Uwaga na hakerów | Miesięcznik Dealer

Od momentu wybuchu wojny w Ukrainie liczba ataków hakerskich w Polsce gwałtownie wzrasta, a nasz kraj jest jednym z najczęściej atakowanych. – Obserwujemy generalny wzrost aktywności cyberprzestępców. Częściowo wiążemy go z sytuacją za naszą wschodnią granicą, ale to nie jedyny powód. Zdarzenia w polskiej cyberprzestrzeni, które bezpośrednio łączymy z sytuacją w Ukrainie, to rosnąca liczba ataków typu DDoS [rozproszony atak na systemy komputerowe lub usługę sieciową uniemożliwiający poprawne działanie poprzez zajęcie wszystkich wolnych zasobów – red.] na strony rządowe i portale istotnych krajowych podmiotów gospodarczych. W osi zainteresowania przestępców wciąż pozostają jednak firmy oraz osoby prywatne, w które wycelowana jest większość kampanii phishingowych, czyli wyłudzających wrażliwe dane, zwłaszcza dane dostępowe do bankowości internetowej – informują przedstawiciele CERT Polska, zespołu działającego w strukturach Naukowej i Akademickiej Sieci Komputerowej. Jak dodają, przedsiębiorcy cały czas muszą mierzyć się z falą ataków typu ransomware (złośliwe oprogramowanie infekujące oraz blokujące system komputerowy poprzez zaszyfrowanie wybranych plików), szczególnie niebezpiecznych dla podmiotów z nieodpowiednio zorganizowaną polityką cyberbezpieczeństwa, zaś widocznym zagrożeniem wycelowanym w firmy jest także spear phishing, czyli ataki spersonalizowane.

Wzrost cyberzagrożenia wśród przedsiębiorców potwierdza także najnowszy raport KPMG pt. „Barometr cyberbezpieczeństwa”. Wynika z niego, że w 2022 r. aż 58 proc. ankietowanych dotknął przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa cyfrowego, a wzrost intensywności prób cyberataków na swoje systemy odnotowała co trzecia badana firma (w badaniu wzięło udział 100 dużych, średnich i małych polskich przedsiębiorstw z różnych branż; 3 proc. badanych stanowiły firmy z sektora motoryzacyjnego).

EUROPEJSCY DEALERZY NA CELOWNIKU

Ataki na firmowe dane to dziś zatem nie fikcja znana z filmów, lecz realne zagrożenie. Na własnej skórze coraz częściej przekonują się o tym przedstawiciele branży automotive. Oto kilka przykładów, najpierw z Europy.

W październiku zaatakowana przez hakerów została jedna z czołowych grup dealerskich w Wielkiej Brytanii – Pendragon (149 punktów sprzedaży i ponad 150 tys. sprzedanych aut w 2021 r.). Gdy firma „zidentyfikowała podejrzaną aktywność na części swoich systemów informatycznych”, od razu podjęła wszelkie kroki, aby powstrzymać incydent. Dealer poinformował, że zdarzenie nie wpłynęło na funkcjonowanie firmy i nie przerwano obsługiwać klientów. Media podały, że hakerzy zażądali 53 mln funtów okupu.

Pod koniec ubiegłego roku hakerzy uderzyli w inną brytyjską grupę dealerską – Arnold Clark (blisko 200 dealerstw, roczna sprzedaż na poziomie ponad 300 tys. samochodów). 23 grudnia firma poinformowała na swoim profilu na LinkedInie, że jej zewnętrzni konsultanci ds. bezpieczeństwa cybernetycznego zaobserwowali podejrzany ruch w systemach grupy, a wewnętrzny zespół dealera ds. bezpieczeństwa to potwierdził. By zapobiec dalszej ingerencji i ochronić dane klientów, własne systemy i partnerów zewnętrznych, firma „odłączyła się” od internetu. Cyberatak skutkował m.in. tym, że dealer nie mógł przed Bożym Narodzeniem wydać klientom wyczekiwanych pojazdów. Z problemami informatycznymi grupa borykała się jeszcze przez ponad 10 dni. A jak się później okazało, na tym historia się nie skończyła. W styczniu „Daily Mail” poinformował, że hakerzy zażądali od firmy Arnold Clark okupu. Zagrozili, że jeśli dealer nie zapłaci wielomilionowej sumy w kryptowalucie, zamieszczą w internecie 467 gigabajtów danych klientów (wykradziono prawdopodobnie nazwiska, dane kontaktowe, daty urodzenia, informacje o pojazdach klientów, dane z dokumentów prawa jazdy, numery ubezpieczenia społecznego, numery kont bankowych itp.). Na groźbach hakerzy nie poprzestali – opublikowali w sieci 15 gigabajtów danych klientów. W kolejnym komunikacie (z 16 lutego) na swojej stronie internetowej dealer oświadczył, że kontaktuje się z klientami, których dane mogły wyciec, aby poinformować ich o incydencie oraz zaoferować ochronę i pomoc. Zaznaczył również, że cały czas jest w kontakcie z odpowiednimi służbami.

SŁOWNI HAKERZY

Przenieśmy się teraz na nasze podwórko. Tu ofiarą cyberataku padł niedawno polski importer Hyundaia. Firma zawiadomiła mailowo swoich klientów, że „nieuprawniona osoba trzecia” uzyskała dostęp do niektórych informacji z jej bazy klientów. Zapewniła przy tym, że natychmiast rozpoczęła dochodzenie i działania niezbędne do opanowania incydentu – m.in. zablokowała i trwale usunęła z sieci zaatakowany serwer, do zarządzania incydentem zaangażowała czołowych specjalistów ds. bezpieczeństwa cybernetycznego i prawników oraz skierowała sprawę do Prezesa Urzędu Ochrony Danych Osobowych.

Czego dotyczył atak? Naruszone mogły zostać dane kontaktowe (adresy, e-maile oraz numery telefonów), informacje o miejscu i dacie urodzenia, dane pojazdów klientów (np. numery VIN) oraz nagrania rozmów z konsultantami call center. Importer oświadczył, że atakiem nie zostały natomiast objęte dane finansowe, numery PESEL czy numery dowodów osobistych. Przestrzegł jednak klientów, aby byli wyczuleni na wszelkie próby kontaktu, które tylko z pozoru mogą pochodzić od Hyundai Motor Poland lub innych podmiotów Hyundai Motor Group.

Kolejny przykład cyberataku, który wydarzył się niedawno w naszej branży, dotyczy już bezpośrednio jednego z dealerów. Gdy pewnego dnia pracownicy przyszli rano do pracy, zobaczyli, że z drukarek sieciowych zostały wydrukowane komunikaty wskazujące, że doszło do cyberataku. Hakerzy poinformowali, że firmowy system informatyczny został zaszyfrowany, a niektóre dane wykradzione. Podali również adres w darknecie, gdzie można się było zalogować, by zobaczyć przykładowe pliki, które zostały wykradzione, oraz uzyskać informację na temat okupu. W pewnym momencie postawili również warunek, że jeżeli okup nie będzie opłacony w określonym czasie, wykradzione dane zostaną upublicznione. – Polityka naszej firmy była taka, aby nie płacić żadnych pieniędzy. Nie wiemy, o jak duży okup chodziło. Żeby zdobyć taką informację, trzeba było „wyklikać” ją w darknecie. Nie chcieliśmy tego robić, by nie narazić się na kolejne niebezpieczeństwo – poruszanie się w takim środowisku mogłoby jeszcze bardziej zainfekować nasze komputery czy systemy – relacjonuje przedstawiciel poszkodowanej firmy. Atak hakerski dealer zgłosił od razu na policję, gdzie sprawą zajął się regionalny wydział Centralnego Biura Zwalczania Cyberprzestępczości (policji udało się ustalić niektóre fakty, jednak ze względu na tajemnicę śledztwa i charakter przestępstwa firma ich nie ujawnia).

Hakerzy niestety dotrzymali słowa – gdy dealer nie wypełnił ich żądań, upublicznili skradzione dane. Jak zdradza nasz rozmówca, nie chodziło ani o system księgowo-finansowy, ani kadrowy. Informacje sprzedażowe również nie zostały wykradzione, a „jedynie” – tak jak większość – zaszyfrowane. Firma dysponowała na szczęście prawidłowo sporządzoną kopią bezpieczeństwa danych, więc posiadała bazę do odtworzenia zblokowanych systemów. – Nie mieliśmy jedynie pewności, czy dane z dnia poprzedzającego moment ataku również nie zostały zaszyfrowane, więc przywróciliśmy kopię sprzed dwóch dni. Z kolei dwa „brakujące” dni odtworzyliśmy z dokumentów papierowych – opowiada dealer.

Opisywany atak hakerski spowodował, że firma utraciła dostęp do swoich danych na półtora dnia, bo tyle czasu (prace toczyły się również w nocy) trwało przywracanie kopii bezpieczeństwa, czyli m.in. „postawienie” serwera od nowa, zainstalowanie nowych dysków itd. W tym czasie – ze względów bezpieczeństwa – przedsiębiorstwo było odcięte od świata.

systemów i wskazali przyczynę ataku, jednak żadna z kilku firm, które złożyły nam ofertę, nie była w stanie zagwarantować, że w wyniku przeprowadzonych prac, wycenionych zresztą na niemałe kwoty, zostałoby to ustalone – mówi dealer. Zamiast tego firma zdecydowała się więc na przeprowadzenie audytu cyberbezpieczeństwa. Ma on ocenić aktualny stan bezpieczeństwa informatycznego firmy, a jeśli zostaną zidentyfikowane określone ryzyka – wskazać działania, które wykluczą je zupełnie lub zminimalizują do akceptowalnego poziomu.

DMUCHAĆ NA ZIMNE

Świadomość przedsiębiorstw związana z koniecznością ochrony przed cyberzagrożeniami jest coraz większa, jednak wciąż wiele z nich nie ma prawidłowo określonej, wdrażanej i aktualizowanej polityki cyberbezpieczeństwa, która powinna być „uszyta na miarę”, a więc odpowiadać na potrzeby firmy związane ze specyfiką jej działalności czy branżą. Na co należy więc zwracać szczególną uwagę, dbając o cyberbezpieczeństwo? – Kluczowe jest, by dostęp zdalny do zasobów firmowych możliwy był tylko po podwójnym uwierzytelnianiu, system kopii zapasowych był odizolowany, zaś same kopie regularnie sprawdzane. Istotne jest też właściwe skonfigurowanie VPN-a, co dodatkowo chroni zasoby firmy. Kolejną ważną zasadą jest dbałość o aktualizacje systemów, zwłaszcza tych dostępnych z internetu, oraz urządzeń będących w bezpośrednim posiadaniu pracowników – wyliczają specjaliści CERT Polska. Od razu jednak dopowiadają: – Za fundament bezpieczeństwa uważamy zdecydowanie ciągłą edukację pracowników. Niezwykle istotne jest budowanie świadomości dotyczącej cyberzagrożeń oraz tego, jaki mają wpływ na bezpieczeństwo całej organizacji.

A co robić, gdy dojdzie już do ataku, lub mamy podejrzenie, że mogło do niego dojść, bo pracownik kliknął na przykład w niebezpieczny link? Zdaniem ekspertów skuteczność współczesnych programów antywirusowych (pod warunkiem, że są one na bieżąco aktualizowane) oraz dość powszechna zmiana systemów wykorzystywanych do tworzenia nowoczesnych stron internetowych sprawiają, że zmniejszyło się ryzyko sytuacji, w której samo kliknięcie w link powoduje od razu poważne szkody. Obecnie – zaznaczają specjaliści CERT Polska – znacznie bardziej niebezpieczne jest z reguły dalsze zachowanie użytkownika – już po kliknięciu i przeniesieniu się na stronę internetową przygotowaną przez przestępców. Takim dalszym działaniem może być chociażby ściągnięcie na urządzenie groźnego pliku, instalacja oprogramowania lub też podanie na fałszywej stronie, udającej na przykład panel logowania do bankowości internetowej, danych uwierzytelniających, które będą następnie wykorzystane przez przestępców.

Właśnie dlatego CERT Polska, oprócz korzystania ze sprawdzonego, legalnego i aktualizowanego oprogramowania (nie tylko antywirusowego), rekomenduje przede wszystkim zadbanie o edukację w obszarze cyberbezpieczeństwa. – W zakresie edukacji mieści się także to, by pracownicy wiedzieli, jak zachować się, jeśli nieopatrznie klikną w link przesłany przez przestępców poprzez wiadomość e-mail bądź SMS, a także komu zgłaszać takie incydenty. Kluczowe jest także to, by nie bali się tego robić. Pamiętajmy – to przestępcy są winni, a nie pracownik, który w jakiś sposób został przez nich oszukany i narażony na niebezpieczeństwo – podkreślają eksperci, wskazując, że w przypadku większości ataków kluczowy jest czas reakcji, o czym także powinni wiedzieć pracownicy, bo wtedy komórka firmy odpowiedzialna za bezpieczeństwo może skuteczniej działać.

Na podobne kwestie zwracają uwagę przedstawiciele iVendi, brytyjskiego dostawcy cyfrowych rozwiązań do sprzedaży detalicznej pojazdów. Ich zdaniem firmy powinny także przeprowadzać regularną rewizję planów reagowania na incydenty, dbać o aktualizację strategii tworzenia kopii zapasowych i udokumentowanego planu odzyskiwania danych oraz mieć pod kontrolą dostęp pracowników do poszczególnych systemów (m.in. mieć pewność, że pracownicy stosują silne hasła oraz usuwać stare, nieużywane czy nierozpoznane konta). Ponadto szczególną ostrożnością należy wykazać się wtedy, gdy dostęp do firmowych systemów nadajemy osobom trzecim (chodzi tu m.in. o dostęp tylko w niezbędnym zakresie, kontrolę tego dostępu i usuwanie go, gdy nie jest już potrzebny).

BEZCENNA OCHRONA

Firmy tłumaczą, że przed odpowiednim zabezpieczaniem się przed cyberzagrożeniem hamują je niewystarczające budżety (w przywołanym już „Barometrze cyberbezpieczeństwa” ten czynnik wskazało 57 proc. ankietowanych) oraz trudności w zatrudnieniu i utrzymaniu wykwalifikowanych pracowników (47 proc.). Specjaliści CERT Polska zwracają jednak uwagę, że istnieje duży wybór dostawców rozwiązań z zakresu cyberbezpieczeństwa, a sam rynek jest mocno konkurencyjny. I przekonują, że inwestycja w cyberbezpieczeństwo to dziś nie wybór, a po prostu konieczność – także z finansowego punktu widzenia. Trudno z tym polemizować.

Szerzej o cyberatakach na branżę dealerską już podczas 14. Kongresu Dealerów w Łodzi opowie Mateusz Ossowski - ekspert w dziedzinie cyberbezpieczeństwa ➤