Bezpieczeństwo polskiej części Internetu jest zagrożone działaniami przestępców. Wraz z czasem obserwujemy ich ewolucję. Zjawisko jest dosyć powszechne i może powodować duże straty wśród osób i firm. O tym, jak zagrożenia dla cyberbezpieczeństwa są obserwowane przez „administratorów” polskiego Internetu i jak próbuje się im przeciwdziałać, porozmawialiśmy z Sebastianem Kondraszukiem, kierownikiem CERT Polska – zespołu ds. cyberbezpieczeństwa Naukowej Akademickiej Sieci Komputerowej (NASK). Wywiad prowadzi Szymon Wieczorek, redaktor POLON.pl
Szymon Wieczorek: W ubiegłym roku obsłużyli Państwo 39 tysięcy incydentów cybezprzestępstw, z czego 35 tysięcy (88% całości) to oszustwa internetowe. W 2020 r. obsłużyli Państwo 8,3 tys. incydentów oszustw internetowych. Jakie są przyczyny dynamicznego wzrostu tej kategorii?
Sebastian Kondraszuk, CERT Polska: Nie ma jednoznacznej odpowiedzi skąd wynika tak dynamiczny wzrost w tej kategorii. Na pewno jest to składową rozpoznanych już czynników jak profesjonalizacja i rozwój cyberprzestępczości, a z drugiej strony zdolności identyfikowania ataków przez internautów, rosnącej świadomości zagrożeń.
Przytoczę również te mniej oczywiste, jak zwrot ku socjotechnice, popularyzacja narzędzi umożliwiających podszycia, a kończąc na niestabilności rynków finansowych związanych z trwającą wojną czy sytuacją makroekonomiczną. Nasz rynek, jak każdy inny, ulega czasowej modzie na konkretny rodzaj oszustw. Teraz na fali są np. oszustwa inwestycyjne, które niestety przynoszą profity ich organizatorom. Są to naprawdę bardzo dobrze przygotowane scenariusze, poparte siłą argumentów, a także systemami obsługiwanymi przez oszustów.
Wielu ludzi przez długi czas jest przekonanych, że trafili na niesamowitą okazję i podjęli dobrą decyzję inwestycyjną. Najtrudniejsze jest to, że oszustwo to jest adresowane w zasadzie do każdego, kto chce pomnażać swoje oszczędności, a także zarządza swoimi finansami zdalnie. Grupa potencjalnych odbiorców w naszych kraju, do których próbują dotrzeć przestępcy działający w ten sposób, to miliony ludzi. Oczywiście to tylko jeden z przykładów.
Szymon Wieczorek: Pod koniec ubiegłego roku uruchomili Państwo kampanię mediową która dotarła do odbiorców 30 milionów razy. Czy planują Państwo kontynuować i zwiększać swoją obecność w mediach? Jakie są efekty Państwa obecności w mediach?
Sebastian Kondraszuk, CERT Polska: Nawiążę tutaj do tego, co zaznaczyłem wcześniej – musimy dotrzeć ze skutecznym przekazem do milionów potencjalnych ofiar najbardziej popularnych technik. Stąd kolejne kampanie medialne, bo to jedna z najłatwiejszych i najskuteczniejszych metod dotarcia do dużej grupy jednocześnie.
Każdy kto rozpozna złośliwy schemat powtarzany przez atakujących zwiększy swoje szanse oraz szanse innych. Tutaj warto zaznaczyć, że nasza praca, to także aktywne przecinanie trwających kampanii, a o tych często jesteśmy informowani przez internautów, którzy coś zauważyli i zgłosili do CERT Polska.
Po emisji spotu popularyzującego zgłoszenia przez SMS, kilkukrotnie wzrosła liczba wiadomości, które otrzymujemy. Zachęceni tym sukcesem z pewnością będziemy kontynuowali takie aktywności medialne.
Szymon Wieczorek: W wyniku rosyjskiej inwazji na Ukrainę w polskiej cyberprzestrzeni doszło do licznych ataków hakerów powiązanych z Rosją, m.in. przez grupę Killnet. Ataki powodowały paraliż witryn internetowych i wycieki danych związanych z instytucjami rządowymi i samorządowymi. Czego mogliśmy nauczyć się z tych ataków?
Sebastian Kondraszuk, CERT Polska: Przede wszystkim tego, jak skutecznie dawać im odpór. Ataki DDoS czyli Distributed Denial of Service polegają na wysyłaniu do konkretnego serwera bardzo dużej ilości zapytań, co w efekcie skutkuje brakiem dostępności oferowanych zasobów.
Choć ataki tego rodzaju odbijają się szerokim echem, to w rzeczywistości odnoszą skutki głównie wizerunkowe, niewpływają w żaden sposób na bezpieczeństwo danych klientów. Powtarzanie przekazu grup odpowiedzialnych za ataki przyczynia się do wzmacniania poczucia zagrożenia i stanowi paliwo dla ich narracji. Dodatkowo niejednokrotnie identyfikowaliśmy sytuacje, gdy grupy te przypisywały sobie sprawstwo w temacie aktywności, które w rzeczywistości nie miały miejsca.
W każdym razie nie należy zapominać, że zlecenie ataku DDoS na zasób zlokalizowany w internecie nie stanowi obecnie trudności. Dla wielu podmiotów biznesowych ale i także tych ze sfery publicznej te powtarzające się ataki były okazją do uwzględnienia ich w prowadzonych procesach oraz realnego podniesienia poziomu odporności.
Uważnie obserwujemy działania tych grup i wyciągamy z nich wnioski.
Szymon Wieczorek: Jakie zmiany i trendy obserwują Państwo w oparciu o zgłoszenia, które do Państwa trafiają – zarówno od osób indywidualnych, jak i od firm?
Sebastian Kondraszuk, CERT Polska: Na pewno na wyróżnienie zasługuje technika phishingu, która można by powiedzieć, że przeżywa swój renesans. Każdy kto wieszczył jej schyłek nie spodziewał się, że tak nieoczekiwanie z pomocą przyjdą usprawnienia jak spoofing nadawcy lub komunikaty kierowane na urządzenia mobilne.
W CERT Polska położyliśmy duży nacisk na rozwój procesów związanych z detekcją, a także weryfikacją obecności treści phishingowych. Jest to kluczowy obszar dla bezpieczeństwa zarówno użytkowników indywidualnych jak i przedsiębiorstw. Niemniej w przypadku tych drugich nie sposób pominąć bezpieczeństwo danych, w tym często danych kontrahentów i klientów.
Dotknięte atakiem podmioty, które doznały uszkodzenia i wyprowadzenia danych na zewnątrz, stają nie tylko w obliczu utraty ciągłości funkcjonowania, ale również widma kar wynikających z reżimu ochrony danych osobowych. Takie podejście upowszechnia się wśród grup cyberprzestępczych stanowiąc często skuteczną dźwignię szantażu decydentów zaatakowanego podmiotu.
Szymon Wieczorek: Polscy specjaliści od cyberbezpieczeństwa z powodzeniem rywalizują na międzynarodowych zawodach poświęconych temu zagadnieniu. Jakie przełożenie mają takie zawody na bezpieczeństwo polskiej części Internetu – tak cywilne, jak i wojskowe?
Sebastian Kondraszuk, CERT Polska: Bardzo duża część pracy zespołów takich jak CERT Polska jest przeznaczana na odpowiednie przygotowanie się na moment wystąpienia ataku. Składa się na nie bardzo wiele etapów takich jak rozwijanie warsztatu, doskonalenie procedur, budowanie niezbędnych współpracy kontaktów.
Nie wszystkie zawody dla specjalistów cyberbezpieczeństwa obejmują jednocześnie wszystkie obszary działania zespołów CERT. Natomiast ich mnogość pozwala dobierać i wchodzić w inicjatywy, które są priorytetem rozwojowym. W przypadku obszaru wojskowego wymienić trzeba inicjatywę Locked Shields do której rokrocznie nasza komórka deleguje bardzo silną reprezentację.
Szymon Wieczorek: W jaki sposób wdrożenie wprowadzonych stosunkowo niedawno rozporządzeń UE – NIS2 oraz DORA, a także wprowadzenie w życie normy ISO:27002:2022 mogą wzmocnić odporność polskiej cyberprzestrzeni na ataki hakerów?
Sebastian Kondraszuk, CERT Polska: Regulacje w zakresie cyberbezpieczeństwa, chociaż jeszcze do niedawna bardzo mocno niedoceniane, stanowią ważny element wspierający. Istotą ich wdrażania przez podmioty powinna być świadomość korzyści jakie mogą przynieść organizacji. Traktowanie ich w kategorii zła koniecznego, albo w skrajnych przypadkach narzędzia opresji i karania biznesu, często prowadzi do ich niewłaściwego wdrożenia, które tak naprawdę nie służy żadnej ze stron.
Warto wspomnieć, że dyrektywy takie jak NIS oraz NIS2 stanowią tylko ramy brzegowe, natomiast sposób wprowadzenia do porządku krajowego leży już w gestii kraju stowarzyszonego. Mimo to już teraz wiadomo, że NIS2 to jest wejście na kolejny, wyższy poziom organizacji systemu krajowego. Nowe sektorowe komórki specjalistyczne, nowe grupy podmiotów zobowiązanych, szereg obowiązków sprawozdawczych czy związanych z prowadzeniem skoordynowanej reakcji na incydent.
Pomimo tego, że przepisy te cały czas jeszcze czekają na wdrożenie w formie konkretnych regulacji krajowych, to już teraz podmioty powinny zacząć przygotowania i dążyć do wykazania przyszłej zgodności z nimi. Wtedy na pewno okres dostosowawczy przebiegnie w sposób bardziej uporządkowany.
CERT Polska informuje:
Zgłaszając oszustwa w internecie, pomagasz sobie i innym, którzy również narażeni są na utratę wrażliwych danych lub pieniędzy.
Wspólnie nie dajmy się oszukać!
Podejrzane SMS-y zawierające linki prześlij na nr: 799 448 084 lub na nr: 8080 (dostępny od 22 listopada)
Fałszywe sklepy online czy maile z niepokojącymi załącznikami zgłoś przez formularz na stronie: incydent.cert.pl