Cyberpunk, cyberwojna i bezpieczeństwo danych. Trzeba być czujnym

W oświadczeniu CD Projekt zamieszczonym na Twitterze czytamy, że w wyniku wykrytego w poniedziałek ukierunkowanego cyberataku ucierpiały niektóre wewnętrzne systemy firmy.

Sprawcy ataku pozostają niezidentyfikowani. Według firmy uzyskali oni nieautoryzowany dostęp do wewnętrznej sieci spółki, wykradli dane korporacyjne i pozostawili informację o żądaniu okupu za odszyfrowanie dostępu do infrastruktury. Wskutek ataku kurs akcji CDR na giełdzie w Warszawie spadł we wtorek na otwarciu sesji o ponad 5%.

Oprogramowanie typu ransomware

Ransomware to forma złośliwego oprogramowania zastosowanego w przypadku na CD Projekt. Oprogramowanie tego typu szyfruje pliki ofiary. Atakujący następnie żąda okupu, aby po zapłaceniu przywrócić dostęp do danych. Użytkownikom wyświetlane są instrukcje, jak uiścić opłatę, aby uzyskać klucz odszyfrowujący. Koszty mogą wahać się od kilkuset do tysięcy dolarów, często płatnych cyberprzestępcom w bitcoinach.

Wyciek danych

Wyciek danych to nieautoryzowana transmisja danych z wewnątrz organizacji do zewnętrznego miejsca przeznaczenia lub odbiorcy. Termin ten może być stosowany do opisania danych, które są przenoszone elektronicznie lub fizycznie. Zagrożenia związane z wyciekiem danych zazwyczaj występują za pośrednictwem sieci WWW i poczty elektronicznej, ale mogą również wystąpić za pośrednictwem przenośnych urządzeń do przechowywania danych, takich jak nośniki optyczne, klucze USB i laptopy.

Powiązany Artykuł

Cyberwojna trwa. Polska też w niej uczestniczy

Nie ma prawie dnia, aby na pierwsze strony gazet nie trafiła informacja o naruszeniu poufności danych. Wyciek danych, znany również jako niska i powolna kradzież danych, stanowi ogromny problem dla bezpieczeństwa danych, a szkody wyrządzone każdej organizacji, niezależnie od jej wielkości i branży, mogą być poważne. Od spadku przychodów do nadszarpniętej reputacji lub ogromnych kar finansowych do wyniszczających procesów sądowych. Wyciek danych to zagrożenie, przed którym każda organizacja będzie chciała się chronić.

Przypadkowe naruszenie bezpieczeństwa danych

"Nieautoryzowany" wyciek danych nie musi oznaczać zamierzonego lub złośliwego. Dobra wiadomość jest taka, że większość incydentów wycieku danych jest przypadkowa. Na przykład, pracownik może nieumyślnie wybrać niewłaściwego odbiorcę, wysyłając wiadomość e-mail zawierającą poufne dane.

Powiązany Artykuł

Niestety, niezamierzony wyciek danych może nadal skutkować takimi samymi karami i szkodami dla reputacji, ponieważ nie zmniejsza odpowiedzialności prawnej, szczególnie że mogą to być dane wrażliwe, czyli związane z kwestią obsługi klientów danej firmy. Idealnym przykładem są tutaj banki.

Badacze zmierzyli częstość występowania narażonych wrażliwych aktywów, w tym baz danych, usług zdalnego logowania, narzędzi programistycznych i dodatkowych aktywów w 25 międzynarodowych bankach i ich ponad 350 filiach.

3 proc. banków miało przynajmniej jedną źle skonfigurowaną bazę danych wystawioną na działanie Internetu, co powodowało potencjalne problemy z wyciekiem. 54 proc. banków miało co najmniej jeden RDP (mechanizm pozwalający na dostęp do pulpitu zdalnego) wystawiony na działania niepożądane. 31% banków miało co najmniej jeden problem związany z podatnością na nieautoryzowane wykonanie kodu programistycznego.

Złe intencje

Zdecydowana większość przypadków utraty danych nie odbywa się za pośrednictwem nośników elektronicznych, lecz drukarek, aparatów fotograficznych, kserokopiarek, wymiennych dysków USB, a nawet wrzucanych do śmietnika dokumentów. Chociaż pracownik mógł podpisać umowę o pracę, która skutecznie oznacza zaufanie między pracodawcą a pracownikiem, nic nie powstrzymuje go przed późniejszym wyciekiem poufnych informacji z budynku, jeśli jest niezadowolony lub cyberprzestępcy obiecali mu sowitą zapłatę. 

Komunikacja elektroniczna 

Wiele organizacji zapewnia pracownikom dostęp do Internetu, poczty elektronicznej i komunikatorów internetowych w ramach pełnionych przez nich funkcji. Złośliwe oprogramowanie jest często wykorzystywane do atakowania tych mediów i to z dużym powodzeniem. Na przykład, cyberprzestępca mógłby dość łatwo podszyć się pod legalne biznesowe konto e-mail i poprosić o przesłanie poufnych informacji. Podobny mechanizm do opisanego mają również ataki phishingowe. Stanowią one kolejną metodę cyberataku o wysokim wskaźniku skuteczności w zakresie wycieku danych. Kliknięcie w link i odwiedzenie strony internetowej zawierającej złośliwy kod może umożliwić atakującemu uzyskanie dostępu do komputera lub sieci w celu nielegalnego pozyskania danych.

Zapobieganie wyciekom danych

Zagrożenie jest realne, a prawdziwe zagrożenia wymagają poważnego zapobiegania wyciekom danych. Zapobieganie utracie danych to strategia, która zapewnia, że użytkownicy końcowi nie wysyłają poufnych lub wrażliwych informacji poza sieć przedsiębiorstwa. Strategie te mogą obejmować kombinację zasad dotyczących użytkowników i bezpieczeństwa oraz narzędzi zabezpieczających.

Odpowiednie oprogramowanie (tzw. DLP) pozwala administratorom na ustawienie reguł biznesowych, które klasyfikują poufne i wrażliwe informacje tak, aby nie mogły być one ujawnione złośliwie lub przypadkowo przez nieautoryzowanych użytkowników końcowych.

Bezpieczna bankowość

Amerykański ekspert w zakresie bezpieczeństwa danych Robert Siciliani, pytany o to, jak banki zabezpieczają dane swoich klientów, odpowiada: - Konsumenci zwykle nie zdają sobie sprawy z różnych warstw zabezpieczeń, jakie instytucje finansowe stosują w celu ochrony ich kont bankowych. Jednak lepsze zrozumienie tego, co dzieje się za kulisami, może pomóc konsumentom w dostosowaniu się do wpływowych nowych technologii. Instytucje finansowe wprowadziły wielowarstwowe podejście do bezpieczeństwa, które obejmuje wieloetapowe uwierzytelnianie, co może wymagać od użytkowników wprowadzenia drugiego kodu bezpieczeństwa lub noszenia przy sobie tokenu. Istotne jest także dołożenie należytej staranności w celu właściwej identyfikacji klientów. Podejście "defense-in-depth" polega na ocenie ryzyka w wielu punktach witryny organizacji.

Te warstwy zabezpieczeń obejmują kompleksową identyfikację urządzenia dostępowego (np. komputer, telefon komórkowy lub tablet użytkownika). Kolejną ewolucją zabezpieczeń jest zarządzanie reputacją urządzenia, obejmujące geolokalizację, prędkość, anomalie, język przeglądarki, skojarzenia, historie nadużyć i różnice stref czasowych. Dodatkowo wiele banków oferuje narzędzia antywirusowe, antyspyware i antyphishingowe znanych producentów zabezpieczeń w postaci pełnych pakietów produktów zapewniających całkowitą ochronę. Możesz czuć się komfortowo, wiedząc, że Twój bank posiada systemy chroniące Twoje inwestycje. Należy jednak pamiętać, że nasz własny komputer lub telefon komórkowy może być najsłabszym ogniwem w tym procesie, dlatego należy zadbać o bezpieczeństwo swoich urządzeń.''

Ustawa o cyberbezpieczeństwie

W Polsce obowiązuje Ustawa o krajowym systemie cyberbezpieczeństwa (Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa - Dz.U. 2018 poz. 1560). Ustawa ta jest wdrożeniem do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. Dyrektywa NIS). Zobowiązuje ona państwa członkowskie do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych oraz pojedynczych punktów kontaktowych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcie krajowych strategii w zakresie cyberbezpieczeństwa.

Powiązany Artykuł

Nadchodzi cyfrowe euro. Decyzja jeszcze w tym roku

Dyrektywa nakłada obowiązki służące zapewnieniu cyberbezpieczeństwa w sektorach usług, mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej państwa. Do tych sektorów zalicza się: energetykę, transport, bankowość, instytucje finansowe, sektor ochrony zdrowia, zaopatrzenie w wodę i infrastrukturę cyfrową. Ustawa wprowadziła pojęcie systemu cyberbezpieczeństwa, który ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych, służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

PolskieRadio24.pl/Forcepoint/CSO/Independant Banker/PAP/RCB/mib