Mity cyberbezpieczeństwa
Autorzy: r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o. – https://dapr.pl/
r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak – www.ludwiczak-radcaprawny.pl
W ostatnim artykule z serii „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach” obiecaliśmy napisać o najczęstszych mitach cyberzbezpieczeństwa.
Jak pewnie Państwo wiecie, najsławniejsze mity pochodzą ze starożytnej Grecji. Osoby znający mitologię Grecji, wiedzą, że w starożytnej Grecji wierzono, że rzeka Styks chroni dostęp do krainy zmarłych. Przeprawa była możliwa łodzią Charona. Opłata za przepłynięcie wynosiła jednego obola – bez monety nie było wstępu do tej krainy. Dlatego Grecy wkładali zmarłym w usta wynagrodzenie dla Charona. Pan DarkSide nie dostał tej monety i przez tysiące lat błąkał się wzdłuż Styksu. Udało mu się jednak wrócić na ziemię, aby zdobyć potrzebną monetę.
Czasy się zmieniły i Pan DarkSide musiał się dostować do nowych reguł gry. Stwierdził, że najłatwiej można zarobić jako haker. W tym celu stworzył grupę hackerską Gang DarkSide i w 2021 roku zablokował rurociąg Colonial Pipeline w USA. Ropa przestała płynąć. Paraliż wschodniego wybrzeża był gotowy.
Jak to się stało?
Przyczyną tego był ransomware wpuszczony do systemu i za szyfrujący dane. Okup zapłacony 4 mln dolarów.
Co do tego doprowadziło?
Przyczyn nie znamy dokładnie, ale są pewne mity z którymi powinniśmy walczyć regularnie:
Mit nr 1 Wirusy i inne szkodliwe oprogramowanie (malware) atakują tylko komputery i laptopy
Wirusy i inne szkodliwe oprogramowanie atakuje nie tylko komputery i laptopy. Atakują również telefony komórkowe oraz inne inteligentne urządzenia . Należy też zwrócić uwagę, że wirusy i inne szkodliwe oprogramowanie nie atakują tylko komputerów z systemem Windows. Atakują również sprzęt Apple, sprzęt z zainstalowanym Linux`em itd.. Oczywiście statystyka jest nieubłagana i hakerzy częściej i chętniej atakują komputery z systemem Windows oraz telefony z systemem Android. Atakują bo mają oni najwięcej użytkowników.
Wirusy atakują także sprzęt IoT (urządzenia podłączone i porozumiewające się przez internet). IoT jest często praktycznie niezabezpieczony.
Mit nr 2 Mam system cyberbezpieczeństwa! Jestem bezpieczny!
Prawidłowo to hasło powinno brzmieć: „Jestem bezpieczniejszy!” Nigdy nie jesteśmy bezpieczni na 100 %. Nawet mają wsparcie super komandosów IT. Każdy system da się obejść i każdy system ma luki. To kwestia środków. Nawet najlepiej ustawiony i skonstruowany system IT nie jest odporny na wszystkie ataki. Oczywiście korzystając ze sprawdzonych narzędzi, wsparcia ekspertów istotnie ograniczamy ryzyko incydentu cyberbezpieczeństwa. Niemniej nigdy nie możemy wyłączać myślenia. Bo człowiek to najsłabsze ogniowo systemu podatne na ataki socjotechniczne.
Mit nr 3 Darmowy antywirus to wszystko co potrzeba!
Darmowy antywirus to zawsze „coś”. Zwłaszcza, że Windows Defender dostarczany w ramach Windows 10 i 11 nie ustępuje rozwiązaniom komercyjnym. Ale poza tym przydałoby się włączyć firewall (zaporę sieciową). Włączyć szyfrowanie dysku. A może pokusić się o Mobile Device Management? MDM to oprogramowanie, które służy do zdalnego zarządzania urządzeniami mobilnymi Do namierzania komputera możesz zastosować m.in. takie programy jak Prey (bezpłatny) oraz LoJack (płatny). No i manager haseł, bo ułatwia zarządzanie różnymi hasłami w każdym serwisie.
Mit nr 4 Nikt mnie nie zauważy, bo oni atakują tylko dużych
Hakerzy atakują wszystkich. Nikt nie jest dla nich zbyt mały. Po sieci chodzą automaty tzw. robaki, które szukają dziur w każdym waszym systemie podłączonym do internetu. Co najgorsze wasze systemy są zwykle tak zaprogramowane by przedstawiać się i wejść w dyskusje. Dobry robak po takiej rozmowie będzie wiedział gdzie jest dziura, lub da sobie spokój. Można porównać to do zwykłej rozmowy z nieznajomym. Zwykle nasze dzieci uczymy nie rozmawiaj z nieznajomym. My rozmawiamy bo wydaje się nam, że umiemy ocenić. Ale czy nasz program jest dostatecznie sprytny by dokonać podobnej oceny? My czasem się mylimy. Programy też mogą źle ocenić rozmówcę.
Mit nr 5 Podglądają mnie przez kamerę
To ulubiony mit Mikołaja. Po co ktoś miałby podglądać was przez wbudowaną kamerkę w komputerze jak w tym samym czasie może poznać wasze hasła i kody do bankowości, treści wiadomości i wszystko co robicie na komputerze. Wyobrażasz sobie jaka to jest moc, gdy ma się pełny dostęp do twojego komputera. Komu by się chciało w takiej sytuacji podglądać ciebie przez kamerkę?
Mit nr 6 Trzeba mieć super umiejętności by hackować
Hakowanie obecnie to usługa. De facto to nowa gałąź przemysłu. Za kilka dolców możesz kupić usługę i wskazać obiekt swojego zainteresowania. Wskazujesz cel, a SaaSowe oprogramowanie przeprowadzi atak np. zwiększający ruch na stronnie (DDoS) lub zablokować stronę. W ramach usługi ktoś przeprowadzi atak na wybraną przez ciebie osobę. Dowolny atak. Wymagana jest tylko umiejętność zakupu bitcoin by zapłacić za taką usługę.
Jednocześnie w internecie można znaleźć poradniki i oprogramowanie (darmowe lub płatne parę dolarów) jak samemu dokonać jakiegoś ataku hakerskiego.
Mit nr 7 Bezpieczeństwo to bardzo wysokie koszty na które stać tylko największych
Bezpieczeństwo to przede wszystkim szkolenia z wiedzy i ćwiczenia z zachowań. Oczywiście można i trzeba zabezpieczać dane. Ważne by nie chodzić na skróty, bo kto drogi prostuje ten w domu nie nocuje.
Jest dużo oprogramowania darmowego. Warto sprawdzić. Niemniej trzeba zainwestować czas. A czas to pieniądz, czyli koszt. Darmowe wymagają często więcej konfiguracji. Jednocześnie płatne oprogramowanie można już kupić za stosunkowo nie duże pieniądze.
Mit nr 8 Uwierzytelnianie wieloskładnikowe uniemożliwia wykorzystywaniu skradzionych danych dostępowych
Uwierzytelnianie wieloskładnikowe bardzo pomaga zabezpieczyć dane i bardzo zachęcamy do włączenia dodatkowego potwierdzenia tożsamości osoby logującej się. Jak w danej chwili nie logujesz się, to nie potwierdzasz kodu i koniec. Nic się nie dzieje Niemniej znane sa przypadki przełamania tego kodu. Jak SMS, to podmiana kart. Jak SMS to podejrzenie. Bezpieczniejsze wydają się aplikacje typu Microsoft lub Google Authenticator. A jeszcze lepszy pod kątem zabezpieczenia informacji jest klucz 2FA.
Mit nr 9 Cyberbezpieczeństwo musi być uciążliwe
Bezpieczeństwo nie jest łatwe. Bezpieczeństwo jest wymagające. Ale to kwestia przyzwyczajenia i wyrobienia sobie nawyków. Trzeba dokonać wyboru czy bezpiecznie czy łatwo. Kwestia doświadczenia zespołu lub konsultantów.
Mit nr 10 U nas nic się nie stanie
To ulubiony mit Pawła. Każdy przedsiębiorca był, jest i będzie celem ataków hakerskich. Pytanie nie brzmi kiedy dojdzie do naruszenia cyberbepieczeństwa tylko kiedy i jakie będą straty. Dobrze wdrożony system cyberbezpieczeństwa pozwoli opóźnić ten moment, a przede wszystkim zminimalizować straty i koszty.
Ciekawe którą drogę Pan DarkSide wybrał by dostać się do systemu Colonial. Nie ma to większego znaczenia, ale wybrał drogę skuteczną. Dzięki tej akcji pan DarkSide otrzymał to czego potrzebował by przedatować się przez Styks. czy 4 mln $ starczy by kupić jednego obola dla Charona?
Jeśli masz pytania zapraszamy do kontaktu.
Przeczytaj nasz kolejny artykuł z cyklu tematów dotyczących cyberbezpieczeństwa.