W sieci kluczowe są edukacja i prewencja

MATERIAŁ POWSTAŁ WE WSPÓŁPRACY Z ING HUBS POLAND

W trakcie debaty „Współczesne wyzwania w cyberbezpieczeństwie”, która odbyła się w redakcji „Rzeczpospolitej”, mówiono o głównych problemach w tym obszarze, nowych zagrożeniach – związanych także z coraz powszechniejszym wykorzystywaniem sztucznej inteligencji (AI) przez cyberprzestępców – jak również o kluczowych działaniach w organizacjach, mających wzmacniać bezpieczeństwo w cyberprzestrzeni.

Krzysztof Zieliński, dyrektor Departamentu Cyberbezpieczeństwa w Urzędzie Komisji Nadzoru Finansowego (UKNF), wskazał, że w centrum uwagi spraw związanych z cyberbezpieczeństwem jest dziś sztuczna inteligencja (AI) i wykorzystanie jej przez grupy cyberprzestępcze. – Nie jest ona jeszcze wykorzystywana powszechnie i nie niesie takich zagrożeń, jakich możemy się spodziewać w przyszłości, natomiast już widzimy próby wykorzystywania machine learningu i dużych modeli językowych do różnych działań cyberprzestępczych. Powstały już modele specjalnie wytrenowane do tworzenia złośliwego oprogramowania czy też tworzenia zmanipulowanych treści wideo – powiedział.

Cyberzagrożenia prosto ze sklepu

Cyberprzestępczość się sprofesjonalizowała, działa w modelu Cybercrime-as-a-Service.

– Już nie trzeba być zaawansowanym informatykiem i robić wszystkiego samemu, by prowadzić działalność cyberprzestępczą. W darknecie, czyli części internetu wykorzystywanej przez przestępców, są już modele AI używane do różnych działań phishingowych, do analizy danych czy tworzenia deep fake’ów głosowych lub wideo. Co ważne, wszystkie takie usługi można kupić. Nie są one drogie, są też na nie promocje i zniżki, są karty stałego klienta! To powoduje, że są coraz bardziej dostępne – mówił ekspert UKNF.

Przykładem wykorzystania AI do działań przestępczych są pojawiające się w sieci, głównie w mediach społecznościowych, reklamy fałszywych inwestycji wykorzystujące wizerunki znanych osób – polityków, celebrytów. Mówią oni swoim głosem, namawiając do inwestycji finansowych, zapewniając przy tym np., że nie ma żadnego ryzyka czy że są one (inwestycje) gwarantowane przez państwo. Celem jest wprowadzenie w błąd zwykłych użytkowników, którzy nie są w stanie rozpoznać oszustwa, nawet często nie wiedzą, że istnieje coś takiego jak deep fake.

– Rzadziej widzimy dziś wykorzystanie do ataku rozwiązań technologicznych czy złośliwego oprogramowania, a głównym wektorem ataków staje się socjotechnika służąca do manipulacji obywatelem, użytkownikiem internetu. Dla przeciętnej osoby jest to bardzo przekonujące i coraz częściej ludzie dają się oszukiwać w taki sposób – stwierdził Krzysztof Zieliński.

Maciej Siciarek, dyrektor CSIRT w NASK, dodał, że nie mamy jeszcze pełnej wiedzy, jak AI będzie wykorzystywana w cyberprzestępczości. – Ale jej użycie już dziś sprawia, że choć pozornie scenariusz ataków jest bardzo podobny, to rozwijają się nowe metody. Cały czas mamy do czynienia z twórczym przeciwnikiem, o wielu twarzach. Musimy rozpoznawać, w jaki sposób on chce uderzyć w cel – od obywateli, przez różne instytucje, aż po administrację – mówił.

– Każdy z nas z nieco innej strony chroni polską cyberprzestrzeń. Z punktu widzenia instytucji czy zespołów, które się tym zajmują, wyzwaniem jest to, w jaki sposób docierać do źródeł tych działań i wpływać na zahamowanie rozszerzania tego zjawiska. Jeżeli pojawiają się reklamy, to ktoś je publikuje. Ze strony CSIRT NASK podejmujemy liczne działania, żeby wpłynąć na firmy zarządzające platformami tak, by poddawały reklamy pewnej ocenie pod kątem tego, czy nie służą one wspomaganiu działalności przestępczej – opowiadał ekspert.

Różne techniki działań

Maciej Ogórkiewicz, szef pionu globalnego bezpieczeństwa IT i członek zespołu zarządzającego ING Hubs Poland, zwrócił uwagę, że poza rozwiązaniami hi-tech wykorzystującymi sztuczną inteligencję, gros prób oszustw jest raczej mało zaawansowanych technologicznie. – To są proste ataki, w których ludzie „łapią się” na wspomnianą socjotechnikę. Większe znaczenie ma bowiem to, jak chcemy wpłynąć na jednostkę, niż to, jak zaawansowanych narzędzi używamy, żeby kogoś oszukać – zauważył.

Maciej Siciarek dodał, że trwa debata o tym, gdzie są granice cyberbezpieczeństwa. – Zdecydowanie widzimy, że jest sfera twardych ataków, gdzie ktoś włamuje się do infrastruktury, do naszej sieci firmowej, żeby coś ukraść, zniszczyć, podmienić czy wymusić okup. I jest też obszar, który dla cyberprzestępców jest równie opłacalny, który obejmuje wpływanie na zachowanie użytkowników. Zaliczają się do tego także wszystkie kwestie, które identyfikujemy jako dezinformację – powiedział.

Wydaje się, że wspomniane ataki technologiczne dotyczą raczej firm i organizacji. Bo grupom cyberprzestępczym, które okradają obywateli, nie opłaca się tworzyć złośliwego oprogramowania na urządzenia mobilne, bo są one coraz lepiej zabezpieczone przez producentów systemów operacyjnych. Żeby znaleźć w nich lukę, trzeba zainwestować duże pieniądze, a prościej, szybciej i taniej jest okradać ludzi, wykorzystując socjotechniki. Te grupy też ważą swoje koszty. To bardzo zaawansowane organizacje, które mają biznesplany, mają działy IT, działy HR rekrutujące ludzi, psychologów, którzy opracowują scenariusze ataków, wymieniają się też usługami świadczonymi w swoim wąskim zakresie.

Maciej Ogórkiewicz dodał, że wspomniane zaawansowane luki w systemach wykorzystywane są głównie do atakowania dużych organizacji. – Koszmarem działu bezpieczeństwa dużej organizacji jest tzw. luka Zero Day, która nie jest znana autorowi oprogramowania, czyli jest znana od zero dni. Można to porównać do sytuacji, w której mamy w mieszkaniu ukryte drzwi, ktoś ma do nich klucz, a my jako właściciel nie wiemy, że takie wejście istnieje. Takie luki są bardzo niebezpieczne, bo nawet jeżeli mamy zabezpieczone systemy, nadal istnieje możliwość wejścia do nich. Co dalej? To zależy, kto ją odkryje. Ktoś może dać znać dostawcy oprogramowania, wtedy dana luka zostanie likwidowana przez publikację poprawki kodu. Albo sprzedać tę informację za kilka milionów dolarów na czarnym rynku grupom przestępczym, o których była już mowa – wyjaśniał.

Efektem może być np. przejęcie danych organizacji i haseł lub uzyskanie dostępu, a potem np. ataki typu ransomware, gdzie pliki w firmowej sieci są szyfrowane i atakujący żądają okupu za podanie hasła do ich odblokowania. Przy czym zapłata wcale nie gwarantuje, że takie hasło rzeczywiście dostaniemy. A jeśli już, to i tak przestępcy mogą sobie zostawić ukrytą furtkę, przez którą ponownie włamią się do systemu.

Jak się zabezpieczać i bronić przed atakami? Krzysztof Zieliński zauważył, że bardzo ważne są prewencja i budowanie świadomości, czyli edukacja. Jest jednak z tym problem, bo osób, których nie dotknął atak czy utrata danych, kwestia bezpieczeństwa nie interesuje. – Natomiast kiedy coś już się wydarzy, to na świadomość jest za późno. A nie trzeba wiele, żeby się chronić. Sama świadomość zagrożeń sprawia, że chcemy się dowiedzieć, jak im przeciwdziałać. Kłopot jest więc w tym, żeby dotrzeć do obywateli z przekazem edukacyjnym. Te wyzwania dotyczą wszystkich państw, nie tylko Polski – powiedział.

Jak się bronić

Jak więc zapobiegać incydentom? Można albo tłumaczyć i zakazywać pracownikom korzystania np. z pendrive’ów czy prywatnej poczty na firmowym sprzęcie, albo np. ograniczać uprawnienia użytkowników komputerów służbowych przy pomocy rozwiązań płatnych lub darmowych, które blokują określony rodzaj działań.

– Jeżeli służbowy sprzęt ma wdrożone odpowiednie zabezpieczenia – bo sam regulamin w intranecie do tego nie wystarczy – to staje się on nieprzydatny do celów prywatnych. Oczywiście wprowadzanie takich rozwiązań kosztuje, ale firmy, instytucje i administracja powinny przeanalizować, co się bardziej opłaca: inwestycja w ochronę urządzeń końcowych czy czekanie, aż wydarzy się coś, co może mieć trudne do przewidzenia, ale potencjalnie bardzo poważne konsekwencje – zauważył Maciej Siciarek.

– Zdecydowanie bardziej opłaca się prewencja – dopowiedział od razu Maciej Ogórkiewicz. – Trzeba tylko właściwie określić odpowiedni poziom uprawnień dla użytkowników i znaleźć równowagę między tym, czego pracownik realnie potrzebuje do pracy, a tym, co rzeczywiście może robić na danym sprzęcie. Oczywiście nie da się tego zrobić w 100 proc., ale można znacząco zminimalizować ryzyko. Eliminuje się tzw. wektory ataku, które być może umożliwiłyby cyberprzestępcom wejście do systemu.

Maciej Siciarek dodał, że nie oznacza to, że wszyscy mają być objęci tymi samymi restrykcjami. – W ramach jednej organizacji można przyznawać różne uprawnienia zależnie od potrzeb na danym stanowisku. Chodzi o to, by mieć świadomość, co się dzieje w organizacji, i zapewnić pracownikom narzędzia adekwatne do ich obowiązków – tłumaczył.

Krzysztof Zieliński wrócił do tematu edukacji. – Budowa świadomości jest bardzo ważna. Mam wrażenie, że w naszej organizacji, w UKNF, udało nam się ją zbudować. Regularnie szkolimy ludzi – nie tylko z tego, co się dzieje w pracy, ale także ogólnie z tego, co ich może spotkać w internecie i co może się stać z ich pieniędzmi, danymi osobowymi czy zdjęciami w mediach społecznościowych – powiedział.

– W przypadku banków ustawodawstwo obliguje je do tego, żeby regularnie, na bieżąco, ostrzegać klientów o zagrożeniach. Oprócz tego praktycznie wszystkie banki komercyjne mają programy edukacyjne skierowane do klientów. Obok tego prowadzą edukację pracowników – wyjaśnił Maciej Ogórkiewicz. – Warto pamiętać, że dziś banki są tak naprawdę firmami technologicznymi. Odbywa się w nich zarządzanie systemami teleinformatycznymi, budowanie aplikacji, tworzenie architektury IT. Bardzo ważnym aspektem szkolenia inżynierów jest przekazywanie im kluczowych informacji dotyczących bezpieczeństwa i tego, jak budować systemy, w taki sposób, żeby przeciwdziałać potencjalnym zagrożeniom i zminimalizować możliwość ich wystąpienia. Dodatkowo systemy są poddawane ciągłym testom, a informacje o ich wynikach przekazywane są na bieżąco do inżynierów, co także ma walor edukacyjny – podsumował.