Krytyczne luki kosztują miliony

Biznes INTERIA.PL na Twitterze. Dołącz do nas i czytaj informacje gospodarcze

"Wraz z transformacją cyfrową coraz więcej produktów zawiera kod i może się ze sobą łączyć. Każdy produkt zawierający kod zawiera również luki w zabezpieczeniach. Według szacunków na każde 2 tys. wierszy kodu występuje od 20 do 100 błędów. Można to sprowadzić do jednej usterki na 2 tys. wierszy, jeśli przestrzegane są wytyczne dotyczące bezpieczeństwa w fazie projektowania. Aby spojrzeć z perspektywy, przeciętna aplikacja na iPhone’a ma około 50 tys. linii kodu. Tymczasem Android ma około 12 mln. linii, a Windows 10 ponad 50 mln." - czytamy w raporcie OECD "Digital Economy Outlook 2020".

"Jednak nie wszystkie luki są krytyczne. Według automatycznej analizy 1,4 mln. aplikacji, 85 proc. zawiera przynajmniej jedną lukę, ale jest ona krytyczna tylko w 13 proc. przypadków. Podobnie, nie wszystkie luki można łatwo wykorzystać. W przypadku niektórych wymagana jest fizyczna obecność i interakcja międzyludzka, podczas gdy inne mogą być wykorzystywane zdalnie. Każde oprogramowanie ma nieodkryte lub utajnione luki w zabezpieczeniach" - czytamy dalej.

Te luki w oprogramowaniu przydają się cyberprzestępcom wykorzystującym metodę phishingu. To oszustwo, którego istotą jest podszycie się pod osoby lub zaufane instytucje aby wyłudzić wrażliwe dane (loginy do bakowości elektronicznej albo sieci firmowej, numery kart płatniczych itd.). Pharming z kolei polega na modyfikacji zawartości adresu www w celu przekierowania na fałszywą stronę. Cel jest taki sam - przejęcie wrażliwych danych.

Odsetek internautów, którzy doświadczyli phishingu i pharmingu różni się znacząco w poszczególnych europejskich krajach. Biorąc pod uwagę sam phishing, pierwszą trójkę stanowią Norwegia (prawie 60 proc. internautów doświadczyło phishingu), Szwajcaria (47 proc.) oraz Dania (46,5 proc.). Na przeciwnym biegunie leżą kraje nie tak zinformatyzowane i nie tak zamożne - W Polsce 7,4 proc. internautów doświadczyło phishingu, na Łotwie 6,8 proc., a na Litwie tylko 4,1 proc.

Przywołane tu przez OECD dane z Eurostatu dotyczą 2019 roku. Jest niemal pewne, że 2020 rok te odsetki internautów stykających się z próbą oszustwa tylko zwiększy. To przecież rok, w którym i praca i zakupy przeniosły się do sieci na bezprecedensową skalę. Siłą rzeczy do sieci przenieśli się też przestępcy.

W marcu 2020 roku kampania phishingowa we Włoszech dotknęła ponad 10 proc. organizacji w kraju dzięki umiejętnemu użyciu słowa COVID-19. Inni cyberprzestępcy stworzyli interaktywny pulpit udający ten Uniwersytetu Johnsa Hopkinsa, na którym śledziliśmy rozprzestrzenianie się koronawirusa.

Nieco bardziej skomplikowane są ataki na firmy, ale i tu, korzystając z ludzkich słabości przestępcy mogą osiągnąć wiele. W raporcie OECD przytacza się przykłady dwóch ataków typu malware (to różnego rodzaju szkodliwe programy, które usiłują zainfekować pojedynczy komputer, a potem firmową sieć) o niebanalnych nazwach: WannaCry i NotPetya. Złośliwy program szyfrował pliki w firmowych sieciach i żądał okupu w zamian za klucz deszyfrujący. Tylko WannaCry zainfekował ponad 100 tys. systemów na całym świecie. Razem te dwa ransomware spowodowały miliardy dolarów szkód w wielu firmach.

Mając to na uwadze, ciekawie spojrzeć też na grafikę ukazującą, jaki procent przedsiębiorstw ubezpieczyło się od incydentów związanych z technologią informacyjną i komunikacyjną (ang. ICT). W Danii postąpiło tak aż 55,7 proc. firm, w Wielkiej Brytanii 45,6 proc. a we Francji 39,1 proc. Na przeciwnym biegunie są Słowenia, Węgry i Litwa (odpowiednio 4,4 proc; 3,9 proc. oraz 3,6 proc.). Polska ma wynik dwucyfrowy - 10,8 proc.

Oczywiście nie jest tak, że ubezpieczenia od ataków, ocena ryzyka i wszelkie środki zaradcze, które podejmują firmy mają sens w każdym przypadku i przy każdym rodzaju działalności. Nawet w raporcie OECD znajduje się konstatacja, że skłonność firm do wdrażania środków bezpieczeństwa cyfrowego rośnie wraz z ich wielkością i jest wyższa też w określonych branżach - w samym sektorze ICT, działalności naukowej i technicznej albo na rynku nieruchomości.

Ciekawy wątek w raporcie dotyczy też przestępstw związanych z rynkiem kryptowalut. Już ponad miliard dolarów ma wartość kryptowalut ukradzionych z różnych ich giełd w dziesiątkach udanych ataków. Tylko w 2019 roku 12 ataków zakończyło się kradzieżą kryptowalut o wartości 292 mln dolarów. W 2018 roku osiem ataków doprowadziło do kradzieży 844 mln dolarów. Czasem ataki doprowadzają do upadku całej giełdy (np. Mt. Gox, Cryptopia, Youbit), a klientom nie zawsze udaje się odzyskać swoje konta.

Przy tej okazji raport wprowadza kolejne angielskie słówka - cryptomining i cryptojacking. To pierwsze ma miejsce, gdy przestępcy instalują złośliwe oprogramowanie, które przywłaszcza moc obliczeniową użytkownika do wydobywania kryptowaluty, to drugie - to kopanie kryptowalut poprzez wstawione skrypty w treści internetowej działającej w przeglądarce.

Jak widać, możliwości bycia ofiarą wykroczenia lub przestępstwa o nowoczesnej angielskiej nazwie jest bez liku. Ostrożność jest zatem wskazana, ale chyba tak samo świadomość, że gdyby nie nowoczesne środki komunikacji, zapaść gospodarcza podczas lockdownów byłaby jeszcze większa.

Marek Pielach, dziennikarz Obserwatora Finansowego, specjalizuje się w makroekonomii i finansach publicznych

Trwa wielka loteria na 20-lecie Interii! 

Weź udział i wygraj! Każdego dnia czeka ponad 20 000 złotych - kliknij i sprawdź

	Loteria w Interii
	Chcę 1 LOS ZA 3,69 zł	Zwiększam szanse i chcę 10 LOSÓW ZA 14,76 zł zamiast 36,90 zł	Chcę mega bonus 100 LOSÓW ZA 47,97 zł zamiast 369 zł