W dniu 27 maja 2019 roku ukazał się raport pt. Krajobraz bezpieczeństwa polskiego internetu, przygotowany przez CERT Polska. Publikacja ma charakter przekrojowego sprawozdania z działalności CERT Polska w roku 2018 – opisano w niej obsłużone incydenty, przedstawiając komentarz ekspercki i statystyki związane z incydentami, jak również informację o działalności w zakresie projektów badawczych, szkoleń
i warsztatów.

Czym zajmuje się CERT Polska?

CERT to skrót utworzony od angielskiego określenia Computer Emergency Response Team ­– zespół reagowania na incydenty bezpieczeństwa komputerowego. Ta działająca w ramach struktur Naukowej i Akademickiej Sieci Komputerowej (NASK) jednostka powstała w roku 1996 i obecnie realizuje wiele obowiązków, które nałożono na NASK ustawą o krajowym systemie cyberbezpieczeństwa, dotyczących m.in. rejestracji i koordynacji incydentów zgłaszanych przez operatorów usług kluczowych czy dostawców usług cyfrowych, a także współpracy z innymi zespołami CERT w Polsce i na świecie oraz współpracy z organami ścigania.

Oprócz wykonywania wymienionych zadań CERT Polska prowadzi działalność badawczą w zakresie metod wykrywania incydentów bezpieczeństwa, analizy złośliwego oprogramowania i systemów wymiany informacji o zagrożeniach, a także rozwija własne narzędzia służące do monitorowania, wykrywania i analizy zagrożeń.

Incydenty cyberbezpieczeństwa – obserwacje i statystyki

Efektem opisanej wyżej działalności CERT Polska są różnego rodzaju analizy dotyczące incydentów w obszarze cyberbezpieczeństwa, które prezentowane są w kolejnych edycjach wspomnianego na wstępie raportu. Statystyki ujęte w tegorocznym wydaniu pokazują, że najczęstsze kategorie zarejestrowanych incydentów bezpieczeństwa w cyberprzestrzeni to phishing (44% przypadków), dystrybucja złośliwego oprogramowania oraz spam. Z danych za rok 2018 wynika, że w porównaniu do roku 2017 liczba zarejestrowanych incydentów wzrosła aż
o 17,5%.

Jak wynika z raportu, najpopularniejszym scenariuszem ataku na użytkowników bankowości internetowej stało się podszywanie pod pośredników płatności. Internauci otrzymywali np. informację o konieczności dopłacenia określonej kwoty, aby zrealizować zamówienie bądź zamówić kuriera, a po otwarciu podanego linku kierowani byli na stronę imitującą witrynę pośrednika płatności, za pomocą której sprawcy przejmowali dane logowania do bankowości internetowej przekazywane przez użytkowników.

Z analiz CERT Polska wynika ponadto, że wzrosła także liczba incydentów związanych ze złośliwymi aplikacjami mobilnymi, które były dostępne z poziomu oficjalnych sklepów, a które sprawcom umożliwiały przejęcie kontroli nad telefonem ofiary w celu uzyskania danych logowania, zwłaszcza do aplikacji bankowości mobilnej. Najpopularniejszym i najprostszym sposobem wykradania tych danych było udostępnienie fałszywych aplikacji podszywających się pod aplikacje banków. Niektórzy sprawcy działali jednak subtelniej – udostępniali aplikacje, które zawierały pewne funkcjonalności przydatne użytkownikom, a przejmowanie danych logowania do innych aplikacji było ich ukrytym działaniem. Przykładem jest „patriotyczna” aplikacja Flaga Polski, za pomocą której użytkownicy mogli zmienić tło urządzenia,
a sprawcy – uzyskać informacje o użytkownikach.

Co ciekawe, w raporcie CERT Polska znalazła się informacja o atakach na drukarki sieciowe, które często pozostają niewystarczająco zabezpieczone – sprawcy uzyskiwali dostęp do tego rodzaju urządzeń i drukowali na nich nawet kilkaset sztuk przygotowanego przez nich dokumentu. O ile takie działanie może nie wydawać się szczególnie groźne, o tyle uzyskanie dostępu do drukarek może torować drogę do dalszych nieuczciwych poczynań, np. pobierania zapisanych dokumentów i korzystania z funkcjonalności urządzenia umożliwiających wysyłkę poczty elektronicznej czy podmiany oprogramowania drukarki – co już może powodować poważne konsekwencje dla ofiary ataku. Jak wskazuje CERT Polska, „wrogo przejęta” drukarka może zostać wykorzystana do eskalacji ataku, umożliwiając sprawcy dostęp do innych urządzeń w sieci.

Autorzy omawianego raportu zwrócili także uwagę na incydenty dotyczące urządzeń IoT (Internet of Things). Według danych CERT Polska w ostatnim czasie wprawdzie nie zaobserwowano zmasowanych ataków na tego typu urządzenia, jednakże zespół omawia tę kwestię oraz główne powody podatności tych urządzeń na zagrożenia w związku z prognozowanym rozwojem złośliwego oprogramowania, które może je wykorzystywać. Na ogół stosunkowo łatwo można bowiem przejąć kontrolę nad urządzeniami IoT ze względu na niski standard stosowanych zabezpieczeń, jak i warunki ich działania: pracują one z zasady bez przerwy i zwykle nie są monitorowane ani sprawdzane.

Wnioski – ochrona i odpowiedzialność

Analiza raportu dostarcza interesujących wniosków. Z jednej strony CERT Polska zwraca uwagę na różnorodność zaistniałych incydentów pod kątem stosowanych technik, oprogramowania, urządzeń i przedmiotów ataku; z drugiej strony odnotowuje, iż w większości przypadków techniki te dążą do wykorzystania nieuwagi i niewiedzy użytkowników – zgodnie z obserwacją, że najsłabszym ogniwem systemów ochrony danych jest człowiek.

Obserwację tę potwierdzają statystyki – według PwC za 41% incydentów bezpieczeństwa odpowiada błąd użytkownika[1]. Przedsiębiorcy wskazują przy tym, że aż w 33% przypadków głównym źródłem incydentów byli obecni pracownicy firmy. Mając to na uwadze, nie należy bagatelizować wdrożenia systemu zarządzania bezpieczeństwem informacji w przedsiębiorstwie, a przede wszystkim nie należy traktować wdrożonego systemu jako środka niezbędnego do spełnienia obowiązków jedynie na papierze. Kluczem do zapewnienia bezpieczeństwa wydają się istniejące procedury, edukacja pracowników w tym zakresie, a także konsekwentne monitorowanie
i egzekwowanie przestrzegania tych procedur.

Wprowadzenie w przedsiębiorstwie jasnych reguł i procedur pozwoli na ustalenie wzorców postępowania – określenie działań, jakie pracownicy powinni podjąć w sytuacji zagrożenia cyberbezpieczeństwa oraz jakich podejmować nie mogą, aby tego cyberbezpieczeństwa nie naruszyć. Przydatne w tym zakresie będą zwłaszcza polityki bezpieczeństwa informacji (tj. określenie sposobu postępowania z informacjami w danej jednostce, ich przekazywania osobom trzecim) czy procedury reagowania na zdarzenia związane z bezpieczeństwem informacji
i incydenty bezpieczeństwa (określenie osób odpowiedzialnych w danym podmiocie za koordynację działań, zabezpieczenie dowodów itd.).

Przyjęcie wewnętrznych reguł postępowania z jednej strony z pewnością przyczyni się do ograniczenia liczby incydentów, a z drugiej strony ułatwi identyfikację osób odpowiedzialnych i uzyskanie materiału dowodowego gdy takie incydenty wystąpią (bowiem nie można ich całkowicie uniknąć). To z kolei umożliwi wyciągnięcie wobec tych osób konsekwencji na zasadach określonych na gruncie kodeksu pracy  bądź pociągniecie ich do odpowiedzialności karnej lub cywilnej.

Raport dostępny jest na stronie CERT Polska:

https://www.cert.pl/wp-content/uploads/2019/05/Raport_CP_2018.pdf

[1] Raport PwC Cyberruletka po polsku, dostępny pod adresem https://www.pwc.pl/pl/pdf/publikacje/2018/cyber-ruletka-po-polsku-raport-pwc-gsiss-2018.pdf.