Przynajmniej raz w roku zarząd każdej firmy powinien pochylić się nad poziomem zabezpieczeń w organizacji i zweryfikować, czy bieżąca ochrona jest wystarczająca i nadąża za rozwojem firmy i nowymi technologiami cyberataków.
Sandra Gentkowska
Account Executive w Akamai Technologies, od 15 lat związana z branżą IT; wspiera instytucje publiczne i finansowe w Polsce w budowaniu odporności na cyberzagrożenia.
Dariusz Wrona
Ponad 25 lat doświadczenia w branży IT, z czego 15 lat poświęcił bezpośrednio obszarowi operacji. Dołączył do Akamai 11 lat temu i od tego czasu kieruje EMEA Security Operations Command Center w Krakowie – całodobowym centrum, które chroni klientów Akamai przed cyberatakami.
Akamai od lat jest wyróżniany w raportach Gartnera i Forrester. Czy mogliby państwo przybliżyć, czym dokładnie zajmuje się wasza firma?
Sandra Gentkowska: Firma Akamai powstała ponad 26 lat temu i jako pierwsza na świecie platforma dostarczała treści w internecie, rozwiązując kluczowy problem „wczesnego” internetu, czyli przeciążenia sieci i wolnego ładowania stron. Dziś głównym wyzwaniem dla firm nie jest już prędkość internetu i prędkość przesyłania danych, lecz kwestia ich bezpieczeństwa w sieci. Dlatego ewoluowaliśmy w firmę o silnym profilu cyberbezpieczeństwa. Obecnie przetwarzamy i analizujemy ok. 30 proc. globalnego ruchu internetowego, dzięki czemu mamy unikalny wgląd w to, jak zmienia się profil zagrożeń cyberatakami i w jakim kierunku one ewoluują.
Wspomniane 30 proc. ruchu internetowego to naprawdę dużo, bo daje to wam dostęp do ogromnej ilości danych. Jakie cyberzagrożenia obserwujecie najczęściej?
Dariusz Wrona: Patrząc z perspektyw naszych klientów – średnich i dużych firm, których strony internetowe muszą być dostępne dla klientów w trybie 24/7 – najwięcej szkód czynią ataki DDoS. To ataki, które wykorzystują wektory dostępu na warstwie trzeciej, czwartej i siódmej, czyli protokoły komunikacji, co oznacza, że są stosunkowo łatwe do przeprowadzenia. A skoro tak, to są dość częste i nawet średnio techniczna osoba może zaatakować wybraną firmę i wyłączyć ją z obecności w internecie. Wystarczy prosty program, który można pobrać z ogólnodostępnych stron internetowych, by cyberaktywista mógł wygenerować sztuczny ruch na stronie internetowej przedsiębiorstwa i przeciążyć system. Możliwe są też bardziej skomplikowane formy ataków DDoS nakierowane na paraliż dużych instytucji, takich jak banki, czy np. firm sprzedających bilety na koncerty czy na pociągi. Tego typu organizacje mają na ogół solidne zabezpieczenia, ale nie dają im one 100-proc. pewności i mimo wszystko mogą paść ofiarami ataku DDoS.
Drugą kategorią incydentów są ataki przeprowadzane przez boty, czyli programy komputerowe zaprojektowane do wykonywania powtarzalnych zadań w sposób zautomatyzowany.
Cyberprzestępcy często wykorzystują je do monetyzacji danych z kart płatniczych – jeśli weszli w posiadanie danych z setek czy tysięcy kart, to za pomocą botów weryfikują, czy któraś z nich jest jeszcze aktywna. Jeśli uda się taką znaleźć, to wykorzystują ją do nieautoryzowanych zakupów internetowych.
Ostatni, trzeci typ ataków – który wciąż jest niedoceniany przez firmy – to incydenty z wykorzystaniem API. To o tyle ciekawa i trudna do zatrzymania metoda, że hakerzy dostają się do systemów organizacji za pośrednictwem innych firm czy klientów, których organizacja sama „wpuszcza” do swoich systemów. Takim działaniem nieświadomie jednak naraża się na ataki cyberprzestępców.
Które z tych typów ataków stanowią potencjalnie najpoważniejsze wyzwanie dla współczesnych organizacji?
DW: Wszystkie są szkodliwe i mogą powodować duże straty. Nawet dla najmniejszych firm chwilowy brak dostępności strony internetowej jest wizerunkowym i finansowym problemem. W przypadku większych firm, np. sprzedawców biletów, jest to już bardzo poważna sprawa, która naraża dostawcę takich usług na trwałą utratę klientów.
Natomiast dużo większy potencjał strat jest w atakach typu API, które zagrażają większym organizacjom i których trudniej się ustrzec. Kierunki tych ataków są różne, a do ich wyeliminowania trzeba zabezpieczyć nie tylko swoje API, ale też API „trzeciej strony”, czyli naszych klientów czy organizacji, z którymi współpracujemy.
SG: Naszym zdaniem to właśnie bezpieczeństwo API staje się dziś najpoważniejszym wyzwaniem – zarówno ze względu na rosnącą liczbę usług opartych o API, jak i ich atrakcyjność dla cyberprzestępców. Wiele organizacji nie ma pełnej wiedzy, jakie API są w ogóle wystawione na zewnątrz, nie wszystkie API mają pod kontrolą, a tzw. shadow API są wciąż łatwe do pozyskania przez cyberprzestępców.
To powoduje, że świadomość zagrożeń dotycząca tego typu ataków, nawet wśród dyrektorów ds. cyberbezpieczeństwa, jest w polskich firmach daleko niewystarczająca.
Jak dynamiczny rozwój technologii, w tym AI, wpływa na cyberbezpieczeństwo?
DW: Duże modele językowe to bardzo potężne narzędzia i jak zawsze mogą być wykorzystywane do czynienia zarówno dobra, jak i zła. Jeśli chodzi o tę jasną stronę, to AI i uczenie maszynowe pomagają w analizowaniu ogromnej ilości danych, w znalezieniu korelacji pomiędzy zdarzeniami w systemach bezpieczeństwa, by zaznaczyć je analitykowi SOC. To rewolucjonizuje analizę kodów i poprawia kwestie bezpieczeństwa użytkowników sieci, w tym firm. Z drugiej jednak strony osoby, które chcą wykorzystywać technologię do niewłaściwych celów, mają w ręku bardzo przydatne narzędzie do usprawnienia swojej pracy. AI może pomagać tworzyć nieodpowiednie oprogramowanie czy wspierać phishing, który staje się zmorą indywidualnych użytkowników internetu. Nowoczesne aplikacje są bowiem w stanie perfekcyjnie tłumaczyć na język polski treści, które mają na celu nakłonienie nieświadomego użytkownika do kliknięcia w szkodliwy link. Mówiąc krótko, wraz z upowszechnieniem AI cyberprzestępcy mogą działać na znacznie większą skalę niż dotąd, co podnosi ryzyko zarówno dla indywidualnych internautów, jak i całych organizacji. Dlatego poza klasycznymi kontrolami konieczne staje się ciągłe monitorowanie treści generowanych przez LLM oraz zabezpieczanie samych rozwiązań AI przed nadużyciami i atakami; przykładem takiego podejścia jest AI Firewall oferowany przez Akamai.
Czy poziom wiedzy polskich firm dotycząca tych zagrożeń i sposobów ich prewencji się zwiększa?
SG: Świadomość na szczęście rośnie, choć to zależy od branży i wielkości organizacji. Obowiązkowe regulacje administracyjne, takie jak RODO czy NIS2, też poprawią sytuację, bo wymuszają na firmach wprowadzenie choćby podstawowych zabezpieczeń.
DW: Tyle że sama świadomość o zagrożeniach, choć faktycznie większa niż jeszcze kilka lat temu, nie wystarcza. Za tym muszą iść kolejne kroki, by tym zagrożeniom w porę zapobiegać. Wiele firm zwraca się do nas po pomoc, gdy jest już za późno i padły ofiarami ataku. Zdarza się, że wyjaśnienie rodzaju i przyczyny incydentu po stronie organizacji bywa utrudnione, bo nie zawsze jest ktoś, kto może to zrobić od razu i wprost. Dlatego tak ważne jest, by firmy działały zapobiegawczo, a nie dopiero po szkodzie.
Koszty usuwania szkód są zawsze znacząco wyższe niż koszty prewencji.
Jakie inne błędy najczęściej popełniają firmy, tworząc swój system zabezpieczeń?
DW: Ochrona przeciw atakom DDoS nie musi dotyczyć każdego przedsiębiorstwa, ale dla średnich i dużych firm jest to obowiązek. Jeśli bowiem przekracza się już pewien próg rozwoju, urosło się na tyle, że nawet kilkugodzinna niedostępność strony internetowej będzie przez klientów zauważona, to nie ma innej drogi niż solidne zabezpieczenie. Systemy bezpieczeństwa najlepiej tworzyć i monitorować we współpracy z uznanym i doświadczonym partnerem zewnętrznym. Uważam, że przynajmniej raz w roku zarząd każdej firmy powinien pochylić się nad poziomem zabezpieczeń w organizacji i zweryfikować, czy bieżąca ochrona jest wystarczająca i nadąża za rozwojem firmy i nowymi technologiami cyberataków.
