Cyberuderzenie w przemysł – dlaczego warto zgłosić incydent?
- Z pomocą formularza na stronie incydent.cert.pl firmy mogą zgłaszać osoby kontaktowe – w tekście piszemy, dlaczego warto to zrobić.
- Poinformowanie o incydencie umożliwi nie tylko otrzymanie pomocy, ale pozwoli także zidentyfikować sposób działania cyberprzestępców.
- Prowadzący biznes z obawy przed reakcją otoczenia, często nie decydują się na przesłanie danych o atakach.
Przedsiębiorcy słusznie słuchają rad dotyczących ochrony firmowych danych. Jednak mimo budowania wirtualnych fos, zasieków i fortyfikacji zdarza się, że przestępcom i tak udaje się sforsować zabezpieczenia. Wówczas kluczowe są procedury postępowania na wypadek sytuacji przełamania ochrony. Ważnym pytaniem jest, czy należy zgłaszać, że padło się ofiarą cyberprzestępców. Z pewnością kluczowe będą kwestie ekonomiczne, wizerunkowe i konieczność szybkiego przywrócenia do pracy firmowych systemów – to, w jakim stopniu dany przypadek może budować bezpieczne środowisko, schodzi na nieco dalszy plan. Podmioty zobowiązane do zgłaszania incydentów wylicza obowiązująca ustawa o krajowym systemie cyberbezpieczeństwa. Czy mimo braku prawnego obowiązku warto to zrobić? Aby odpowiedzieć na trudne pytania z zakresu cyberochrony, rozmawiałam z Sebastianem Kondraszukiem, kierownikiem Zespołu Analiz Bieżących Zagrożeń oraz zastępcą kierownika działu CERT Polska ds. operacyjnych.
Uważaj, co wrzucasz do sieci
W kontekście bezpieczeństwa przemysłu niezwykle ważne jest kontrolowanie tego, co sami wrzucamy lub podłączamy do sieci. Zasady cyberbezpieczeństwa w tej kwestii są jasne, mimo to zastępca szefa CERT Polska zaznacza, że specjaliści z jego zespołu co rusz odnajdują publicznie dostępne panele sterowania, czy zamieszczone w sieci dokumenty, np. schematy funkcjonowania różnych systemów w zakładach przemysłowych. Dlaczego na stronach, w mediach społecznościowych, udostępnianych prezentacjach czy prelekcjach pojawiają się tajemnice przedsiębiorstw? Wydaje się, że odpowiedź na to pytanie jest prosta – lekkomyślność.
Chwila nieuwagi przy wrzucaniu treści do sieci powoduje, że zarówno cyberprzestępcy, jak i różnego rodzaju osoby, którym zależało jedynie na wypróbowaniu swoich umiejętności, mogą uzyskać bardzo cenne informacje. Problem jest rzeczywisty – CERT Polska już w grudniu 2020 roku alarmował, że odnotowuje wzrost liczby przemysłowych systemów sterowania dostępnych bezpośrednio z sieci, często z możliwością zdalnej kontroli. Wcześniej amerykańska CISA (Cybersecurity and Infrastructure Security Agency) ostrzegała przed wykorzystaniem tego typu systemów jako wektora ataku na sieci zakładów produkcyjnych.
Biznes obawia się ataków ransomware i zaszyfrowania danych służących do codziennej pracy przedsiębiorstwa – jednak należy pamiętać, że przy tego typu ataku zawsze możemy – o ile dysponujemy kopiami zapasowymi – dość szybko przywrócić nasze systemy do pracy. Inaczej rzecz ma się z atakującymi, którzy dostaną się do naszej sieci i pozostają w niej przez dłuższy okres, wybierając istotne z ich punktu widzenia dane – informacje kadrowe, newralgiczne dokumenty lub wewnętrzną korespondencję. W ten sposób mogą posiąść dane bardzo istotne z punktu widzenia możliwości popełniania kolejnych przestępstw – np. na podstawie sposobów komunikacji wewnątrzfirmowej czy zlecenia przelewów finansowych.
Warto zwrócić uwagę również na aspekty czysto biznesowe – konsekwencją przejęcia istotnych informacji odnośnie funkcjonowania przedsiębiorstwa, jego wewnętrznej kondycji, problemów i planów może być sprzedaż danych konkurencji czy wykorzystanie do szantażu pod groźbą upublicznienia. Mogłoby to naruszyć pozycję firmy na rynku. Sytuacja staje się jeszcze bardziej skomplikowana w przypadku systemów przemysłowych. Tam przywrócenie działania nie zawsze jest tak proste, nawet gdy dysponujemy kopiami zapasowymi, a efektem ataku mogą być np. przerwy w dostawie prądu czy wody.
Szczególnie niepokojące są dane odnośnie czasu, w jakim wykrywany jest taki nieproszony gość myszkujący po sieci. Chociaż okresowe badania pokazują, że średnie czasy wykrycia znacząco poprawiają się z każdym rokiem i można je już mierzyć w godzinach, to ciągle jeszcze znajdują się firmy, w których ten czas jest liczony w miesiącach. W skrajnych przypadkach czas od momentu włamania do jego identyfikacji wynosi nawet 6 miesięcy.
Padliśmy ofiarą cyberprzestępstwa – co teraz?
Odpowiedź na pytanie o działania po cyberataku trzeba znać jeszcze zanim zostanie się ofiarą przestępstwa. Nie można polegać na wierze, że wypracowane zabezpieczenia są tak dobre, że już nie ma się czym martwić. Konieczne jest przygotowanie odpowiednich procedur postępowania na wypadek ataku – uwzględniających poinformowanie o incydencie odpowiednich instytucji. Przyznanie się do straty danych powoduje, że poza kwestiami finansowymi, w grę wchodzą sprawy wizerunkowe, renoma firmy oraz długoterminowe straty związane z utratą klientów czy zleceń. Należy jednak pamiętać, że w niektórych sytuacjach zgłoszenie tego typu zdarzeń jest obowiązkowe – np. wtedy, kiedy dojdzie do wycieku danych regulowanych poprzez przepisy RODO. Dlatego warto zawczasu przygotować procedurę czy sposób prowadzenia komunikacji firmy.
Sposób zgłaszania incydentów bezpieczeństwa, a także powody, dla których warto to zrobić, znajdą Państwo w dalszej części artykułu, dostępnej w portalu PrzemyslPrzyszlosci.gov.pl.
artykuł sponsorowany
Najnowsze artykuły
- Opolscy policjanci w Auschwitz: Seminarium o prawach człowieka i przeciwdziałaniu dyskryminacji
- Opolska policjantka zdobywa złoty i srebrny medal w biegach przełajowych!
- Policja ratuje "złotego ptaka" z rąk 68-letniego kłusownika
- Brutalny atak w Opolu: dwaj mężczyźni zatrzymani za usiłowanie zabójstwa
- Harcerze na służbie w Szkocji