Zagrożenie ze strony własnych pracowników, szereg ułatwień dla cyberprzestępców z powodu pracy zdalnej oraz coraz większy udział ataków o charakterze politycznym i gospodarczym. Właśnie taki jest charakter najważniejszych cybezagrożeń w 2023 r. ujawnionych w raportach firm skupionych na cyberbezpieczeństwie.
Według analityków amerykańskiej firmy CyberArk i autorów raportu „2023 Identity Security Threat Landscape Report” w wielu światowych organizacjach wciąż rośnie poziom zadłużenia cyfrowego, czyli ma miejsce sytuacja, gdy inwestycje w rozwiązania cyfrowe i chmurowe przewyższają działania skupione na cyberbezpieczeństwie. Proces ten może jeszcze narastać, bo spowolnienie gospodarcze, podwyższony poziom rotacji pracowników i niepewna sytuacja biznesowa będą prowadziły liderów biznesowych do inwestycji w nowoczesne rozwiązania IT, które zapewnią większą wydajność.
Raport CyberArk skupia się na wspomnianym zadłużeniu cyfrowym i próbuje odpowiedzieć, w jaki sposób będzie ono miało wpływ na zwiększenie możliwości ataku w organizacjach. Najważniejsze trendy i prognozy zawarte w dokumencie oparto na wynikach globalnej ankiety przeprowadzonej wśród 2300 specjalistów ds. cyberbezpieczeństwa. W analizie sporo miejsca poświęcono także tematyce cyfrowej tożsamości, która ma być coraz bardziej zagrożona przez przestępców działających w sieci.
Dane odejdą razem z pracownikiem?
Zaskakujący wniosek z ankiety CyberArk mówi o tym, że poważne zagrożenia związane z możliwością wycieku danych mogą mieć też charakter wewnętrzny. Aż 58% specjalistów ds. cyberbezpieczeństwa biorących udział w ankiecie zauważyło przypadki, gdy odchodzący z firmy (albo zagrożeni zwolnieniem) pracownicy zapisują wrażliwe lub poufne dokumenty na własnych nośnikach, ignorując wewnętrzne zasady swojego pracodawcy. Takie niebezpieczne sytuacje mogą jeszcze wzrosnąć w czasach spowolnienia gospodarczego i restrukturyzacji firm, gdy pracownicy będą się obawiali utraty pracy – 68% ankietowanych specjalistów spodziewa się, że zwolnienia i zmiany kadrowe spowodują nowe problemy w zakresie bezpieczeństwa w ciągu najbliższych 12 miesięcy. Jako przypadek, który potwierdza ten rodzaj zagrożeń, analitycy przywołali głośny incydent w dużej amerykańskiej firmie produkującej napoje. Pracująca tam inżynier dowiedziała się o zbliżającym się zwolnieniu i w odpowiedzi na to w ostatnich dniach pracy przywłaszczyła sobie dokumenty zawierające tajemnice handlowe o wartości prawie 120 mln USD. Później okazało się, że była też jedną z zaledwie 2 osób mających dostęp do szczegółów ściśle tajnej formuły chemicznej. Sprawa ostatecznie zakończyła się skazaniem tej osoby za przestępstwo, ale pokazała też w sposób dobitny, jak wielkie zagrożenie dla firmy może stanowić je pracownik w trudnej sytuacji zawodowej.
Według analityków CyberArk nowe zagrożenia, które dotyczą globalnych firm, są mocno związane z niedawnym okresem pandemii, kiedy ogromnie wzrosło zainteresowanie rozwiązaniami chmurowymi, a pracownicy w swoich domach używali często na firmowym sprzęcie wielu nowych programów od firm zewnętrznych, których bezpieczeństwa nie udało się odpowiednio sprawdzić. Zagrożenia pojawiają się także w przypadku konieczności szybkiego i skutecznego stworzenia systemów IT dla firm, które w ten sposób muszą zyskać przewagę konkurencyjną. W tym przypadku zewnętrzni programiści otrzymują większy dostęp do danych, niż jest to wymagane.
Aż 77% respondentów ankiety CyberArk wskazało bowiem, że deweloperzy i programiści mają zbyt wiele przywilejów, co czyni ich wprost idealnym celem ataków. Jeszcze inny problem związany jest z koniecznością nieustannego rozwoju oprogramowania firmowego i korzystania z szeregu narzędzi od różnych dostawców. W efekcie oprogramowanie może mieć luki albo rozwiązania bezpieczeństwa, które wzajemnie się wykluczają. Aż 67% ankietowanych przez CyberArk specjalistów ds. cyberbezpieczeństwa podkreśliło, że musi korzystać z narzędzi od nawet 40 różnych dostawców, ich konsolidacja staje się więc pilna i niezbędna.
Ransomware jako biznes
Inny ważny i kompleksowy raport autorstwa szwedzkiej firmy Truesec zajmującej się cybezagrożeniami, „2023 Threat Inteligence Report”, w sposób szczegółowy pokazuje największe zmiany związane z atakami, do których doszło w ostatnich miesiącach i prognozuje kierunki rozwoju zagrożeń. Jego autorzy podkreślają, żeby nie określać cybeprzestępców zajmujących się ransomware (oprogramowanie, które blokuje dostęp do danych firmowych do czasu opłacenia okupu) „gangami”, bo to określenie budzi skojarzenia z ulicznymi bandytami. W rzeczywistości mamy do czynienia z nowoczesnymi przedsiębiorstwami. Wyciek danych ze strony niezadowolonego pracownika udowodnił więc, że FIN12, największy na świecie syndykat ransomware, działał jak nowoczesne przedsiębiorstwo z prawie 100 pracownikami zorganizowanymi w zespoły, w organizacji funkcjonował nawet własny dział HR. Tego typu działania stały się biznesem mocno powiązanym z Rosją. Oprócz grup hakerów na rynku operują także firmy tworzące narzędzia do włamań, które oferują wsparcie 24 godziny na dobę. Nie za darmo – jako zapłatę oczekują ok. 20% okupu, który uda się uzyskać.
Jedną z form przeciwdziałania atakom, według autorów raportu, jest zaangażowanie całego środowiska, a więc oprócz biznesu także policji, polityków, naukowców, tak by zauważyć i zrozumieć sytuację. Cyberprzestępcy działają w cieniu i nie służy im popularność, właśnie dlatego konieczne jest stworzenie atmosfery jak w Danii, gdzie firmy szybko i szczegółowo informują o atakach, których padły ofiarą. Po to, żeby inne przedsiębiorstwa mogły się zdobywać wiedzę na tej podstawie i skuteczniej się bronić.
Rosyjskie inspiracje
Analitycy Truesec twierdzą, że jeszcze przed agresją wobec Ukrainy Rosja była krajem, który mocno tolerował działania „swoich” cyberprzestępców, jeśli nie były one organizowane na terenie kraju i jego sojuszników. Po wybuchu wojny działania cyberprzestępców przez pewien czas się zmniejszyły i ucierpiały z powodu sankcji gospodarczych, później zanotowano ich zwiększenie. Co istotne – wiele firm zajmujących się cyberprzestępczością może być mocno powiązanych z rosyjskim rządem, w tym kraju trudno jest bowiem wyraźnie oddzielić komercyjne i skierowane wyłącznie na zysk ataki hakerskie od tych realizowanych w celach politycznych.
Autorzy raportu przywołują przykład Korei Północnej, gdzie podupadające finanse rządowe zwiększano za pomocą działań „armii hakerów”. Gdyby finanse Rosji jeszcze bardziej ucierpiały z powodu sankcji gospodarczych i finansowania wojny, to jest duża szansa na realizację podobnego scenariusza.
Chociaż nie mamy twardych dowodów, to całkowicie rozsądne wydaje się przekonanie, że cyberataki z Rosji są inspirowane przez rząd – twierdzą analitycy.
Ransomware w trendzie wzrostowym
Jako rosnący trend analitycy Truesec wskazują zagrożenia w cyberprzestrzeni ze strony Rosji i coraz większą liczbę ataków typu ransomware. Powodem jest tutaj ciągła izolacja tego kraju i pogarszający się stan rosyjskiej gospodarki. Istotnym czynnikiem może być też emigracja z Rosji wykwalifikowanych specjalistów ds. IT do sąsiednich krajów, a tacy ludzie na pewno są rekrutowani przez krajowej grupy ransomware lub te zajmujące się cyberszpiegostwem sponsorowanym przez państwo.
Analitycy Truesec prognozują też intensyfikację działań ze strony Chin. W tym przypadku działania będą polegać na cyfrowym szpiegostwie i pozyskiwaniu informacji biznesowych. Takie próby pozyskania cennych działań mogą się zwiększyć, bo w ostatnich czasach coraz mniej zachodnich firm decyduje się na inwestycję w Chinach czy zostawienie tam swojej własności intelektualnej.
W prognozach Truesec pojawia się również sztuczna inteligencja i programy typu ChatGP, które mogą stać się świetnym narzędziem m.in. do preparowania skuteczniejszych wiadomości phishingowych i ataków opartych na inżynierii społecznej. Przestępcy działający w cyberprzestrzeni będą też podążali za swoimi ofiarami, stąd prognoza coraz większej liczby ataków na rozwiązania chmurowe lub inne rozwiązania (często zewnętrznych firm), które stały się popularne w trakcie pandemii COVID-19 i masowej pracy zdalnej.
Według specjalistów z firmy Truesec odporność zachodnich firm na cyberzagrożenia będzie w sposób bezpośredni zależna od sytuacji gospodarczej. Jeśli widoczne już spowolnienie gospodarcze się pogłębi, to firmy zostaną zmuszone do zmniejszania nakładów na działy IT albo redukcję personelu, co wpłynie na ich podatność na ataki. W wersji najbardziej pesymistycznej – profesjonaliści IT, którzy stracą pracę albo radykalnie zmniejszą się im dochody, mogą przejść na stronę cyberprzestępców i stać się dla nich szczególnie cennym źródłem informacji.
Grzegorz Bryszewski
