Walkę z cyberzagrożeniami wspierają wciąż rozwijające się technologie, ale człowiek to nadal najsłabsze ogniwo systemu. Aby to zmienić, potrzebna jest powszechna edukacja od najmłodszych lat – podkreślali eksperci podczas debaty zorganizowanej przez „Dziennik Gazetę Prawną”.

Dyskusja odbyła się w ramach trwającego tygodnia „Cyfrowa Gospodarka”, a o najnowszych trendach w cyberatakach i o tym, jak podnieść cyberbezpieczeństwo w przedsiębiorstwach, rozmawiali: Robert Grabowski, szef CERT Orange Polska, Michał Kanownik, prezes Związku Cyfrowa Polska, Sebastian Kondraszuk, kierownik CERT Polska w NASK, Krzysztof Malesa, dyrektor ds. strategii bezpieczeństwa Microsoftu, oraz Maciej Pyśka, starszy menedżer zespołu architektury cyberbezpieczeństwa w mBanku.

Cyberbezpieczeństwo – diagnoza sytuacji

Zdecydowana większość, bo aż 99,6 proc., cyberbezpieczeństwa zależy od higieny cyfrowej użytkowników sieci – wynika z najnowszego raportu firmy Microsoft.

– To bardzo dużo, ale oczywiście tym 0,4 proc. też trzeba się zająć. Ten niski odsetek w przełożeniu na konkretne liczby pokazuje skalę problemu: dziennie mamy 600 mln ataków na tożsamość, nasze maszyny z zastosowaniem AI analizują każdego dnia 78 bln różnych informacji o anomaliach – wyliczał Krzysztof Malesa.

Zwrócił też uwagę, że w tej edycji raportu po raz pierwszy jako źródło zagrożeń zostały wskazane zagrożenia wewnętrzne wynikające z długu technologicznego w firmach i instytucjach oraz te będące następstwem albo niespójnego prawa, albo braku regulacji prawnych.

NASK wskazał na absorbujące zasoby jego pracowników oszustwa komputerowe realizowane za pośrednictwem technologii zdalnej.

– W 95 proc. obsługiwanych przez nas spraw występuje element oszustwa komputerowego – podał Sebastian Kondraszuk. W tym kontekście wskazał m.in. na phishing, czyli ataki oparte na wiadomościach e-mail lub SMS.

Jak mówił, na phishing natyka się w zasadzie każdy z internautów poruszających się w cyberprzestrzeni.

– Może być on wykorzystywany przez każdego aktora, który chce osiągnąć jakiś założony przez siebie cel: i przez państwo, i przez złodzieja motywowanego finansowo, i przez kogoś, kto chce zrobić po prostu przysłowiowy prank. Phishing jest po prostu wszędzie. To jest tak naprawdę niesamowita historia, bo ta metoda ma już 30 lat i jeszcze nikt tego problemu nie rozwiązał – zauważył Sebastian Kondraszuk.

Również raport CERT Orange Polska pokazał, że w 2023 r. nastąpił radykalny wzrost incydentów związanych z phishingiem.

– W ubiegłym roku 365 tys. domen zostało zablokowanych na naszej CyberTarczy. To absolutny rekord i to wynika zarówno z poprawy wykrywania, jak i z ogromnej liczby kampanii. Prawda jest taka, że te kampanie są masowe, dołączają do nich nowe grupy, a ataki ewoluują – opowiadał Robert Grabowski. Zaznaczył przy tym, że phishing jest elementem właściwie każdego ataku.

Jak wskazywał, powszechność ataków cyfrowych sprawia, że warto zainwestować w ciągłość biznesu od strony bezpieczeństwa.

– Bezpieczeństwo firm postrzegam jako dostosowanie działalności do rynku podatności i do zagrożeń, z którymi się mierzymy. To jest duże wyzwanie – oceniał. – Naprawdę nie trzeba wiele, żeby nie stać się dla cyberprzestępców celem pierwszego wyboru. Pryncypia bezpieczeństwa cyfrowego są znane od lat – podkreślał.

Michał Kanownik również akcentował rolę człowieka w systemie cyberbezpieczeństwa.

– Element ludzki jako słabe ogniwo to fenomen. Pomimo tego, że od kilku lat podczas każdej tego typu dyskusji mówimy o phishingu, a media powtarzają na okrągło: „Nie klikaj, nie ufaj, sprawdzaj”, nadal ogromna masa ludzi się na to nabiera. To jest wyzwanie dla całej branży: jak się uporać z tym właśnie najsłabszym ogniwem, którym jest człowiek – wskazał.

W podobnym tonie wypowiadał się Maciej Pyśka.

– W kontekście organizacji zawsze mówimy o wielowarstwowej ochronie po to, by – jeżeli pierwsza zostałaby przełamana – druga mogła zadziałać. Ale ile metod byśmy zastosowali,i tak zawsze kogoś uda się zmanipulować. Jako inżynierowie mamy dzisiaj mnóstwo dostępnych technologii, żeby chronić organizację, żeby żadne złośliwe oprogramowanie się nie uruchomiło, a jak już się uruchomi, to żeby zminimalizować tego skutki. Ale na końcu człowiek to najsłabsze ogniwo. Socjotechnika sprawia, że ludzie są podatni, niestety pewnie każdy z nas ma swoją podatność i to jest tylko kwestia czasu, kiedy ona może zostać wykorzystana – przestrzegał ekspert.

Maciej Pyśka zaznaczył też, że co prawda technologia idzie naprzód, ale cyberprzestępcy również korzystają z postępu.

– Jeżeli parę lat temu cyberprzestępca z zagranicy miał problem, żeby poprawnie napisać e-mail phishingowy w języku polskim, to dzisiaj generuje taki tekst z pomocą chatGPT – wskazał.

Cyberbezpieczeństwo – recepta

Jak w takim razie skutecznie budować świadomość zagrożeń i właściwe nawyki osób prywatnych, ale też pracowników firm?

– Będę brutalnie szczery: reguły muszą być jasne. Ja byłbym za tym, żeby pracownik nie dostał premii, jeżeli otworzył plik czy link, przez co firma poniosła później koszty – stwierdził Krzysztof Malesa. – Chodzi o to, żeby behawioralnie ludzi wychowywać. Tak jak uczymy ich od małego dziecka bezpieczeństwa na drodze i na przejściu dla pieszych, tak trzeba uczyć zasad cyberbezpieczeństwa – dodał.

Przypomniał o warunkach, które należy mieć na uwadze: wieloskładnikowe uwierzytelnianie, aktualne oprogramowanie, stosowanie jakiegokolwiek antywirusa i świadomość, że dane trzeba chronić, że w organizacji są mniej i bardziej chronione dane.

Maciej Pyśka z mBanku zwracał uwagę na rolę szkoleń. Jego zdaniem powinny one być ciekawe i szyte na miarę.

– Nie powinno być tak, że pracownik ma szkolenie raz, jak rozpoczyna zatrudnienie. Na dodatek najczęściej jest to szkolenie nudne, na którym słyszy, czego nie wolno robić w firmie. Myślę, że – po pierwsze – trzeba iść w kompleksowe programy, a po drugie – dostosowywać je do grup docelowych. Jeżeli robimy szkolenie dla menedżerów, to pokażmy zagrożenia dla menedżerów, ale jeśli robimy dla deweloperów, to te zagrożenia będą przecież zupełnie inne, bo oni w zupełnie innym obszarze pracują – podkreślał.

Do kwestii szkoleń pracowników odniósł się też Michał Kanownik.

– Przede wszystkim musimy zrozumieć, że szkolenia dotyczące cyberbezpieczeństwa powinny obejmować wszystkich: od sprzątaczki po prezesa. To nie jest tak, że jakaś część pracowników może zostać z nich zwolniona. One muszą też być regularne i kreatywne, żeby przykuwać uwagę – wymieniał.

Apelował także o nieustanną czujność.

– Złudne poczucie bezpieczeństwa może być najgorszym naszym doradcą w zakresie dalszych czynności. Nie ma niczego gorszego niż poczucie, że już mamy wszystko i teraz możemy przestać myśleć o cyberbezpieczeństwie. To jest temat, o którym musimy myśleć przez cały czas, przez cały czas uaktualniać swoje systemy, swoje nawyki również – stwierdził.

Jego zdaniem kluczem do sukcesu jest też kształtowanie zasad higieny cyfrowej od najmłodszych lat.

– Każdy uczeń powinien mieć wpajane zasady cyberbezpieczeństwa, tak żeby do końca swojej pracy zawodowej je zapamiętał. Bez zbudowania tych podstaw u młodego pokolenia nie zapewnimy bezpieczeństwa cyfrowego w całym społeczeństwie, a to jest kluczowe – ocenił.

Odnosząc się do kwestii edukacji najmłodszych, Sebastian Kondraszuk wskazał też na osoby starsze.

– Jak dotrzeć do seniorów? Jak dotrzeć do osób wykluczonych cyfrowo? – stawiał pytania. Zauważył, że na rynku utrzymują się złe porady dotyczące cyberbezpieczeństwa.

– Niektórzy tego cyberbezpieczeństwa przez cały czas uczą w sposób nieprawidłowy, co może oczywiście prowadzić do pewnego rodzaju dezorientacji po stronie użytkowników końcowych – powiedział.

Dlatego pierwsza zasada to nie szkodzić.

Tu pojawia się też pytanie, jak budować zasięgi dla tego typu komunikacji i jak dotrzeć do tych, którzy edukacji potrzebują.

– Budowa cyberodporności stadnej naszego społeczeństwa jest kompleksowym zadaniem. To musi być wdrażane od najmłodszych lat, są przecież zajęcia, mamy informatykę na wszystkich poziomach edukacji i po prostu trzeba z tego korzystać – powiedział Robert Grabowski.

Cyberbezpieczeństwo – regulacje

Na ile ustawa o krajowym systemie cyberbezpieczeństwa, której projekt po konsultacjach społecznych poznaliśmy w październiku, może realnie wpłynąć na bezpieczeństwo cyfrowe w Polsce i zmianę sytuacji?

– To jest chyba najdłużej konsultowany projekt w historii polskiego parlamentaryzmu, mamy już 19. edycję tego dokumentu. Natomiast tym, za co trzeba pochwalić Ministerstwo Cyfryzacji, są konsekwencja i podnoszenie tych standardów do maksymalnie wysokiego poziomu – komentował Michał Kanownik.

Jak mówił, ten ogromny akt prawny nie tylko implementuje unijną dyrektywę NIS2, lecz także wprowadza do polskiego systemu prawnego wiele elementów, które od lat czekały na wdrożenie.

– Oczywiście musi się to odbywać w połączeniu z budową świadomości u wszystkich podmiotów. To jest robota do wykonania przez ministerstwo i przez cały rynek, również samorządy – mówił Michał Kanownik, zauważając, że do tego jest też potrzebne finansowanie. – To jest wyzwanie, które przed wszystkimi stronami jeszcze stoi, lecz uważam, że to bardzo dobrze, że pojawił się projekt ustawy. Jest mocna, trzeba przyznać, ale tak mocna jak potrzeby dzisiejszego rynku. Tutaj nie ma miejsca na kompromisy – podsumował prezes Związku Cyfrowa Polska.

TB

_______________________________________________

Cyberprzestępcy też się uczą

Cyberprzestępcy korzystają z tych samych nowoczesnych narzędzi co firmy, oni też wykorzystują sztuczną inteligencję i optymalizują swoje działania – mówi Maciej Pyśka, starszy menedżer zespołu architektury cyberbezpieczeństwa w mBanku

Czy w ostatnim czasie zwiększyła się liczba ataków hakerskich?

Oczywiście, że tak. Jeżeli jakieś firmy nie przeszły wcześniej transformacji cyfrowej, to w czasie pandemii musiały ją przejść, musiały stać się bardziej zinformatyzowane. Do tego nie możemy zapominać, że mamy wojnę za wschodnią granicą. Te okoliczności powodują, że ataków jest coraz więcej, zmienił się też sposób działania cyberprzestępców. Ataki są po prostu przeprowadzane coraz szybciej. Kiedyś grupy przestępcze potrzebowały kilku miesięcy, żeby się włamać do firmy, wytransferować dane i być może zażądać okupu. Dzisiaj tak naprawdę trwa to nawet kilka lub kilkanaście godzin.

Ostatnio Rosjanie specjalizują się w atakach, które mają za zadanie przeciążyć stronę internetową…

Trzeba pamiętać o tym, że jedną z form działania cyberprzestępców jest przeciążenie wywołujące odmowę dostępu. Jeżeli jest to strona e-commerce, użytkownik nie jest w stanie niczego kupić; jeżeli to bank, klient nie może się dostać do swoich pieniędzy. Jest to też forma siania jakiejś dezinformacji.

W jaki sposób hakerzy wykorzystują sztuczną inteligencję?

Ciągle mówimy, że AI pozwoli nam rozwinąć firmę i przyśpieszy gospodarkę, ale trzeba pamiętać, że cyberprzestępcy korzystają z tych samych narzędzi. Oni również swoje procesy optymalizują, przyspieszają, są w stanie szybciej pozyskać informacje o firmie, wyciągnąć dane i nimi zarządzić.

Co jest groźniejsze z punktu widzenia korporacji – wyciek danych, ataki przeciążeniowe czy oszustwa metodą „na prezesa”?

Jeżeli chodzi o oszustwo „na prezesa” czy na „wyższy management”, polega to na tym, że ktoś, podszywając się pod osobę zaufaną, dzwoni do księgowości i mówi, że jest genialny deal dla firmy, potrzebuje tylko, żeby przelać pieniądze na jakieś konto. Najczęściej ta podszywająca się osoba mówi, że za chwilę straci zasięg, a trzeba działać szybko. Do wyłudzenia może dojść też z pomocą spreparowanej wiadomości e-mailowej. Jeśli osoba po drugiej stronie się nie zastanowi, jeżeli w firmie nie ma procedur, może taki przelew zrobić.

Który atak hakerski jest gorszy? Myślę, że nie ma na to dobrej odpowiedzi, bo początek każdego ataku to początek problemów finansowych, reputacyjnych i prawnych.

AP

rozmowy i debaty można obejrzeć na cyfrowa-gospodarka.gazetaprawna.pl

Organizator:

Partnerzy: