|

Hakerzy czyhają – cyberbezpieczeństwo i home office

W ciągu ostatnich miesięcy firmy masowo zaczęły wysłać pracowników na pracę zdalną, chociaż nie wszystkie z nich były do tego perfekcyjnie przygotowane. Jak w tych okolicznościach wygląda cyberbezpieczeństwo podczas home office?

Od lutego do marca 2020 roku globalny ruch internetowy zaobserwowany na platformie Akamai wzrósł o 30% w porównaniu do średniego 3% miesięcznego wzrostu w poprzednich miesiącach. Wśród krajów doświadczonych przez COVID-19 jako pierwsze (Chiny, Japonia, Włochy) odnotowano 25% wzrost ruchu w stosunku do innych państw w tym samym okresie. Co na to cyberprzestępcy?

Pomimo epidemii nie odnotowano zmniejszenia ilości ataków DDoS (atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów), wręcz przeciwnie trend wzrostowy nabrał tempa. Z perspektywy Akamai ilość ataków powyżej 100 Gpbs, jak i ich różnorodność zdecydowanie zwiększyła się w roku 2020. Co więcej hakerzy próbują swoich sił w różnych branżach. W kwartale drugim najczęściej atakowanym sektorem był sektor Business Services, co przedstawia wykres poniżej.

Dane z platformy Akamai

Cyberbezpieczeństwo w czasie pandemii

Rozwój epidemii oraz obowiązek dystansu społecznego postawił przedsiębiorstwa w trudnej sytuacji oraz zweryfikował ich dotychczasowe priorytety w zakresie ochrony pracowników, jak i zasobów korporacyjnych. Przeniesienie pracowników z biur do domów uzależniło ciągłość operacji od technologii, które umożliwiają pracę zdalną.

Korporacyjny VPN, domowe Wi-Fi, narzędzia CRM oparte na chmurze, etc., z jednej strony pomogły zapewnić firmom ciągłość biznesową, z drugiej strony otworzyły przed nimi szereg nowych zagrożeń. 

W ciągu ostatnich 4 miesięcy wzrosły ataki DDoS na instytucje prywatne oraz publiczne. Tylko w czerwcu technologiczna firma Akamai doświadczyła serii ataków na swoich klientów.  Jeden z nich był jednocześnie największym zaobserwowanym na platformie Akamai atakiem wolumetrycznym (800Mpps), którego celem był jeden z europejskich banków.

Ponadto, kradzież kont oraz danych personalnych wzrosła w porównaniu do 2019 roku. Jest to związane z intensyfikacją działań hackerów w obrębie ataków typu phishing oraz malware, a także zmniejszona kontrola firm nad tym, do czego pracownicy używają urządzeń firmowych.  Co ciekawe, łączyły się one ze złośliwymi stronami średnio 5 razy częściej niż przed wybuchem epidemii. 

Jakie są główne zagrożenia czyhające na pracownika podczas pracy zdalnej?

Praca zdalna, w konsekwencji powoduje wzrost użycia urządzeń służbowych do celów osobistych. 

Podczas home office częstotliwość używania urządzeń służbowych do przeglądania mediów społecznościowych lub prywatnych maili jest niewspółmiernie większa niż sprzed okresu pandemii. 

Dziesiątki nowych domen podszywających się pod WHO lub takich, które mają w w nazwie corona, coronavirus, covid, rejestrowanych jest każdego dnia. Trend ten będzie się utrzymywał dopóki pandemia i związana z nią niepewność będzie wysoka. Z tego względu pracownicy powinni wzmocnić swoją czujność.

Co więcej, cyberprzestępcy podszywają się pod eksperta medycznego z instytucji państwowej lub humanitarnej i przekonują ofiary, by zalogowały się do rzekomo zaufanej strony, np. oferują darmowe maski lub wysyłkę najnowszych informacji o wirusie. W rzeczywistości okazuje się, że strona ma za zadanie zainstalować złośliwe oprogramowanie do kradzieży naszych danych. Takie dane są następnie sprzedawane lub wykorzystywane w atakach ’credential stuffing[1].

Jak się chronić?

  • pamiętać o używaniu uwierzytelnienia dwuskładnikowego (np. hasło + kod z aplikacji)
  • wykrywać i mitygować zautomatyzowane próby logowań do serwisów przez użytkowników, którzy nie są ludźmi (boty) 
  • wzmocnić czujność wobec ofert, które wydają się „zbyt dobre”, by były prawdziwe oraz stron niewzbudzających zaufania

W kwestii cyberbezpieczeństwa Akamai jest zwolennikiem strategii Zero Trust (Zero Zaufania), która zakłada dostęp tylko do tych zasobów, do których pracownik jest upoważniony na podstawie z góry określonej polityki dostępu oraz silnego wielkoskładnikowego uwierzytelnienia. Dzięki takiemu rozwiązaniu organizacje mogą zapewnić bezpieczny i autoryzowany dostęp do aplikacji bez względu na to, z jakiego miejsca, i z jakich urządzeń pracownicy zamierzają się do niej łączyć.

Takie podejście może spowodować koniec typowych firewalli korporacyjnych, jakie znamy z naszych miejsc pracy, w których uwierzytelniony użytkownik (pracownik lub partner biznesowy) uzyskuje dostęp do wszystkich zasobów sieciowych.

Pandemia zmienia także sposób myślenia o potrzebie i znaczeniu planów reagowania kryzysowego (incident response plans). Firmy technologiczne będą zmuszone do utrzymywania i ciągłego testowania swoich planów ciągłości biznesowej (BCP), takich jak:

  • przeprowadzanie okresowych analiz ryzyka oraz testów podatności na zagrożenie (risk and vunerability assesment)
  • analiza luk bezpieczeństwa
  • symulacje wtargnięcia
  • testy penetracyjne

To oczywiście wiąże się z dodatkowymi nakładami finansowymi w cyberbezpieczeństwo. Mniejsze przedsiębiorstwa będą zmuszone zainwestować w personel bezpieczeństwa lub wyoutsourcować te procesy do firm zewnętrznych.

Jak firma może edukować pracowników z zakresu cyberbezpieczeństwa?

  • tworzyć treningi dla personelu, które będą uświadamiać o ryzyku pracy z domu, atakach malware, phishing i vishing
  • zwiększyć zapotrzebowanie na trenerów wewnętrznych
  • powołać specjalne jednostki odpowiedzialne za szkolenia
  • uświadamiać o zagrożeniach

Ze względu na pandemię i popularyzację pracy zdalnej cyberbezpieczeństwo w firmach będzie mieć coraz większe znaczenie. Już teraz obserwujemy wzrost zapotrzebowania na specjalistów w tym obszarze, a także braki kompetencyjne. Będziemy dla Was obserwować na bieżąco rozwój wydarzeń.

Czytaj także – Cyberbezpieczeństwo – wyzwania kompetencyjne

Autor: Andrzej Gregorek

Artykuł powstał dzięki współpracy z


[1]

Credential stuffing – wykorzystywanie haseł z wycieków do przejmowania innych kont, na których dane logowania są aktualne. Kluczową obroną przed tym atakiem są unikalne hasła, inne do każdego indywidualnego konta lub serwisu oraz hasła długie i złożone. Z racji tego, że pojawiają się trudności z zapamiętywaniem skomplikowanych haseł, pomocny jest menadżer haseł.