Hakerzy są coraz aktywniejsi. Co powinniśmy wiedzieć o cyberbezpieczeństwie?

Prokuratura Regionalna w Warszawie wszczęła śledztwo w sprawie wykradzenia wyników badań, które pacjenci wykonywali za pośrednictwem firmy ALAB Laboratoria. Do sieci trafiły dane kilkudziesięciu tysięcy osób (czy także państwa, możecie sprawdzić na stronie bezpiecznedane.gov.pl). Obejmują one lata 2017–23 i mają być tylko fragmentem bazy pozostającej w rękach cyberprzestępców. Jak podaje Polska Agencja Prasowa, żądają oni od firmy zapłacenia do końca roku kilkuset tysięcy dolarów okupu, grożąc odtajnieniem informacji o pacjentach i badaniach. To jeden z poważniejszych w ostatnich latach incydentów bezpieczeństwa w polskim internecie. To jednak tylko jeden rodzaj cyberprzestępczości, z jakim się stykamy.

Przestępcy wyszukują i wykorzystują nasze słabe punkty. Mogą one dotyczyć wykorzystywanego sprzętu – komputera i urządzeń mobilnych – oprogramowania zainstalowanego na nich, a także naszych nieostrożnych nawyków i zachowań.

Jakie są najpopularniejsze rodzaje ataków hakerskich?

• Ransomware. To połączenie angielskich słów ransom (okup) i software (oprogramowanie). Polega na wykradzeniu bądź zablokowaniu danych, które mają istotny wpływ na działalność podmiotu. Przestępcy najczęściej publikują dowód na posiadanie poufnych informacji i żądają od ofiary pieniędzy bądź określonego zachowania (z tym właśnie mamy do czynienia w przypadku spółki ALAB Laboratoria).

• DDoS (ang. distributed denial of service). Inaczej: rozproszona odmowa usługi. Brzmi skomplikowanie, ale sprowadza się do czasowej niedostępności jakiejś funkcjonalności w internecie. Może chodzić zarówno o stronę internetową, jak i aplikację. Atak polega na zajęciu wszystkich zasobów serwera, który obsługuje daną usługę, poprzez wysłanie z wielu komputerów lub urządzeń elektronicznych jednocześnie pytań do atakowanego serwera. Przez to nie jest on w stanie obsłużyć ruchu generowanego przez klientów. Właściciele atakujących urządzeń najczęściej nie zdają sobie nawet sprawy z tego, że hakerzy wykorzystują ich zasoby do ataku na swój cel. Użycie z naszego urządzenia można zwykle poznać po nietypowym obciążeniu procesora i pamięci. Pomóc mogą podstawowe zasady higieny cyfrowej (nieotwieranie nieznanych załączników, nieklikanie w nieznane linki), a gdy wiemy już, że nasz komputer został tzw. zombie – aktualizacja oprogramowania antywirusowego i skan urządzenia.

• Phishing. Innymi słowy, łowienie (haseł), czyli wyłudzenie danych, które pozwolą przestępcom na kradzież pieniędzy lub dotarcie do innej osoby alboinformacji. Hakerzy zwykle podszywają się pod osobę lub instytucję, która budzi zaufanie. Może chodzić o loginy i hasła do bankowości elektronicznej, numery karty płatniczej albo dane osobowe innych użytkowników (najczęściej rodziny i znajomych). Charakter wyłudzenia może być bardzo różny – od telefonu i oszustwa na tzw. wnuczka, dopłaty za nadaną przesyłkę kurierską, podszywanie się pod rodzinę potrzebującą nagłej pomocy, reklamy inwestycji przynoszących wysokie stopy zwrotu, obietnice oszczędności na prądzie czy gazie, po fałszywe wiadomości wysyłane za pośrednictwem poczty elektronicznej lub komunikatorów. W przypadku wiadomości z linkami nieznanego pochodzenia bądź załącznikami dochodzi często do instalacji na urządzeniu ofiary specjalnego oprogramowania zbierającego informacje.

• Włamania do systemów informatycznych. Zwykle jest to konsekwencja wcześniejszego udanego ataku phishingowego.

***

Pierwsze dwa typy ataków hakerskich są stosowane, ponieważ zwykle są głośne medialnie. Przykładem może być atak, którego dokonała grupa NoName057(16), a którego ofiarą padły serwery firm z branży medialnej działających w Polsce, w tym serwery POLITYKI.

Cyberprzestępcy mogą również śledzić nasze pliki cookies, dzięki którym nie musimy logować się na nowo za każdym razem, gdy przechodzimy z jednej strony internetowej na drugą, np. sprawdzając różne oferty na platformach handlowych. Mogą podszywać się pod nazwy stron internetowych, śledzić to, co piszemy na klawiaturze, bądź łamać nasze hasła, używając programów szukających użytej przez nas kombinacji znaków (choć to, ze względu na rosnącą świadomość dotyczącą zasad tworzenia haseł, jest coraz trudniejsze).

Czy charakter cyberzagrożeń się zmienia?

Stereotyp mówi, że haker działa w pojedynkę przeciw wielkiej, często w jego oczach złej, organizacji albo opresyjnemu reżimowi. Taki obraz nie ma wiele wspólnego z rzeczywistością. Od kilkunastu lat hakerzy, których łączy określona ideologia (jak w przypadku najsłynniejszej na świecie Anonymus) lub motywacja finansowa bądź sensu stricto polityczna, tworzą grupy. Wśród nich jest wspomniana prokremlowska NoName057(16), która stała za atakami DDoS nie tylko na polskie media, lecz także na inne podmioty przeważnie w Europie Środkowej. Próbowała ona na przykład wpłynąć na wynik wyborów prezydenckich w Czechach. O swoich dokonaniach członkowie tej formacji informują za pośrednictwem kanału w komunikatorze Telegram, gdzie apelują również o wsparcie.

W ostatnich latach cyberataki można wykupić również jako usługę. Z tej możliwości korzystają czasami biznesowi konkurenci, a eksperci nazywają je Cybercrime-as-a-Service (cyberprzestępstwo na życzenie). Według niektórych szacunków nawet 90 proc. wszystkich ataków wykonywanych jest przy użyciu oprogramowania wynajmowanego od grup hakerskich. Usługi takie kosztują nawet mniej niż 10 dol. i mogą być wykorzystywane np. w nieuczciwej walce z konkurencyjną firmą.

Jak duża jest skala cyberzagrożeń w Polsce?

Mamy do czynienia z różnymi szacunkami. Te oficjalne przygotowywane co roku przez CERT Polska, czyli zespół odpowiedzialny za bezpieczeństwo w sieci działający w strukturach NASK (Narodowa Akademicka Sieć Komputerowa), wskazują, że w 2022 r. Polacy zgłosili do tej instytucji niemal 39,7 tys. incydentów. To o ponad 34 proc. więcej niż rok wcześniej, co świadczy o tym, że zaczynamy dostrzegać problem cyberprzestępczości.

Najczęstszym zgłaszanym zagrożeniem był phishing (25,6 tys., czyli 64 proc. wszystkich obsłużonych incydentów). Najpopularniejszym sposobem wyłudzania danych było podszywanie się pod firmy kurierskie (ponad 5 tys.), media społecznościowe (ponad 4,3 tys.) oraz platformy zakupowe (niemal 3 tys.). Prawie 3,5 tys. zgłoszeń (8,6 proc.) dotyczyło obecności na urządzeniach elektronicznych złośliwego oprogramowania. CERT Polska zarejestrował również 354 włamania do systemów informatycznych. Spośród wszystkich zdarzeń, do jakich doszło w 2022 r., instytucja sklasyfikowała 30 jako poważne, czyli zagrażające ciągłości działania bądź skutkujące znacznym obniżeniem jakości najważniejszych usług w kraju: 21 dotyczyło sektora bankowego, pięć – energetycznego, trzy – ochrony zdrowia, a jeden – transportu.

Kto czuwa nad naszym cyberbezpieczeństwem?

Przede wszystkim musimy my sami (więcej w dalszej części tekstu). Pomagają nam w tym różne instytucje i ludzie.

l CERT Polska (Computer Emergency Response Team) to pierwszy w kraju, powstały w 1996 r., zespół reagowania na incydenty. Poza ich monitorowaniem odpowiada za przekazywanie informacji najważniejszym instytucjom w Polsce o incydentach bądź ryzyku ich wystąpienia.

Poza tym działa kilka podobnych instytucji, czyli CSIRT-ów (Computer Security Incident Response Team), z których jeden przy Agencji Bezpieczeństwa Wewnętrznego, a drugi przy Ministerstwie Obrony Narodowej. Jest także sektorowy CSIRT dla banków i ubezpieczycieli przy Komisji Nadzoru Finansowego. Policja ma zaś Centralne Biuro Zwalczania Cyberprzestępczości, którego celem poza zwalczaniem przestępstw jest zapobieganie im oraz wsparcie innych jednostek policji. Komórki zajmujące się bezpieczeństwem w sieci działają również w strukturach administracji publicznej oraz prywatnych firm.

Czy przepisy prawa mogą zwiększyć bezpieczeństwo w sieci?

Taki cel miała np. unijna dyrektywa NIS z 2016 r. (zaktualizowana w 2023 r.) oraz wdrażająca ją w Polsce ustawa o krajowym systemie cyberbezpieczeństwa z 2018 r. Zakłada ona m.in. zapewnienie przez państwa członkowskie bezpieczeństwa w sektorach, które mają zasadnicze znaczenie dla gospodarki i społeczeństwa, czyli np. energetyce, transporcie, bankowości czy opiece zdrowotnej. Taki również cel przyświecał rozporządzeniu o ochronie danych osobowych (RODO). Regulacje, które wprowadzono w Europie w tej dziedzinie, dziś stanowią wzór dla prawodawców w wielu innych krajach na całym świecie. Rzecz w tym, że stosowanie przepisów prawa bywa problematyczne.

Przykładem może być kara w wysokości 3 mln zł, którą prezes Urzędu Ochrony Danych Osobowych nałożył na Morele.net za nienależytą jego zdaniem ochronę danych. Po długiej batalii przed wymiarem sprawiedliwości Naczelny Sąd Administracyjny orzekł, że włamanie i kradzież bazy danych o klientach sklepu internetowego nie jest dowodem na to, że jego administrator nie dochował staranności. Sprawa opublikowania danych pacjentów spółki ALAB Laboratoria będzie kolejnym testem zarówno dla regulatorów, jak i wymiaru sprawiedliwości.

Czy atakom można przeciwdziałać?

Owszem, ale nie da się ich jednak wyeliminować całkowicie. Specjaliści mówią, że właściciele i zarządzający firmami nie powinni zastanawiać się, czy ich przedsiębiorstwo padnie ofiarą cyberprzestępstwa, tylko przygotować się na to, że taka sytuacja prędzej czy później nastąpi.

Warto więc przeprowadzić audyt cyberbezpieczeństwa i wdrożyć rekomendacje z niego wynikające. Najczęściej chodzi o wdrożenie procedur bezpieczeństwa oraz szkolenia dla pracowników, ponieważ to człowiek jest zwykle najsłabszym ogniwem.

W przypadku indywidualnych użytkowników kluczowa jest zasada ograniczonego zaufania. Nie klikamy w linki, których nie znamy. Sprawdzamy, kto faktycznie wysłał nam wiadomość z 70-procentową promocją na ubrania. Regularnie aktualizujemy oprogramowanie oraz restartujemy urządzenia elektroniczne.

Czy nowa technologia może przyjść nam z pomocą?

Przestępcy coraz częściej automatyzują swoje ataki. Dziś są w stanie zwiększyć swoją skuteczność dzięki narzędziom sztucznej inteligencji. Coraz bardziej zaawansowane oprogramowanie służące np. do generowania głosu i obrazu sprawia, że phishing staje się o wiele łatwiejszy. Coraz częściej obserwujemy fałszywe wizerunki celebrytów nakłaniające nas do udziału w różnych kampaniach (czyli klikania w nieznane i potencjalnie niebezpieczne linki). Kwestią czasu jest więc również wykorzystanie do podobnych kampanii wizerunków lokalnych autorytetów (np. policjantów, działaczy społecznych, lekarzy, księży, urzędników, polityków). Takie narzędzia pozwalają również – np. na podstawie aktywności w mediach społecznościowych – na wygenerowanie głosu konkretnej osoby i wykorzystanie go do telefonicznego oszustwa.

Z drugiej strony AI może przyspieszyć rozpoznanie i analizę zagrożeń (jest doskonała w identyfikacji wzorców, co może ułatwić np. przypisanie ataku konkretnej grupie hakerów). Algorytmy potrafią także zapamiętywać to, w jaki sposób np. piszemy na klawiaturze lub poruszamy myszą. Dzięki temu może nas uwierzytelnić nie tylko poprzez wpisane hasło, lecz także zachowanie. Według analiz virustotal.com oraz Google sztuczna inteligencja doskonale nadaje się także do analizowania kodu oprogramowania pod kątem złośliwych skryptów. Wykrywa ich o 70 proc. więcej niż człowiek.

Kolejnym narzędziem, które – prawdopodobnie w drugiej połowie tej dekady – znacząco wpłynie na bezpieczeństwo w cyberprzestrzeni, będą komputery kwantowe. Ich zdolność do wykonywania niezwykle skomplikowanych obliczeń w relatywnie krótkim czasie sprawi, że dotychczasowe metody szyfrowania oraz stosowane hasła staną się niewystarczające. Technologia ta jest zatem również napędem rozwoju postkwantowych zabezpieczeń, w tym nowego szyfrowania (POLITYKA 40).

Rośnie liczba urządzeń podłączonych do internetu (odkurzacz, pralka, oświetlenie, brama) i rozwoju tzw. internetu rzeczy (internet of things). Cyfryzacja kolejnych gałęzi gospodarki przyspiesza. Czeka nas zatem bezprecedensowy wzrost skali ataków (głównie DDoS), a co za tym idzie – konieczne będą większe nakłady na walkę z cyberzagrożeniami. W całej tej sytuacji promowane będą duże firmy technologiczne, które, w przeciwieństwie do małych, lokalnie działających przedsiębiorstw, dysponują zasobami do walki z nimi przez całą dobę.

Czym grozi brak bezpieczeństwa w cyberprzestrzeni?

Cyberatak może pozbawić nas pieniędzy bądź ujawnić fakty, którymi niekoniecznie chcielibyśmy dzielić się z innymi – jak w sprawie ALAB Laboratoria. Przestępcy, publikując dane pacjentów, takie jak PESEL oraz wyniki ich badań, umożliwiają niepowołanym osobom stwierdzenie, czy ktoś jest np. zakażony wirusem HIV.

Zagrożenie może polegać również na zaszyfrowaniu danych, bez których firma nie może kontynuować działalności. Do takiego przypadku doszło w maju 2021 r., kiedy przestępcy wykradli i zaszyfrowali dane operatora rurociągu przesyłowego Colonial Pipeline w USA. Na skutek ataku firma nie dostarczała surowca swoim odbiorcom przez pięć dni, a władze jednego z najbardziej poszkodowanych stanów, Karoliny Północnej, ogłosiły stan wyjątkowy.

Do cyberataków na kluczową infrastrukturę dochodziło też – choć w mniejszej skali – w Polsce. W lutym 2022 r. ofiarą ataku padło Centrum Zdrowia Matki Polki w Łodzi, a w rok później – Centralny Szpital Kliniczny w tym samym mieście. Łatwo również można wyobrazić sobie próbę ataku na lotniska, koleje czy miejskie wodociągi. W każdym z tych przypadków skutkiem mogłyby być nie tylko czasowe niedogodności, ale także zdrowie i życie ludzi.

***

Dotychczasowe wycieki danych i ataki hakerskie w Polsce odbiły się relatywnie niewielkim echem w opinii publicznej. W przypadku spółki ALAB Laboratoria może być inaczej. Po pierwsze, skala tego działania cyberprzestępców może okazać się ogromna, a zatem dotknie niemal każdego z nas lub naszych znajomych. Po drugie, dotyczy informacji wyjątkowo wrażliwych. Prawdopodobnie na przełomie tego i przyszłego roku poznamy nazwisko nowego prezesa Urzędu Ochrony Danych Osobowych (kadencja Jana Nowaka zakończyła się w maju 2023 r.). Ta sprawa będzie pierwszym testem dla jego determinacji w egzekwowaniu RODO.

Autor jest analitykiem ds. gospodarki cyfrowej w zespole POLITYKA Insight.