Cyberataki – czy prawo stoi po stronie hakerów?
luty 9, 2021, 08:38
RODO, dyrektywa europejska NIS, ustawa o krajowym systemie cyberbezpieczeństwa, wytyczne Rządowego Centrum Bezpieczeństwa, ochrona infrastruktury krytycznej…
Chroń swoje dane, zabezpieczaj infrastrukturę, wprowadź politykę bezpieczeństwa, a jak już ci się włamią, to co zrobić? Kto odpowiada za to, że wyciekły dane? Kto je opublikował? Ile trzeba zapłacić?
W ostatnich latach namnożyło się praw i obowiązków, które przedsiębiorstwom i instytucjom spędzają sen z powiek. Wszystkie nie do końca czytelne, wszystkie zrzucające odpowiedzialność na przedsiębiorcę. Czy zatem prawo, coraz bardziej ułatwia hakerom życie? Pytanie celowo jest podstępne, a odpowiedź nie jest jednoznaczna.
Nie ma nic dziwnego, że wraz z rozwojem i przeniesieniem znacznej części zarówno życia prywatnego, jak i biznesowego do sieci, pojawia się coraz więcej obostrzeń i regulacji prawnych w tym zakresie. W końcu kiedyś nasze dane leżały bezpiecznie w teczkach w szafach pancernych, a dzisiaj są przesyłane w mailach, pdfach czy zdjęciach. Nowa umowa z klientem podpisywana jest drogą elektroniczną, przelewy zlecamy z aplikacji w telefonie, a ludzi zatrudniamy po rozmownie przez komunikator internetowy. Do tego wszystkiego dochodzi pandemia i fakt, że połowa z nas pracuje zdalnie z domowych, często niezabezpieczonych, sieci.
A co za tym idzie zwiększamy pole do popisu hakerom. Posumowanie roku 2020 pokazało, że 80% firm zauważyło wzrost cyberprzestępczości, same ataki phishingowe wzrosły w okresie pandemii o 800%, a banki zanotowały wzrost aktywności hakerów o prawie 250%.
Niestety, trzy na cztery ataki hakerskie są udane, a co 11 sekund na świecie dochodzi do udanego ataku ransomware. Dlaczego? Dlatego, że nie tylko ludzie zarządzający firmami i instytucjami zapoznają się z zapisami dyrektywy RODO czy NIS, hakerzy również. Oni także zdobywają wiedzę o tym, co i dlaczego warto zaszyfrować i w kogo celować, aby atak się powiódł. Musimy pamiętać, że dzisiaj cyberatak to nie zaszyfrowanie jednego komputera i żądanie wpłaty okupu w wysokości 50 złotych, takie coś robią tylko dzieciaki. Dzisiaj atak hakerski to ulokowanie się na jednym komputerze „po cichu”, skanowanie środowiska i szukanie najlepszej okazji. Kontrolowanie czy bardziej opłaca się zaszyfrować serwery czy wykraść dane do logowania do banku. Rozeznanie, gdzie w przenośni leży więcej pieniędzy, za co „klient” jest gotów zapłacić - za dane, za dobre imię czy za ryzyko utraty zaufania?
Ataki to także coraz częściej przejęcie nadzoru nad krytycznym dla firmy działem czy nad sterownikami zarządzającymi produkcją w firmie. Determinacja hakerów nie ma granic.
Dziwić powinno to, że przedsiębiorstwa i instytucje, bez względu na ich wielkość, zabezpieczenia IT traktują często po macoszemu. Najczęstsze odpowiedzi, jakie padają w odpowiedzi na pytanie o zabezpieczenia infrastruktury IT przed atakami to „my jesteśmy małą firmą, nas to nie dotyczy”, „kupiliśmy parę lat temu i mamy spokój”, „u nas się, póki co nic nie dzieje”.
A co będzie, jeśli się zadzieje? Jeszcze niedawno na wieść, że firma została zaszyfrowana, część osób machnęłaby ręką, bo mają backup, można odbudować sprawnie środowisko, a teraz zza rogu wyskakuje haker i mówi „Ha! RODO! Opublikuje twoje dane w sieci i się nie wywiniesz, więc płać”. I chcąc nie chcąc każdy przedsiębiorca zapłaci, aby uniknąć skutków prawnych swoich niedociągnięć. A co gdyby udałoby się tego uniknąć? Może mogliśmy ograniczyć lub wręcz zablokować działania hakera?
Ale powróćmy do naszego pytania – czy da się w łatwy sposób odpowiedzieć na nie? Nie, bo nie ma jasnej odpowiedzi. Prawo nigdy nie będzie stało po stronie cyberprzestępców, ale także to samo prawo ułatwia hakerom przygotowywanie celowanych ataków. Najlepszą z możliwych sytuacji byłaby ta, w której dyrektywy i rozporządzenia bardziej mobilizowały do zmian w infrastrukturze firmy i instytucje, niż hakerów do udoskonalania swoich ataków.
Jak się bronić przed atakami? Zapraszamy do lektury naszego bloga oraz kontaktu z naszymi ekspertami.
MZ