Na celowniku współczesnych cyberprzestępców może znaleźć się dziś praktycznie każdy – faktem jest jednak, że wysoko postawieni menadżerowie (szefowie działów, CXO, członkowie zarządu czy rad nadzorczych) są dla internetowych złoczyńców wyjątkowo atrakcyjnymi celami. Niestety, w wielu firmach to zagrożenie jest zupełnie ignorowane.
Doskonałym przykładem może być historia z początku bieżącego roku, kiedy z austriackiej spółki FACC Operations w atmosferze skandalu odeszli CEO oraz szef działu finansów – obaj przyczynili się bowiem nieświadomie do wyprowadzenia z firmy ponad 40 mln euro. Jak to się stało?
Polowanie na grube ryby
Wspomniani wyżej panowie stali się celami ataku znanego w branży jako „whaling”, czyli polowanie na wieloryby (alternatywnym terminem, również w pewnym sensie nawiązującym do branży wielorybniczej, jest spear phishing – czyli ściśle ukierunkowany phishing). Ideą takiego ataku jest wybranie jednej (lub maksymalnie kilku), bardzo konkretnej osoby w danej organizacji i skierowanie całych wysiłków na zainstalowanie w jej urządzeniach złośliwego oprogramowania, wykradzenie informacji czy przejęcie korespondencji.
Tak było właśnie w tej sytuacji – przestępcy skupili się na CEO firmy FACC i wysłali do niego szereg wiadomości e-mail, skomponowanych tak, by menedżer uznał, że ma do czynienia z realną, dotyczącą funkcjonowania firmy korespondencją. Czasy, w których każdy otwierał wiadomości zatytułowane „Naga Anna Kurnikova” dawno minęły, jednak gdy ów CEO dostał e-maila, którego tytuł i treść bezpośrednio nawiązywały do działań prowadzonych aktualnie przez jego firmę, nie zastanawiał się, tylko go otworzył. A to zainicjowało cały łańcuch wydarzeń, który ostatecznie doprowadził do wykradzenia z FACC ponad 40 mln euro (część tej kwoty udało się później odzyskać, ale nie zmieniło to sytuacji obu zwolnionych menedżerów).
Wysoko postawieni menedżerowie są idealnym celem takich ataków – z dwóch podstawowych względów. Po pierwsze, są celami bardzo wartościowymi, bo to oni dysponują zwykle najcenniejszymi dla przestępców zasobami: informacjami o funkcjonowaniu firmy, dostępem do chronionych zasobów, czy po prostu uprawnieniami do zarządzania finansami organizacji. Po drugie, jako szefowie firmy czy działu, są przez cały czas na świeczniku – wiadomo, jak się nazywają, gdzie aktualnie przebywają, jakimi projektami się zajmują.
Wszystkie te informacje bez problemu pozwalają na zaplanowanie i przeprowadzenie ataku spear phishingowego – czyli np. stworzenie takiej wiadomości e-mail, którą odbiorca uzna za skierowaną do niego, bezpieczną i godną uwagi. Wystarczy więc tylko dołączyć do takiej wiadomości odpowiednie złośliwe oprogramowanie (np. korzystające z luki, przed którą nie chroni większość anty-wirusów – może to być tzw. zero-day, czyli błąd odkryty przez przestępców zanim producent aplikacji przygotuje odpowiednią poprawkę)... i mamy idealny przepis na atak.
Publiczna chmura i prywatny smartfon
Ale realnym zagrożeniem dla bezpieczeństwa informatycznego najważniejszego personelu firmy mogą być nie tylko cyberprzestępcy – równie niebezpieczne może być nieprzemyślane i niekontrolowane korzystanie z dobrodziejstw nowych technologii. Coraz poważniejszym problemem jest np. nierozsądne korzystanie z serwisów chmurowych, pozwalających na przechowywanie i synchronizowanie plików na różnych urządzeniach. Owszem, takie usługi mogą być i częstokroć są bezpieczne - ale pod warunkiem, że zostały odpowiednio przetestowane pod kątem zgodności z procedurami obowiązującymi w danej organizacji i dopuszczone do użytku przez firmowy dział IT.
Niestety, wielu menedżerów nie zawraca sobie głów takimi drobiazgami i w najlepsze przechowują i przesyłają poufne firmowe dane za pomocą standardowych, „konsumenckich” usług chmurowych, narażając w ten sposób na szwank bezpieczeństwo danych oraz integralność infrastruktury informatycznej przedsiębiorstwa.
Równie poważne konsekwencje może mieć trend BYOD (czyli Bring Your Own Device - przynieś własne urządzenie) polegający na wykorzystaniu do celów „firmowych” prywatnego, sprzętu.
Największe zaniedbanie, jakie popełniają pracownicy, w tym nawet wysoko postawieni menedżerowie, polega wykorzystywaniu urządzeń, które nie zostały sprawdzone i w odpowiedni sposób zabezpieczone przez dział bezpieczeństwa IT.
Skutkiem nieautoryzowanego BYOD może być naruszenie integralności całego systemu poprzez wprowadzenie złośliwego kodu, co może prowadzić do pozyskania przez hakerów poufnych informacji na temat klientów, pracowników czy projektów, nad którymi pracuje firma.
Jak się bronić?
Dobra wiadomość jest taka, że istnieją skuteczne metody ochrony przed takimi zagrożeniami – aczkolwiek nie ma jednego, cudownego zabezpieczenia, które zapewni spokój firmie i użytkownikom. Kluczem jest tu odpowiednio przemyślana, wdrożona i egzekwowana polityka bezpieczeństwa, na którą składać powinien się cały zestaw rozwiązań z zakresu IT security. Jeśli chodzi o ochronę przed spear phishingiem, to podstawowym zabezpieczeniem powinno być stosowanie odpowiednio zaktualizowanego oprogramowania do monitorowania poczty elektronicznej – nie tylko klasycznego „antywirusa”, ale również aplikacji analizującej stale ruch sieciowy pod kątem wszelkich anomalii i odstępstw od normy.
Oczywiście, kluczowe jest również stałe aktualizowanie systemu i aplikacji, by nie było możliwe przeprowadzenie ataku za pośrednictwem luki w tym oprogramowaniu (owszem, przestępcy często korzystają z luk, na które nie ma jeszcze poprawki – ale liczbę potencjalnych dróg ataku zawsze warto ograniczać).
Jeśli chodzi o zabezpieczenie urządzeń mobilnych i trend BYOD, dobrym rozwiązaniem jest wdrożenie w organizacji oprogramowania do zarządzania „flotą” firmowych smartfonów i tabletów – wiele z takich rozwiązań potrafi już skutecznie radzić sobie z wieloma typami urządzeń i zabezpieczać również prywatny sprzęt pracowników. Jedną z metod jest np. tworzenie w pamięci urządzenia mobilnego dwóch wyraźnie odseparowanych obszarów, prywatnego i służbowego (przy czym dane w każdym z nich są odpowiednio „silnie” szyfrowane – tak by w razie utraty urządzenia zminimalizowane było ryzyko ich przejęcia). BYOD nie jest bowiem problemem samym w sobie – odpowiednio przemyślana i wdrożona polityka wykorzystywania różnych (również prywatnych) urządzeń mobilnych sprawia, że zjawisko to może być bezpiecznym i efektywnym rozwiązaniem. Kłopoty pojawiają się zwykle wtedy, gdy użytkownicy próbują to robić na własną rękę, bez konsultacji z firmowym działem IT.
O bezpieczeństwo firmowych danych również można skutecznie zadbać – stosując odpowiednie aplikacje do kontrolowania i zabezpieczania obiegu informacji w organizacji, a także wyspecjalizowane narzędzia DLP (data leak prevention), blokujące wszelkie próby celowego lub przypadkowego przekazania w niepowołane ręce (lub miejsce) firmowych dokumentów.
Gra o bezpieczeństwo
Niezmiernie ważnym, a często pomijanym czynnikiem, jest również odpowiednie edukowanie użytkowników – od szeregowego pracownika po CEO. Najlepsze zabezpieczenia sprzętowe i programowanie nie zadziałają, jeśli głównym celem ataku będzie nie aplikacja, czy luka w niej, lecz człowiek, ze swoimi przyzwyczajeniami i skłonnością do ryzyka. Dlatego warto nie tylko raz przeszkolić wszystkich w zakresie współczesnych zagrożeń informatycznych i metod, jakich przestępcy mogą używać by skutecznie zaatakować użytkowników, ale wręcz wprowadzić tę kwestię do stałej firmowej komunikacji i regularnie przypominać personelowi o zagrożeniach i ich konsekwencjach.
Forma tych przypomnień nie musi zresztą być bardzo poważna – Jason Clark, ceniony specjalista ds. bezpieczeństwa i prezes organizacji Security Advisor Alliance radzi na przykład, by wprowadzać w firmie konkursy premiujące pozytywne zachowania w dziedzinie bezpieczeństwa. Konkurs taki może mieć np. formę rankingu najciekawszych/najgłupszych/najbardziej oczywistych prób phishingu docierających do pracowników. To świetna inicjatywa, wprowadzająca do zarządzania bezpieczeństwem tak popularny obecnie aspekt grywalizacji i pozytywnie wpływająca na poziom zabezpieczenia całej organizacji.
Autor: Daniel Cieślak
Szukasz porady? Skontaktuj się z ekspertem z Asseco:
+48 22 574 88 23; e-mail: piotr.fabjaniak@assecods.pl