Trzy czwarte przedsiębiorców wie, że można się włamać do ich systemów i... nic z tym nie robi

12 godzin - tyle maksymalnie potrzebują hakerzy, aby włamać się do dowolnego systemu. W firmie, która zatrudnia ponad sto osób, jest przeciętnie od 150 do 200 furtek, którymi przestępcy mogą obejść zabezpieczenia.

69 proc. tak zwanych etycznych hakerów ankietowanych przez firmę Nuix przyznało, że w przypadku włamań dokonywanych incognito ślady ich działania nigdy nie zostały zauważone przez ekspertów ds. cyberbezpieczeństwa zatrudnionych w sprawdzanych firmach. 

Powyższe statystyki to dwa z najciekawszych wniosków zawartych w przygotowanym przez firmę Nuix opracowaniu „The Black Report 2017”. I bardzo wiarygodne, bo jej reprezentanci postanowili przeprowadzić ankietę wśród specjalistów IT sprawdzających zabezpieczenia informatyczne w firmach. W trakcie takich wydarzeń, jak Black Hat USA czy DEFCON, pytano ich o osobiste doświadczenia związane z ich wieloletnią aktywnością jako „białych kapeluszy”, jak czasem określa się etycznych hackerów.

Eksperci ze wspomnianej firmy, dostarczającej narzędzia i rozwiązania wspierające tworzenie odpowiedzialnych polityk bezpieczeństwa informacji, słusznie zwrócili uwagę na fakt, że większość analogicznych raportów bazuje na obserwacjach i sugestiach menadżerów szczebla C czy członków rad nadzorczych. To sprawia, że  zawarte w nich informacje często bywają stronnicze i odległe od rzeczywistego stanu bezpieczeństwa firmowych danych. Poszukując rozwiązania, postanowili więc z pytaniami dotrzeć do samego źródła, a więc w tym przypadku bezpośrednio do ekspertów na co dzień zajmujących się detekcją luk i braków w sprzęcie i oprogramowaniu, które tworzą złożoną infrastrukturę IT przedsiębiorstwa.

Luki kryją się wszędzie

Rezultat badania dowodzi jednoznacznie, że systemy IT, na których przedsiębiorstwa w zdecydowanej większości opierają wszystkie swoje operacje biznesowe, łącznie z przetwarzaniem dużych zbiorów wrażliwych i krytycznych danych, mają wiele luk, które mogą zostać wykorzystane przez cyberprzestępców do przeprowadzenia ataku. Jego celem może być zarówno kradzież danych i ich sprzedaż na internetowym czarnym rynku, jak i blokada dostępu do kluczowych plików i baz danych powiązana z żądaniem wysokiego okupu za jego przywrócenie.

Nuix nie jest jedyną firmą, która zwraca uwagę na niski poziom zabezpieczeń. Eksperci z Check Point Software Technologies w ubiegłorocznym badaniu dowiedli, że aż 92 proc. przeanalizowanych przez nich urządzeń podłączonych do sieci jest podatnych na cyberataki. Nie bez powodu słynne oprogramowanie wynajdujące luki w oprogramowaniu – Angler Exploit Kit – atakowało dziennie aż 90 tysięcy celów w 2016 roku.

Na odbywającej się w maju konferencji CPX Milan, specjaliści z Check Point poinformowali, że zgodnie z ich prognozami infekcji wywoływanych exploit kitami ma być jeszcze więcej. Biorąc pod uwagę zasięg i skalę szkód wywołanych atakiem ransomware WannaCry, który dotknął ponad 200 tys. użytkowników sieci w ponad 150 krajach, trudno kwestionować te przewidywania.

- Zgodnie z analizami Deloitte, duże firmy zatrudniające ponad 100 osób mają średnio od 150 do 200 furtek, którymi cyberprzestępcy mogą obejść zabezpieczenia. Te tworzą się w dużej mierze wskutek nieaktualizowanego oprogramowania i starzejącej się infrastruktury sprzętowej. W tej sytuacji normą powinno być regularne sprawdzanie odporności firmowych zabezpieczeń na cyberataki. Najskuteczniejszym narzędziem są tzw. testy penetracyjne, służące do identyfikacji słabych punktów i wskazania adekwatnych środków naprawczych – przekonuje – zwraca uwagę Ewelina Hryszkiewicz z Atmana.

Niekonsekwentny biznes

Trzeba podkreślić, że samo przeprowadzenie tego typu testu nie oznacza automatycznej poprawy poziomu odporności na cyberataki. Kolejnym krokiem powinno być wdrożenie zaleceń rekomendowanych w raporcie powstałym po przeprowadzeniu penstestu. Według autorów „The Black Report 2017” nie jest to jednak oczywiste – 75 proc. ankietowanych pentesterów stwierdziło, że firmy nawet po otrzymaniu szczegółowych sugestii uszczelnienia swojej infrastruktury wdrażają jedynie śladowe i niewystarczające zmiany, a 64 proc. z nich nie kryło swojej frustracji. Powód? Trudno im zaakceptować fakt, że choć przedsiębiorstwa wiedzą, jaki jest stan bezpieczeństwa ich systemów, nie podejmują żadnych działań zmierzających do jego poprawy.