Pomimo spadku liczby incydentów skutki cyberprzestępczości dotknęły większość badanych firm (68%). Ponadto co czwarta organizacja uwzględniona w badaniu odnotowała w ub. r. wzrost lub znaczący wzrost liczby prób cyberataków. W dodatku tylko nieco ponad połowa firm (57%) ma opracowaną strategię reagowania na incydenty lub plan zarządzania kryzysowego w razie wystąpienia cyberataku. Aż 61% przedsiębiorstw nieregularnie monitoruje bezpieczeństwo, a w 67% badanych organizacji takie wymogi są wpisane w obowiązki administratorów sieci. W tym kontekście nie dziwi fakt, że zaledwie 17% zdecydowało się na utworzenie specjalnego zespołu reagowania na incydenty.

Analiza KPMG wskazuje, że organizacje rzadko testują skuteczność mechanizmów reagowania na cyberatak – jedno przedsiębiorstwo na pięć przeprowadza w tym celu testy penetracyjne w ramach podejścia Red Team, a jedynie 8% firm korzysta z gier symulacyjnych. 16% ankietowanych firm nie jest w żaden sposób przygotowanych na cyberatak.

Czynnikiem uniemożliwiającym budowę skutecznych systemów zabezpieczających są głównie braki kadrowe – wskazało go 63% badanych przez KPMG firm. Niedobór wykwalifikowanych pracowników ma nawet większe znaczenie niż brak odpowiednich budżetów (61% wskazań).

Administrator też człowiek

Pracownicy traktują IT jako narzędzie, które ma działać. Często nie zdają sobie sprawy, że to właśnie od nich tak wiele zależy. Dlatego ważna jest skuteczna edukacja w zakresie bezpieczeństwa i budowanie świadomości cyberzagrożeń. O tym, jak to istotne, powinni wiedzieć członkowie działów IT – powinni, ale jak dowodzą duże cyberwłamania z ostatnich lat, nie jest to niestety regułą.

Pierwszy z brzegu przykład, z rodzimego podwórka: atak cybernetyczny na sieć linii lotniczych LOT z 2015 r. Początkowo wydawało się, że systemy IT przewoźnika stały się celem ataku DDoS. Dopiero po czasie – i po dokładnym przeanalizowaniu całej sytuacji – okazało się, że to serwery LOT-u wykorzystano do przeprowadzania ataków Distributed Denial of Service.

To pokłosie nieprawidłowo przeprowadzonej wymiany zapór sieciowych – LOT wcześniej rozpisał przetarg na dostawę nowych firewalli i na usługę wymiany starych na nowe. Warunkiem właściwej aktualizacji tego typu urządzeń jest przeniesienie reguł firewalli, a tego nie zrobiono. Z jakiego powodu? Adam Haertle z serwisu zaufanatrzeciastrona.pl przypomina, że przepisywanie reguł ze starego firewalla na nowy jest trudne i skomplikowane. „Taniej i prościej jest nie przepisywać” – komentuje pół żartem, pół serio.

Niezabezpieczony serwer DNS, otwarty na wszystkie zapytania z zewnątrz (tzw. open resolver),do którego podłączy się włamywacz, bez problemu zostanie wciągnięty do botnetu i użyty do ataku DDoS. Serwer otrzyma polecenie wysyłania odpowiedzi na cudzy adres IP. W wypadku wzmocnionych ataków DDoS odpowiedź serwera może być kilkanaście, a nawet kilkadziesiąt razy większa niż przesłane do niego zapytanie. Tak właśnie było w LOT. Nic dziwnego, że łącza firmy „padły”.

Zaniedbanie – grzech główny administratora

Niemal równocześnie, latem 2015 r., tyle że po drugiej stronie Atlantyku, głośno zrobiło się o ataku na Urząd ds. Zarządzania Kadrami – „biuro HR” amerykańskiego rządu przetwarzające dane pracowników agencji federalnych, kontraktorów i kandydatów do pracy. Office of Personnel Management w czerwcu tego roku poinformowało o wykryciu incydentu cyberbezpieczeństwa, w którego wyniku wyciekło ok. 4 mln życiorysów byłych i obecnych pracowników administracji rządowej.

Wkrótce okazało się, że zarówno skala, jak i zakres wycieku były znacznie niedoszacowane: w ręce włamywaczy dostały się dane ok. 21,5 mln osób. Wyciekły treści formularza SF86, który musi wypełnić każdy wnioskujący o dopuszczenie do informacji niejawnych i które służą niejako prześwietleniu przeszłości kandydata, np. pod kątem używania substancji psychoaktywnych czy uzależnień mogących posłużyć obcym wywiadom do szantażu i werbunku. Czy mogło być gorzej? Jak się okazało, zawsze może być gorzej – skradziono też skany odcisków palców.

Atak rozpoczął się w listopadzie 2013 r. Włamywacze uzyskali dostęp do sieci OPM, włamując się najpierw do infrastruktury dwóch kontraktorów urzędu. Następnie ukradli dokumentację sieciową i uzyskali dostęp do baz danych OPM, wyciągając je jedna po drugiej. Włamanie w końcu wykryto, ale nie zauważono, że sieć urzędu zinfiltrowały dwie grupy cyberprzestępcze działające niezależnie, dlatego nawet po odcięciu jednej z nich w maju 2014 r. druga mogła bez przeszkód kontynuować pracę.

Co ciekawe, od czerwca 2014 r. OPM miał dostęp do testowych licencji na oprogramowanie do monitorowania ruchu sieciowego, ale ich nie używał. Gdy wiosną 2015 r. sobie o nich przypomniano i uruchomiono w ograniczonym zakresie, stwierdzono podejrzane zachowanie jednej z bibliotek z pakietu McAfee, komunikującej się z serwerem opmsecurity.com. Problem w tym, że OPM nigdy nie korzystało z rozwiązań McAfee, a domena ta została zarejestrowana na Steve’a Rogersa i Tony’ego Starka, czyli Kapitana Amerykę i IronMana. Wówczas licencje uruchomiono globalnie. Efekt: 2000 unikatowych próbek malware’u zidentyfikowanych na 10 tys. stacji roboczych.

Edukacja dla wszystkich

Wykradzione z OPM dane nigdzie się nie pojawiły i nigdy nie wyciekły. Nikt nie oferuje ich na sprzedaż w DarkWebie. Takich instytucji, których dane zostały wykradzione i nie wiadomo, co się z nimi stało, jest kilka: sieć hoteli Marriot, linie lotnicze United i ubezpieczyciel Anthem oraz amerykańskie biuro informacji kredytowej Equifax. Ta ostatnia w wyniku cyberataku straciła dane… 148 mln Amerykanów. Nikt nie zwrócił uwagi na to, że w 2017 r. z firmy zaczęły wyciekać duże pakiety danych, mimo że firma dysponowała narzędziami do pełnej inspekcji ruchu SSL. Tyle że w styczniu 2016 r. wygasły certyfikaty do inspekcji ruchu, a więc podobnie jak w OPM ktoś czegoś nie dopilnował.

Łatwo sobie za to wyobrazić, kto mógł na tych atakach skorzystać. Na przykład Chińczycy, którzy weszli w ten sposób w posiadanie danych pozwalających zidentyfikować amerykańskich agentach w Chinach już na etapie przylotu do kraju (na tamtejszych lotniskach międzynarodowych pobierane są odciski palców przybyszów).

W raporcie pokontrolnym urzędowi OPM wytknięto złą strukturę zarządzania, brak inwentaryzacji, niewłaściwą politykę bezpieczeństwa, w tym brak dwuskładnikowej autoryzacji dla zdalnego dostępu oraz autoryzowanie kartami smart card dostępu do stacji zamiast aplikacji.

Bezpieczeństwo, lub jego brak, sprowadza się zatem do niedoboru wykwalifikowanych pracowników i potrzeby ich edukacji – na różnych szczeblach organizacji.