Mam nadzieję, że tytuł przyciągnął uwagę szanownego czytelnika nie mniej niż e-mail o otwarciu w okolicy nowej pizzerii, przesłany na służbowe skrzynki pocztowe pracowników pewnej firmy z siedzibą w Warszawie. Ich adresy e-mailowe znajdowały się na stronie www firmy.
Któż nie skusiłby się na 30% rabatu? Zorganizowano „Pizza day” i przez stronę www lokalu (jak się później okazało – fałszywą) zamówiono osiem pudełek włoskiej rozkoszy dla podniebienia.
Niedługo potem dostawca, oprócz pachnącej niebiańsko pizzy, przywiózł także niespodzianki – LED-owe lampki, które po podłączeniu do portu USB świeciły różnymi kolorami w rytm muzyki.
Pendrive ransomwarem nadziany jak dobra kasza skwarkami
Co robi człowiek po znalezieniu/otrzymaniu dowolnego urządzenia, które można podłączyć do portu USB? Oczywiście je podłącza.
Pracownicy warszawskiej firmy również tak zrobili. Po chwili lampki migały radośnie w różnych punktach biura, rzucając wymyślne kombinacje kolorów na coraz bledsze twarze pracowników. Mimo że firma posiadała sprzęt i oprogramowanie na światowym poziomie, hakerzy znaleźli lukę w systemie.
Tak naprawdę nawet nie musieli jej szukać – wszystko podano im na tacy. Pracownicy, podłączając upominki do portów USB, nieświadomie umożliwili hakerom zdalny dostęp do firmowej sieci, a ci w kilka minut zablokowali cały system.
Najdroższa pizza świata
Gdyby opisany atak był prawdziwy, niewinna pizza mogłaby się odbić niezłą czkawką. Na szczęście był on z góry zaplanowanym audytem bezpieczeństwa. Przeprowadziła go w 2019 r. specjalistyczna firma, która na zlecenie korporacji przygotowała scenariusz ataku i wykonała test socjotechniczny.
Na potrzeby testu stworzono stronę www lokalu, zamówiono naklejki z nazwą i logo pizzerii. Po otrzymaniu zamówienia od pracowników pracownik firmy audytującej dostarczył pizzę z lokalnej pizzerii, naklejając na pudełko logo pizzerii fikcyjnej.
Posłużono się regułą wzajemności i sympatii, żeby wymusić na pracownikach podjęcie zaplanowanego działania, w tym przypadku chodziło o podłączenie do komputerów lampek, w które wbudowano spreparowane pendrive’y ze złośliwym oprogramowaniem. Pod budynkiem czekał specjalista ds. cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń zaszyfrował wszystkie dane w firmowym systemie.
Lepiej zapobiegać, niż leczyć
Co wspólnego ma opisany przypadek z ubezpieczeniem ryzyka cyber? Jednym z często podnoszonych argumentów przeciw wykupieniu stosownej polisy jest wiara decydentów w jakość zabezpieczeń i świadomość ryzyka wśród pracowników. Jak widać, warto od czasu do czasu powiedzieć „sprawdzam”.
Na polskim rynku funkcjonuje wiele firm zajmujących się cyberbezpieczeństwem. Zakres ich usług obejmuje np.: audyty bezpieczeństwa danych osobowych, audyty bezpieczeństwa informacji oraz testy penetracyjne. Wizyta w takiej firmie i profesjonalnie przeprowadzony audyt bezpieczeństwa powinny być pierwszym krokiem na drodze do zaaranżowania polisy cyber.
Efektem audytu będzie raport o stanie bezpieczeństwa cyfrowych zasobów oraz przestrzeni firmy, jak również konkretne rekomendacje dotyczące dostrzeżonych luk. Dopiero po ich zrealizowaniu można z czystym sumieniem skontaktować się z ubezpieczycielem lub wykwalifikowanym pośrednikiem ubezpieczeniowym.
Firmy, które wykazują wysoką kulturę bezpieczeństwa cybernetycznego, korzystają z odpowiednich technologii zabezpieczeń oraz wdrożyły niezbędne procedury na wypadek incydentu cybernetycznego, mogą liczyć na korzyść w postaci niższych składek ubezpieczeniowych.
Z drugiej strony, te z nich, które nie wdrożyły żadnych procedur w zakresie bezpieczeństwa cybernetycznego, muszą liczyć się z tym, że nie otrzymają oferty ubezpieczenia. Polisa ubezpieczeniowa nie może być jedynym zabezpieczeniem firmy.
Kto jeszcze?
Atak „na pizzę” był typowym atakiem socjotechnicznym, którego można było uniknąć, chociażby szkoląc pracowników i budując świadomość ryzyka. Kto jeszcze padł ofiarą ataków o podobnym charakterze?
Kilka milionów złotych straciła należąca do Polskiej Grupy Zbrojeniowej spółka Cenzin, po tym jak cyberprzestępcy podszyli się pod dostawcę broni z Czech. Pracownicy nie zweryfikowali wysłanych e-mailem informacji o zmianie numeru konta, na które Cenzin wpłacał pieniądze na zakupiony towar, w efekcie czego środki zaczęły trafiać na konto cyberprzestępców.
Dane osobowe 20 tys. pracowników FBI i 9 tys. pracowników Departamentu Bezpieczeństwa Krajowego w USA wyciekły po tym, jak haker, podając się za nowego pracownika, zadzwonił do Departamentu Sprawiedliwości, prosząc o przekazanie kodu dostępu do zastrzeżonych stron instytucji. W efekcie uzyskał dostęp do wewnętrznej sieci zawierającej m.in. adresy e-mailowe należące do członków armii Stanów Zjednoczonych i informacje o numerach ich kart kredytowych.
Ponad 500 tys. dol. zarobili w 2018 r. hakerzy, wykorzystując tzw. sextortion scam, czyli szantaż polegający na wysłaniu e-maila (zwykle z adresu należącego do ofiary) z groźbą upublicznienia rzekomo posiadanych kompromitujących filmów czy zdjęć ofiary, jeżeli haker nie otrzyma żądanej kwoty.
W następnym artykule postaramy się wypełnić formularze oceny ryzyka cyber, którymi posługują się ubezpieczyciele.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland
