Zewnętrzne firmy: słabe ogniwo cyberbezpieczeństwa Twoich danych

14.03.2018 AUTOR: Radek Borzym

Z każdym kolejnym rokiem następuje coraz większa integracja naszego życia ze światem komputerów. Zagrożenie ze strony cyberprzestępców już od dawna przestało być odległą ideą kojarzoną raczej z filmami science fiction, czy działaniami szpiegowskimi hakerów z Korei Północnej, a stało się smutną częścią naszego codziennego życia.

Problemy związane z utratą danych w sieci mogą niestety dotknąć każdego z nas. Niektórym mogłoby się wydawać, że nic złego nie może im się stać jeżeli przestrzegają wszystkich możliwych reguł bezpieczeństwa. Nic bardziej mylnego. Zapewnienie należytej ochrony danych często jest zupełnie poza naszą kontrolą, ponieważ znajdują się one na serwerach stron trzecich. Nikt chyba nie jest w stanie wymienić wszystkich firm, które są w posiadaniu informacji na jego temat.

Jeżeli korzystamy z jakiegoś serwisu, bądź aplikacji, to właściciele danej usługi posiadają dostęp do wszystkich informacji na nasz temat, które dali radę od nas wyciągnąć. Cały ich model biznesu polega na pozyskiwaniu danych od użytkowników, więc myliłby się ktoś myślący, że firmy te nie wiedzą o nas wcale tak dużo. Zebrane dane sprzedają podmiotom trzecim, co zwiększa liczbę miejsc w sieci, gdzie przetrzymywane są informacje o nas.

Nie tylko serwisy internetowe nasz szpiegują. Witryny e-commerce za pośrednictwem, których dokonaliśmy chociaż raz jakiegoś zakupu także są w posiadaniu informacji na nasz temat. Dane te są szczególnie wrażliwe, gdyż wśród nich znajdują się adresy zamieszkania oraz numery kont bankowych.

Praktycznie każda nasza aktywność w sieci generuje dane, które są zbierane i pozostają w rękach odwiedzanych serwisów. Liczba słabych punktów, które mogą zostać zaatakowane rośnie z każdym kolejnym rokiem. Nasze bezpieczeństwo zależy często od najgorzej zabezpieczonej firmy, której powierzyliśmy informacje na nasz temat.

Nie jest też tak, że hakerzy atakuję tylko duże i średnie firmy. W ponad 40% przypadków ich atakami są przedsiębiorstwa zatrudniające do dwustu pięćdziesięciu pracowników.

Polskie firmy nie są przygotowane na cyberataki. W 2017 roku aż 82% zanotowało jakiś incydent związany z zagrożeniem bezpieczeństwa IT.

Tylko 8% z polskich firm jest odpowiednio zabezpieczona przed hakerami. W zeszłym roku w przypadku 44% przedsiębiorstw cyberatak doprowadził do strat finansowych. W 41% przypadkach atak spowodowany był błędem użytkownika.

Mimo tego 61% firm nie korzysta z usług specjalistów od bezpieczeństwa IT.

W Stanach Zjednoczonych prawie 60% małych firm padło ofiarą cyberataku, chociaż zaledwie 13% zdawało sobie z tego sprawę. W 36% przypadkach ataku niewielkie przedsiębiorstwa stawały się ofiarami wirusów komputerowych, w 29% phishingu, 13% atak został przeprowadzony z wykorzystaniem trojanów.

Tylko 12% cybeprzestępstw dokonanych zostało poprzez hakowanie, a  w 7% wypadków wykorzystano ransomware. Małe firmy stają się czasem celem ataków ponieważ za ich pośrednictwem możliwe jest zhackowanie dużych przedsiębiorstw, z którymi współpracują.

Przeciętna firma potrzebuje zazwyczaj aż stu czterdziestu sześciu dni na wykrycie tego, że osoby nieuprawnione miały dostęp do danych przechowywanych przez dany podmiot gospodarczy.

Atak na korporację Target i największa grzywna w historii

Target jest jedną z wiodących korporacji na rynku handlu detalicznego w Stanach Zjednoczonych. Firma znajduje się na czołowych miejscach listy pięciuset najbogatszych przedsiębiorstw na świecie, a także posiada sieć liczącą pomad tysiąc siedemset placówek.

W 2013 roku podczas sezonu wyprzedaży hakerom udało się włamać na serwery Target Corporation i pozyskać dane z kart bankowych od dużej liczby klientów. Przestępcy uzyskali także dostęp do adresów, nazwisk i numerów telefonów. Ofiarami mogło zostać nawet sto milionów osób. Zastosowana przez hakerów metoda ataku sprawiła, że dopiero po miesiącu odkryto fakt włamania.

Kryminaliści dostali się do systemu dzięki skradzionym danym służącym do logowania pracownikowi firmy HVAC, która była kontrahentem Targetu. Dzięki temu mieli dostęp do danych, zanim zostały poddane szyfrowaniu.

Co zrobił Target dowiedziawszy się o ataku? Początkowo nic, przez co otrzymał wiele pozwów o zaniedbywanie swoich obowiązków. W 2017 roku korporacja wyrokiem sądu została zmuszona do zapłaty osiemnastu i pół miliona dolarów zadośćuczynienia. To największa kara, jaka została do tej pory zapłacona za niespełnienie obowiązku należytej ochrony danych.

Wraz z karą finansową firma została zmuszona do poprawy poziomu ochrony przechowywanych przez siebie danych. Target otrzymał nakaz zatrudnienia eksperta od cyberbezpieczeństwa, odseparowania danych kart kredytowych od reszty danych, wprowadzenie dwustopniowej identyfikacji oraz instalacji oprogramowania zapobiegającego atakom.

danych

Firma zajmującą się oceną zdolności kredytowej traci dane klientów

Equifax jest przedsiębiorstwem, które zajmuje się głównie sprzedawaniem swojej wiedzy o zdolnościach kredytowych konsumentów oraz tworzeniem raportów dla biznesu. W posiadaniu przedsiębiorstwa znajdują się szczegółowe dane o ponad ośmiuset tysiącach osób i niemalże dziewięćdziesięciu milionach firm. Equifax jest w posiadaniu historii transakcji dokonywanych za pomocą kart kredytowych olbrzymiego grona ludzi. Nic dziwnego, że firma została wzięta na celownik cyberprzestępców.

Od maja do lipca 2017 roku miał miejsce atak podczas którego w ręce kryminalistów mogły wpaść dane nawet ponad stu czterdziestu milionów konsumentów. Skradzione zostały informacje o kartach kredytowych dwustu dziewięciu tysięcy osób. Adresy, nazwiska, numery praw jazdy oraz inne mogące posłużyć do identyfikacji informacje były jednym z głównych łupów przestępców.

Firma zwlekała przez pięć tygodni z ujawnieniem faktu o ataku hakerskim oraz zataiła część informacji związanych z całym incydentem. Menadżerowie Equifax zainteresowani byli bardziej sprzedażą swoich udziałów w firmie po dobrej cenie niż zadbaniem o bezpieczeństwo danych osobistych milionów ludzi.

Jakby tego było mało, firma w odpowiedzi na krytycyzm otworzyła witrynę za pomocą której możliwe było sprawdzenie tego, czy nie staliśmy się ofiarą ataku. Witryna napisana została w sposób amatorski i wpisanie w nią swoich danych narażało je na niebezpieczeństwo.

Przeciwko firmie skierowane zostało wiele pozwów. Okazało się też, że także w innych wypadkach nie dbała należycie o odpowiednie zabezpieczenie posiadanych przez siebie poufnych danych. Na jesieni 2017 roku Equifax niechcący pozwolił na ujawnienie informacji o zarobkach tysięcy amerykańskich pracowników.

 

Zalew ransomware

Na wiosnę zeszłego roku miał miejsce atak ransomware WannaCry, który szyfrował pliki znajdujące się na komputerach żądając zapłaty za ich odszyfrowanie. Atak dotyczył głównie konsumentów. Niedługo po nim nadszedł ExPetr, który z kolei celował w przedsiębiorstwa, zwłaszcza te przemysłowe.

Ofiarami stały się między innymi duński gigant logistyczny A.P. Moller-Maersk, korporacja farmaceutyczna Merck, brytyjską firmę marketingową WPP , czy największy francuski bank BNP Paribas. Ucierpiały także tysiące firm z Ukrainy i Białorusi.

Ransomware mogło przedostać się na komputer na kilka możliwych sposobów, co sprawiło, że walka z nim była utrudniona.

W Polsce na ataku ucierpiała firma Inter Cars, której działalność przez pewien była całkowicie sparaliżowana. Celem hakerów stały się też pięć firm z Wielkopolskich, takich jak przedsiębiorstwo logistyczne Raben,

Deloitte i wyciek danych dużych spółek giełdowych

Jedna z największych firm świadczących usługi doradztwa finansowego stała się celem ataku, który doprowadził do wycieku poufnych danych dużych spółek giełdowych. Przez kilka miesięcy Deloitte nie zauważyła, że hakerzy zdobyli dostęp do wiadomości mailowych przechowywanych na serwerach korporacji.

Włamanie zostało odkryte w marcu 2017 roku, prawdopodobnie zaś już od października 2016 roku cyberprzestępcy mieli dostęp do danych gromadzonych przez firmę. W jaki sposób hakerom udało się tego dokonać? Przejęli kontrolę nad kontem administracyjnym, które chronione było zaledwie jednym hasłem, po którego wpisaniu proces weryfikacyjny tożsamości użytkownika się kończył.

Część maili od klientów Deloitte zawierało nie tylko dane biznesowe, ale także zdrowotne. Kryminaliście mieli dostęp do pięciu milionów wiadomości przechowywanych na chmurze, firma twierdzi, że tylko niewielka ich część rzeczywiści była zagrożona.

Korporacja zareagowała na włamanie poprzez poinformowanie o nim swoich kluczowych klientów. Zatrudniła także firmę świadczącą porady prawne Hogan Lovells, próbując się zabezpieczyć przez możliwymi pozwami od klientów.

Czy RODO poprawi bezpieczeństwo naszych danych?

Chcąc przeciwdziałać cyberprzestępczości Unia Europejska wydała rozporządzenie RODO, które ma na celu zwiększenie poziomu bezpieczeństwa firm znajdujących się na terenie Europy. Zmiany wejdą w życie już w maju bieżącego roku.

Od teraz przedsiębiorstwa, które wykryją że padły ofiarą ataku mają obowiązek w przeciągu trzech dni na zgłoszenie tego do odpowiedniego urzędu. Powstanie funkcja inspektora ochrony danych, który dbać będzie o to, żeby zachowane były odpowiednie standardy przechowywania danych. W razie popełnienia błędów firmy poniosą odpowiedzialność za niewłaściwie przetwarzanie personaliów klientów.

Za niedostosowanie się do RODO na przedsiębiorstwo nałożone zostaną kary do dwudziestu milionów euro lub 4% światowego przychodu.

Czy Unii Europejskiej uda się wymusić poprawę cyberbezpieczeństwa funkcjonujących na jej terenie firm? Nawet duże korporacje popełniają w tej kwestii niesamowite wręcz błędy, takie jak brak dwustopniowej weryfikacji tożsamości użytkownika. Miejmy nadzieję, że po wejściu w życie RODO nastąpi poprawa standardów panujących w tym względzie na starym kontynencie.

 

Artykuł powstał dzięki:

Coders Lab

Łącząc doświadczenie edukacyjne ze znajomością rynku pracy IT, Coders Lab umożliwia szybkie i efektywne zdobycie pożądanych kompetencji związanych z nowymi technologiami. Skupia się się na przekazywaniu praktycznych umiejętności, które w pierwszej kolejności są przydatne u pracodawców.

Wszystkie kursy odbywają się na bazie autorskich materiałów, takich samych niezależnie od miejsca kursu. Dzięki dbałości o jakość kursów oraz uczestnictwie w programie Career Lab, 82% z absolwentów znajduje zatrudnienie w nowym zawodzie w ciągu 3 miesięcy od zakończenia kursu.


Do góry!

Polecane artykuły

22.09.2020

Comarch e-Sale, jako e-commerce na dobry ...