Tematu cyberbezpieczeństwa nie można odkładać na później
| Gospodarka ArtykułyW maju bieżącego roku miał miejsce globalny atak oprogramowania WannaCry, które w ciągu 48 godzin od wykrycia zainfekowało ponad 230 tysięcy komputerów. Jest to połączenie robaka, który instaluje szkodliwy moduł (rootkit), oraz oprogramowania ransomware, czyli szyfrującego dane ofiary. Użytkownikowi zainfekowanego komputera wyświetlany jest komunikat o konieczności zapłaty równowartości 300 dolarów w walucie Bitcoin, przy czym wartość okupu za odszyfrowanie z czasem rośnie.
WannaCry wyeliminował działanie części systemów ochrony zdrowia i ratownictwa w Wielkiej Brytanii, fragmentu infrastruktury hiszpańskiego operatora Telefónica, systemów chińskich linii lotniczych Hainan, a nawet komputerów w rosyjskim MSW. Chociaż więcej strat uczyniły w zeszłej dekadzie robaki takie jak Conficker, MyDoom czy ILOVEYOU, pojawienie się WannaCry dobitnie przypomniało o fakcie, że cyberbezpieczeństwo jest tematem, którego nie można odkładać na później.
Cyberzagrożenia w przemyśle są coraz bardziej zbliżone do tych, jakie spotyka się w korporacyjnych systemach IT. Sprzyja temu rosnąca integracja obydwu obszarów, wykorzystanie podobnych technologii oraz zbliżone scenariusze użytkowania. W naszej branży dodatkowo regularnie pojawia się złośliwe oprogramowanie wycelowane w urządzenia stricte przemysłowe, takie jak sterowniki programowalne.
Analizę zagrożeń komputerów i innych urządzeń stosowanych w ICS, czyli przemysłowych systemach sterowania i kontroli, opublikował niedawno Kaspersky Lab ICS Cert (ics-cert.kaspersky.com). W drugiej połowie 2016 roku znaleziono w nich około 20 tys. próbek złośliwego oprogramowania, a jeden na cztery wykrywane cyberataki dotyczyły właśnie ICS. W przemyśle najbardziej rozpowszechnione są trojany, zaś najczęstszym skutkiem ich działania - blokada usług (atak DoS), rzadziej zdalne wykonanie kodu (RCE).
Najciekawszą statystyką publikowaną w analizie jest ta dotycząca pochodzenia i kanałów wnikania złośliwego oprogramowania (schemat na rysunku). W przypadku 22% ataków były to strony internetowe, drugie miejsce zajęły przenośne pamięci masowe. Z kolei złośliwe załączniki do wiadomości e-mail i skrypty osadzone zostały zablokowane w przypadku 8% systemów. Atakujący bardzo często korzystają z phishingu, tj. podszywania się pod inną osobę lub instytucję, zaś złośliwe oprogramowanie rozpowszechniane jest najczęściej w formie plików DOC oraz PDF.
Kluczowym stwierdzeniem autorów raportu jest to, że zagrożenia pochodzą nie tylko z zewnątrz, ale cały czas mają źródło również wewnątrz organizacji. O ile bowiem komputery przemysłowe mogą być jedynie podłączone do Intranetu, o tyle w sieciach pojawia się też wielu innych użytkowników - administratorów, programistów, integratorów systemów, itd., którzy mają swobodny dostęp do Internetu. Stąd też strategia izolowania sieci firmowych, w szczególności tych produkcyjnych, na pewno nie jest dzisiaj wystarczająca.
Koniecznością jest posiadanie całościowej polityki bezpieczeństwa, w ramach której regularnie przeprowadzane są audyty, zapewniana jest ochrona wielopoziomowa - szczególnie w przypadku infrastruktury krytycznej, a także prowadzone szkolenia personelu. Wskazane są również wspólne działania specjalistów IT z pracownikami innych działów, w tym produkcyjnych. "Według naszych obserwacji ataki niemal zawsze zaczynają się od najsłabszego ogniwa systemów, tj. od ludzi" - konkludują przedstawiciele Kaspersky Lab.
W powyższym kontekście pojawienie się WannaCry może mieć pozytywny wydźwięk. Jest to głośny dzwonek ostrzegawczy, że tematyki cyberbezpieczeństwa nie można bagatelizować. Niezależnie od branży i skali działalności firmy, organizacje muszą zajmować się bezpieczeństwem systemów IT tu i teraz, traktując wirtualne zagrożenia jako w pełni realne ryzyka dla swojego biznesu.
Zbigniew Piątek
