– Przykład idzie z góry, również w kontekście zadbania o cyberbezpieczeństwo – tak minister aktywów państwowych Jakub Jaworowski przywitał 5 lipca top menedżerów spółek Skarbu Państwa na szkoleniu, które z inicjatywy MAP i Ministerstwa Cyfryzacji przygotowali eksperci NASK. Od 2018 roku, w którym zaczęła obowiązywać ustawa o krajowym systemie cyberbezpieczeństwa, liczba cyberprzestępstw odnotowywanych przez CERT Polska wzrosła 20-krotnie.
W dwóch turach warsztatów „Wzmacnianie cyberkompetencji w zarządzaniu przedsiębiorstwem przyszłości” weźmie udział łącznie 61 przedstawicieli spółek Skarbu Państwa: prezesów, członków zarządów oraz przedstawicieli rad nadzorczych.
To szkolenie prowadzą najlepsi w Polsce specjaliści od cyberbezpieczeństwa – zaznaczył Radosław Nielek, dyrektor NASK. – Warto poświęcić pięć minut dziennie na cyberbezpieczeństwo, żeby nie trzeba było poświęcać 50 dni na odbudowę infrastruktury oraz kolejnych 500 dni na odbudowę wartości i wizerunku spółki po stratach, jakich doświadczyła.
Przekonałem się wiele razy, że ekspertki i eksperci NASK są najlepsi w szkoleniu w zakresie cyberbezpieczeństwa. Ale to również właśnie oni ratują nas czasem, kiedy coś się stało, kiedy pojawiło się realne niebezpieczeństwo – przypomniał Dariusz Standerski, sekretarz stanu w Ministerstwie Cyfryzacji.
Wszyscy pełnimy ważne role w bardzo niebezpiecznych czasach – zwrócił się do obecnych minister aktywów państwowych Jakub Jaworowski. – Obserwujemy wiele zagrożeń, między innymi ze strony Rosji i Białorusi, które trzeba traktować bardzo poważnie. Musimy przykładać wielką wagę do troski o bezpieczeństwo, co w dzisiejszych czasach oznacza skupienie się na cyberbezpieczeństwie.
W atakach na dyrektorów czy prezesów nie zawsze chodzi o pieniądze
W pierwszej części szkolenia eksperci NASK pokazali przykłady oszustw rozsyłanych masowo, jednak – ze względu na wyjątkową grupę odbiorców szkolenia – skupili się na atakach spersonalizowanych i bardziej wyrafinowanych (spear phishing). Takie ataki mogą wykorzystywać podwładnych czy współpracowników osoby zarządzającej danym przedsiębiorstwem albo też rodzinę czy znajomych prywatnych.
W przypadku osób kierujących najważniejszymi instytucjami czy przedsiębiorstwami w kraju, cyberprzestępcom nie zawsze chodzi o wyłudzanie danych lub środków finansowych. Bywa, że zależy im (lub ich mocodawcom) na pogorszeniu kondycji psychicznej atakowanego albo przysporzeniu mu problemów. Podszywają się wówczas pod innego nadawcę (techniką spoofingu) i np. przekazują jakiejś instytucji fałszywą informację o osobie, która jest celem ataku, by postawić ją w kłopotliwej sytuacji albo przekazują atakowanemu fałszywą informację na temat kogoś mu bliskiego. Nim sprawa się wyjaśni, nim fałszywe informacje zostaną zweryfikowane, ofiara przestępców jest w ogromnym stresie.
Wszyscy jesteśmy podatni na socjotechnikę. Każdy ma jakiś słaby punkt, każdy może zostać wykorzystany przez przestępców. Ważne jest, żeby tego nie ukrywać, nie dać się szantażować, ale jak najszybciej zgłosić jakiekolwiek problemy do odpowiednich organów – podkreślił Kamil Kuć, ekspert NASK.
Czy łatwo jest zhakować twój telefon?
Eksperci NASK odradzali uczestnikom szkolenia logowanie się do urządzeń mobilnych z pomocą kodu PIN (a jeśli już, to co najmniej 8-znakowego). Rekomendowali logowanie z wykorzystaniem biometrii (np. linii papilarnych). Sugerowali też, by wyłączyć wyświetlanie przychodzących powiadomień na zablokowanym telefonie. Jeśli zostanie skradziony lub go zgubimy, inna osoba nie będzie dzięki temu mogła oglądać przychodzących do nas wiadomości.
Częścią szkolenia była też demonstracja kolejnych etapów włamania do telefonu pracującego pod kontrolą systemu Android. Finalnie atakującemu udało się otrzymać dostęp do telefonu, w tym do kontaktów, listy połączeń, wiadomości SMS, lokalizacji. Co gorsza, atakujący dostał też możliwość wysyłania SMS-ów z telefonu, do którego uzyskał dostęp.
Ransomware. Najczęstsze ataki na firmy i ich konsekwencje
80-90 procent ataków na przedsiębiorstwa czy firmy motywowanych jest finansowo – przestępcy dokonują ich dla pieniędzy. Inne cele przestępców to kradzież danych, zniszczenie danych (i zaszkodzenie firmie) albo chęć uzyskania rozgłosu.
Firmy najczęściej spotykają się z atakami typu ransomware, podczas których przestępcy szyfrują (i blokują) dane firmy, po to, by żądać pieniędzy za odblokowanie systemów i umożliwienie przedsiębiorstwu dalsze działanie. Oszuści starają się wykraść jak najwięcej danych - nawet jeśli firma ma ich kopię zapasową, która pozwoli na przywrócenie normalnego funkcjonowania, przestępcy dalej mogą ją szantażować. Przedmiotem szantażu przestaje być już wtedy konieczność odszyfrowania danych. W kolejnym kroku przestępcy grożą ich upublicznieniem.
W 2023 roku CERT Polska odnotował 142 incydenty ransomware – poinformował Marcin Dudek z zespołu CSIRT NASK. – Być może jednak nie wiemy o wszystkich tego typu atakach, zwłaszcza w sytuacji, gdy jakiś podmiot zdecydował się po cichu zapłacić okup przestępcom.
Najważniejsze sposoby obrony przed atakiem ransomware to:
- regularnie tworzone i odpowiednio odseparowane kopie zapasowe danych,
- przygotowany wcześniej i przetestowany plan kryzysowy,
- jak najmniejsza ekspozycja danych na zewnątrz firmy
- detekcja i prewencja systemu wewnętrznego, polegająca wręcz na założeniu, że w każdym momencie może dojść do włamania.
Co prezesi i zarządy muszą wiedzieć o NIS2?
Skala NIS2, czyli ogólnounijnych przepisów dotyczących cyberbezpieczeństwa, obejmuje 11 sektorów. Jeśli chodzi o liczbę podmiotów, które podlegają tej dyrektywie, jest podobna do RODO. Dotyczy to również wysokich kar pieniężnych za nieodpowiednie wypełnianie obowiązków, jakie nakłada ten akt prawny.
W wyjątkowych przypadkach wysokość takiej kary może sięgnąć nawet 100 milionów złotych, jeśli zaniedbanie jakiegoś podmiotu doprowadziło do poważnego zagrożenia cyberbezpieczeństwa – przestrzegała mec. Iwona Jarosz z NASK
Co ważne, kary mogą dotyczyć zarówno podmiotu, jak i osób, które nim kierują (w tym przypadku to nawet 6-krotność pensji dyrektora czy prezesa).
Trzy najważniejsze rekomendacje związane z NIS2 kierowane do spółek Skarbu Państwa, to:
- Wprowadzenie lub udoskonalenie zgodnego z NIS2 Systemu Zarządzania Bezpieczeństwem Informacji.
- Rozpoznanie przepisów sektorowych.
- Ustalenie kanałów komunikacji z odbiorcami usług świadczonych przez przedsiębiorstwo.