Będziemy wiedzieli o każdym cyberataku

Niedługo zaczną obowiązywać przepisy nakładające na wiele instytucji i firm obowiązek informowania o próbach internetowych włamań.

Fot. shutterstock.com

Cyberprzestępcy działają międzynarodowo. Eksperci do spraw internetowego bezpieczeństwa zlokalizowali ofiary jednego z komputerowych wirusów w 114 krajach. Internetowi złodzieje biorą sobie na celowniki zarówno pojedynczych internautów, jak i przedsiębiorstwa. Wydaje się, że coraz częściej sieci i systemy informacyjne instytucji: banków, elektrowni, sklepów stają się głównymi celami hakerów. Cyberprzestępczość stała się realnym zagrożeniem, coraz bardziej wymiernym.

Z raportu Check Point wynika, że w ciągu godziny przeprowadzanych jest 106 ataków na firmy i instytucje za pomocą nieznanego dotąd złośliwego oprogramowania. To 48 razy więcej niż przed rokiem.

Liczba wykrytych cyberataków na firmy w 2015 r. w Polsce wzrosła o 46 proc. w porównaniu do 2014 r. 4 proc. polskich firm w ich wyniku straciło ponad 1 mln zł, a 5 proc. odnotowało przestój w działalności przez 5 dni – wynika z raportu firmy doradczej PwC.

Pełna jawność…

Obecnie straty z tytułu działań cyberprzestępców w skali całej Unii Europejskiej są oceniane na ponad 300 mld EUR rocznie, natomiast do publicznej wiadomości jest podawany około 1 mld EUR. Skąd ta rozbieżność? Nie ma obowiązku informowania o cyberatakach. Ale ten stan ma się zmienić dzięki wprowadzeniu dyrektywy UE, która ma być próbą ujednolicenia zasad cyberbezpieczeństwa i, dzięki systemowemu podejściu do tego problemu, ma stanowić nową jakość.

Opracowany tekst dyrektywy UE (ang. Network and Information Security Directive – NISE) dotyczący bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji czeka na zatwierdzenie przez Parlament Europejski oraz rządy państw unijnych. Następnie stowarzyszone kraje będą mieć 21 miesięcy na wdrożenie dyrektywy do przepisów krajowych oraz 6 miesięcy na określenie dostawców kluczowych usług.

Nowe przepisy będę obligowały firmy i instytucje do upubliczniania informacji o zaistniałych atakach cybernetycznych. Już powstała lista sektorów krytycznych, czyli takich, które są kluczowe z perspektywy ochrony danych osobowych i jednocześnie najbardziej podatne na działania cyberprzestępców. Należą do nich branże: energetyczna, bankowa, transportowa, finansowa, służba zdrowia, wodociągi oraz dostawcy usług cyfrowych, czyli platformy handlu elektronicznego, wyszukiwarki czy dostawcy chmur obliczeniowych. W świetle nowych przepisów firmy działające w przestrzeni internetowej będą zobowiązane do publicznego informowania o poważnych naruszeniach swoich zabezpieczeń. Dyrektywa będzie dotyczyć więc takich firm, jak Google, Amazon, Microsoft czy Apple, ale portale społecznościowe nie będą podlegać nowym wytycznym.

…za każdą cenę

W nowym prawie przewidziano kary za nieogłoszenie incydentu związanego z próbą naruszenia cyberbezpieczeństwa. Aby się przed nimi uchronić, przedsiębiorstwa będą zmuszone do inwestowania w systemy zabezpieczające. Taki ma być główny cel dyrektywy.

Zwolennicy tego typu rozwiązań prawnych przekonują, że publiczne informowanie o cyberatakach jest sprawą absolutnie fundamentalną w zakresie utrzymania bezpieczeństwa cybernetycznego w Europie. Jednocześnie są świadomi, że realizacja zapisów spotka się z ogromnym oporem, ponieważ wiąże się z koniecznymi inwestycjami zarówno po stronie instytucji publicznych, jak i tych komercyjnych. Niestety, myśląc wyłącznie o niezbędnych wydatkach, zdaje się, że zapominają o czymś o wiele istotniejszym – o zaufaniu klientów. Bank, który stanie się celem ataku teleinformatycznego, będzie musiał poinformować o takim wydarzeniu. Regułą jest, że „hakerzy” powtarzają swoje ataki, testując różne sposoby dostania się do interesujących ich danych. Wtedy bank musiałby przykładowo co kilka dni wysyłać komunikaty, że padł ofiarą cyberprzestępców. Na pewno wywoła to obawy klientów tego banku, bo choć komunikat będzie informował jedynie o próbie naruszenia zabezpieczeń, a nie o ich kradzieży, to często pojawiająca się nazwa instytucji w połączeniu z cyberatakiem musi wywołać fatalny wpływ na wizerunek. Mniej dociekliwi klienci, słysząc, że ich bank, a więc ich pieniądze, jest szczególnie często atakowany, mogą zacząć rozglądać się za bezpieczniejszą przystanią dla swoich oszczędności.

Badanie przeprowadzone przez Kaspersky Lab pokazuje, że ponad dwie trzecie firm woli korzystać z usług bankowych placówki, która ma dobrą reputację w zakresie bezpieczeństwa. Bezpieczeństwo odgrywa dla firm kluczową rolę podczas wyboru banku, z którego usług będą korzystać. Prawie trzy czwarte zbadanych firm stwierdziło, że wybiera bank na podstawie jego reputacji dotyczącej bezpieczeństwa, a niemal dziewięć na 10 firm jest skłonnych zapłacić więcej, aby móc korzystać z usług banku, który posiada mocną politykę bezpieczeństwa i pozytywną historię pod tym względem.

A przecież coraz częściej słyszymy o cyberwojnie. Działają armie hakerów realizujących zlecenia jeśli nie rządów, to grup przestępczych. Możliwe do wyobrażenia są celowe ataki skupiające się na wybranym podmiocie. Ataki prowadzone tylko po to, by osłabić zaufanie klientów i wizerunek oraz zbić cenę zakupu firmy.

Marcin Złoch

• Na początku br. PKO Bank Polski jako pierwszy bank w Europie rozpoczął współpracę z firmą Microsoft w ramach programu Enterprise Customers Cyber Threat Intelligence Program (ECCTIP). Jego celem jest podnoszenie poziomu bezpieczeństwa w cyberprzestrzeni poprzez wymianę informacji dotyczących potencjalnych zagrożeń. W rezultacie podpisanego porozumienia możliwa będzie szybsza i bardziej skuteczna reakcja na niebezpieczne zdarzenia pojawiające się w sieci.
  
  – Cyberprzestępczość jest dzisiaj zjawiskiem globalnym, dlatego działania na rzecz bezpieczeństwa w sieci również muszą bazować na współpracy i doświadczeniach firm działających na całym świecie. Szybka wymiana informacji o zagrożeniach pojawiających się w innych krajach pozwoli nam reagować zanim dotrą one do Polski. Będziemy również mogli jeszcze szybciej informować klientów o nowym Phishingu czy Malwarze – mówi Piotr Kalbarczyk, dyrektor Biura Bezpieczeństwa Informatycznego.
  
  

Czytaj także:

Internetowe bhp

Z 3D Secure płacisz bezpieczniej w sieci