W dobie współczesnych zaawansowanych cyberataków nie wystarczy jedynie znać zasoby swojej sieci, mieć świadomość jej słabych punktów i wprowadzać odpowiednie zabezpieczenia. Bardzo ważne jest także rozpoznanie wroga – cyberprzestępcy. Przygotowanie się do obrony przed znanym przeciwnikiem znacznie podnosi szansę na jej skuteczność. Informacje, które posłużyły specjalistom z Fortinetu sklasyfikować grupy cyberprzestępców, pochodzą z tysięcy urządzeń sieciowych i czujników Fortinet działających na całym świecie.

Procenty rosną…

„Cyberprzestępcy działają globalnie, zautomatyzowane ataki na szeroką skalę stają się coraz powszechniejsze. Polska niestety nie jest białą plamą na mapie współczesnych cyberataków, a zagrożenia, z którymi borykają się rodzime firmy są zbieżne z tym, z czym mierzą się przedsiębiorstwa w spojrzeniu globalnym” – zauważa Jolanta Malak, regionalna dyrektor sprzedaży Fortinet na Polskę, Białoruś i Ukrainę. Zgodnie z najnowszym globalnym raportem cyberzagrożeń FortiGuard Labs, 90% organizacji odnotowało aktywność złośliwego oprogramowania wykorzystującego luki w bezpieczeństwie, które stwarzało duże lub krytyczne zagrożenie. „Sytuację dodatkowo komplikuje fakt, że po zautomatyzowaniu określonego zagrożenia przestępcy nie są już ograniczeni do atakowania konkretnych branż, skutki ich działań i wywierane przez nich naciski mogą więc z biegiem czasu tylko rosnąć. Z jednej strony mamy więc do czynienia ze zorganizowanymi grupami, które działają na zlecenie rządów lub mogą zostać zakwalifikowane jako grupy cyberprzestępcze, z drugiej strony – łatwy dostęp do usług cyberataków Cyberattack-as-a-service (CaaS) umożliwia także działającym indywidualnie cyberprzestępcom na przeprowadzanie niebezpiecznych ataków na szeroką skalę, które również niosą ze sobą daleko idące dla funkcjonowania firm konsekwencje” – dodaje dyrektor.

Klasyfikacja

Z jakimi rodzajami cyberprzestępców przychodzi się mierzyć organizacjom?

1. Sponsorowani przez rządy – przestępcy zaliczani do tej grupy są dobrze finansowani i często kreują wyrafinowane, dobrze ukierunkowane ataki. Zazwyczaj są one motywowane względami politycznymi, gospodarczymi czy wojskowymi. Często szukają informacji i danych, które mogą być używane do celów wywiadowczych.

2. Zorganizowane grupy przestępcze – dla nich najczęstszą motywacją do ataków jest osiągnięcie zysków finansowych. Zwykle poszukują informacji umożliwiających identyfikację klientów lub pracowników firmy, danych bankowych, numerów kart kredytowych, czy też kluczowych dla działania organizacji cyfrowych zasobów.

3. „Haktywiści” – przestępcy motywowani ideologicznie lub politycznie, których celem są ataki pomocne w rozpowszechnianiu treści propagandowych lub szkodzenie organizacjom, z których polityką się nie zgadzają. Ostatecznym celem „haktywistów” jest podniesienie świadomości na ich temat, popieranych przez nich idei i zdobycie dla nich wsparcia.

4. Przestępca wewnątrz organizacji – ataki z wewnątrz organizacji, za którymi zwykle stoją niezadowoleni byli lub obecni pracownicy, którzy szukają np. zemsty albo korzyści finansowych. Czasami mogą współpracować z innymi podmiotami, np. ze zorganizowanymi grupami przestępczymi lub hakerami sponsorowanymi przez rządy – czy to z poczucia lojalności, czy dla prestiżu lub pieniędzy.

5. Okazjonalny – ta grupa przestępców to zazwyczaj amatorzy, często określani jako script kiddies, którymi kieruje pragnienie sławy. Z drugiej strony, czasem mogą działać w słusznej sprawie, pomagając organizacjom w odkrywaniu i zamykaniu luk w zabezpieczeniach.

6. Nieuważny użytkownik – w rzeczywistości największym problemem dla organizacji są jej pracownicy, którzy popełniają błędy w obrębie jej sieci. Błędy te wynikają najczęściej z nieprawidłowej konfiguracji sieci bądź udzielaniu dostępu do niej niewłaściwym osobom.

„Oczywiście znajomość listy potencjalnych zagrożeń to nie wszystko” – zwraca uwagę Jolanta Malak. „Należy także zidentyfikować, z jakimi problemami mierzy się organizacja i na ofensywę z czyjej strony jest najbardziej narażona. Dzięki temu można nadać priorytety podejmowanym działaniom ochronnym i przygotować się do skutecznego odpierania takich ataków. Mając świadomość, kto i w jaki sposób może naruszyć bezpieczeństwo informatyczne organizacji, jesteśmy w stanie zidentyfikować potencjalne kierunki ataku i zabezpieczyć się przed nimi. Można przez to rozumieć m.in. bieżące sprawdzanie luk w zabezpieczeniach i ich łatanie, segmentację sieci, czy bieżące szkolenie pracowników w zakresie cyberbezpieczeństwa” – dodaje.

Różne motywacje

Należy pamiętać, że to czynnik ludzki jest wciąż najbardziej podatny na błędy i wpływy z zewnątrz. Znaczna część naruszeń bezpieczeństwa to efekt zaniedbań i nieostrożności pracowników firmy. Z jednej strony mogą to być błędy popełniane wewnątrz organizacji, z drugiej strony – uleganie zagrożeniom napływającym z zewnątrz, jak np. klikanie nieodpowiednich linków w serwisach społecznościowych, padanie ofiarą phishingowych maili czy stosowanie zbyt słabych haseł i niekorzystanie z weryfikacji dwuetapowej. „Cyberprzestępcom zależy przede wszystkim na uzyskaniu dostępu do danych lub do pieniędzy. Rzadziej celem ataku jest wywołanie przestoju w działaniu firmy, co – jak można przypuszczać – motywowało twórców ransomworm Petya/NonPetya. Jednak nie można zapominać, że motywacje przestępców są różne, inne będą w przypadku ataku na dużą firmę, inne w przypadku ataku na np. organizację pozarządową lub instytucję o wyraźnym profilu światopoglądowym. Z punktu widzenia organizacji ważne będzie więc również rozpoznanie własnych zasobów, zidentyfikowanie tego, co dla cyberprzestępcy będzie szczególnie cenne i wdrożenie odpowiednich środków zabezpieczających” – zaznacza Jolanta Malak.