Dlaczego ktoś miałby atakować naszą firmę?

Zapewne nie jedna osoba zajmująca się bezpieczeństwem słyszała tak sformułowane pytanie: Dlaczego ktoś miałby atakować naszą organizację? Pytanie jest bardzo zasadne, gdy jest zadawane przez osoby mające wpływ na strategię bezpieczeństwa. Często jednak można je usłyszeć na szkoleniach z bezpieczeństwa informacji od pracowników/uczestników, którzy na to szkolenie przyjść musieli.

Za tak postawionym pytaniem kryje się bowiem indywidualna ocena prawdopodobieństwa ataku, którą pracownik dokonuje na podstawie własnego rozeznania. Można wręcz wyczuć, domaganie się racjonalizacji zagrożeń. Rozeznanie pracownika i zresztą po części każdego z nas opiera się na własnych doświadczeniach życiowych, które często są związane z ograniczoną ilością organizacji w których pracował, czy sytuacjami z którymi przyszło mu się mierzyć. Specjalista ds. bezpieczeństwa lub osoby starsze stażem, wiekiem lub po prostu z większym doświadczeniem oceniają tę samą sytuację zupełnie inaczej. Zwłaszcza, gdy za tym idzie wiedza specjalistyczna w dziedzinie bezpieczeństwa. Ocena ryzyka bywa u każdego z nas nieco inaczej „wykalibrowana”.

Może warto zejść na ziemię?

Gdy po raz pierwszy usłyszałem od uczestnika szkolenia wyraźnie zgłoszoną wątpliwość (dlaczego ktoś miałby atakować naszą firmę), uświadomiłem sobie, że popełniłem błąd.

Po pierwsze: pytanie mnie zaskoczyło, a nie powinno, skoro przyjechałem poprowadzić szkolenie. Odpowiedź wydaje się prosta, ale pojawiło się zwątpienie, gdy uświadomiłem sobie, że jest to nieduża, nierozpoznawalna firma na uboczu. No właśnie, dlaczego? Ogólnie miałem wrażenie, że w powietrzu wisi sugestia może warto zejść na ziemię? Poczułem się jak sprzedawca idei, który musi tak mówić, ponieważ mu za to zapłacono.

Dwa tygodnie po mojej wizycie otrzymałem telefon, że firma została zaatakowana. Wszystkie dane operacyjne a nawet backupy zostały nieodwracalnie zaszyfrowane. Hacker zaoferował „usługę” odszyfrowania za jedyne 5 bitcoinów (wówczas było to 350 tyś zł). Pytanie, dlaczego ktoś miałby zaatakować naszą firmę zamieniło się na pytanie: czy warto zapłacić okup? Tymczasem jak wiemy na to pytanie nie ma dobrych i szczęśliwych odpowiedzi. Prezes wówczas zadał pytanie skąd mamy pewność, że dane zostaną przywrócone?W między czasie hacker podesłał link do swojej strony, na której mogliśmy przeczytać opinie i oceny innych zaatakowanych klientów(?) na temat jakości i wiarygodności jego „usług”. W końcu nawet w nielegalnym biznesie bardzo ważna jest opinia i reputacja. 🙂 Firma nie zderzyła się z człowiekiem w kapturze który siedzi po nocach przy swoim komputerze ale z innym biznesem, która ma podobny cel – zarabianie pieniędzy.

Kosztowna lekcja

To była kosztowna lekcja, która skłoniła mnie do refleksji. Po pierwsze profesjonalizm branży bezpieczeństwa wymaga, aby nie ulegać opiniom pracowników, czy jak to się mówi ogólnie temu jak bezpieczeństwo postrzega biznes. Ocena prawdopodobieństwa, nawet gdy jest wspierana różnymi metodami obiektywizującymi, jest w praktyce mocno uznaniowa. Trzeba zatem dbać o własną „kalibrację ryzyka” i nie ulegać wrażeniom. Bezpiecznik musi mieć w sobie przekonanie i pewność, że to co robi lub czego uczy jest uzasadnione. To powinno być podbudowane wiedzą (często techniczną, psychologiczną) i doświadczeniem.

Drugi mój błąd polegał na tym, że nie przewidziałem w programie szkolenia wyjaśnienia dlaczego ta konkretna firma może stać się celem ataku? Pewnie można było odnieść wrażenie, że mówię o czymś co jest odległe, hipotetyczne i na tyle abstrakcyjne, że mało prawdopodobne. Pracując nad świadomością pracowników, czy rozpoczynając szkolenie trzeba mieć świadomość, że nie ma głębszego sensu podawać treści i wymagać zasad bezpieczeństwa, jeżeli odbiorca nie jest odpowiednio zmotywowany. Trzeba ponadto uważać na nieuświadomione założenia zarówno swoje jak i uczestników. Niejako odpowiadać na pytania, które może nie są zadane przez uczestników, ale „wiszą w powietrzu”.

Jednym z naprawdę wielu czynników braku motywacji pracowników lub błędnego podejścia do ryzyka jest nieuświadomione założenie a priori, które było kiedyś dla mnie dużym odkryciem:

Skoro nie widzę powodu, dlaczego, ktoś miałby atakować naszą firmę to ten powód nie istnieje.

To założenie kryje się głęboko w naszych głowach :). Oczywiście zaraz za nim idzie w parze, założenie:

Skoro nie wyobrażam sobie sposobuw jaki mogłoby się to stać to uważam, że ryzyka skutecznego ataku nie ma.

To jednak jest osobny duży temat. Nie mniej trzeba być świadomym, że w każdym z nas funkcjonuje „bias wyobraźni”, który ogranicza percepcję zagrożeń jedynie do tego, co znamy lub rozumiemy. Ponadto uruchamiamy racjonalizujące mechanizmy obronne, które nie zawsze kierują się analizą techniczną co raczej redukcją napięcia emocjonalnego.

Muszę niestety przyznać, że tamto moje szkolenie nie przyniosło efektu. Firma zapłaciła dużą cenę. Nałożyły się błędy pracownika, który pobrał szkodliwy załącznik oraz błędu zespołu IT, który nie zastosował się do rekomendacji i zaufał domyślnym zabezpieczeniom (pojedynczy backup – online).

Trzeba jednak wyciągać wnioski, a więc od tamtego wydarzenia włączam do swoich szkoleń prezentację konkretnych celów jakimi kierują się potencjalni adwersarze. To zagadnienie referuje do obszarów cyber-bezpieczeństwa, psychologii oraz kryminologii w kontekście działania celowego. Poniżej wklejam, może się przyda 😉

Motywacje i cele cyberprzestępców

Uzyskanie okupu – Po prostu korzyści finansowe z szantażu – ransomware. Absolutny TOP of the TOP obecnych ataków obszarze biznesu.

Okup może dotyczyć: odszyfrowania danych, nieujawniania danych (publikowania), dyskrecji – nieinformowania opinii publicznej o ataku, powstrzymania ataku (np. DDoS).

Pozyskanie informacji handlowej – Wzrost konkurencyjności, kradzież know-how, uczenie się konkurencji, poznanie sił i słabości, informacje o dostawcach, metodach, instrukcjach, technologii, badaniach B+R.

Pozyskanie danych osobowych (celem osoba) – Uzyskanie informacji o konkretnej osobie lub pozyskanie bazy danych o dużej ilości rekordów, dalsza sprzedaż, marketing, inwigilacja itp. Nigdy nie wiemy czy jakiś pojedynczy rekord w naszej bazie z danymi osobowymi jest przez kogoś pożądany.

Wpływ na zdolności produkcyjne i operacyjne (incydent dla samego incydentu) – Spowodowanie incydentu celem spowolnienia działalności, wpływ na zdolność operacyjną firmy, paraliż firmy, eliminacja z rynku.

Zatrzymanie usług – zablokowanie usług z których korzystają inne firmy, instytucje czy obywatele. Jak historia pokazuje, czasami dla odwrócenia uwagi. Łączy się najczęściej z innymi celami.

Nadszarpnięcie reputacji osoby, firmy lub instytucji – Spowodowanie „wydarzenia medialnego” w przestrzeni publicznej, osłabienie zaufania do marki, utrata dobrego imienia osoby.

Spełnienie własnych potrzeb ambicjonalnych – Dla zabawy, sprawdzenia własnych możliwości, chęć pozostania sławnym, zabawa w hackera –  Niech pierwszy rzuci kamieniem, kto… 😉

Spełnienie własnych potrzeb emocjonalnych – chęć zemsty, odegrania się na firmie (np. po odejściu pracownika w wyniku wewnętrznego konfliktu).

Przejście do konkurencji – Działania sabotażowe w celu wybudowania własnej wartości jako pracownika – aktywa gospodarczego w innej firmie.

Walka ideologiczna umotywowana światopoglądem – Chęć uzyskania wpływu na zmiany w kontekście lokalnym (miasto, gmina, fabryka) lub globalnym (walka z … czymś bardzo ważnym „dla świata i ludzkości”) .

Walka polityczna – Pozyskanie kompromatów na ważną osobę celem szantażu (np. niedawne ataki na skrzynki pocztowe polityków, osób eksponowanych, prezesów, dyrektorów); ukazanie braku skuteczności w zarządzaniu bezpieczeństwem przez adwersarza politycznego.

Element walki strategicznej i wywiadowczej – Element zdobywania danych o charakterze operacyjnym, strategicznym. Wpływania na procesy krytyczne państwa. Budowanie potencjału istniejących baz danych.

Zasilenie BigData oraz algorytmów AI – temat, który jest dość rzadko poruszany. Obecnie wiele firm/organizacji odkrywa zarówno korzyści korzystania z technologii sztucznej inteligencji jak i wyzwania za tym stojące. Istotnym problemem okazuje się problem jakości danych oraz volumenu danych, który pozwoli na efektywne wykorzystanie możliwości działania algorytmów (zapobieganie zjawiskom takim jak drifting czy halucynacje).  Stąd pojawia się globalny apetyt na dane. Te mogą być pozyskiwane w mniej lub bardziej legalny sposób np. poprzez niewłaściwie skonfigurowane mechanizmy wymiany danych przez API, błędy API czy dedukowane z danych pozornie nieistotnych pobranych z atakowanych systemów – pośrednio z baz danych w blackmarket.

Wykorzystanie aktywów firmy do ataku na inne organizacje – Dość często można usłyszeć komentarz, że ja/my nie mamy danych wrażliwych, albo że dany serwis lub host nie przetwarza ich w ogóle. Trzeba jednak pamiętać, że urządzenie, serwis czy usługa mogą być wykorzystane do ataku na inne firmy i organizacje. Hackerzy co roku pozyskują setki tysięcy urządzeń komputerów zombii do budowania sieci botnet, które atakują np. instytucje i firmy strategiczne. Czy chcemy być częścią tego procesu?

Ponieważ jest możliwe – Bywa, że atakujący przypadkiem odkrywają podatności i pozyskują dane, ponieważ było to możliwe. Na zasadzie: okazja czyni złodzieja. Dopiero później przychodzi refleksja, jak to wykorzystać.

A więc… „Dlaczego ktoś miałby zaatakować naszą firmę?”

To pytanie, które zbyt często brzmi jak retoryczny komentarz pełen niedowierzania, zamiast być punktem wyjścia do realnej analizy zagrożeń. Ale właśnie to pytanie powinno codziennie wybrzmiewać w umysłach pracowników i zarządzających – nie jako wymówka, ale jako motywacja do działania. Brak wyobraźni i świadomości zagrożeń jest idealnym środowiskiem dla cyberprzestępców. Oni nie potrzebują powodów, by atakować. Wystarczy im okazja, podatność czy błędne założenie: „nas to nie dotyczy”.

Czy przedstawianie motywacji atakujących podczas szkoleń i działań awareness ma sens? Oczywiście. Wprowadzenie uczestników w świat, w którym dane są paliwem dla Big Data czy AI, a ransomware to miliardowy biznes, pozwala na lepsze zrozumienie dynamiki ryzyka. Uświadamia, że nawet najmniejsza firma może być celem – nie dlatego, że jest wielka, ale dlatego, że jest dostępna.

Jeśli wiedziałbym to, co wiem dzisiaj, gdy prowadziłem tamto szkolenie, być może udałoby się zapobiec atakowi na firmę. Gdybym odpowiednio podkreślił, że motywacje hakerów to coś więcej niż hollywoodzkie historie o przebiegłych geniuszach, ale realne, namacalne cele biznesowe innych organizacji, może tamta firma byłaby dzisiaj w lepszej kondycji. A może… nie powstałby ten artykuł? Trudno powiedzieć 🙂

Jeżeli uważasz to za wartościowe podziel się dalej 🙂