Cyberataki - lekceważone niebezpieczeństwo
6 lutego 2013
„Hallo Paul - poznaliśmy się 4 tygodnie temu na waszej imprezie na Cebicie :) Caipirinie w waszym barku były nie do pogardzenia. Wysyłam ci w załączniku kilka zdjęć, jakie zrobiłem przy tej okazji Tobie i Twojej koleżance Susanne. Trzymaj się, do przyszłego roku w Hanowerze - Rob“.
Paul pracuje w dużej niemieckiej firmie telekomunikacyjnej, żadnego Roba jakoś nie może sobie przypomnieć - ale rzeczywiście na imprezie kończącej targi komputerowe były brazylijskie cocktaile i był to fajny wieczór. Tak więc Paul otwiera bez większego wahania załącznik do maila. Ale ten jakoś nie chce się otworzyć, chyba jest uszkodzony.
Atak przez „Social Engineering“
Ale to omyłka, bo w tym właśnie momencie Paul zaraził swój komputer i sieć swojego pracodawcy szpiegowskim wirusem, i to takim "przykrojonym na miarę", którego nie może tak łatwo wyłapać firmowy system antywirusowych zabezpieczeń. I od tego momentu "Rob" ma dostęp do całego systemu IT przedsiębiorstwa. Wszystkie prywatne szczegóły, jakie zawierał mail od "Roba" pochodziły z informacji Paula opublikowanych na facebooku.
"Social Engineering" - tak fachowcy określają ataki wycelowane w pracowników wybranych firm. Metoda ta jest równie efektywna jak niebezpieczna. Także w przypadku niedawnych cyberataków na amerykańskie gazety "New York Times", "Wall Street Journal" i "Washington Post" ważną rolę odgrywały zainfekowane maile - wszystko wskazuje na to, że pochodziły one z Chin.
Subiektywne postrzeganie niebezpieczeństwa
Chiny, a obok nich Rosja i inne państwa Europy wschodniej są głównymi źródłami elektronicznych ataków z zewnątrz na systemy IT niemieckich firm. Tak przynajmniej twierdziło 500 pracowników szczebla kierowniczego firm wszystkich możliwych branż, ankietowanych przez sieć firm doradczo-kontrolnych KPMG na temat cybernetycznej przestępczości.
Do końca nie można tego nikomu udowodnić, że to od niego pochodził atak - zaznacza kierujący ankietą Alexander Geschonneck. I zwraca uwagę, że jeszcze jedna ocena jest w pewnym punkcie najwyraźniej subiektywna: w percepcji ryzyka ze strony ankietowanych. Uważali oni, że ofiarami cyberataków padają raczej inne firmy a nie ich własne. - Oznacza to, że firmy czują się bardziej bezpieczne, niż powinny - mówi Geschonneck.
Obowiązek meldunku?
Częstokroć firmy w ogóle na początku nie mają pojęcia, że padły ofiarą hackerów, bo informacje im nie znikają, tylko zostały niezauważenie skopiowane. Przykre przebudzenie następuje dopiero wtedy, gdy informacje te pojawiają się nagle np. w rękach szantażystów albo konkurencji. Ze swej praktyki Geschonneck podaje jeszcze jeden przykład: wiele firm w takich przypadkach woli nie zwracać się o pomoc do policji, bo upublicznienie informacji o udanym ataku hackerów podważa reputację firmy i może odstraszyć klientów.
Jednak zgodnie z wolą federalnego ministra spraw wewnętrznych Hansa-Petera Friedricha z takim tajniactwem my być koniec - przynajmniej w niektórych branżach. - Musimy chronić tak zwane krytyczne infrastruktury, jak zaopatrzenie energetyczne, telekomunikację, logistykę - wszystkie te dziedziny, które są niezbędne do codziennego życia - powiedział minister Friedrich w wywiadzie dla rozgłośni WDR. Dlatego domaga się on wprowadzenia obowiązku meldowania w przypadkach poważnych ataków na te systemy. Minister jest przekonany, że można rozpoznać i odeprzeć takie ataki hackerów.
Nie ma pełnej ochrony
Stanowisko ministra Friedricha podziela komisarz UE ds. agendy cyfrowej Neelie Kroes. Także Komisja Europejska planuje wprowadzenie obowiązku zgłaszania poważniejszych ataków przez firmy relewantne pod względem bezpieczeństwa.
Federalny Urząd Bezpieczeństwa i Techniki Informacyjnej (BSI) stawia jak do tej pory na dobrowolne zgłoszenia cyberataków. W ramach inicjatywy na rzecz bezpieczeństwa w sieci firmy mogą wymieniać się informacjami i wzajemnie ostrzegać. Lecz całkowite bezpieczeństwo to mrzonka, podkreśla Dirk Haeger z BSI. - Chcemy korzystać z techniki informatycznej, chcemy komunikować i to w najprostszy sposób: przez maile, przez internet. Jeżeli nie można już zapobiec takim atakom, trzeba chociaż minimalizować ich skutki - zaznacza.
Alexander Geschonneck radzi natomiast firmom, by skoncentrowały się na ochronie swoich "rodowych klejnotów", najcenniejszych informacji.
Zaleca, by firmy krytycznie przyglądały się także własnym pracownikom. Podaje przy tym wręcz niewiarygodny przykład firmy ze Stanów Zjednoczonych, która regularnie podczas kontroli zabezpieczeń odnotowywała ataki na swój system z Chin. Ich sprawcami nie byli jednak hackerzy. Okazało się, że jeden z pracowników firmy, odpowiedzialny za bezpieczeństwo - i dość leniwy - zlecił dokonywanie kontroli jakiejś chińskiej firmie, płacąc jej ułamek swojej pensji. Generator kodów dostępu przesłał swym podwykonawcom pocztą.
Michael Gessat / Małgorzata Matzke
red.odp.: Elżbieta Stasik