4-7 minut

Jak wojna na Ukrainie zmieniła spojrzenie na bezpieczeństwo IT

Cyberprzestrzeń odegrała znaczącą rolę w toczącej się wojnie na Ukrainie. Nasiliły się operacje sabotażu w okresie poprzedzającym inwazję, a także już podczas pełnoskalowej wojny. Zaatakowane zostały również państwa zapewniające Ukrainie pomoc wojskową, humanitarną i ekonomiczną. Czy doświadczenia ostatnich dwóch lat zmieniły postrzeganie zagrożeń dla funkcjonowania systemów IT?

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:

  1. JAK WYGLĄDA KRAJOBRAZ CYBERZAGROŻEŃ ZWIĄZANYCH Z WOJNĄ ZA NASZĄ WSCHODNIĄ GRANICĄ?
  2. KIM SĄ ATAKUJĄCY I JAKIE INSTYTUCJE W POLSCE SĄ NAJBARDZIEJ NARAŻONE NA PRZESTĘPCZE DZIAŁANIA?
  3. JAKIEGO RODZAJU ATAKI SĄ NAJPOWSZECHNIEJSZE?
  4. JAKIE NOWE TECHNIKI I ZASADY POSTEPOWANIA POZWALAJĄ ZMNIEJSZYĆ ZAGROŻENIE?

Wojna nie jest już wyłącznie działaniem na realnym polu bitwy. Jej istotnym elementem stały się działania prowadzone w cyberprzestrzeni – to nowe pole walki, pierwszy raz wykorzystywane w tak dużej skali. I choć większość wrogich działań dotknęło ukraińskie instytucje – przede wszystkim operatorów systemów energetycznych, telekomunikacyjnych oraz banki i inne instytucje finansowe, to fala ataków rozlała się również w krajach sąsiadujących.

Ukraina nie pozostawała dłużna i odpowiedziała atakami m.in. na rosyjskie media. Obie strony wykorzystuję zbliżone techniki i metody włamań. „Podmioty biorące udział w tych atakach wykorzystują różne techniki, aby uzyskać dostęp do celów, w tym phishing, luki w oprogramowaniu i zabezpieczeniach, włamania do dostawców usług IT wyższego szczebla. Często modyfikują oni swoje złośliwe oprogramowanie przy każdym kolejnym wdrożeniu, aby uniknąć wykrycia” – mówi raport Microsoftu o początkowej fazie wojny w cyberprzestrzeni[1].

Polska również jest celem ataków

Według raportu Pełnomocnika Rządu ds. Cyberbezpieczeństwa, w 2023 roku na poziomie CERT Polska obsłużono ponad 80 tys. incydentów, co oznacza wzrost rok do roku o 100 proc. Zintensyfikowali swoje działania haktywiści, grupy cyberprzestępcze o charakterze zarobkowym i wreszcie najgroźniejszych i dysponujących najbardziej wyrafinowanymi narzędziami grupy APT (Advanced Persistent Threat) bezpośrednio działających w ramach instytucji nieprzyjaznych nam państw[2].

Co najważniejsze, przestępcom nie chodziło wyłącznie o jednorazowe działanie i doraźny zysk. W 2023 r. Polska pozostawała celem cyberataków obliczonych na pozyskanie kluczowych informacji, rozpoznanie systemów ICT na potrzeby potencjalnych przyszłych destrukcyjnych cyberataków, zakłócenie infrastruktury krytycznej i innych kluczowych zasobów, jak również szerzenie dezinformacji.

Hakerzy działający w ramach grup APT interesowali się również infrastrukturą Ministerstwa Obrony Narodowej oraz wojskowych uczelni wyższych oraz firm działających w branży zbrojeniowej. Ogółem w całym ubiegłym roku CSIRT MON odnotowało blisko 6 tys. incydentów cyberbezpieczeństwa.

O wzroście zagrożenia atakami hybrydowymi mówił m.in. Pełnomocnik Rządu ds. Cyberbezpieczeństwa i jednocześnie Minister Cyfryzacji Krzysztof Gawkowski. To bezpośredni efekt zaangażowania się naszego kraju w pomoc Ukrainie od pierwszych dni wojny. Próbowano m.in. uzyskać dostęp do wojskowych sieci, a także do systemów np. kolei, aby wykraść istotne informacje o transportach sprzętu lub nawet transporty te sabotować. Dane z pierwszego kwartału 2024 roku wskazują, że liczba prób ataków na infrastrukturę IT naszego kraju dalej rośnie[3].

Z drugiej strony dane ekspertów ds. wczesnego wykrywania cyberzagrożeń w Standard Chartered[4] podkreślają, że wojna na Ukrainie nie wpłynęła na znaczący wzrost liczby ataków na systemy IT w Polsce. W szczególności nie zanotowano wzrostu zagrożenia dla działających w Polsce instytucji finansowych.

Stare narzędzia, nowe cele

Zestaw narzędzi, którymi dysponują przestępcy jest dość ograniczony. Internetowe serwisy należące do instytucji państwowych i mediów były na Ukrainie atakowane przez podmianę treści i wyświetlanie dezinformacji. Inną metodą ataku było infekowanie komputerów złośliwym oprogramowaniem i kasowanie całych zbiorów danych instytucji i firm. W przypadku, gdy organizacja nie wykonywała regularnych kopii bezpieczeństwa, oznaczało trwały paraliż jej działalności.

Przestępcy regularnie stosują również ataki DDoS, co zarówno na Ukrainie, jak i w Polsce skutkowało przerwami w dostępie do niektórych usług – od kont bankowych po komunikację miejską.

Broń się mądrze

Jak zbudować lepsze zabezpieczenia w swojej organizacji w nowej sytuacji? Amerykańska agencja rządowa CISA (Cybersecurity and Infrastructure Security Agency) sugeruje stosowanie najbardziej podstawowych zasad cyberhigieny na każdym poziomie pracy[5] – od używania oprogramowania antywirusowego, przez wykorzystywanie wieloskładnikowego uwierzytelnienia, po bieżące aktualizowanie zabezpieczeń i instalowanie łatek. Istotna jest także ochrona wszelkich form komunikacji, w tym również przez komunikatory i oprogramowanie do pracy zespołowej.

Większym organizacjom, w szczególności znajdującym się w grupach podwyższonego ryzyka, CISA zaleca zidentyfikowanie kluczowych danych (dokumentów, baz danych itp.), które mogą stać się celem dla hakerów i ich dodatkowe zabezpieczenie. Może to być zaszyfrowanie lub przeniesienie ich na serwery o ograniczonym dostępie. Kluczowe jest tu zweryfikowanie systemu tworzenia i odzyskiwania kopii bezpieczeństwa – w wielu firmach, gdzie takie kopie są rutynowo wykonywane, brak jest procedur odzyskiwania danych. Istotne jest bowiem nie tylko tworzenie kopii, ale testowanie planów ciągłości działania.

Tu rozsądnym rozwiązaniem może być skorzystanie z wyspecjalizowanych usług firm zewnętrznych gwarantujących, że kopie są aktualne i pomagających w razie potrzeby odzyskać utracone informacje. Organizacje wymagające najwyższej możliwej dostępności do aplikacji i danych mogą zdecydować się na wykupienie usługi zapasowego centrum danych polegającej na awaryjnym odtworzeniu firmowego środowiska IT w chmurze prywatnej lub publicznej.

W obliczu zagrożenia atakami DDoS ze strony zorganizowanych grup przestępczych warte rozważenia może być wykorzystanie systemów monitorujących ruch i automatycznie wykrywających podejrzane zachowania. Możliwe jest również przekierowanie ruchu i przywrócenie poprawnego działania serwerów.

CISA zaleca również administratorom i menedżerom IT wdrożenie zaawansowanych systemów monitorowania i identyfikowania zagrożeń opartych na algorytmach sztucznej inteligencji. Pozwalają one w bardzo krótkim czasie wykryć potencjalny atak, ocenić poziom zagrożenia i zareagować. W szczególności takie systemy powinny być wykorzystywane do analizy komunikacji z organizacjami zaangażowanymi w pomoc Ukrainie lub ukraińskimi[6].

Ogromne znaczenie mają szkolenia zespołów IT oraz samych pracowników. Podobnie, jak miało to miejsce w przypadku zagrożenia zamachami terrorystycznymi, tak i w cyberprzestrzeni muszą oni reagować na wszelkie nietypowe zachowania.

Podsumowanie

Zagrożenie cyberatakami będącymi efektem wojny na Ukrainie wciąż utrzymuje się na dość wysokim poziomie. Nawet jeżeli w przyszłości ataków będzie mniej, zapewne sytuacja nie wróci już do stanu sprzed inwazji. Trzeba się wręcz liczyć z okresowym wzrostem zagrożenia w związku z wyborami w Polsce i na świecie oraz z dużymi imprezami (jak np. Igrzyska Olimpijskie).

Dlatego menedżerowie IT i CISO będą zmuszeni do ciągłego utrzymywania swoich zdolności obronnych w pełnej gotowości, inwestowania w nowe rozwiązania w obszarze cyberbezpieczeństwa i monitorowania nowych metod wykorzystywanych przez przestępców.  Choć najczęściej wykorzystywane metody ataków – phishing, DDoS, czy ransomware – nie są wcale „nowe”, to nowością jest wykorzystywana do prowadzenia takich operacji sztuczna inteligencja. Wojna na Ukrainie pokazała również, że celem ataków nie muszą być tylko organizacje o kluczowym znaczeniu dla infrastruktury, ale mogą to być również mniejsze przedsiębiorstwa, dotąd nie przyciągające uwagi przestępców. To właśnie one powinny teraz wzmacniać swoją odporność, bo wcześniej czy później zmuszą ich do tego hakerzy lub nadchodzące regulacje na poziomie Unii Europejskiej.

[1] https://www.ibtimes.com/microsoft-discloses-onslaught-russian-cyberattacks-ukraine-3487562

[2] https://www.gov.pl/web/cyfryzacja/krajobraz-cyberprzestrzeni

[3] https://cyberdefence24.pl/armia-i-sluzby/ataki-na-mon-rosja-nie-rezygnuje-z-polski

[4] https://homodigital.pl/wojna-w-ukrainie-cyberbezpieczenstwo-w-polsce/

[5] https://www.cisa.gov/news-events/alerts/2024/05/14/cisa-and-partners-release-guidance-civil-society-organizations-mitigating-cyber-threats-limited

[6] https://www.cisa.gov/shields-up

Disaster Recovery as a Service

Ten artykuł dotyczy produktu

Disaster Recovery as a Service

Przejdź do produktu

Data publikacji: 29.05.2024

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.