Newralgiczne firmy znajdą się pod obserwacją
Energetyka, bankowość, zdrowie, dostawcy mediów jak woda i usług cyfrowych będą mieć obowiązek zgłaszania cyberataków do CERT-ów, niezależnie od formy własności. Tymczasem firmy - dostawcy usług borykają się ze skutkami niedoceniania problemów bezpieczeństwa informatycznego, zaś większość firm usług finansowych nie chce ujawnienia stosowanych rozwiązań zabezpieczających, nawet jeśli okażą się nieskuteczne.
6 lipca 2016 roku Parlament Europejski przyjął Dyrektywę NISE, która dotyczy bezpieczeństwa sieci i informacji. Jej przepisy nakładają na wybrane podmioty określone obowiązki z zakresu bezpieczeństwa informatycznego.
Dotyczy to firm informatycznych, działających we wrażliwych obszarach gospodarki oraz firm określonych jako tzw. operatorzy usług kluczowych, do których zaliczono sektor bankowy, energetyczny, transport czy ochrona zdrowia. Państwa zostały też zobowiązane do przyjęcia krajowych strategii bezpieczeństwa zwanych strategiami NIS. Powstała także grupa ds. współpracy, składająca się z sieci krajowych CSIRT-ów, przedstawicieli państw członkowskich oraz ENISA (Europejskiej Agencji Bezpieczeństwa). Przepisy wykonawcze Dyrektywy stwierdzają iż państwa członkowskie mają 21 miesięcy na jej implementację w krajowych porządkach prawnych oraz dodatkowe 6 miesięcy na identyfikację operatorów usług kluczowych.
Oznacza to, że w Polsce krajowa implementacja Dyrektywy NIS wejdzie w życie w 2018 roku. Jak stwierdził Krzysztof Silicki, dyrektor ds. Współpracy i Rozwoju Cyberbezpieczeństwa w NASK, wiceprzewodniczący Rady Zarządzającej Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) w czasie konferencji CyberSEC, jest to związane z tzw. poważnymi incydentami i atakami jakie miały miejsce w poprzednich latach. Były to ataki powodujące widoczne skutki negatywne jak zakłócenia linii produkcyjnych czy zakłócenia działania sieci energetycznej ( na Ukrainie). Udowodniły one, iż możliwy jest taki atak hackerski na np. sieci wodociągowe, który pozbawi ludzi możliwości korzystania z wody pitnej czy "narazi ich na niebezpieczeństwo jej skażenia".
Naruszenie bezpieczeństwa trzeba będzie zgłaszać do zespołów szybkiego reagowania na zagrożenia informatyczne CERT(Computer Emergency Response Teams). CERTy mają działać przez 24 godziny na dobę i ich zadaniem ma być koordynacja działań dotyczących cyberbezpieczeństwa na danym obszarze. Tego typu działania są bardzo istotne, bowiem to, co spotkało jedną firmę, może zaraz przytrafić się innej firmie z tego samego sektora czy branży, bowiem jeden udany atak pociąga za sobą nawet kilkanaście następnym realizowanych w tym samym czasie. Jednocześnie, jak zauważył Silicki, informacje tego typu nie mogą rodzić negatywnych skutków czyli np. zawiadomienie o udanym ataku nie oznacza, że w zaatakowanej firmie pojawi się kontrola czy nastąpi audyt ze strony organów państwowych. Większość obecnych ataków jest na tyle zaawansowana, że większość firm sobie z nimi nie radzi, zaś obowiązek raportowania pozwala stworzyć plan sytuacyjny zagrożeń, co pozwala określić ich skalę, konieczne środki do likwidacji czy też do zabezpieczenia się przed powtórzeniem tego typu sytuacji.
Skala zjawiska jest spora. Według raportu PwC w 2016 roku, aż 96 proc. polskich dużych i średnich firm odnotowało ponad 50 incydentów związanych z naruszeniem bezpieczeństwa lub systemów teleinformatycznych.W wypadku aż 64 proc. liczba tego typu zdarzeń była większa niż 500.
Co prawda najpopularniejszą forma ataku był phishing (39 proc.), który miał na celu skłonienie użytkownika do wykonania operacji, pośrednio zagrażającej systemom (np. instalacja malware), na drugim miejscu znalazło się już wykorzystanie systemów IT (35 proc.), zaś na trzecim - nośnika danych (23 proc.). Efekty ataku to najczęściej ryzyko prawne i straty finansowe (35 proc. wskazań), utrata klientów i kradzież własności intelektualnej (po 30 proc.),ale przy tym aż 55 proc. firm nie wie, jakie były naprawdę skutki ataków na nie lub na ich dane. Co ciekawe, ataki hackerskie stanowiły przy tym 62 proc. przyczyn incydentów, a 79 proc. było efektem działań pracowników od zwykłej bezmyślności do podejrzeń o działania zaplanowane, co pokazuje iż problem insiderów, działających na niekorzyść firmy nie doczekał się jeszcze żadnego rozwiązania - przynajmniej w naszym kraju. Warto też zauważyć , że najwięcej incydentów w sektorze bankowym i usług finansowych wcale nie oznacza iż ich przyczyny i podjęte działania są w jakikolwiek sposób znane - banki strzegą tajemnicy, oficjalnie, by nie powodować "niepotrzebnej paniki", nieoficjalnie zaś nie chcąc ujawniać jakimi dysponują rozwiązaniami bezpieczeństwa, nawet jeśli okazały sie one nieskuteczne. Z kolei firmy - dostawcy mediów jak woda borykają się ze starymi systemami bezpieczeństwa, które nie były modernizowane często od 10 lat, bowiem nikt nie spodziewał się ataków na tego typu branże i cyberbezpieczeństwo rozumiano w ich działać IT często jako konieczny, acz niezbyt ważny składnik systemów, koncentrując się głównie na zabezpieczeniu przed malware.
Tymczasem tegoroczny raport Cisco Annual Cybersecurity Report stwierdza iż firmy nie zdają sobie dokładnie sprawy ze skali zagrożeń - także i w Polsce. Tymczasem, co druga firma, która w 2016 roku padła ofiarą ataku, doświadczyła upublicznienia tej informacji. Straty jakie firmy poniosły, były przy tym całkiem realne, bowiem 22 proc. firm utraciło klientów, zaś dla 40proc. z nich ta strata to ponad 20 proc. istniejącej bazy klientów, 29 proc. firm odnotowało spadek przychodów; wśród nich 38 proc. na poziomie przekraczającym 20 proc. W efekcie 23 proc. firm uważa, że udane włamania ograniczyły ich możliwości rozwoju, a 42 proc. z nich szacuje stratę w potencjalnych dochodach na ponad 20 proc.
Podobnie jak niektóre firmy zachodnie, także i w Polsce zarządy firm widzą cyberataki jako coś, co zdarza się tylko największym koncernom. ta swoista beztroska przenosi się na poziom działów IT i powoduje iż ponad 4 na 10 alertów odnotowanych w ramach firmowego systemu bezpieczeństwa nie jest sprawdzanych, zaś "fixy" obejmują tylko 46 proc. wszystkich alertów. Być może winne takiemu postępowaniu jest powszechne (7-0 proc.) przekonanie działów IT, że dysponują skutecznymi narzędziami ochrony, które są w stanie wykrywać zarówno znane jak i nowe rodzaje zagrożeń. Pozytywne jest, ze jeśli już nastąpi atak lub zagrożenie bezpieczeństwa, na ogół reakcja jest widoczna. I tak 90 proc. zaatakowanych firm zdecydowało się na modernizację procesów biznesowych i wdrożenie nowych technologii bezpieczeństwa; głównie poprzez separację funkcji związanych z utrzymywaniem systemu IT i zapewnianiem jego bezpieczeństwa i zwiększenie liczby szkoleń z zakresu bezpieczeństwa wśród pracowników firmy (po 38 proc.) oraz wdrożenie narzędzi i technik ograniczających ryzyko zagrożeń (37 proc.). Tyle tylko, że taki upgrade systemów bezpieczeństwa niesie za sobą nowe zagrożenia, związane z ich rosnąca złożonością. Aż 65 proc. firm deklaruje, że w ramach swojej infrastruktury bezpieczeństwa wykorzystuje od 6 do ponad 50 różnych produktów, często pochodzących od kilku do kilkunastu dostawców. Zapanowanie nad takim systemem jest już bardzo trudne, bowiem pochodzące od różnych dostawców, niezintegrowane między sobą rozwiązania tworzą złożone, trudne do zarządzania środowisko. Ilość potencjalnych podatności rośnie wykładniczo.
Tymczasem złożoność i wyrafinowanie ataków rosną. Podstawę stanowi już wykorzystywanie luk w poprawkach i aktualizacjach, stosowanie wobec użytkowników pułapek inżynierii społecznej oraz umieszczanie złośliwego oprogramowania w pozornie legalnych treściach internetowych. Nowy wektorem ataku są chmury. W efekcie konieczne i czasem niezbędne staje się skrócenie czasu wykrywania zagrożeń przez firmowe systemy bezpieczeństwa. I tu widoczna jest największa luka - raport stwierdza, że obecnie średni czas wykrycia nieznanego zagrożenia przez system IT wynosi 100 dni.
Marek Meissner
