Cyberbezpieczeństwo 2015: Czy czujemy się bezpiecznie w sieci? – Rozmowa z Tomaszem Matułą z Orange Polska

Orange, zarządzając znaczną częścią ruchu internetowego w Polsce, publikuje raport CERT Orange Polska, który stanowi
cenne źródło wiedzy o aktualnych zagrożeniach w cyberprzestrzeni.
Wnioski z raportu, ze względu na skalę działalności Orange, można śmiało uogólniać na cały polski internet.
O najważniejszych trendach i wyzwaniach w cyberbezpieczeństwie rozmawiamy z Tomaszem Matułą, dyrektorem infrastruktury ICT i cyberbezpieczeństwa Orange Polska, laureatem tytułu CIO Roku 2010.

Tomasz Matuła:
Podsumowując rok 2015, kluczowe zjawiska to ransomware,
ataki wielowektorowe oraz powrót starych zagrożeń, takich jak
trujący spam i phishing. Niepokojący jest również wzrost skanowania podatności oprogramowania i sprzętu na urządzeniach mobilnych.

Średnia wielkość ataku DDoS wzrosła o 20%, osiągając 1,1 Gbps.
Biorąc pod uwagę upowszechnienie szerokopasmowego internetu w Polsce,
jest to wzrost, który można uznać za naturalny.

Warto pamiętać, że
nie wszystkie polskie instytucje finansowe
dysponują łączem internetowym o przepustowości większej niż przeciętny atak DDoS.

Ataki DDoS coraz rzadziej są celem samym w sobie.
Coraz częściej stanowią element ataków wielowektorowych, służąc jako przykrywka dla innych działań.
Na przykład, DDoS bywa preludium do socjotechnicznych prób wyłudzenia haseł lub poufnych informacji.
Choć ataki DDoS są spektakularne i dotkliwe, ich natura staje się coraz bardziej złożona – są wielogodzinne i prowadzone w inteligentny sposób.

Zamiast rekordów wielkości, wzrosła liczba ataków na osoby indywidualne.
To nowe i szybko narastające zjawisko.
Niski koszt zamówienia ataku DDoS na konkretną osobę w sieci ośmielił na przykład uczestników gier online do stosowania ich jako formy nieuczciwej konkurencji.

Niestety, prognozy o wykorzystaniu ataków DDoS w nieuczciwej konkurencji biznesowej sprawdziły się.
Najbardziej spektakularnym przykładem z ubiegłego roku był atak na znaną sieć handlową, sprzedawcę elektroniki,
przeprowadzony w okresie przedświątecznym, po intensywnej kampanii promującej sprzedaż online.
Był to potężny, ustrukturyzowany i długotrwały atak, mający na celu wyeliminowanie konkurenta z rynku. Dzięki usłudze DDoS protection, klient Orange, jakim była ta sieć, został ochroniony, a klienci nie odczuli ataku.

Statystyki ataków pozwalają na analizę ich scenariuszy i lepsze zrozumienie intencji przestępców.
Kluczowe jest jednak szybkie przeciwdziałanie.
Procedury Security Operations Center (SOC) Orange Polska są skonstruowane tak, aby zagrożenia nie materializowały się, aby zapobiegać wyłączeniu usług i utracie danych.
Szybka reakcja pozwala odseparować podejrzany ruch lub złośliwy kod.

Zgadza się.
Przykładów można mnożyć.

Hasła dostępowe osób na kluczowych stanowiskach często łamane są na podstawie informacji z mediów społecznościowych, takich jak imiona dzieci, daty urodzin, imiona zwierząt.
Znalezienie właściwej kombinacji zajmuje czasem tylko kilka minut.
To świadczy o braku rozsądku i podstawowej wiedzy na temat bezpieczeństwa.

Wracamy do ataków wielowektorowych.
Zdobyte prywatne dane są wykorzystywane do ataków na instytucje lub firmy, w których pracują ofiary.
Urządzenia domowe, zazwyczaj słabiej chronione i rzadziej aktualizowane, stają się przyczółkiem do włamania do sieci firmowej.
Praca przenoszona do domu i dostęp do zasobów firmowych z prywatnych urządzeń tworzą luki bezpieczeństwa. Zhakowany użytkownik staje się furtką do przestępstw na większą skalę.

Raczej obserwujemy tendencję do poszukiwania rozwiązań systemowych.
Klienci z ulgą przyjmują przejmowanie odpowiedzialności za bezpieczeństwo w sieci przez dostawców usług telekomunikacyjnych czy finansowych.
Banki oferują oprogramowanie antywirusowe, a Orange wprowadził Cybertarczę – automatyczną ochronę ruchu internetowego przed złośliwym oprogramowaniem w stronach, poczcie, SMS-ach i MMS-ach.

Z Cybertarczy zrezygnowało jedynie 0,1% użytkowników,
co pokazuje, że korzyści z ochrony przeważają nad obawami o prywatność (usługa jest dobrowolna).

Pod przykrywką znanych zagrożeń pojawiają się nowe.
Przykładem jest wzrost ilości zatrutego spamu.
Stary, lekceważony spam stał się popularnym nośnikiem złośliwego kodu.
Szacujemy, że blisko 40% spamu przenosi złośliwe oprogramowanie.

Spam nie rdzewieje
40% spamu przenosi złośliwy kod, który infekuje komputer odbiorcy.

Tak, o czym świadczy wzrost udziału phishingu w atakach z 1% do 5% w porównaniu z 2014 rokiem.
Przestępcy dostosowują swoje metody.

To nawiązanie do „rynku” usług DDoS…
Rozwój Internetu Rzeczy (IoT) stanowi wsparcie dla sieci botnetowych, wykorzystywanych do ataków DDoS.
Urządzenia IoT, choć same w sobie niegroźne, doskonale nadają się na zombie w sieci botnetowej.

Brak zgłoszeń nie oznacza, że ich nie było.
Zagrożenie nadal istnieje.

500 zł dla ransomware

Odblokowanie danych w telefonie zainfekowanym ransomware kosztuje średnio 500 zł (na Zachodzie 500 USD).
Wiele osób woli zapłacić okup, nie informując o tym policji ani operatora telekomunikacyjnego.
Obawiają się, że zgłoszenie sprawy organom ścigania może pogorszyć sytuację.
Widzimy tu dwie kwestie: brak wiary w pomoc Państwa w cyberprzestrzeni i niedostateczne dbanie o bezpieczeństwo, w tym brak backupu danych i urządzeń.

Tak, widać zmiany.
Wśród firm biznesowych następuje zmiana podejścia do disaster recovery.
Cyberatak staje się realnym zagrożeniem, obok katastrof naturalnych.
Firmy coraz częściej inwestują w rozwiązania zapewniające ciągłość działania, takie jak zapasowe łącza i infrastruktura.

Jeśli to trend potwierdzony statystykami, to napawa optymizmem.

Mogę potwierdzić to danymi sprzedaży usług Orange (śmiech).
Widzimy ten trend również w danych dotyczących rynku pracy, na przykład w zapotrzebowaniu na specjalistów ds. cyberbezpieczeństwa.

Pojawiają się pozytywne sygnały.
Strategia Cyberbezpieczeństwa RP, konsultowana przez Ministerstwo Cyfryzacji, to istotny krok.
Po raz pierwszy widzimy, że Państwo zamierza wziąć odpowiedzialność za cyberbezpieczeństwo obywateli i przedsiębiorców.
Koncentracja kompetencji w specjalnym departamencie jest pozytywnie odbierana. Widzimy chęć współpracy administracji państwowej z podmiotami rynkowymi oraz wizję cyberbezpieczeństwa kraju. Jestem optymistą.

Dziękuję za rozmowę.

Kopię raportu CERT Orange Polska podsumowującego cyberbezpieczeństwo w 2015 r. można pobrać tutaj:
https://cert.orange.pl/uploads/CERT_final.pdf.

CERT Orange Polska (Computer Emergency Response Team) to jednostka w strukturach Orange Polska, odpowiedzialna za bezpieczeństwo użytkowników internetu korzystających z sieci operatora.
Powstała w 2006 roku, wywodząc się z jednostki TP Abuse.
Obecnie liczy 80 osób, włączając SOC.
W marcu br. CERT Orange Polska uzyskał najwyższy poziom akredytacji w Trusted Introducer (TI), inicjatywie TERENA TF-CSIRT. Jest jedynym zespołem z Polski z najwyższym stopniem akredytacji.

Podsumowując,
cyberbezpieczeństwo w 2015 roku było obszarem dynamicznych zmian i wyzwań.
Rosnąca skala i złożoność zagrożeń wymagały od organizacji i użytkowników indywidualnych ciągłego podnoszenia poziomu świadomości i wdrażania skutecznych mechanizmów ochrony.
Raport CERT Orange Polska za 2015 rok stanowi wartościowe źródło wiedzy, pozwalające lepiej zrozumieć ówczesne trendy i przygotować się na przyszłe wyzwania w cyberprzestrzeni.