Organizacje – zarówno publiczne, jak i prywatne – chroniąc się przed cyberatakami, popełniają proste błędy. Dlatego tak ważne jest powierzenie ochrony systemów sprawdzonym partnerom.
Paweł Dobrzański
CSO/Security Tribe Lead T-Mobile Polska, Członek Zarządu T-Mobile Polska Business Solutions
Coraz częściej słyszymy o blackoutach cyfrowych czy atakach na infrastrukturę krytyczną – jak bardzo polskie firmy są narażone na takie incydenty?
Wszystkie firmy muszą się liczyć z ryzykiem cyberataku, aczkolwiek stopień zagrożenia zależy od branży, pozycji na rynku i pieniędzy, jakimi dana firma obraca. Ten aspekt finansowy jest o tyle ważny, że część ataków motywowana jest chęcią zarobku poprzez np. szantaż dotyczący wykradzenia i upublicznienia wrażliwych danych. Natomiast wielu cyberprzestępców jest inspirowanych politycznie, co oznacza, że dysponują bardzo szerokim spektrum narzędzi do zakłócania systemów i wykradania danych. Na takie strategiczne ataki szczególnie narażone są instytucje ważne społecznie, np. szpitale czy banki.
Czy możliwy jest skuteczny cyberatak na całą branżę lub wręcz cały aparat państwa?
Do tej pory nie mieliśmy do czynienia z taką cyfrową bombą atomową i sytuacją, by ucierpiał cały sektor gospodarki czy życia społecznego. Raczej atakowane są pojedyncze firmy, dla których skutki tego typu cyberprzestępstw oznaczają ogromne koszty wizerunkowe czy operacyjne. Natomiast zorganizowany atak symultaniczny na wiele przedsiębiorstw z tej samej branży jest możliwy i musimy mieć tego świadomość, szczególnie biorąc pod uwagę napięcia geopolityczne i cyberataki przeprowadzane ze Wschodu. Niedawno mieliśmy przypadek ataku na szpital Ministerstwa Spraw Wewnętrznych i Administracji w Krakowie. System szpitala został zainfekowany złośliwym oprogramowaniem typu ransomware. Skala działań była potężna – hakerzy zaszyfrowali konfigurację urządzeń oraz bazy danych. W środku nocy wysłaliśmy na miejsce naszych pracowników, którzy pomogli odtworzyć systemy i przywrócić pełną funkcjonalność systemu IT. Udało się tego dokonać bez szkód dla pacjentów, co dla takiej instytucji jak szpital jest kluczowe.
Dlaczego współpraca z partnerami zewnętrznymi w obszarze cyberbezpieczeństwa jest dziś tak istotna?
Budowanie świadomości i odporności wewnętrznej w firmach jest bardzo ważne, ale oczywiste jest, że firma produkcyjna czy usługowa nie jest w stanie zbudować wewnętrznie takich systemów bezpieczeństwa jak zewnętrzna firma, która się w tym specjalizuje.
Organizacje, czy to publiczne, czy prywatne, popełniają też proste błędy – często chronią te elementy systemu, które są najmniej narażone na atak, a zapominają lub celowo pomijają – ze względów finansowych lub braku wiedzy – najbardziej wrażliwe elementy. Dlatego tak ważna jest współpraca z doświadczonymi, dużymi partnerami, którzy mogą dokładnie przeanalizować zagrożenia, a następnie zminimalizować ryzyko ich wystąpienia oraz potencjalnych skutków ataków.
Na co powinny zwracać uwagę firmy, wybierając dostawcę usług z dziedziny cyberbezpieczeństwa?
Najlepiej zaufać partnerom sprawdzonym, mającym bogate portfolio i wiele lat doświadczeń. To podstawa cyberbezpieczeństwa. My, jako operator telekomunikacyjny, mamy olbrzymie spektrum narzędzi, którymi zabezpieczamy naszych klientów. Zarządzamy ogromną siecią, dzięki czemu widzimy i monitorujemy działania tysięcy firm, potrafimy odpowiednio sprofilować narzędzia do konkretnych potrzeb. Na rynku jest wiele firm, które dostarczają tzw. pudełka, czyli gotowe produkty w formie np. firewalli czy licencji na software. Ale to rozwiązania mało skuteczne, bo uniwersalne i okrojone. Tymczasem na kwestie cyberbezpieczeństwa trzeba patrzeć holistycznie i dopasowywać ochronę do konkretnej firmy – jej profilu, systemów, danych, itp. Kluczowe dla strategii cyberbezpieczeństwa jest uprzednie przeprowadzenie rzetelnej analizy ryzyka tak, aby inwestycje i wysiłek były skupione tam, gdzie jest to najbardziej istotne.
Jeśli już taki atak nastąpi – jak działacie w pierwszych godzinach po skutecznym zhakowaniu systemu klienta?
Pierwszy krok to wywiad sytuacyjny z klientem, dojazd na miejsce i sprawdzenie konsekwencji ataku. Jeśli mamy do czynienia z atakiem typu ransomware, to należy jak najszybciej odseparować zainfekowaną część danych od tej, która jeszcze nie jest zaatakowana. W dalszych krokach korzystamy ze środowiska zapasowego, czyli tzw. backupu, i odtwarzamy infrastrukturę tak, aby przywrócić pełne funkcjonowanie systemu. Potem przychodzi czas na analizę działania przestępców oraz ocenę prawdziwych konsekwencji. Wyciąganie wniosków i na tej podstawie udoskonalanie systemów bezpieczeństwa we własnej infrastrukturze oraz u klientów jest podstawą do tego, aby podobny atak nie udał się w przyszłości.
