Jak wojna na Ukrainie zmieniła spojrzenie na bezpieczeństwo IT
Geopolityczna i ekonomiczna zawierucha nie przeszkodziła we wdrażaniu nowych technologii w 2023 roku – i tak samo jest teraz. Okres niepewności sprzyja bowiem wprowadzaniu innowacji i budowaniu przewagi konkurencyjnej. W ciągu najbliższych miesięcy będzie ona opierała się w IT na cyberbezpieczeństwie, automatyzacji i wdrożeniach technologii sztucznej inteligencji.
CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:
|
Wojna nie jest już wyłącznie działaniem na realnym polu bitwy. Jej istotnym elementem stały się działania prowadzone w cyberprzestrzeni – to nowe pole walki, pierwszy raz wykorzystywane w tak dużej skali. I choć większość wrogich działań dotknęło ukraińskie instytucje – przede wszystkim operatorów systemów energetycznych, telekomunikacyjnych oraz banki i inne instytucje finansowe, to fala ataków rozlała się również w krajach sąsiadujących.
Ukraina nie pozostawała dłużna i odpowiedziała atakami m.in. na rosyjskie media. Obie strony wykorzystuję zbliżone techniki i metody włamań. „Podmioty biorące udział w tych atakach wykorzystują różne techniki, aby uzyskać dostęp do celów, w tym phishing, luki w oprogramowaniu i zabezpieczeniach, włamania do dostawców usług IT wyższego szczebla. Często modyfikują oni swoje złośliwe oprogramowanie przy każdym kolejnym wdrożeniu, aby uniknąć wykrycia” – mówi raport Microsoftu o początkowej fazie wojny w cyberprzestrzeni[1].
Polska również jest celem ataków
Według raportu Pełnomocnika Rządu ds. Cyberbezpieczeństwa, w 2023 roku na poziomie CERT Polska obsłużono ponad 80 tys. incydentów, co oznacza wzrost rok do roku o 100 proc. Zintensyfikowali swoje działania haktywiści, grupy cyberprzestępcze o charakterze zarobkowym i wreszcie najgroźniejszych i dysponujących najbardziej wyrafinowanymi narzędziami grupy APT (Advanced Persistent Threat) bezpośrednio działających w ramach instytucji nieprzyjaznych nam państw[2].
Co najważniejsze, przestępcom nie chodziło wyłącznie o jednorazowe działanie i doraźny zysk. W 2023 r. Polska pozostawała celem cyberataków obliczonych na pozyskanie kluczowych informacji, rozpoznanie systemów ICT na potrzeby potencjalnych przyszłych destrukcyjnych cyberataków, zakłócenie infrastruktury krytycznej i innych kluczowych zasobów, jak również szerzenie dezinformacji.
Hakerzy działający w ramach grup APT interesowali się również infrastrukturą Ministerstwa Obrony Narodowej oraz wojskowych uczelni wyższych oraz firm działających w branży zbrojeniowej. Ogółem w całym ubiegłym roku CSIRT MON odnotowało blisko 6 tys. incydentów cyberbezpieczeństwa.
O wzroście zagrożenia atakami hybrydowymi mówił m.in. Pełnomocnik Rządu ds. Cyberbezpieczeństwa i jednocześnie Minister Cyfryzacji Krzysztof Gawkowski. To bezpośredni efekt zaangażowania się naszego kraju w pomoc Ukrainie od pierwszych dni wojny. Próbowano m.in. uzyskać dostęp do wojskowych sieci, a także do systemów np. kolei, aby wykraść istotne informacje o transportach sprzętu lub nawet transporty te sabotować. Dane z pierwszego kwartału 2024 roku wskazują, że liczba prób ataków na infrastrukturę IT naszego kraju dalej rośnie[3].
Z drugiej strony dane ekspertów ds. wczesnego wykrywania cyberzagrożeń w Standard Chartered[4] podkreślają, że wojna na Ukrainie nie wpłynęła na znaczący wzrost liczby ataków na systemy IT w Polsce. W szczególności nie zanotowano wzrostu zagrożenia dla działających w Polsce instytucji finansowych.
Stare narzędzia, nowe cele
Zestaw narzędzi, którymi dysponują przestępcy jest dość ograniczony. Internetowe serwisy należące do instytucji państwowych i mediów były na Ukrainie atakowane przez podmianę treści i wyświetlanie dezinformacji. Inną metodą ataku było infekowanie komputerów złośliwym oprogramowaniem i kasowanie całych zbiorów danych instytucji i firm. W przypadku, gdy organizacja nie wykonywała regularnych kopii bezpieczeństwa, oznaczało trwały paraliż jej działalności.
Przestępcy regularnie stosują również ataki DDoS, co zarówno na Ukrainie, jak i w Polsce skutkowało przerwami w dostępie do niektórych usług – od kont bankowych po komunikację miejską.
Broń się mądrze
Jak zbudować lepsze zabezpieczenia w swojej organizacji w nowej sytuacji? Amerykańska agencja rządowa CISA (Cybersecurity and Infrastructure Security Agency) sugeruje stosowanie najbardziej podstawowych zasad cyberhigieny na każdym poziomie pracy[5] – od używania oprogramowania antywirusowego, przez wykorzystywanie wieloskładnikowego uwierzytelnienia, po bieżące aktualizowanie zabezpieczeń i instalowanie łatek. Istotna jest także ochrona wszelkich form komunikacji, w tym również przez komunikatory i oprogramowanie do pracy zespołowej.
Większym organizacjom, w szczególności znajdującym się w grupach podwyższonego ryzyka, CISA zaleca zidentyfikowanie kluczowych danych (dokumentów, baz danych itp.), które mogą stać się celem dla hakerów i ich dodatkowe zabezpieczenie. Może to być zaszyfrowanie lub przeniesienie ich na serwery o ograniczonym dostępie. Kluczowe jest tu zweryfikowanie systemu tworzenia i odzyskiwania kopii bezpieczeństwa – w wielu firmach, gdzie takie kopie są rutynowo wykonywane, brak jest procedur odzyskiwania danych. Istotne jest bowiem nie tylko tworzenie kopii, ale testowanie planów ciągłości działania.
Tu rozsądnym rozwiązaniem może być skorzystanie z wyspecjalizowanych usług firm zewnętrznych gwarantujących, że kopie są aktualne i pomagających w razie potrzeby odzyskać utracone informacje. Organizacje wymagające najwyższej możliwej dostępności do aplikacji i danych mogą zdecydować się na wykupienie usługi zapasowego centrum danych polegającej na awaryjnym odtworzeniu firmowego środowiska IT w chmurze prywatnej lub publicznej.
W obliczu zagrożenia atakami DDoS ze strony zorganizowanych grup przestępczych warte rozważenia może być wykorzystanie systemów monitorujących ruch i automatycznie wykrywających podejrzane zachowania. Możliwe jest również przekierowanie ruchu i przywrócenie poprawnego działania serwerów.
CISA zaleca również administratorom i menedżerom IT wdrożenie zaawansowanych systemów monitorowania i identyfikowania zagrożeń opartych na algorytmach sztucznej inteligencji. Pozwalają one w bardzo krótkim czasie wykryć potencjalny atak, ocenić poziom zagrożenia i zareagować. W szczególności takie systemy powinny być wykorzystywane do analizy komunikacji z organizacjami zaangażowanymi w pomoc Ukrainie lub ukraińskimi[6].
Ogromne znaczenie mają szkolenia zespołów IT oraz samych pracowników. Podobnie, jak miało to miejsce w przypadku zagrożenia zamachami terrorystycznymi, tak i w cyberprzestrzeni muszą oni reagować na wszelkie nietypowe zachowania.
Podsumowanie
Zagrożenie cyberatakami będącymi efektem wojny na Ukrainie wciąż utrzymuje się na dość wysokim poziomie. Nawet jeżeli w przyszłości ataków będzie mniej, zapewne sytuacja nie wróci już do stanu sprzed inwazji. Trzeba się wręcz liczyć z okresowym wzrostem zagrożenia w związku z wyborami w Polsce i na świecie oraz z dużymi imprezami (jak np. Igrzyska Olimpijskie).
Dlatego menedżerowie IT i CISO będą zmuszeni do ciągłego utrzymywania swoich zdolności obronnych w pełnej gotowości, inwestowania w nowe rozwiązania w obszarze cyberbezpieczeństwa i monitorowania nowych metod wykorzystywanych przez przestępców. Choć najczęściej wykorzystywane metody ataków – phishing, DDoS, czy ransomware – nie są wcale „nowe”, to nowością jest wykorzystywana do prowadzenia takich operacji sztuczna inteligencja. Wojna na Ukrainie pokazała również, że celem ataków nie muszą być tylko organizacje o kluczowym znaczeniu dla infrastruktury, ale mogą to być również mniejsze przedsiębiorstwa, dotąd nie przyciągające uwagi przestępców. To właśnie one powinny teraz wzmacniać swoją odporność, bo wcześniej czy później zmuszą ich do tego hakerzy lub nadchodzące regulacje na poziomie Unii Europejskiej.
[1] https://www.ibtimes.com/microsoft-discloses-onslaught-russian-cyberattacks-ukraine-3487562
[2] https://www.gov.pl/web/cyfryzacja/krajobraz-cyberprzestrzeni
[3] https://cyberdefence24.pl/armia-i-sluzby/ataki-na-mon-rosja-nie-rezygnuje-z-polski
[4] https://homodigital.pl/wojna-w-ukrainie-cyberbezpieczenstwo-w-polsce/
[5] https://www.cisa.gov/news-events/alerts/2024/05/14/cisa-and-partners-release-guidance-civil-society-organizations-mitigating-cyber-threats-limited
[6] https://www.cisa.gov/shields-up
Data publikacji: 29.05.2024