcy takich serwisów, mimo kampanii informacyjnych i świadomościowych, używają tego samego zestawu danych do logowanie (adres e-mail i hasło) w innych serwisach, w których mogą być przechowywane informacje krytyczne w punktu widzenia ich bezpieczeństwa, także finansowego.
Na jakiego rodzaju cyberataki jesteśmy narażeni?
Myślę, że „przeciętny obywatel” najszybciej padnie ofiarą phishingu, czyli kradzieży danych. Przejęcie naszych danych za pomocą zawirusowania komputera, skłonienia nas do wejścia na „podrobioną” stronę czy wypełnienia danych w dobrze skonstruowanym, wyglądającym na wiarygodny formularzu to niestety niezwykle częste przypadki.
Co więcej – nadal padamy często ofiarą ataku czysto socjotechnicznych, często przeniesionych do sieci wprost z materialnego świata. Oszustwa „na wnuczka”, „na policjanta”, czy wreszcie na „zakochanego amerykańskiego żołnierza”, który właśnie wrócił z niebezpiecznej misji i przywiózł ze sobą niezmierzone bogactwa, którymi chce się z nami podzielić, to odpowiedź na nasze lęki i nadzieje – czyli na to, na co najłatwiej człowieka, istotę uzależnioną od emocji, złapać.
Czy prawdą jest, że nasze telefony nas podsłuchują? Rozmawiam z koleżanką o meblach do kuchni, potem otwieram komputer, wchodzę na Facebooka i pojawiają się reklamy mebli do kuchni. Jak oni to robią?
Zdania są… podzielone. Część wielkich korporacji, jak Google, przyznaje się do próbkowania dźwięków w tle, uzasadniając to działaniami analitycznymi i rozwijaniem usług językowych. Część stanowczo zaprzecza. Właściwie wszystkie stoją na stanowisku, że jest to cecha w pełni kontrolowalna przez użytkownika – zresztą w wypadku konta Google faktycznie można nie tylko wyłączyć nagrywanie dźwięków, ale także przejrzeć wszystkie wcześniej zarejestrowane. Google zresztą twierdzi, że nagranie aktywuje jedynie uruchomienie Asystenta Google, fizyczne albo poprzez wypowiedzenie frazy „OK Google”. Warto jednak sprawdzić na swoim koncie, czy faktycznie jedynie nasze interakcje z Asystentem zostały nagrane.
Coraz częściej cyberataki dotyczą np. SMS-ów wysyłanych przez oszustów do coraz większych rzesz obywateli. Wykorzystują oni informacje o pieniądzach z tarczy kryzysowej, wysyłają informacje o rzekomych mandatach, które należy opłacić, czy rzekomych przesyłkach, za które należy zapłacić. Jak się wtedy zachowywać? I jak się chronić?
Niestety, nie jest to proste. Coraz bardziej starannie przygotowane (warto tu zwrócić uwagę na jakościową zmianę dotyczącą staranności i poprawności języka wykorzystywanego w takich komunikatach) wiadomości mogą, zwłaszcza wpływając na emocje, skłonić ich odbiorcę do często panicznych zachowań, skutkujących zawirusowaniem komputera lub urządzenia mobilnego. Recepta? Poza ostrożnością i zdrowym rozsądkiem („czy ja aby w ogóle zamawiałem paczkę, za której dezynfekcję mam dopłacić?”), pozostaje nam śledzenie serwisów, które alarmują o takich kampaniach przestępczych – stron CERT-u, a także stron eksperckich, jak na przykład Niebezpiecznik albo Sekurak.
Które dane powinniśmy najbardziej chronić i jak to robić w sieci? Dziś niemal każdy używa smartfonu i ma dostęp do internetu. Przez telefon płaci rachunki, kupuje bilety lotnicze, płaci za zakupy i robi mnóstwo innych rzeczy, do których potrzebne są jego dane. O czym w tych sytuacjach powinniśmy przede wszystkim pamiętać?
O tym, że polegać przede wszystkim na sobie, na przykład logować się do zaufanych serwisów samodzielnie wpisując ich adres internetowy, zamiast korzystać z „podesłanego” linku. Oczywiście wszystkich nas obowiązują podstawowe zasady higieny w siedzi: aktualizowanie oprogramowania, korzystanie ze sprawdzonych usług antywirusowych czy zapewniających bezpieczeństwo płatności w internecie. Tych zasad jest sporo – to nie całkiem dobra wiadomość. Znacznie lepsza jest taka, że można je znaleźć w wielu serwisach zajmujących się bezpieczeństwem w sieci, na stronach naszych banków czy dostawców usług. Tylko trzeba pamiętać, że warto poświęcić czas na zapoznanie się z nimi!
W jaki sposób hakerzy wykorzystują pandemię? Czy czujność osób pracujących zdalnie jest w pewien sposób uśpiona? Dziś coraz więcej spraw zarówno urzędowych, bankowych, finansowych, zawodowych załatwiamy przez internet. Do tej pory sieć domowa służyła nam do kontaktów pozazawodowych, teraz wykorzystujemy ją służbowo. Jakie niebezpieczeństwa to generuje? A korzystanie z drukarki domowej, drukowanie dokumentów przez domową, słabo zabezpieczoną sieć?
To z pewnością wyzwanie. Wiele firm zastosowało przenosząc pracowników w tryb zdalny zasadę BYOD (Bring Your Own Device, pol. „przenieś własne urządzenie”), sprawiając, że wiele firmowych danych gromadzonych, przetwarzanych i transferowanych jest na urządzeniach znacznie słabiej zabezpieczonych, niż infrastruktura firmowa. Co więcej, w obliczu konieczności zadbania o fizyczne, epidemiczne bezpieczeństwo pracowników, wiele procesów odbywało się szybko, a procedury długo podlegają usprawnianiu.
A trzeba pamiętać, że nie tylko słabo zabezpieczony sprzęt, ale i wspomniane przez Panię Redaktor sieci domowe mogą stanowić problem. Ot, warto choćby, żeby każdy zastanowił się choćby nad tym, ile sprzętów należących do „internetu rzeczy” (odkurzacze, telewizory, lodówki, tzw. wearables – czyli elementy internetu rzeczy, które nosimy na sobie – opaski sportowe czy smartwatche) podłączonych jest do tej samej sieci, w której przechowujemy istotne dane, dając tym samym potencjalny dostęp do naszych zasobów podmiotom, które mogą przejąć nad tymi inteligentnymi sprzętami kontrolę…
Na czym polega zjawisko zoombingu? Czy nasze telekonferencje przez ZOOM są bezpieczne?
Zoombing, czy inaczej „zoombombing” to przerwanie lub przejęcie transmisji związanej ze spotkaniem na platformie ZOOM. Od głupich dowcipów (często związanych z udostępnianiem w czasie spotkania nieprzystojnych treści lub obrazów), aż po penetrowanie spotkań krytycznych z punktu widzenia bezpieczeństwa informacyjnego firmy – przyczyny i skutki takich działań mogą być zdumiewająco zróżnicowane, od przejęcia ważnych informacji, po utratę reputacji firmy, lub kompromitację jednostki. Oczywiście im większa świadomość problemu, tym więcej narzędzi, aby się przed nim chronić, ale nie można zapominać o tym, że kilka miesięcy temu, w listopadzie zeszłego roku, holenderski dziennikarz zalogował się na zamknięte spotkanie… ministrów obrony państw NATO. Nie odbywało się na ZOOM-ie, ale to i tak dobry przykład na to, że zdalna komunikacja zawsze będzie pozbawiona pełnej prywatności czterech ścian.
Jak rozpoznać, czy to prawdziwy SMS z Ministerstwa Zdrowia, czy Głównego Inspektoratu Sanitarnego, czy atak hakerski?
Niestety, to trudne – bo i przestępcy coraz lepiej sobie radzą z „podrabianiem” oficjalnych kanałów komunikacji. Warto jednak śledzić kanały oficjalnej komunikacji instytucji państwowych – na stronie gov.pl można na przykład znaleźć komunikat, który wprost mówi, że „inspekcja sanitarna nigdy nie wysyłała, ani nie wysyła wiadomości tekstowych o takiej treści. Podejrzane SMS-y prosimy potraktować jako spam i oszustwo!”. Zdrowy rozsądek, dystans i brak pośpiechu w klikaniu we wszelkie aktywne łącza w takich wiadomościach zdecydowanie będą naszymi sprzymierzeńcami.
Trwający teraz spis powszechny - kiedy obywatele logują się do GUS-u i podają wrażliwe dane - nie jest łakomym kąskiem dla hakerów? Eksperci alarmują, że nie ma 100 procentowego bezpieczeństwa, no i zawsze może się zdarzyć błąd pracownika.
Dane, które przekazujemy do GUS są zabezpieczone pod względem prawnym i – zgodnie z deklaracjami Urzędu – technicznym. Na dodatek mają być zanonimizowane, bowiem do analiz statystycznych nasze dane osobowe potrzebne nie są. Nie zmienia to faktu, że co najmniej kilka informacji wydaje się stanowić niepokojący sygnał co do stopnia przygotowania przynajmniej części rozwiązań, jak choćby możliwość zalogowania się na czyjeś konto znając jego PESEL i nazwisko panieńskie matki – co ciekawe, tego rodzaju rozwiązanie powoduje, że istnieje możliwość weryfikowania czy dany PESEL istnieje, co może zostać wykorzystane w nie do końca legalny i bezpieczny dla posiadania PESEL-u sposób. Ale… Wykorzystanie metody telefonicznej „spisywania” się przez telefon czy z pomocą rachmistrza mogą raczej wydłużyć drogę, jaką pokonają nasze dane zanim dotrą na serwery GUS (a nasze dane przejdą przez więcej osób zanim trafią do zanonimizowania na tychże serwerach). A pamiętać trzeba, że spis powszechny jest obowiązkowy, a kary ze unikanie udziału w nim – lub podanie danych niezgodnych z prawdą – obejmują takie nieprzyjemne rozwiązania, jak grzywna czy nawet kara pozbawiania wolności.
Jak zminimalizować ryzyko cyberataku i jego skutki?
Trochę już o tym rozmawiałyśmy, ale nie zaszkodzi przypomnieć, że zimna krew i niepoddawanie się emocjom – tym pozytywnym („wygrałeś nagrodę!”), i tym negatywnym („jeśli natychmiast nie klikniesz linku, grożą ci poważne konsekwencje!”), a także danie sobie czasu na podjęcie przemyślanych działań to jedna z najważniejszych rzeczy, które możemy dla siebie zrobić w sieci. Jeśli rozmawiałybyśmy o tym problemie z perspektywy organizacji czy firmy, to zapewne podkreślić warto, że inwestycja w szkolenia i świadomość pracowników jest niezwykle cenna. To człowiek bardzo często jest najsłabszym ogniwem w systemie bezpieczeństwa informacyjnego. Im więcej wiedzy i przygotowania będą mieli pracownicy firmy, tym mniejsze ryzyko, że ich działania okażą się szkodliwe z punktu widzenia bezpieczeństwa informacyjnego firmy i jej klientów.
Co ogromnie ważne, to bycie przygotowanym na potencjalne negatywne zdarzenia. Większość ekspertów stoi na stanowisku, że nie ma systemów w stu procentach zabezpieczonych przed atakiem – możemy jedynie minimalizować ryzyka (jedyny całkowicie bezpieczny zasób informacyjny, to zasób „martwy”, czyli taki, do którego nikt nie ma dostępu, a zatem nie można go wykorzystać). Wiedząc o tym, warto pilnować aktualizacji kopii zapasowych naszych plików oraz zapewniać redundantne rozwiązania komunikacyjne, jeśli obawiamy się, że nasze systemy mogą stać się obiektem ataku.
Jak zwyczajni użytkownicy sieci internetowej mogą zwiększyć własne bezpieczeństwo?
Cyfrowi przestępcy wydają się ciągle być o kilka kroków przed tymi, którzy próbują zapewnić bezpieczeństwo obywatelom sieci. Nie sposób podać w stu procentach pewnej recepty nie bezpieczeństwo, jest jednak kilka przykazań, którymi warto się kierować, jeśli funkcjonujemy w cyberprzestrzeni. Po pierwsze: z usług finansowych korzystajmy jedynie na bezpiecznym komputerze. To przykazanie łączy się z drugim: aby zapewnić bezpieczeństwo swoich urządzeń, nie tylko komputera, zadbajmy o aktualizację systemu operacyjnego i oprogramowania (często aktualizacje, których skutków nie widzimy na poziomie interfejsu użytkownika służą właśnie „łataniu” luk bezpieczeństwa i zwiększaniu stabilności działania naszych urządzeń). Po trzecie – uważajmy korzystając z otwartych sieci Wi-fi, są łatwe do spenetrowania przez osoby mające złe intencje i pozwalają na dostęp do wszelkich przesyłanych za ich pomocą danych. Po czwarte, pobierajmy programy bezpośrednio ze strony producenta, a aplikacje – ze wiarygodnych źródeł, dostępnych na naszych urządzeniach (na przykład Google Play czy App Store), zamiast korzystać z niesprawdzonych i niezweryfikowanych pod względem bezpieczeństwa rozwiązań. Po piąte – bądźmy raczej inicjatorami przekazywania danych niż odpowiadajmy na prośby o nie (mogą być próbą manipulacji) – a już na pewno sprawdzajmy dokładnie, czy aby na pewno osoba, która zadaje nam pytania lub żąda danych, jest tym, za kogo się podaje. Po szóste – chrońmy się aktywnie, używajmy dostępnych, sprawdzonych narzędzi antywirusowych. Po siódme: dbajmy o swoją prywatność, myślmy o tym, czy na pewno chcemy jakieś dane w sieć wrzucić – pamiętajmy, że raz wrzucone do internetu informacje bardzo trudno z niego usunąć. Po ósme, pamiętajmy, że nie tylko programy są groźne dla naszych danych: zwracajmy uwagę na niepożądane osoby zaglądające nam przez ramię, gdy wprowadzamy poufne dane lub wpisujemy kody zabezpieczające urządzenie mobilne. I jeszcze dziewiąte przykazanie: myślmy o bezpieczeństwie swoim i swoich danych. Pamiętajmy, że ci, którzy mogą chcieć nas oszukać lub okraść, to dobrze przygotowani specjaliści, więc i my powinniśmy sięgać do aktualnych, sprawdzonych źródeł danych o najnowszych zagrożeniach i sposobach przeciwdziałania im.
