W jaki sposób najczęściej dochodzi do naruszeń danych?
- 18.07.2023, godz. 15:05
Co chwilę dowiadujemy się o nowych naruszeniach danych, bezpieczeństwa oraz prywatności systemów informatycznych i ich użytkowników. W jaki sposób do nich dochodzi?
Naruszenia danych na dobre zapisały się w dzisiejszym, cyfrowy świecie. Od lat notuje się rosnącą liczbę obsłużonych incydentów cybernetycznych oraz ataków cybernetycznych, które zostały przeprowadzone z powodzeniem. Jest to naturalną koleją rzeczy powiązaną ze stałym wzrostem cyfryzacji całego społeczeństwa. W dzisiejszych czasach trudno znaleźć niszę/segment, który nie korzysta z najnowszych rozwiązań technologicznych. Urządzenia podłączone do sieci wykorzystywane są w przeważającej większości organizacji na całym świecie niezależnie od charakteru ich działalności.
Dane są aktualnie najcenniejszymi zasobami, które pozostają we władaniu nowoczesnych organizacji. Tym samym stały się one celem ataków hakerskich. Cyberprzestępcy na celownik biorą szczególnie organizacje, które przetwarzają niezwykle cenne informacje (np. dane finansowe) lub koncerny o globalnym znaczeniu, w których naruszenie systemów IT może zaburzyć pracę i zdolność funkcjonowania.
Zobacz również:
Do najczęściej wykradanych przez cyberprzestępców danych zaliczamy loginy i hasła do usług, adresy e-mail użytkowników, dostęp do danych finansowych oraz informacje objęte klauzulą RODO - np. listy klientów organizacji wraz z danymi kontaktowymi.
W sieci, prasie oraz na wydarzeniach branżowych bardzo dużo czasu poświęca się skutkom ataków cybernetycznych, które niejednokrotnie spowodowały zamknięcie dużych organizacji. Z drugiej strony rzadko podkreśla się, w jaki sposób dochodzi do naruszeń bezpieczeństwa cybernetycznego. Wiedza ta pozwala lepiej chronić się przed wystąpieniem ataków.
W niniejszym materiale przedstawiamy najpopularniejsze zagrożenia, które prowadzą do naruszeń danych w organizacjach. Znajomość ich charakterystyki ułatwi działom IT zabezpieczenie się przed ich wykorzystaniem w organizacji w celu uzyskania dostępu do danych.
1. Zagrożenia z zewnątrz
Przeważająca większość ataków cybernetycznych odbywa się z zewnątrz. Oznacza to, że odpowiedzialne za nie są osoby trzecie niepowiązane bezpośrednio z organizacją. Według badania Verizon Data Breach Investigation Report za 2022 roku tego typu zagrożenia stanowią łącznie aż 80% wszystkich naruszeń danych, które zidentyfikowano i odnotowano. Dane pochodzą ze Stanów Zjednoczonych, ale podobny trend obserwuje się również w Unii Europejskiej.
Cyberprzestępcy mają wysokie kompetencje pozwalające im przeszukiwać systemy informatyczne organizacji w celu znajdowania w nich podatności. Zalicza się do nich niedokładnie napisany kod, słabe systemy ochrony lub ich brak, nieaktualne programy do zabezpieczeń czy niejasne polityki dostępu do uprawnień i poszczególnych części systemu informatycznego organizacji. Bardzo często użytkownicy posiadają wyższe, niż wymagane do pracy uprawnienia.
Do ataku z zewnątrz dochodzi najczęściej poprzez zainfekowanie jednej z maszyn w organizacji z wykorzystaniem złośliwego oprogramowania. Dostarczane jest ono najcześciej z wykorzystaniem specjalnie spreparowanej wiadomości e-mail.
2. Zagrożenia wewnętrzne
Niestety często dochodzi również do zagrożeń pochodzących z wewnątrz organizacji. Odnoszą się one do naruszenia danych, które wynikły bezpośrednio z winy pracowników danej organizacji. Dotyczy to w szczególności przypadkowych naruszeń danych spowodowanych niewiedza pracowników lub przypadkiem, ale zalicza się do nich również celowe przewinienia mające na celu ujawnienie lub skompromitowanie danych organizacji w celu uzyskania korzyści osobistych.
W tym miejscu należy podkreślić, że zagrożenia pochodzące z wewnątrz organizacji bardzo często są znacznie poważniejsze w skutkach, ponieważ są trudniejsze do identyfikacji, a użytkownicy posiadają dostęp do poszczególnych systemów informatycznych organizacji, co ogranicza konieczność uzyskiwania danych dostępowych.
Cyberprzestępcy z zewnątrz muszą wpierw uzyskać dostęp do systemów IT, co znacząco ogranicza ich możliwości, a w najgorszym przypadku zwiększa czas niezbędny do przeprowadzenia ataku.
Niestety zagrożenia wewnętrzne są trudniejsze do identyfikacji i zarządzania niż ataki zewnętrzne. Większość organizacji nie posiada odpowiednich środków bezpieczeństwa, aby wykrywać lub zapobiegać atakom z udziałem osób z organizacji.
3. Phishing
Phishing jest zmorą XXI wieku. Wraz z popularyzacja poczty elektronicznej oraz dostępu do sieci wzrosła liczba ataków z wykorzystaniem specjalnie spreparowanych wiadomości e-mail. Cyberprzestępcy przygotowują specjalną treść bazując na socjotechnikach, aby zwiększyć prawdopodobieństwo kliknięcia ofiary w link lub załącznik. Znajduje się w nim złośliwe oprogramowanie, które jest instalowane na maszynie użytkownika. Alternatywnie cyberprzestępcy wykorzystują podszywanie się pod popularne usługi w celu przechwycenia danych dostępowych do popularnych usług lub systemów wewnętrznych organizacji.
Wbrew obiegowej opinii phishing bardzo rzadko umożliwia natychmiastowy dostęp do atakowanych usług. Najczęściej proces ten wymaga czasu, a phishing jest zaledwie pierwszym etapem, który pozwala na implementację złośliwego oprogramowania.
4. Ataki typu XXS
Ataki XXS (Cross-Site Scripting) są znacznie mniej znane od phishingu, ale równie niebezpieczne. Występują one w coraz popularniejszych aplikacjach webowych i bazują na lukach, które się w nich znajdują. Hakerzy implementują w nich złośliwy kod, który w kolejnym kroku wyświetlany jest na komputerach ofiar.
Cross-Site Scripting wykorzystywany jest do uzyskania dostępu do danych osobowych użytkowników. Tego typu ataki nie są wykorzystywane do przejęcia dostępu do systemów korporacyjnych. Najczęściej wykorzystywany jest język JavaScript, który wyświetla się po stronie klienta.
5. Ataki z wykorzystaniem SQL
SQL to język programowania do zarządzania bazami danych. Bardzo często jest on wykorzystany do przeprowadzania udanych ataków cybernetycznych i naruszeń bezpieczeństwa. Hakerzy wykorzystują złośliwy kod w celu wysyłania zapytań do bazy SQL, która znajduje się na dedykowanym serwerze SQL. W przypadku dobrze spreparowanego i udanego ataku, cyberprzestępcy uzyskują dostęp do całej bazy danych - z informacjami o danych osobowych, finansowych oraz innych informacjach wrażliwych np. dokumentacji medycznej. Typ danych zależy od rodzaju atakowanego serwera.