Samych zgłoszeń każdego dnia w ubiegłym roku było aż 1800…

W.S.: To duża skala, natomiast te incydenty były, są i będą…

A.O.: … Ale stosując ochronę jesteśmy w stanie zatrzymać większość z nich. Nie jesteśmy bezradni, choć, niestety, pewne mechanizmy wykorzystywane przez atakujących są coraz bardziej powszechne. Jeżeli firma nie stosuje podstawowych zasad bezpieczeństwa, to może zostać zaatakowana z wykorzystaniem narzędzi, które są łatwo dostępne. Firmy, które nie przywiązują należytej wagi do cyberbezpieczeństwa, będą cierpiały. Trochę na własne życzenie – bo to tak, jakbyśmy wychodząc z domu nie pozamykali drzwi i okien.

Cyberoszuści są coraz sprytniejsi, potrafią perfekcyjnie podszyć się pod bank, kuriera ZUS, czy skarbówkę. Strach pomyśleć, jak ten zorganizowany rynek będzie zmieniał się w najbliższej przyszłości…

A.O.: Na pewno możemy spodziewać się coraz lepszej socjotechniki. Narzędzia sztucznej inteligencji sprawią, że będziemy otrzymywać wiadomości bardziej spersonalizowane, skuteczniej wyłudzające dane. Jeszcze parę lat temu kiedy otrzymywaliśmy maila, który był niepoprawny stylistycznie, miał błędy językowe - od razu zapalała nam się czerwona lampka. Za sprawą AI tłumaczenie można zrobić bardzo szybko i dobrze jakościowo. Znacznie łatwiej będzie stworzyć maila, który próbuje skutecznie wyłudzić informacje. Poza tym zmienia się ilość. Powiedzmy, że cyberoszuści wysyłali kiedyś 100 tys. maili. Obecne systemy mają dużo większą moc obliczeniową, lepszej jakości dostęp do internetu i są dużo bardziej rozproszone. Mogą robić znacznie większe kampanie.

Więcej ludzi padnie ofiarą oszustów?

A.O.: Na pewno. Kolejna rzecz: sztuczna inteligencja pomaga tworzyć takie warianty oprogramowania uznawanego dziś za szkodliwe - żeby systemy bezpieczeństwa ich nie wykrywały. Można spodziewać się, że szkodliwy załącznik nie zostanie wyłapany przez antywirus. Na szczęście są usługi, które – nawet jeśli użytkownik straci czujność - pomagają zapobiegać takim zagrożeniom. Większe są dziś zarówno możliwości ataku, jak i obrony. Skuteczna i szybka reakcja na zdarzenia, które odbiegają od standardowych, pozwala szybko przerwać taki atak, bez większych konsekwencji.

W.S.: Rodzajów phishingu, czyli metody, w której przestępcy podszywają się pod kogoś, aby wyłudzić poufne informacje, takie jak hasła, dane logowania lub kody BLIK jest kilka. Zwykły phishing jest rozlewany do szerokiego grona odbiorców. Kiedy nie było sztucznej inteligencji, atakujący nie za bardzo skupiał się na jakości ataku, dziś to się zmienia.

Czyli atakował szeroko i sprawdzał kto się złapie?

W.S.: Tak. W organizacjach rośnie świadomość phishingu - firmy nie tylko szkolą pracowników, ale też ich testują, wysyłając kontrolowane kampanie i sprawdzając, kto się nabierze. Dziś mamy m.in. smishing – wyłudzanie danych przez SMS-y, vishing - oszustwo z wykorzystaniem połączeń telefonicznych. Nowe technologie sprawiają, że stworzenie materiału do cyberataku nie stanowi większego problemu.

Przykład takiego oszustwa?

W.S.: Można połączyć zwykły phishing, czyli wysłanie wiadomości e-mail, z vishingiem. Załóżmy, że ktoś wyśle mi zapytanie, czy chcę wystąpić na konferencji. Później dodatkowo zadzwoni do mnie, wykorzystując głos znanej w branży osoby. Żeby się zarejestrować muszę podać swój login i hasło, na przykład zalogować się do jakiegoś serwisu - choćby konta Google. W tym momencie oszuści przechwytują moje poświadczenia.

Domyślam się, że wielu się na to złapie. „Świetna okazja, konferencja, warto się zgłosić!”.

W.S.: Szczególnie wtedy, gdy działamy pod presją - jesteśmy zmęczeni, mamy dużo pracy i wszystko czytamy w biegu. Łatwo stracić czujność.

Jakie branże są dziś najbardziej narażone na ataki cyberprzestępców?

W.S.: Z naszych analiz wynika, że atakujący kompletnie nie wie, kogo atakuje. Widzi adres IP, ale nie wie, kto za nim stoi.

Jak to? Ostatnio głośne jest o atakach na uczelnie i szpitale. To jest przypadek?

W.S.: Atakujący najczęściej dopiero po wejściu do systemu rozeznaje się gdzie jest. Kiedyś żądane okupy zupełnie nie przystawały do wielkości organizacji i ich możliwości finansowych. Malutkie firmy dostawały okupy na poziomie ok. pół miliona złotych, co było irracjonalne, a mieliśmy duże organizacje od których żądano 20-50 tys. zł. To pokazuje, że atakujący kompletnie nie wie, gdzie jest. Teraz sytuacja wygląda trochę inaczej. Owszem, gdy atakujący wchodzą do systemów nadal nie wiedzą, gdzie są, ale robią rekonesans.

W marcu ofiarą ataku hakerskiego padł Szpital Wojewódzki w Szczecinie. Szantażyści zażądali pieniędzy, a gdy ich nie otrzymali zainfekowali systemy informatyczne szpitala. Ucierpieli pacjenci – atak wpłynął na szybkość działania szpitala, np. czas uzyskiwania wyników badań. Jeśli takich ataków będzie coraz więcej - powinniśmy się bać?

W.S.: Jeżeli atak ma być medialny, ma spowodować zamieszanie, celem mogą być instytucje publiczne – np. ministerstwo czy szpital. Jeżeli celem jest zysk, to atakujący skupiają się na komercyjnych firmach. Zaszyfrowanie danych medycznych może wyłączyć szpital na wiele miesięcy, a presja na szybkie przywrócenie działania jest ogromna. To sprawia, że takie instytucje stają się atrakcyjnym celem także finansowo. Pamiętajmy, że jeden–dwa dni przestoju firmy mogą oznaczać straty liczone w milionach złotych.

Każdy z was jest ekspertem w szeroko rozumianym cyberbezpieczeństwie. Skąd pomysł na to, by połączyć siły i stworzyć wspólna firmę?

W.S.: Zajmuję się informatyką śledczą i analizami powłamaniowymi. Przez całe dorosłe życie obsługiwałem firmy, które zostały zaatakowane przez cyberprzestępców. Pomagaliśmy im stanąć na nogi, ale po ataku często słyszałem: „co mamy zrobić żeby to się nie powtórzyło”? Uznałem, że dobrze byłoby też dotknąć działki prewencyjnej i tak nawiązałem współpracę z Arkiem.

A.O.: Obaj mamy ponad 20 lat doświadczenia w cybersecurity. Dotykaliśmy różnych branż, klientów i ich systemów. Ja zajmuję się budowaniem bezpieczeństwa organizacji - od strategii i polityk, po projektowanie systemów i usług w taki sposób, by były jak najtrudniejsze do zaatakowania. Parę lat temu odpowiadałem za bezpieczeństwo w największej spółce giełdowej w Polsce – CD Projekt S.A., która była ofiarą ataku. Chcieliśmy przeprowadzić szczegółową analizę powłamaniową - po to, by lepiej zabezpieczyć organizację na przyszłość i właśnie wtedy poznałem Witka.

Czyli zapewniacie bezpieczeństwo firmom od A do Z?

A.O.: Tak, nasze kompetencje są komplementarne - ja wniosłem podejście audytowe, prewencyjne i strategiczne, a Witek praktyczną wiedzę o tym, jak wyglądają realne ataki, jakie podatności są wykorzystywane i jak reagować, gdy do nich dochodzi. Dodaliśmy do tego monitoring, czyli stałą obserwację i szybkie reagowanie na to, co dzieje się w firmie.

Patrząc na skale ataków, zapotrzebowanie na takie usługi będzie tylko rosło?

A.O.: Cyberpezpieczeństwo staje się koniecznością, nowe regulacje wymuszają konkretne działania: firmy muszą się do nich dostosować. Nasza spółka obsługuje różne branże m.in. IT, produkcyjną, zdrowia, logistykę, samorządy… Warto podkreślić, że najczęściej atakowane są organizacje, które mają do 1000 komputerów - to 80–90 proc. ataków. Poza tym nawet jeżeli jesteś małą firmą, to i tak musisz zadbać o cyberbezpieczeństwo, bo możesz mieć dużego klienta. Przez twoje niedopatrzenie ktoś może dostać się do dużego gracza i wtedy zaczynasz stanowić problem w jego łańcuchu dostaw.

W.S.: - Wielu przedsiębiorców nie myśli o ryzyku. Firmy atakowane są najczęściej w piątek po południu. Zaatakowane organizacje często w poniedziałek rano orientują się, że nie mają możliwości pracy. Takich sytuacji każdego tygodnia są w kraju dziesiątki. To tak jakby przez weekend ktoś rozkradł albo spalił całą firmę. Najbardziej skrajny przypadek, z jakim się zetknąłem, dotyczył jednej z zaatakowanych szkół wyższych na południu kraju. Po ataku usłyszałem, że „cofnęli się o 15 lat” pod względem cyfryzacji. Byli bardzo zdigitalizowani, gdy systemy przestały działać, nie byli w stanie normalnie funkcjonować.

Czy nowe regulacje zmuszą firmy do zmiany sposobu myślenia o bezpieczeństwie cyfrowym?

A.O.: Nasze państwo, podobnie jak Unia Europejska zdaje sobie sprawę z zagrożeń cyberprzestępczości, uchwalane dyrektywy wymuszają podniesienie odporności firm, które są kluczowe dla bezpieczeństwa wewnętrznego. W kwietniu weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (potocznie zwana NIS2), która wymusza na ponad 40 tys. podmiotach w Polsce obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych np. monitoringu bezpieczeństwa i reagowania na incydenty. Jeśli jesteś w tej grupie przedsiębiorców i nie robiłeś nic w kierunku bezpieczeństwa cyfrowego, teraz musisz to zrobić.

W.S.: Generalnie my, Polacy, nie lubimy nadmiaru regulacji. Ale jest tak wiele ataków że – mówiąc kolokwialnie – nasze dane osobowe latają wszędzie. I patrząc z tej perspektywy chciałbym, żeby poziom cyber był podniesiony w organizacjach, które faktycznie posiadają nasze dane.

Bez tych regulacji organizacje machną ręką na ochronę?

A.O.: Zaakceptują ryzyko.

Czy firmy takie jak wasza czeka klęska urodzaju?

W.S.: Graczy na rynku jest wielu, ale widzimy zróżnicowanie wiedzy i doświadczenia. Uważamy, że łatwo przesadzić i stworzyć systemy z których nikt nie będzie chciał korzystać. Rozwiązania muszą być szyte na miarę potrzeb organizacji, tym bardziej, że wiążą się z kosztami. Można kupić rozwiązania za 5-10 tysięcy, a można i wydać grube miliony. Tylko pytanie: po co?

A.O.: Największe braki widzimy w firmach, które mają między 100 - 2000 pracowników. Tutaj bezpieczeństwo nigdy nie było na najwyższym poziomie, z pewnymi wyjątkami.

Czy to zawsze człowiek otwiera furtkę cyberprzestępcy, który atakuje naszą firmę? Musimy coś kliknąć, gdzieś się zalogować?

W. S.: Są dwa rodzaje ataków: taki, który nastąpił na skutek interakcji, czyli rzeczywiście ktoś z firmy coś kliknął, otworzył, podłączył.

Są też ataki, wynikające z tego, że ktoś czegoś nie zrobił dobrze: na przykład nie zaktualizował oprogramowania. I to oprogramowanie miało luki i pozwoliło wejść atakującemu.

Jeśli doszło do ataku – płacić okup czy nie płacić?

W.S.: Do płacenia droga jest daleka. Wiele zależy od tego, czy firma ma dane, kopie zapasowe, które pozwalają kontynuować działalność. Globalne dane mówią, że okupy płaci ok. 30 proc. firm. Czy warto? To jest decyzja strategiczna, która zależy od tego jak organizacja była wcześniej przygotowana i co konkretnie się zadziało. Ważne jest to, że nawet najbardziej zabezpieczona firma może ulec atakowi, ale jeśli jest przygotowana, to poradzi sobie znacznie lepiej i szybko wróci do normalnej pracy.