W Polsce rok 2016 przyniósł strategię cyberbezpieczeństwa. Specjalista Deloitte przypomina, że pierwsze opracowania wskazujące na istotność tego tematu pojawiły się w 2004 r. Wtedy też powołano Zespół do Spraw Krytycznej Infrastruktury Teleinformatycznej. 

Wydaje się, że od tego czasu, jesteśmy najbliżej momentu stworzenia finalnego projektu systemu ochrony cyberbezpieczeństwa państwa opartego o stosowną ustawę – mówi Marcin Ludwiszewski. – Istotną przeszkodą może być jednak budżet, którego wartości nie określono w treści przedstawionej strategii. (według Ministerstwa Cyfryzacji odpowiedni projekt ustawy o krajowym systemie cyberbezpieczeństwa trafi do Sejmu w kwietniu 2017 roku – przyp. red.)

Nie lekceważyć analizy ryzyka

Działanie cyberprzestępców odczuwali według przedstawiciela Deloitte’a klienci banków, zarówno poprzez kampanie typu phishing, jak i próby infekcji kolejnym iteracjami złośliwego oprogramowania. Jednocześnie w 2016 do popularnych działań należały także ataki typu skimming. Nie brakowało doniesień o atakach na klientów banków z wykorzystaniem ich kont użytkowników systemów należących do operatów telekomunikacyjnych. 

Potwierdzają one, że zaproponowanie nowych usług i produktów dla klientów powinno być poprzedzone analizą ryzyka – mówi Ludwiszewski. 

W tym kontekście specjalista przypomina o sukcesie policji, która rozbiła w Lubuskiem grupę przestępczą o międzynarodowym charakterze. Przestępcy wykorzystując m.in. oprogramowanie Timba ukradli prawie 100 mln zł.  

Świat: banki na celowniku

Na świecie w 2016 roku udokumentowano próby ataków na karty kredytowe – naukowcy z Uniwersytetu Newcastle odkryli, że system autoryzacji płatności kartami VISA w Internecie jest podatny na rozproszone ataki zgadywania prawidłowego numeru karty, jej daty ważności oraz kodu CVV. Natomiast ponad dziewięć tysięcy klientów brytyjskiego Banku Tesco padło ofiarą kradzieży sięgającej w sumie około 2,5 mln funtów. Prawdopodobną przyczyną problemów Banku Tesco były sekwencyjnie nadawane numery kart płatniczych, co, znacząco zwiększało szansę trafienia prawidłowej kombinacji. Group IB z kolei opisał w 2016 r. serię ataków na systemy zarządzania bankomatami (inne niż znane wcześniej ataki tego typu np. poprzez malware Tyupkin) w bankach na całym świecie. Według autorów raportu udokumentowane ataki miały miejsce na Tajwanie i w Tajlandii a przestępcy prawdopodobnie próbowali także atakować banki w Polsce, Rosji, Wielkiej Brytanii, Holandii, Hiszpanii, Rumunii, Estonii, Bułgarii, Gruzji, Mołdawii, Kirgistanie, Armenii i Malezji. 

Jakkolwiek scenariusze na pewnym etapie wymagały specjalistycznej wiedzy i narzędzi, początkowym wektorem ataku był atak socjotechniczny ukierunkowany na pracowników banku – podkreśla Marcin Ludwiszewski. 

Dodaje przy tym, że prawdziwe tsunami w sektorze finansowym w 2016 r. spowodowało ujawnienie wcześniejszych ataków o charakterystyce APT na system SWIFT (skradzione ponad 81 milionów dolarów w ataku na Bank Centralny w Bangladeszu, 12 milionów w Banko del Austro w Ekwadorze i doniesienia o próbach ataków na banki w dwunastu innych krajach). 

Placówki medyczne: źródło cennych danych

W 2016 roku wyraźnie dało znać o sobie zainteresowanie cyberprzestępców sektorem medycznym i motoryzacyjnym.

 – Sektory te narażone są na zupełnie nowe kategorie zagrożeń, których nie doświadczały jeszcze kilka lat temu – mówi Ludwiszewski. – Szpitale stały się idealnym celem dla wymuszania okupu nie tylko z powodu złośliwego oprogramowania typu ransomware, przykładem Hollywood Presbyterian Medical Center, ale również w wyniku kradzieży danych medycznych i groźby ich ujawnienia  (klinika sportowa w Atlancie). Cyberprzestępcy nauczyli się, że potencjalne zagrożenie zdrowia lub życia pacjenta bardziej motywuje do płacenia haraczu, zakładając, że szpital sam ma środki, aby taki okup zapłacić. 

Przedstawiciel Deloitte’a przywołuje niedawno przeprowadzone przez NCC Group badanie, w którym szpitalom w Wielkiej Brytanii zadano pytanie: czy w ciągu ostatniego roku padły ofiarą ataku ransomware. 31 placówek odmówiło odpowiedzi, 28 przyznało że było skutecznie zaatakowanych a jedynie 1 szpital poinformował, że w ostatnim roku nie odnotował tego typu incydentów. W tym roku ujawniły się również liczne słabości samych urządzeń medycznych. W 2016 roku w 9 krajach Deloitte zbadał 24 szpitale pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci. 

Z badania wynika, że urządzenia posiadają hasła fabryczne, nie szyfrują komunikacji sieciowej, a w swoim cyklu życia ujawniają wiele podatności, którymi nikt nie zarządza – mówi Ludwiszewski. – Potwierdziły to na przykład informacje o ujawnionych w 2016 roku podatnościach m.in. rozruszników i defibrylatorów firmy St. Jude Medical.

Samochody: IoT a bezpieczeństwo

W odniesieniu do branży motoryzacyjnej specjalista Deloitte’a wspomina o udanych w 2016 roku atakach na pojazdy marek niemieckich, japońskich i przynajmniej jednym ataku na producenta amerykańskiego. Przypomina też o fakcie uruchomienia przez Fiata, Chryslera oraz Teslę programów Bug Bounty (wynagradzania za zgłaszanie producentom znalezionych błędów w oprogramowaniu). Sugeruje również, że, biorąc pod uwagę liczbę interfejsów udostępnianych w nowych pojazdach (USB, OBD II, Bluetooth, ECU, ADAS, DSRC, TPMS, i inne) organizacja Euro ENCAP mogłaby  rozważyć wprowadzenie dodatkowych gwiazd za bezpieczeństwo w klasie: Internet of Things.

Pod znakiem megawycieków

Marcin Ludwiszewski zwraca także uwagę na wzrostowy trend ataków typu DDoS z wykorzystaniem botnetów różnych urządzeń sieciowych. Oprogramowanie złośliwe Mirai wykorzystywało podstawowe luki (np. hasła domyślne), aby infekować urządzenia (m.in. zdalne kamery, routery domowe), które tworząc botnety o wielkości do kilkuset tysięcy urządzeń były narzędziem do prowadzenia wspomnianych ataków. Ich skutki odczuli m.in. klienci firmy hostingowej OVH oraz firmy DYN, która świadczy m.in. usługi DNS dla dla Amazona, Netflixa czy Twittera. 

Rok 2016 to również tzw. megawycieki, a właściwie w niektórych przypadkach ujawnienie wycieków, które wydarzyły się do kilku lat wstecz. Poza Mossak Fonseca, Yahoo i Linkedin przestrogą dla wszystkich powinna być współpraca dostawcami skutkująca – np. w przypadku Michael Page i Capgemini – wyciekiem 30 GB danych klientów Michael Page.