Najpopularniejsza metoda hakerów. "Spam jest dalej głównym nośnikiem zagrożeń" - ostrzega ekspert

lle ataków hakerskich jest rocznie zgłaszanych w Polsce? Jaka metoda jest najbardziej popularna? Czy możemy ufać firmom, produkującym oprogramowanie antywirusowe? I w końcu - kto w Polsce stoi za jej cyberbezpieczeństwem? Na te pytania odpowiada Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa (NCCyber) z Naukowej i Akademickiej Sieci Komputerowej.

Według raportu CERT Polska za 2016 rok spam jest dalej głównym nośnikiem zagrożeń.

Owszem. Spam to tylko nośnik, zmieniają się sposoby jego wykorzystania. Dystrybuuje się przy jego pomocy ransomware, trojany czy boty do przejęcia komputera. Do tego spam używany jest do podszywania się pod zaufane instytucje. Ostatnio otrzymałem mail z urzędu miasta, dotyczący rzekomej opłaty faktury.

To najbardziej trywialny sposób, który może wykorzystać nawet dziesięciolatek. Wystarczy napisać do księgowej danej instytucji mail informujący o zmianie numeru konta, na które należy uiścić opłatę za usługi sprzątania. Jeszcze kilka lat temu było to zaskakująco skuteczne, choć i obecnie jest sporo przypadków tego typu, a jedyną kompetencją potrzebną do takiego działania była umiejętność obsługi skrzynki pocztowej. Sprytniejsi oszuści potrafili także zmienić adres nadającego. Na szczęście od tamtego czasu świadomość zagrożeń znacznie wzrosła.

Nie płacić.

Płacąc okup, nie tylko finansujemy przestępczy biznes, ale dodatkowo nie mamy gwarancji, że odzyskamy nasze dane. Wiedząc, że takie ataki są częste, trzeba się przygotować. Najlepszym rozwiązaniem jest tworzenie kopii zapasowych i ciągła świadomość, że może dojść do sytuacji, kiedy to my lub nasza firma staniemy się ofiarą ransomware. Należy oczywiście pamiętać o dokonywaniu aktualizacji bezpieczeństwa i zwracać szczególną uwagę na phishing, który także może prowadzić do zarażenia ransomwarem.

Każdy incydent, który zostaje zakwalifikowany jako poważny, jest tak przez nas traktowany. Kiedy w NC Cyber incydent zostanie uznany przez analityków za poważny, wszyscy pracownicy są w jakiś sposób zaangażowani. To nie jest kwestia tylko samej analizy, ale także uruchomienia mechanizmów zarzadzania kryzysowego, czy wymiany informacji z partnerami w kraju i za granicą. W przypadku Petya było realne zagrożenie, że dotknie także podmioty w Polsce. Dlatego na bieżąco informowaliśmy naszych parterów i właściwe podmioty w kraju o rozwoju sytuacji. Petya to szczególny przypadek.

Bo atak ten wyrządził duże szkody, zwłaszcza na Ukrainie. Sposób infekowania był specyficzny dla tego kraju.

Cyberprzestępcy zainfekowali konkretne oprogramowanie, które jest popularne tylko na Ukrainie, co spowodowało, że ten kraj został najmocniej dotknięty. Inne państwa dostały tzw. rykoszetem.

Firmy, których dotknęło zagrożenie, dzieliły podsieci z instytucjami, które znajdują się na Ukrainie.

Analizują szkodliwe próbki, metodę propagacji, drogi wejścia do Polski, szacują ryzyko. Jeśli widzimy, że zagrożenie jest duże, ale z jakiegoś powodu nasz kraj jest na nie odporny, nie jest celem ataku lub nie ma łatwej drogi przedostania się, nie podnosimy larum. Grupa profesjonalistów umie oszacować ryzyko i stwierdza: nie ma powodów do paniki. Polskie firmy zgłosiły problemy, że dostały właśnie wspomnianym rykoszetem, ale nie było to zagrożenie na poziomie bezpieczeństwa kraju.

Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa

W sytuacjach kryzysowych wiele procesów rozgrywa się na poziomie komunikacyjnym. W przypadku ataku Petyi na Ukrainie media informują, że Polska jest na trzecim miejscu wśród atakowanych państw. Przywoływany jest wykres jednej z firm antywirusowych, na którym widać, że Polska rzeczywiście jest na trzecim miejscu. Warto jednak zauważyć, że to trzecie miejsce to w rzeczywistości 5 proc. wszystkich ataków.

Abstrahuję już, że atakowano firmowe komputery, nie kraj. Skupmy się na danych statystycznych i metodyce. Okazuje się, że wykres powstał na bazie 2000 zgłoszeń – czyli w naszym kraju zainfekowano około 100 urządzeń. W tym kontekście trzecie miejsce na świecie brzmi zupełnie inaczej.

To naprawdę niewielkie liczby, jeśli porównamy to na przykład z dowolną kampanią wysyłania fałszywych faktur. Takie wykresy są prawdziwe, ale ich zadaniem jest w pierwszej kolejności przekonanie internautów do zakupu usług firm zajmujących się bezpieczeństwem, co samo w sobie jest pozytywnym aspektem. Jednak z punktu widzenia kreowania obrazu sytuacyjnego cyberprzestrzeni kraju może być mylące.

Niestety, ale nie jest to tylko polska przypadłość. To trochę jak odwracanie wzroku, gdy widzimy, że kogoś biją na ulicy. Bywa też tak, że incydenty, które mogą dotykać różnych instytucji, są analizowane przez piony techniczne, lecz piony marketingowe blokują informacje na ten temat.

Firmy wolą nie informować o zagrożeniu, bo boją się utraty dobrego wizerunku. Komórki PR dokładają wszelkich starań, by informacja o ataku nie wyszła poza daną firmę, żeby chronić jej reputację. Niestety, skutkuje to tym, że zagrożenia trudniej przeanalizować (nie ma wystarczającej liczny danych), a organy ścigania nie mają możliwości ścigania przestępców, ponieważ przestępstwa nie są zgłaszane. W dłuższej perspektywie takie działania nie służą nikomu. Wyrazem pewnego rodzaju dojrzałości organizacji jest odwrotna polityka: przyznanie się, że padło się ofiarą ataku i podjęcie wszystkich działań, żeby zapobiec analogicznej sytuacji w przyszłości.

Otóż nie. Jest więcej korzyści ze zgłaszania. W naszym systemie partnerskim w NC Cyber działa grupa instytucji. Jeśli jedna ostrzeże pozostałe, to potem ona również zostanie ostrzeżona, kiedy dojdzie do innego ataku. To jednak wymaga pewnej zmiany mentalnej. Dlatego nasz system współpracy staramy się budować na wysokich kompetencjach, dobrej koordynacji i zaufaniu.

Na pewno coraz bardziej. To, co my widzimy, to zwiększające się zorientowanie służb na obszar cybeprzestrzeni. Zarówno struktury policji do walki z cyberprzestępczością, jak i działające od połowy 2016 roku Narodowe Centrum Cyberbezpieczeństwa (NC Cyber), są w fazie rozwoju, ale na przestrzeni kilku miesięcy odniosły już pewne sukcesy.

To trudne do oszacowania. Posłużę się analogią ze świata fizycznego: ile jest dziennie przestępstw na ulicach? Jeśli komuś ukradną rower, to albo to zgłosi, albo machnie ręką, bo np. rower był stary. W cybeprzestrzeni dochodzi do wielu incydentów każdego dnia. Znaczna część to ataki automatyczne – takie, które są przeprowadzane przez złośliwe oprogramowanie, tzw. robaki. Robaki "chodzą” po sieci i próbują kogoś zaatakować. Nie są ukierunkowane na konkretny cel, po prostu szukają dziur w zabezpieczeniach.

Część odbija się od zabezpieczeń technicznych, np. firewalli. Niektóre jednak je omijają. Na przykład nieświadomy użytkownik otworzy maila, który zawiera wirusa, nie wie, że został zarażony. Wtedy jego komputer staje się częścią tzw. botnetu, w najgorszym przypadku komputer wolniej pracuje, wtedy właściciel przeinstaluje system, nie zgłaszając nawet ataku. Atak jest tak pojemnym pojęciem, że ciężko policzyć ich realną liczbę.

W pierwszym roku działalności mieliśmy około 14 tys. zgłoszeń. To jest nasz punkt odniesienia, jeśli chodzi o mierzenie skali incydentów. Zgłaszalność jest głównym elementem, kiedy opracowujemy skalę danego zjawiska.

Mamy unijną dyrektywę NIS. Zobowiązuje ona kraje członkowskie do regulacji sfery cyberbezpieczeństwa. Każdy kraj musi wdrożyć dwa elementy: strategię oraz ustawę lub jej aktualizację. W Polsce strategia została przyjęta w maju br., a obecnie trwają prace nad ustawą. Mają one wielowymiarowy charakter, stanowią więc poważne i trudne wyzwanie. W ramach transpozycji dyrektywy także NC Cyber zostanie formalnie umocowane w krajowym systemie cyberbezpieczeństwa.

Współpraca zarówno z sektorem prywatnym, jak i instytucjami odpowiedzialnymi za bezpieczeństwo w cyberprzestrzeni jest kluczem. Budowanie takiego partnerstwa, ustalanie zasad współpracy, wdrażanie rozwiązań technicznych wpierających działania operacyjne to na pewno wyzwania, ale nie nazwałbym ich problemami. Dążymy do budowy systemu opartego na wzajemnym zaufaniu i wypracowywaniu przekonania, że cyberbezpieczeństwo zaczyna się u nas – w naszej firmie czy instytucji. To nasza odpowiedzialność, która przy dobrej wymianie informacji może współtworzyć skuteczny ekosystem cyberbezpieczeństwa.

Dlatego nie należy postrzegać NC Cyber jako instytucji, która rozwiąże wszystkie problemy – to nie jest nasz cel. Pracujemy nad tym, by zminimalizować odczuwalność ataków. Problemem poziomu operacyjnego na pewno jest kwestia odpowiednio wykwalifikowanej kadry. Dobry zespół buduje się latami, a w Polsce jest wiele podmiotów, które budują podobną kadrę w tym samym czasie.

Podzielmy to na trzy segmenty. Pierwszy to prewencja – wymieniajmy się ostrzeżeniami, informujmy o podejrzeniach następnych ataków, tworzymy system wzajemnego ostrzegania. Drugi to współpraca i reakcje na incydenty. Incydent nigdy nie oddziałuje wyłącznie na atakującego i ofiarę. Po drodze są m.in. dostawcy internetu czy usługi bankowe, przez które pieniądze mogą być skradzione. Mało tego, nawet hostingi, na których umieszczono strony phishingowe są elementem powiązanym z incydentem. W momencie jego wykrycia wszyscy muszą współpracować w taki sposób, żeby zminimalizować jego skutki, a także pomóc ofierze. Ważne w takich sytuacjach jest również odpowiednie i odpowiedzialne informowanie obywateli. Trzeci segment to współpraca z organami ścigania w zakresie analitycznym. Tylko wspólne działanie i połączenie unikatowych kompetencji wielu podmiotów pozwolą ustalić najlepszy kontekst incydentu i nakierować organy na właściwych sprawców.