Wirtualne ataki, rzeczywiste straty

0

Cyberprzestępcy atakują nie tylko banki i wielkie koncerny, lecz także gminy czy mniejsze firmy. Czy zaatakują twój komputer i twoją kancelarię? Eksperci twierdzą, że to tylko kwestia czasu.

Na monitorze pojawiają się kłódka, zegar odliczający czas i komunikat o tym, że dane zostały zaszyfrowane. By dostać kod deszyfrujący, trzeba zapłacić okup – w bitcoinach. I nie jest to kadr z sensacyjnego filmu o agentach CIA walczących z komputerową przestępczością. Tak wygląda ransomware – atak przy użyciu szkodliwego oprogramowania, który blokuje dostęp do komputera, uniemożliwia odczyt zapisanych w nim danych. Przestępca zazwyczaj atakuje z zagranicy. 

W lutym władze Uniwersytetu w Maastricht przyznały, że po ataku ransomwarowym na ich sieć komputerową zapłaciły hakerowi równowartość ok. 900 tys. zł. A takie ataki to nie tylko problem zagranicznych instytucji czy dużych firm. Ofiarami padają też polscy prywatni użytkownicy, instytucje, przedsiębiorstwa. CERT Polska – zespół do reagowania na zdarzenia naruszające bezpieczeństwo w sieci – w mediach informował, że z prośbą o pomoc po takim ataku zwracają się do nich szpitale, gminy czy szkoły.

NEGOCJACJE Z PRZESTĘPCAMI

Narazić się na taki atak jest łatwo. Wystarczy, że np. nie zaktualizujemy systemu, ściągniemy podejrzany plik czy załącznik. Z ostatniego raportu PwC „Cyber-ruletka po polsku” (2018 r.) wynika, że aż 21% badanych firm padło ofiarą zaszyfrowania dysku. – Uczestnicy szkoleń z cyberbezpieczeństwa często słyszą, że jeśli już doszło do takiego ataku, to warto negocjować okup z przestępcami. Często na to idą, bo wolą dostać cokolwiek niż nic. Jeśli jednak celem ataku jest zniszczenie firmy, to i po zapłaceniu okupu możemy nie odzyskać dostępu do danych – mówi nam pracownik działu cyberbezpieczeństwa w jednej z dużych instytucji finansowych. 

Ransomware to tylko jeden z możliwych ataków. – Z jednej strony jesteśmy narażeni na twarde nielegalne działania – łamanie kodów i szyfrów przez hakerów, a w konsekwencji przejęcie danych przechowywanych w firmie. Z drugiej strony są to różnego rodzaju manipulacje i oszustwa, wyłudzanie danych podstępem, metodami podobnymi do tych „na wnuczka”. Oszuści podszywają się pod kogoś, wysyłają e-mail czy SMS-y, licząc na to, że otworzymy załącznik, odpowiemy na SMS, co pozwoli im przejąć cenne dane. Oszustw i manipulacji jest zdecydowanie więcej niż ataków hakerskich, które zostawiają ślad – mówi dr Krzysztof Liedel z Collegium Civitas, który prowadzi zajęcia i szkolenia dla firm dotyczące cyberbezpieczeństwa.

Wirtualne ataki mają całkiem realne konsekwencje. Ze wspomnianego raportu PwC wynika, że 44%  badanych firm poniosło straty finansowe na skutek cyberataków.

Jakub Wychowański, członek zarządu firmy Vecto, która oferuje usługi outsourcingu IT oraz rozwiązania w zakresie bezpieczeństwa i ochrony danych, wskazuje, że zainteresowanie polskich firm cyberbezpieczeństwem wzrasta. – RODO na pewno zintensyfikowało działania prewencyjne, podejmowane przez polskie firmy, ale te, które robią to dobrze, są w zdecydowanej mniejszości. Brakuje procedur, dokształcania pracowników, inwestowania w rozwój infrastruktury. Jest wiele firm w naszym kraju, które już boleśnie przekonały się, że na bezpieczeństwie gromadzonych danych nie można oszczędzać – mówi Wychowański i przestrzega: – Polska znalazła się w gronie 20 najbardziej zagrożonych atakami państw. Zresztą wyniki naszego dorocznego raportu „Cyberbezpieczeństwo w polskich firmach” wyraźnie wskazują, że niemal połowa przedsiębiorstw już zetknęła się z różnego rodzaju incydentami, które mają bezpośredni wpływ na bezpieczeństwo danych i integralność systemów IT.

Liedel podkreśla, że kancelarie prawne, tak jak inne przedsiębiorstwa, są narażone na cyberataki. – Ich sytuację, jeśli chodzi o cyberbezpieczeństwo, porównałbym do sytuacji banków. To, co w kancelarii prawnej ma wartość, to dane i dokumenty. A te można przeliczyć na pieniądze – mówi.

Wychowański odnotowuje zainteresowanie kancelarii prawnych cyberbezpieczeństwem. Dotyczy ono tych firm, które są świadome zagrożeń, lub takichktóre miały już przykre doświadczenia. – Pozostałe kancelarie, które nie dostrzegają problemu cyberbezpieczeństwa, zachęcam do tego, by tematem się zainteresowały. Szczególnie jeśli nie mają wdrożonych rozwiązań backupowych, bezpieczeństwa całej infrastruktury IT, procedur czy też korzystają ze sprzętu mobilnego podłączonego do sieci firmowej. Dziś właściwe pytanie to nie, czy staniemy się obiektem zainteresowania cyberprzestępców, tylko kiedy – przestrzega.

Kancelaria Kopeć Zaborowski Adwokaci i Radcowie Prawni wdrożenie systemów i procedur dotyczących cyberbezpieczeństwa ma już za sobą. Partner zarządzająca, radca prawny Marta Kopeć, jest zdania, że bezpieczeństwo to podstawa funkcjonowania każdej kancelarii prawnej. – Na co dzień pracujemy na komputerach, a każdy z nich jest podłączony do sieci internetowej. Dlatego przywiązujemy szczególną wagę do korzystania z dobrych zabezpieczeń. Zaczynając od służbowej skrzynki e-mailowej. To jest miejsce, gdzie najczęściej następuje wymiana dokumentów z klientem. Gromadzenie plików na wątpliwej wiarygodności serwerach pocztowych jest wysoce ryzykowne. W naszej kancelarii dane klientów i ich spraw są zapisane na serwerze, który jest na bieżąco monitorowany pod kątem bezpieczeństwa, prób nieautoryzowanego dostępu i awarii dysków twardych. Codziennie wykonywany jest też automatyczny backup danych. Warto podkreślić, że wszystkie dane są dodatkowo w pełni szyfrowane, a komputery chronione hasłami – wylicza. 

W kancelarii Kopeć Zaborowski obowiązuje także specjalna polityka dotycząca przetwarzania danych klientów, zakaz zapisywania danych poza szyfrowanym serwerem kancelarii. – Dbamy o aktualizację wszystkich naszych komputerów oraz oprogramowania antywirusowego i antyszpiegowskiego. Korzystamy z ochrony dostępu do sieci LAN przez firewall – wskazuje Marta Kopeć. 

Podkreśla jednak, że działania te wynikają ze świadomości samej kancelarii. Nieczęsto bowiem się zdarza, żeby klienci kierowali się kwestiami cyberbezpieczeństwa przy wyborze reprezentacji prawnej. – Można postawić taką tezę, że kwestiami bezpieczeństwa interesują się raczej podmioty gospodarcze o rozbudowanych strukturach i wysokiej kulturze organizacyjnej. Dla mnie jako partnera zarządzającego kancelarią jest to niezwykle istotna kwestia, niezależnie od zainteresowania klientów. Jako radcowie prawni i adwokaci jesteśmy gwarantami bezpieczeństwa informacji, niezależnie od tego, czy klient się tego domaga.

ILE TO KOSZTUJE?

Często także w odniesieniu do prywatnego sprzętu próbujemy ograniczać koszty, stawiając na podstawowe zabezpieczenia, darmowe antywirusy. Ile trzeba wydać na to, by profesjonalnie zabezpieczyć firmę? Na rynku jest wiele możliwości. Można nawet zrezygnować z zakupu systemów, sprzętu czy zatrudnienia wyspecjalizowanego pracownika i zdecydować się na outsourcing takich usług. 

Jakub Wychowański pytany o koszty zabezpieczenia kancelarii, w której jest od 5 do 10 stacji komputerowych, odpowiada, przywołuje hipotetyczną sytuację, w której kancelaria w przeddzień ważnej rozprawy staje się obiektem ataku typu ransomware. Nie ma dostępu do dokumentów do czasu wpłacenia kwoty w bitcoinach równowartości na przykład 100 tys. dol. – Codziennie zgłaszają się do nas firmy, które mają podobne problemy. Gdy mówimy, że oferujemy usługę VECTO Cloud Backup, która gwarantuje bezpieczeństwo danych firmowych nawet wobec incydentów ransomwarowych w cenie 39 zł za komputer miesięcznie, nie są w stanie uwierzyć, że wydając niewiele ponad złotówkę dziennie, mogą spać spokojnie – mówi. Zaznacza jednak, że zabezpieczenia zależą od specyfiki firmy, a skuteczna i rozsądna pod względem kosztów tarcza ochronna to kwestia, którą należy omówić indywidualnie ze specjalistami.


PRACOWNIK, CZYLI SŁABE OGNIWO

Zabezpieczenia to jedno. Często do cyberataków przyczyniają się nieświadomi pracownicy. PwC w swoim raporcie podaje, że 1/3 incydentów i zagrożeń to efekty błędów pracowników. 

Marta Kopeć przyznaje, że choćby kancelaria miała najlepsze zabezpieczenia na rynku, nie ochronią jej one przed błędem prawnika czy sekretariatu. – Dlatego regularnie szkolimy pracowników i przypominamy im o zasadach bezpieczeństwa, a nasi informatycy na bieżąco przekazują nam informacje o najnowszych zagrożeniach. Podstawowa zasada to czujność – podkreśla mec. Kopeć. 

Dodaje, że w kancelarii zdarzały się już przypadki, kiedy pracownicy zgłaszali podejrzane e-maile. Tak było też z moją prośbą o komentarz wysłaną do kancelarii Kopeć Zaborowski z darmowego konta e-mail. Wiadomość wzbudziła czujność menedżer ds. PR i komunikacji. Zanim kancelaria zdecydowała się na odpowiedź, zweryfikowała mnie w redakcji „Radcy Prawnego”.