Co dwudzieste zaatakowane przez ransomware przedsiębiorstwo jest z Polski
BEZPIECZEŃSTWO
Ofiarą jest sprzedawca części samochodowych, duży dom mediowy, firma medyczna. A mimo to do NC Cyber, czyli jednostki odpowiedzialnej za ochronę cybernetyczną, nie spływały niemal żadne informacje o polskich problemach.
– Nie zdecydowaliśmy się na podwyższenie stopnia alarmowego związanego z ostatnimi cyberatakami. Sytuacja jest monitorowana. Służby prowadzą odpowiednie działania – czytamy w komunikacie po posiedzeniu zespołu zarządzania kryzysowego w związku z atakiem.
Dostaliśmy rykoszetem
Jak wygląda sytuacja poza oficjalnym stanowiskiem? Według analizy przedstawionej przez Kaspersky Lab najwięcej zainfekowanych komputerów znajduje się na Ukrainie (60 proc.), w Rosji (30 proc.) oraz w Polsce (5 proc.). – Głównym celem ataku była Ukraina. Rykoszetem oberwało się też polskim firmom. W niektórych zaatakowano właściwie wszystkie stacjonarne urządzenia i pracownicy mogą działać tylko na smartfonach – mówi nam Adam Haertle, ekspert ds. bezpieczeństwa.
Ransomware, który został użyty w ataku, to złośliwe oprogramowanie szyfrujące dysk lub dane na dysku. Za ponowne dopuszczenie użytkownika do tych materiałów żąda okupu (stąd właśnie nazwa ransomware, od ang. ransome – okup). Obecnie użyta wersja nazwana Petya i NoPetya podobnie jak atak sprzed miesiąca WannaCry nie tylko zaatakowała masowo, ale co ważne, tym razem do rozprzestrzenienia oprogramowania wystarczyło jedno zaatakowane urządzenie w danej firmie czy organizacji, by robak rozszedł się sam po reszcie sprzętu.
– To był wyjątkowo złośliwy atak, bo samodzielnie rozprzestrzeniał się po danej sieci. Musiałaby być dokonana segmentacja, czyli podzielenie sieci na kilka części obejmujących np. różne piony, działy w firmie, by zapobiec całkowitej blokadzie działań – tłumaczy Tomasz Wodziński, kierownik Security Operations Center w spółce Exatel.
Na taki krok większość polskich ofiar się nie zdecydowała. Wśród zaatakowanych we wtorek po popołudniu są – jak podawał serwis Niebezpiecznik.pl – firma Raben, która ze względu na „międzynarodowe zagrożenie wirusowe wstrzymała wszystkie operacje transportowe”, InterCars, TNT w Katowicach, Kronospan, Mondelez we Wrocławiu. Mimo tego że o polskich ofiarach już powszechnie wiadomo, NC Cyber, czyli specjalny zespół przy NASK powołany rok temu do pomocy w tego typu sytuacjach, podawał, że nie zgłoszono żadnych problemów.
– Rzeczywiście do NC Cyber takie zgłoszenia mogą nie trafiać. Prywatne firmy nie mają ani obowiązku raportowania ataków, ani nie otrzymają od tej jednostki specjalnie dużej pomocy – ocenia Haertle. – Prawda jest taka, że choć NC Cyber stworzony na bazie CERT Polska był planowany jako centralny ośrodek pomocy i informacji na wypadek ataków, nie wyposażono go ani w kompetencje prawne, ani środki, by mógł odgrywać taką rolę. Co więcej, wciąż nie mamy przyjętej rządowej strategii Ochrony Cyberprzestrzeni RP, zaś ustawa dotycząca tego zagadnienia – i to w trzech różnych wersjach pisanych przez trzy konkurencyjne instytucje – wciąż jest tworzona – dodaje ekspert.
Musimy polegać na sobie
Mimo apeli – zarówno ekspertów, jak i NIK – wskazujących, że brakuje nam ośrodka analiz, pomocy i ochrony na wypadek cyberataków, sytuacja się nie poprawia.
Rok temu resort cyfryzacji przygotował strategię ochrony cyberprzestrzeni, która taką pozycję dawała właśnie Ministerstwu Cyfryzacji i nowo utworzonemu NC Cyber. Po kilku miesiącach jednak przedstawiono nową wersję dokumentu, która znacznie ograniczyła kompetencje obu tych instytucji w porównaniu z poprzednimi planami.
Efekt jest taki, że InterCars, czyli jedna z zaatakowanych firm, z której przedstawicielami rozmawiałyśmy, po zablokowaniu przez ransomware sprzętu, swoje pierwsze kroki skierowała do ABW, przy którym także działa CERT. Ten jest jednak przeznaczony dla instytucji publicznych i firm z infrastruktury krytycznej (np. energetycznych, medycznych, telekomunikacyjnych). Firma usłyszała w ABW, że nie należy do tego sektora i że musi sprawę po prostu zgłosić na policję. InterCars najpierw trafił do Komendy Głównej Policji, która odesłała do Komendy Stołecznej. Przestępstwo jest zgłoszone, ale firma i tak musi sama sobie poradzić z problemem.
– Taka niestety jest obecnie praktyka. Zaatakowani muszą polegać tylko na sobie i prywatnych operatorach czy firmach, które być może im pomogą – rozkłada ręce Adam Haertle.
– Trudno oczywiście wymagać od rządu, by wchodził tu w kompetencje prywatnych firm, bo to one same muszą dbać o własne bezpieczeństwo, np. o aktualizację systemów operacyjnych, których brak był powodem aktualnych kłopotów – uważa Wodziński. Dodaje, że gdyby sytuacja u nas była taka jak na Ukrainie – czyli gdyby atak był naprawdę masowy – zapewne rząd przyspieszyłby prace nad strategią obronną i ustawą.
– Na razie nie ma podstaw do ogłaszania sytuacji kryzysowej. Musiałoby chyba dojść do powtórki sytuacji z 1997 r., czyli powodzi stulecia. Tylko w wersji cybernetycznej. Wówczas dostrzeżono by, jak bardzo poważne i wcale nie wirtualne zagrożenia niesie za sobą obecnie cyberprzestrzeń – dodaje ekspert. ⒸⓅ