Firma ubezpieczeniowa QBE przewiduje, że w tym roku doświadczymy globalnie 211 znaczących, destrukcyjnych ataków, co oznacza wzrost o 105 proc. w ciągu czterech lat.
Ataki destrukcyjne różnią się od incydentów zakłócających działanie tym, że ich skutków nie da się cofnąć. Incydenty zakłócające działanie mogą wpływać na integralność lub dostęp do danych, ale ich skutki można naprawić. Z kolei ataki destrukcyjne są nieodwracalne i mają na celu rzeczywiste, fizyczne oddziaływanie na ludzi.
Poważne w skutkach ataki
Kilka lat temu cyberprzestępcy zastosowali w ataku złośliwe oprogramowanie Triton, które unieruchomiło systemy bezpieczeństwa w zakładach petrochemicznych w Arabii Saudyjskiej. Zaatakowane zostały fabryki i laboratoria lokalnego potentata chemicznego oraz zakłady energetyczne. Szkody wyrządzone w wyniku ataku mogły doprowadzić do katastrofy przemysłowej o zasięgu międzynarodowym. Skutkiem ataku były trwające tydzień przerwy w dostawach prądu.
Kolejny przykład to rosyjski atak sprzed kilku miesięcy na brytyjski system opieki zdrowotnej NHS England, podczas którego wykradziono dane pacjentów oraz szczegółowe informacje dotyczące współpracy z podwykonawcami. Atak został przeprowadzony dzięki włamaniu do systemu IT jednego z partnerów NHS. Cały system został wystawiony na poważne ryzyko, gdyż poszczególne ośrodki nie miały dostępu do niezwykle istotnych informacji. Skutki? Przejęcie danych ponad 2 mln pacjentów, odwołanie 1134 planowanych operacji i 2194 wizyt w ciągu niespełna dwóch tygodni od ataku.
Koszty
Najczęściej chodzi o okup. Według QBE, średnio 61 proc. organizacji o rocznych przychodach w powyżej 5 mld USD wypłaca okup po ataku, w porównaniu z 25 proc. tych, które osiągają roczne przychody poniżej 10 mln USD. Niestety, celowanie w największe i najbogatsze firmy okazuje się skuteczne. Średnia wypłata okupu w 2023 roku wyniosła 2 mln USD, co stanowi pięciokrotny wzrost w stosunku do 2022 roku.
Autorzy raportu QBE przewidują, że liczba ofiar oprogramowania ransomware wzrośnie o 11 proc. w latach 2023-2025, przy czym najbardziej zagrożone będą sektory produkcyjny, opieki zdrowotnej, IT, edukacji i rządowy.
Prawdziwe dane dotyczące ataków są prawdopodobnie znacznie wyższe niż te, które są ujawniane. Wiele firm czy organizacji, jeśli nie muszą informować o problemach z ich infrastrukturą IT, woli tego nie robić. Niestety traci na tym interes publiczny, bo im mniejsza wiedza na temat zagrożeń, tym trudniej przygotować się na ataki.
Jak przygotować się na najgorsze?
Wszystkie organizacje powinny stosować podstawowe środki bezpieczeństwa, takie jak: silne hasła oraz procedury dotyczące zarzadzania hasłami, dwuskładnikowe uwierzytelnianie, aktualizowanie systemów i oprogramowania, ochrona antywirusowa, tworzenie kopii zapasowych oraz regularne szkolenia pracowników i edukowanie ich w obszarze nowych zagrożeń. Niemniej jednak, te działania mogą okazać się niewystarczające, gdy organizacja staje w obliczu profesjonalnego ataku, mającego na celu wyrządzenie poważnych szkód firmie lub instytucji.
– Prewencyjne zabezpieczenie systemów informatycznych oraz stworzenie procedur na przypadek ataku jest dziś koniecznością. W praktyce, poza oczywistymi już dziś, podstawowymi środkami ochrony, chodzi o takie funkcje w organizacji jak Security Operations Center oraz Incident Response Team – mówi Krystian Paszek, SOC Manager z firmy Mediarecovery, specjalizującej się w informatyce śledczej. Ekspert dodaje: – Dziś każda organizacja, bez względu na swój rozmiar, narażona jest na cyberataki, które nie tylko stają się coraz bardziej złożone, ale również bardziej destrukcyjne i kosztowne. Funkcje SOC i IRT są odpowiedzią na te zagrożenia, zapewniając organizacjom niezbędne zasoby do monitorowania, wykrywania i szybkiego reagowania na ataki.
Security Operations Center to struktura, której głównym celem jest stałe monitorowanie systemów organizacji, analizowanie wszelkich anomalii oraz szybkie identyfikowanie zagrożeń – od prób nieautoryzowanego dostępu, po bardziej skomplikowane ataki, jak ransomware czy DDoS. Bez odpowiednio zorganizowanego systemu monitorowania wiele zagrożeń pozostaje niewidocznych, a czas reakcji na wykryte incydenty jest często zbyt długi, aby skutecznie zminimalizować ich wpływ.
Z kolei Incident Response Team to zespół, który specjalizuje się w natychmiastowym reagowaniu na incydenty naruszeń bezpieczeństwa. Jego zadaniem jest szybka analiza sytuacji, zatrzymanie ataku, a także minimalizacja strat i przywrócenie systemów do pełnej funkcjonalności. W przypadku ataku natychmiastowa reakcja takiego zespołu potrafi niejednokrotnie zapobiec poważnym konsekwencjom dla organizacji – zarówno finansowym, jak i wizerunkowym. Organizacje bez wyspecjalizowanych jednostek lub funkcji SOC i IRT ryzykują, że czas między atakiem a reakcją na niego będzie zbyt długi, co może skutkować ogromnymi stratami, wyciekiem danych, a nawet niezwykle kosztownymi przestojami operacyjnymi.
– Funkcje SOC i IRT, realizowane w ramach zasobów organizacji lub świadczone przez wyspecjalizowane firmy zewnętrzne, stają się nie tylko wartością dodaną, ale wręcz koniecznością dla każdej nowoczesnej organizacji. Dzięki nim możliwe jest stworzenie kompleksowego systemu bezpieczeństwa, który nie tylko monitoruje bieżącą sytuację, ale również pozwala na szybkie działanie w przypadku incydentów, chroniąc tym samym dane i zasoby organizacji przed nieodwracalnymi skutkami najpoważniejszych ataków – podkreśla Krystian Paszek.
Nowe regulacje i brak specjalistów
Cyberbezpieczeństwo staje się jednym z kluczowych elementów strategii ochrony organizacji, zwłaszcza w obliczu rosnącej liczby i złożoności ataków cyfrowych, jak nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, dostosowująca polskie prawo do unijnej dyrektywy NIS2. Bez zaawansowanych procedur i wyspecjalizowanych zespołów ryzyko rośnie. Wspomniane regulacje, stawiające nowe wymogi w zakresie bezpieczeństwa systemów IT, wymuszają na organizacjach m.in. większy nacisk na gotowość operacyjną i szybką reakcję na cyberzagrożenia.
Zgodnie z dyrektywą organizacje będą musiały wprowadzić ściślejsze procedury i zasoby, by szybciej wykrywać i skuteczniej reagować na incydenty bezpieczeństwa. Wymóg ten, przy niedoborze specjalistów, sprawia, że wdrożenie standardów NIS2 może być dużym wyzwaniem.
W tym kontekście priorytetem staje się inwestycja w automatyzację procesów bezpieczeństwa oraz rozwój wewnętrznych kompetencji. Organizacje, które posiadają jasne procedury i dedykowany zespół specjalistów lub partnera zewnętrznego mogą skuteczniej chronić swoje dane i systemy.