Według danych Europolu, zysk czerpany z cyberprzestępczości, osiągnął pułap 290 miliardów euro rocznie. To między innymi efekt tego, że prowadzenie tego typu działalności staje się coraz prostsze, a korzyść majątkową można osiągnąć w coraz krótszym czasie. Wystarczy zainwestować kilka tysięcy dolarów w odpowiednie narzędzie, by w ciągu miesiąca móc zarobić nawet 90 tysięcy dolarów. Tak wynika z badań przywoływanych przez ekspertów firmy doradczej EY - Michała Kurka oraz Aleksandra Ludynia - w trakcie konferencji Semafor 2017. Twierdzą oni, że cyberprzestępcy z coraz większą łatwością wykorzystują podatności znajdowane między innymi w aplikacjach mobilnych. Średnio wykrywa się ich około 13 w jednej aplikacji. Firma EY dokonała nawet własnej analizy 103 aplikacji (większość z nich pochodziła z sektora finansowego) i odkryła, że podatności o charakterze wysokim lub krytycznym znajdowały się w 83% z testowanych programów. Już te statystyki są niepokojące. Tymczasem jeszcze więcej incydentów bezpieczeństwa ma bezpośredni związek z ludzką niewiedzą. Zdaniem przedstawicieli firmy EY, numerem jeden wśród tego typu zagrożeń, są kampanie malware wymierzone w użytkowników końcowych. Drugie miejsce zajęły przypadkowe, destrukcyjne działania pracowników firm.

Otwórz_mnie.xls

W ramach prowadzonej działalności doradczej, EY przeprowadził testowe ataki na firmy z sektora finansowego oraz przemysłowego. Oceniano dzięki nim skuteczność różnych dróg dotarcia do pracowników w celu zainfekowania ich komputerów złośliwym oprogramowaniem. W pierwszej próbie przygotowano plik Excela, w którym miały się znajdować informacje o samochodach, które miała otrzymać kadra zarządzająca. Skuteczność tej formy ataku nie była szalenie duża. W instytucji finansowej plik otworzyło 11% pracowników, a w firmie produkcyjnej 37% pracowników. Wystarczyło jednak minimalnie zmienić charakterystykę ataku, by uzyskać lepsze rezultaty. W kolejnym spreparowanym pliku Excela miała znajdować się lista nieautoryzowanych stron internetowych, które odwiedzają pracownicy. W firmie finansowej aż 52,4% pracowników zapoznało się z jego zawartością, a w firmie produkcyjnej otworzyło go aż 81,2% pracowników! Symulowane ataki prowadzone były na szeroką skalę. Tymczasem EY ocenia, że skuteczność ataków wymierzonych w konkretne osoby, jest jeszcze większa. Wynika to z faktu, że cyberprzestępcy coraz lepiej łączą socjotechnikę z odpowiednimi rozwiązaniami technologicznymi, by bezpośrednio atakować osoby podejmujące kluczowe decyzje w biznesie. Potrafią przez kilka miesięcy poznawać każdy szczegół związany z zachowaniem atakowanego, a następnie wykorzystać odpowiednią chwilę na przeprowadzenie ataku. W ten sposób minimalizują ryzyko wykrycia swojej działalności.

Co jest więc największym wyzwaniem dla firm chcących zadbać o cyberbezpieczeństwo – czynnik ludzki czy dziurawe aplikacje? Jak twierdzą Kurek i Ludynia, nie da się jednoznacznie odpowiedzieć na to pytanie. Problem jest złożony i wymaga przeprowadzanie kompleksowych działań. O przykładowych złotych regułach skutecznego zarządzania cyberbezpieczeństwem w firmie można przeczytać w innym tekście Michała Kurka.