Ile kosztuje incydent bezpieczeństwa
Czy to możliwe, aby w ciągu kwadransa stracić dostęp do wszystkich komputerów, serwerów i danych w całej firmie? Ten apokaliptyczny scenariusz, powodujący gigantyczne straty finansowe, spotkał 27 czerwca 2017 roku setki międzynarodowych organizacji na całym świecie i dziesiątki tysięcy lokalnych biznesów na Ukrainie. Szacuje się, że co dziesiąty komputer używany w ukraińskich firmach został tego samego dnia uszkodzony, najczęściej bez możliwości odzyskania zapisanych na nim informacji. Jak dochodzi do takich wydarzeń i czy można się przed nimi w jakikolwiek sposób obronić?
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Globalna sieć, globalne zagrożenia
Wewnętrzne sieci firmowe, podobnie jak Internet, nieustannie się rozwijają. Podpinamy do firmowej infrastruktury coraz więcej urządzeń i dzisiaj trudno wyobrazić sobie organizację, w której komputery biurowe nie są podłączone do co najmniej kilku wewnętrznych serwerów – a najczęściej mają także dostęp do sieci publicznej. Szybka wymiana informacji i natychmiastowy dostęp do danych oraz usług to ogromne korzyści dla firm i ich pracowników, jednak tempo przepływu informacji ma także swoją negatywną stronę – podobnie szybko i skutecznie mogą rozprzestrzeniać się komputerowe wirusy.
Z takim właśnie zagrożeniem spotkały się w czerwcu 2017 roku ukraińskie firmy. Nie wiemy, które z nich miały być celem ataku wywiadu obcego kraju. Złośliwy program, szyfrujący w nieodwracalny sposób wszystkie komputery i serwery działające pod kontrolą systemu Windows i samodzielnie przenoszący się pomiędzy wszystkimi firmowymi komputerami, poczynił ogromne szkody w tysiącach z nich. Co więcej, w niektórych przypadkach, tam, gdzie mechanizmy bezpieczeństwa sieciowego były niewystarczające, złośnik przeniósł się do globalnej infrastruktury międzynarodowych koncernów posiadających biura na Ukrainie i dokonał spustoszenia w innych oddziałach na całym świecie. Globalne koncerny odnotowały znaczące straty: Merck – 900 mln USD, Maersk 300 mln USD, TNT – także 300 mln USD czy Reckitt Benckiser – 130 mln USD. Problemy dotknęły także mniejsze podmioty – w Polsce przykładem może być firma Inter Cars, która na kilka dni musiała wstrzymać obsługę klientów z powodu niedostępności zaszyfrowanych systemów IT. Jeżeli roczny wolumen sprzedaży tej firmy to ok. 5 mld PLN, to każdy dzień przestoju może ją kosztować kilkanaście milionów PLN utraconego przychodu. W wielu przypadkach firmy padły ofiarami tego ataku mimo rozbudowanych wewnętrznych systemów bezpieczeństwa IT – zabrakło im doświadczenia, by przewidzieć, że źródłem ataku może być ich oddział zagraniczny.
Nie zawsze straty są tak wysokie, ale często bywają bardzo bolesne, zwłaszcza dla mniejszych organizacji. Przykładem niech będzie polskie biuro projektowe, które na początku tego roku na skutek ataku ransomware straciło wyniki pracy kilkunastu specjalistów z ostatnich trzech miesięcy. Koszty ponownego wykonania pracy przekroczyły pół miliona złotych, a dodać do nich trzeba skutki utraty jednego z klientów, poirytowanego opóźnieniami w realizacji kontraktu. Innym przykładem może być kancelaria prawna, z której włamywacze wykradli dane klientów i szantażowali ich upublicznieniem. Sama analiza i usuwanie skutków ataku, wymiana sprzętu komputerowego i kilkudniowy przestój kosztowały ją ok. 300 000 PLN.
Jak bronić się przed zaawansowanymi atakami
Opisywane powyżej ataki nie były proste do wykrycia. Co prawda nietypowe połączenia sieciowe wychodzące z infrastruktury ofiar do serwerów przestępców można było w porę zauważyć, lecz wiele podmiotów nie zdążyło ustrzec się przed zagrożeniem. Analiza ruchu sieciowego staje się coraz bardziej skomplikowanym i złożonym problemem. Samo posiadanie firewalla nie wystarcza już do obrony sieci – potrzebny jest także całodobowy nadzór nad nim i dostosowywanie jego ustawień do ciągle zmieniającego się krajobrazu zagrożeń. Pomaga to zapewnić usługa zarządzanego firewalla oferowana między innymi przez T-Mobile.
Nie wszystkie straty da się wycenić
Czasem skutkiem ataków nie jest brak dostępu do swoich danych, a ich kradzież. Jeden z najciekawszych przypadków takiej kradzieży miał miejsce jesienią zeszłego roku. Wykorzystując przejęcie kontroli nad popularnym oprogramowaniem CCleaner, zainstalowanym na kilkunastu milionach komputerów na całym świecie, tajemniczy włamywacze, prawdopodobnie pochodzący z Azji, zainfekowali zaledwie kilkadziesiąt komputerów, które leżały w ich kręgu zainteresowań. Były to komputery zarówno w sieciach takich gigantów technologicznych jak Intel czy VMWare, jak i mniejszych, specjalistycznych spółek jak np. producenta automatów do gier. Na liście ofiar znalazła się także polska fabryka pralek i lodówek Samsunga we Wronkach. Choć nie potwierdzono w 100% celu działania przestępców, lista firm, które ich zainteresowały, wskazuje wyraźnie na szpiegostwo przemysłowe. Organizacje, do których sieci przestępcy uzyskali dostęp, mogły ponieść ogromne, trudne do oszacowania dzisiaj straty, o których dowiedzą się dopiero wtedy, gdy na rynku pojawią się konkurencyjne usługi i produkty o podobnych cechach, lecz znacznie niższej cenie. Przykładem skutków takiego ataku może być producent urządzeń sieciowych, firma Nortel, która zbankrutowała po tym, jak przez wiele lat tajemnice jej technologii wykradali Chińczycy. To pokazuje, jak wielką cenę mogą zapłacić podmioty, które nie zadbały wystarczająco o bezpieczeństwo swojej infrastruktury.
Podsumowanie
Wycena skutków ataku jest bardzo trudnym zadaniem. Firmy najchętniej nie ujawniają poniesionych konsekwencji, ukrywając incydenty przed klientami, inwestorami czy konkurencją. Niełatwe jest też określenie wysokości poniesionych strat – o ile można policzyć skutki przestoju czy koszty przywrócenia danych, o tyle utrata reputacji lub kradzież własności intelektualnej jest bardzo trudna do wycenienia. Brakuje także na rynku ekspertów, którzy takiej wyceny potrafią dokonać. Warto zatem zainwestować w bezpieczeństwo, by nie musieć martwić się skutkami ataków.
Data publikacji: 02.10.2018