Małe firmy na celowniku hakerów. Sprawdź, jak bronić się przed atakami

Dziwić może zwłaszcza fakt, że 63 procent przebadanych firm nie zabezpiecza w jakikolwiek sposób komputerów wykorzystywanych do obsługi bankowości elektronicznej.

Dodatkowo, jak pokazują dane uzyskane przez RSM Tenon, po przebadaniu 300 firm Europejskich z sektora MŚP, jedynie 27 procent managerów wyższego stopnia przeprowadza kontrolę bezpieczeństwa sieci w ich firmie. 16 procent przebadanych nie wiedziało nawet czy zainstalowane zostało oprogramowanie antywirusowe, co stanowi zupełną podstawę ochrony. Z czego wynika bagatelizowanie kwestii bezpieczeństwa nawet w najprostszej formie?

Wielu klientów prezentuje zakorzeniony, błędny osąd, jakoby chroniła ich jedynie wielkość przedsiębiorstwa. Jest to oczywisty błąd. Tak jak złodzieje nie odczuwają oporów przed okradaniem domów wyglądających ubogo albo aut średniej wartości, tak nie powstrzyma ich sama wielkość przedsiębiorstwa. Patrząc nadal analogicznie - które z aut będzie łatwiejsze do kradzieży - nowe, cenne, rzucające się w oczy, wyposażone w rozwinięty system ochronny czy typowy samochodów rodzinny, posiadający łatwe do sforsowania zabezpieczenia?

Sektor MŚP radzi sobie tak dobrze jak nigdy, wciąż nabierając wartości. Choć jeszcze w 2008 roku rynek małych i średnich wart był w Europie 145,9 mld dolarów, to w 2011 już 182,6 mld, by w 2012 przewidywana wartość podskoczyła do 202 mld. Kwoty wyliczane w twardej walucie to jednak nie jedyna wartość rynku.

Dla hackera największą wartość mają informacje o nas, a co gorsze - o produktach, a także o naszych pracownikach i klientach - dane osobowe, numery kont bankowych klientów i pracowników, dokumenty pracownicze (ksera dowodów tożsamości, szczegółowe dane teleadresowe, wzory podpisów, a dzięki formularzom urlopowym - także dokładne daty przebywania poza mieszkaniem [sic!]). I to wszystko przechowywane w niezabezpieczonym serwisie.

Najczęstsze ataki

Coraz częściej w polskiej sferze WWW dokonywane są ataki typu DDoS, poznane lepiej dzięki blokowaniu stron rządowych przez przeciwników ACTA, początkiem 2012 roku. Poprzez wygenerowanie liczby wejść, z którą system nie będzie w stanie sobie poradzić, strona jest blokowana, uniemożliwiając internautom dostęp do niej. Jak pokazują badania, firmy z sektora MŚP w większości nawet nie biorą pod uwagę możliwości, że staną się celem podobnego ataku. 28 procent firm stwierdza w badaniach, że nie mają planu na wypadek ataku DDoS, ponieważ problem ten dotyczy jedynie dużych przedsiębiorstw.

Najpopularniejszym modelem ataku jest tzw. phishing. Internauta zwabiany jest przez oszusta (zazwyczaj poprzez e-mail z podstawionym linkiem) na stronę, która udawać ma zaufaną witrynę, np. banku czy sklepu internetowego. Informacje wprowadzone przez oszukanego zostają momentalnie wykorzystane.

Ochrona interesów internautów leży po stronie właściciela witryny, której klienci zaufali. Firmy z sektora MŚP używające certyfikatów SSL wywiązują się z Ustawowego obowiązku zabezpieczania transmisji danych osobowych.

- W jaki sposób firma z sektora MŚP może ucierpieć na braku zabezpieczeń w postaci certyfikatu SSL? Łatwo możemy sobie to wyobrazić na przykładzie wziętym z życia: planowanie rodzinnego wyjazdu na wakacje.

Załóżmy, że naszym celem jest zagranica. Pobyt na 10 dni, dla 4 osób. Do zapytania dołączamy nasz adres. Biuro podróży, z którym komunikujemy się przez formularz kontaktowy nie zadbało o certyfikat SSL i zabezpieczenie swojej strony www. Przestępca, który odczytuje paczkę danych zostaje natychmiast wyposażony w bardzo przydatne informacje. Po pierwsze jest w stanie ocenić nasz status majątkowy. Po drugie wie, w jakim czasie nie będzie nas w domu, po trzecie wie gdzie mieszkamy. Dalszy ciąg łatwo sobie wyobrazić.

- _ Powszechnie wiadomo, że od leczenia lepsza jest prewencja. W powyższym przypadku wystarczyło działać zgodnie z prawem i zabezpieczać transmisję danych. Brak tego działania mógł narazić małe biuro podróży na poważne odszkodowanie oraz negatywne opinie publikowane przez poszkodowanych _ - dopowiada Jakub Skowroński, Koordynator ds. marketingu internetowego w Unizeto Technologies SA.

Od lat hakerzy tworzą złośliwe oprogramowania malware (jak wirusy czy trojany), wysyłane w celu przechwycenia numerów kont i kart kredytowych oraz haseł do nich. Przeciwdziałać im powinniśmy głównie poprzez zaporę ogniową (np. oprogramowanie antywirusowe). Wykorzystywane powszechnie są także aplikacje spyware - szpiegujące działania użytkownika, a więc śledzące poufne działania, dokumenty, informacje czy choćby treść maili.

Metoda zwana spoofingiem to już wyższy stopień zaawansowania - haker przekształca zdalnie sprzęt poszkodowanego na komputer-zombie, wykorzystywany do dalszych ataków. Jak pokazuje doświadczenie - ataki najłatwiej przeprowadzić na niezabezpieczonych sieciach. Dla przykładu Adrian Lamo - jeden z najsławniejszych hakerów świata, do ataków na Yahoo!, MCI, Microsoft i The New York Times wykorzystywał przede wszystkim sprzęt biblioteczny i uniwersytecki.

Działania hakerskie na niewielkich firmach nie należą do rzadkości. Aż 40 procent wszystkich ataków przeprowadzonych w 2010 roku wymierzonych było wobec przedsiębiorców zatrudniających mniej niż 500 osób. Z uwagi na wciąż rosnącą intensywność włamań, połączoną z brakiem świadomości ze strony przedsiębiorców, z czasem spodziewać możemy się jedynie pogorszenia statystyk.