Do niedawna istniało powszechne przekonanie, że za bezpieczeństwo informacji przechowywanych w systemach teleinformatycznych odpowiadają jedynie pracownicy jednostek organizacyjnych zarządzających bezpieczeństwem lub IT. Badania Deloitte wskazują, że zarówno rosnące straty spowodowane cyberatakami, jak i konieczność zwiększonych inwestycji w środki ochrony informacji skutkują coraz większym zaangażowaniem kierownictwa odpowiedzialnego za zarządzanie finansami i ryzykiem.
Małe i średnie przedsiębiorstwa zdają się często ignorować cyberzagrożenia ze względu na powszechnie panujące przekonanie, że dotyczą one wyłącznie dużych, znanych organizacji (np. korporacji). Faktycznie, bardzo częstym celem ataków są instytucje finansowe, takie jak banki, ponieważ dostęp do ich systemów pozwala cyberprzestępcom na bezpośrednią lub pośrednią (przez pozyskanie danych identyfikujących) defraudację znacznych środków finansowych. Nie oznacza to jednak, że firmy w innych sektorach nie są dotknięte zagrożeniem cyberataku. W ubiegłym roku w Polsce, oprócz instytucji finansowych, zaatakowane zostały m.in. takie organizacje jak urzędy pracy, kancelarie prawnicze czy różnego rodzaju sklepy internetowe. Przedsiębiorstwa sektora MŚP są kuszącym celem dla cyberprzestępców ze względu na możliwość osiągnięcia korzyści przy relatywnie niskim nakładzie pracy (mniejsze przedsiębiorstwa mają mniejsze budżety na bezpieczeństwo, przez co są z reguły słabiej zabezpieczone przed cyberatakami niż duże korporacje). Dowodząc podobieństw między atakami w różnych przedsiębiorstwach, przedstawiamy scenariusze, które mogłyby się zdarzyć niemal w każdej organizacji, niezależnie od rodzaju działalności czy liczby pracowników.
SCENARIUSZ I
Dyrektor finansowy firmy „Nabrana”, pełniącej usługi finansowo-księgowe, odbiera niezliczone telefony od dziennikarzy wypytujących o rzekome ujawnienie danych osobowych klientów. Nieuniknione jest także zainteresowanie ze strony GIODO. Firma korzysta z zewnętrznego systemu CRM i widnieje na stronie dostawcy systemu jako jeden z klientów. Dzień przed rozbrzmiewającymi telefonami pracownicy firmy otrzymali wiadomość o konieczności zmiany dotychczasowego hasła pod linkiem www.crmsystem.pl/?client=nabrana/psswdchange. Wiadomość pochodziła z adresu dyrektoorlT@nabrana.pl, łudząco przypominającego adres wewnętrzny. Jeden z pracowników – Pani Agata – zalogował się do systemu, podając cyberprzestępcy swoje dane do właściwego systemu. Cyberprzestępca skorzystał z pozyskanych danych i zalogował się do systemu firmy, pozyskując dostęp do istotnych poufnych danych, m.in. raportów finansowych i danych klientów. Pozyskane dane zostały sprzedane na forum cyberprzestępców, zapewniającym anonimowość.
SCENARIUSZ II
W siedzibie firmy „Kolejna Nabrana” pan Irek przystąpił do opłacania faktur. Przy próbie otwarcia jednej z faktur dostarczonych elektronicznie przez rzekomego kontrahenta otrzymał komunikat o błędzie. Po kilku nieudanych próbach zauważył, że dokument otrzymał z własnego adresu e-mail: irek.irecki@kolejnanabrana.pl. Przerażony wyrzucił e-maila do spamu i wrócił do opłacania faktur. W bankowości elektronicznej stworzył koszyk zleceń i przepisał kod SMS, który dotarł na służbowy telefon. Po tygodniu kontrahent zwrócił się z prośbą o wyjaśnienie braku płatności. Po sprawdzeniu historii przelewów okazało się, że pan Irek wykonał przelewy na nieznany numer konta. Pan Irek skontaktował się ze specjalistą ds. bezpieczeństwa, a przeprowadzona analiza wykazała, że nieotwierająca się faktura w istocie była programem Banatrix, który potrafi podmienić każde wklejane i wpisywane 26 cyfr na konkretne zestawy cyfr, stanowiące numery kont... bogatszych o 500,000 PLN przestępców.
Pozostałe 75% artykułu dostępne jest dla zalogowanych użytkowników serwisu.
Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.
Zaloguj Zamów prenumeratę Kup dostęp do artykułuMożesz zobaczyć ten artykuł, jak i wiele innych w naszym portalu Controlling 24. Wystarczy, że klikniesz tutaj.
