Cyberataki – czy prawo stoi po stronie hakerów?

RODO, dyrektywa europejska NIS, ustawa o krajowym systemie cyberbezpieczeństwa, wytyczne Rządowego Centrum Bezpieczeństwa, ochrona infrastruktury krytycznej… 

Chroń swoje dane, zabezpieczaj infrastrukturę, wprowadź politykę bezpieczeństwa, a jak już ci się włamią, to co zrobić? Kto  odpowiada za to, że wyciekły dane? Kto je opublikował? Ile trzeba zapłacić?

W ostatnich latach namnożyło się praw i obowiązków, które przedsiębiorstwom i instytucjom spędzają sen z powiek. Wszystkie nie do końca czytelne, wszystkie zrzucające odpowiedzialność na przedsiębiorcę. Czy zatem prawo, coraz bardziej ułatwia hakerom życie? Pytanie celowo jest podstępne, a odpowiedź nie jest jednoznaczna. 

Nie ma nic dziwnego, że wraz z rozwojem i przeniesieniem znacznej części zarówno życia prywatnego, jak i biznesowego do sieci, pojawia się coraz więcej obostrzeń i regulacji prawnych w tym zakresie. W końcu kiedyś nasze dane leżały bezpiecznie w teczkach w szafach pancernych, a dzisiaj są przesyłane w mailach, pdfach czy zdjęciach.  Nowa umowa z klientem podpisywana jest drogą elektroniczną, przelewy zlecamy z aplikacji w telefonie, a ludzi zatrudniamy po rozmownie przez komunikator internetowy. Do tego wszystkiego dochodzi pandemia i fakt, że połowa z nas pracuje zdalnie z domowych, często niezabezpieczonych, sieci.

A co za tym idzie zwiększamy pole do popisu hakerom. Posumowanie roku 2020 pokazało, że 80% firm zauważyło wzrost cyberprzestępczości, same ataki phishingowe wzrosły w okresie pandemii o 800%, a banki zanotowały wzrost aktywności hakerów o prawie 250%.

Niestety, trzy na cztery ataki hakerskie są udane, a co 11 sekund na świecie dochodzi do udanego ataku ransomware. Dlaczego? Dlatego, że nie tylko ludzie zarządzający firmami i instytucjami zapoznają się z zapisami dyrektywy RODO czy NIS, hakerzy również. Oni także zdobywają wiedzę o tym, co i dlaczego warto zaszyfrować i w kogo celować, aby atak się powiódł.  Musimy pamiętać, że dzisiaj cyberatak to nie zaszyfrowanie jednego komputera i żądanie wpłaty okupu w wysokości 50 złotych, takie coś robią tylko dzieciaki. Dzisiaj atak hakerski to ulokowanie się na jednym komputerze „po cichu”, skanowanie środowiska i szukanie najlepszej okazji. Kontrolowanie czy bardziej opłaca się zaszyfrować serwery czy wykraść dane do logowania do banku. Rozeznanie, gdzie w przenośni leży więcej pieniędzy, za co „klient” jest gotów zapłacić - za dane, za dobre imię czy za ryzyko utraty zaufania? 

Ataki to także coraz częściej przejęcie nadzoru nad krytycznym dla firmy działem czy nad sterownikami zarządzającymi produkcją w firmie. Determinacja hakerów nie ma granic. 

Dziwić powinno to, że przedsiębiorstwa i instytucje, bez względu na ich wielkość, zabezpieczenia IT traktują często po macoszemu. Najczęstsze odpowiedzi, jakie padają w odpowiedzi na pytanie o zabezpieczenia infrastruktury IT przed atakami to „my jesteśmy małą firmą, nas to nie dotyczy”, „kupiliśmy parę lat temu i mamy spokój”, „u nas się, póki co nic nie dzieje”. 

A co będzie, jeśli się zadzieje? Jeszcze niedawno na wieść, że firma została zaszyfrowana, część osób machnęłaby ręką, bo mają backup, można odbudować sprawnie środowisko, a teraz zza rogu wyskakuje haker i mówi „Ha! RODO! Opublikuje twoje dane w sieci i się nie wywiniesz, więc płać”. I chcąc nie chcąc każdy przedsiębiorca zapłaci, aby uniknąć skutków prawnych swoich niedociągnięć. A co gdyby udałoby się tego uniknąć? Może mogliśmy ograniczyć lub wręcz zablokować działania hakera? 

Ale powróćmy do naszego pytania – czy da się w łatwy sposób odpowiedzieć na nie? Nie, bo nie ma jasnej odpowiedzi. Prawo nigdy nie będzie stało po stronie cyberprzestępców, ale także to samo prawo ułatwia hakerom przygotowywanie celowanych ataków. Najlepszą z możliwych sytuacji byłaby ta, w której dyrektywy i rozporządzenia bardziej mobilizowały do zmian w infrastrukturze firmy i instytucje, niż hakerów do udoskonalania swoich ataków. 

Jak się bronić przed atakami? Zapraszamy do lektury naszego bloga oraz kontaktu z naszymi ekspertami.

MZ