Wszyscy kojarzymy NotPetya i WannaCry i potrafimy z biegu przywołać chociaż jedną historię, w której zaatakowana firma poniosła gigantyczne straty finansowe – albo przez wymuszony okup, albo przez zrujnowanie zaufania klientów, albo przez straty spowodowane sparaliżowaniem systemów i utratą danych.
Ale chyba nie wszyscy pamiętamy, że NotPetya i WannaCry nie mogłyby się wydarzyć gdyby nie wykradziony kapitał intelektualny – stworzony przez amerykańskie National Security Agency EternalBlue, który posłużył jako podstawa do napisania niesławnego ransomware’u.
Podczas trzeciego spotkania w cyklu Cisco Fire Club Wszebor Boksa, Senior Manager, CXC Security Integration & Advisory EMEAR w Cisco, przybliżył nieoczywiste problemy związane z bezpieczeństwem kapitału intelektualnego firmy i opisał kilka specyficznych scenariuszy, które wydarzyły się naprawdę, choć nigdzie się o nich nie pisze.
Asymetria
Cybernetyczni adwersarze nie są ograniczeni własnymi środkami produkcji ani kondycją rynku. Mogą wykorzystać dowolne zasoby, do których wykradną dostęp, albo znajdą je w międzynarodowej sieci kontaktów. Nie są ograniczeni rocznymi planami ani kwartalnymi budżetami.
Zabezpieczenia dostępne dla przedsiębiorstw mają charakter reaktywny – mogą się zabezpieczać tylko przed tymi zagrożeniami, które są już znane. Tymczasem kreatywność hakerów nie ma granic.
Czy to znaczy, że nie ma przed nimi ochrony?
W ostatnich dwóch latach nastąpił znaczny postęp w kodyfikacji i legislacji dotyczący cyberbezpieczeństwa. – mówi Wszebor Boksa. Dwie ważne polityki: Executive Order 13806 w Stanach Zjednoczonych i EU Cyber Security Act, odpowiadają do pewnego stopnia na wspomnianą asymetrię. Zakładają możliwość obrony poprzez wyprowadzenie ataku cybernetycznego – dotyczy to zwłaszcza ochrony infrastruktury krytycznej państwa.
Zmieniają się również najlepsze praktyki i polityki branżowe, które kładą duży nacisk na poziomy ochrony/odpowiedzi w warstwie 7 modelu OSI, oraz dodatkowe usługi.
Statystyki
Roczne straty spowodowane kradzieżą kapitału intelektualnego są szacowane na $500 mld. Mimo to, poziom cyberbezpieczeństwa firm relatywnie do zagrożenia maleje – dziś ocenia się go na 38% (odsetek przedsiębiorstw, które mają odpowiedni poziom zabezpieczeń). Z jednej strony to skutek wzrostów kosztów aby przeciwstawiać się zaawansowanym atakom – który i tak jest niewystarczjący żeby nadążyć za wykładniczym wzrostem zasobów potrzebnych na odparcie ataków. Z drugiej strony – wydatki na zabezpieczenia często maleją, kiedy trzeba ciąć budżet.
Dwa obszary są szczególnie podatne na cyberataki: służba zdrowia i IoT. Szacuje się, że w USA i UK aż 75% jednostek służby zdrowia padło ofiarą wymuszenia ze strony cyberprzestępców. Wiele z nich zapłaciło milionowe okupy.
Z kolei IoT to miliardy urządzeń na świecie (do 2020 na jednego mieszkańca Ziemi może przypadać do 26 urządzeń) które mogą się stać źródłem ataku. Wystarczy przejąć jedno urządzenie aby przejąć kontrolę nad całym ich węzłem.
Co z portfolio to i z serca
Co zrobić kiedy kapitał intelektualny firmy zostanie wykradziony?
Dobrą wiadomością, z tych złych, będzie jeśli wycieknie “tylko” własność intelektualna – technologia produkcji, opatentowany projekt albo po prostu know-how. Oczywiście, straty finansowe będą bolesne, ale wiele firm musi się po prostu pogodzić z takim obrotem spraw i próbować szukać sprawiedliwości w sądzie.
Takie ataki będą się nadal zdarzać – mówi Wszebor Boksa. Przyjęcie jednak założenia, że utracony kapitał intelektualny jest poza kontrolą właściciela i przestaje go interesować, jest błędne. Wielokrotnie zdarza się, że kradzież tego kapitału jest celem pośrednim i może posłużyć do kierowania innych ataków – czasem nawet na klientów i partnerów zaatakowanej firmy. Trzeba zakładać taki scenariusz w strategii ochrony przedsiębiorstwa.
Jak podkreśla Wszebor, często tego typu ataki pozostają niezauważone przez bardzo długi czas. Wypracowanie sposobów ochrony dla tego typu scenariuszy nie jest trywialne. Ale tym co można poprawić jest modernizacja starych zabezpieczeń:
Najsłabszym ogniwem zabezpieczeń jest oczywiście człowiek, ale również przestarzałe architektury nakierowane na inspekcję ruchu przychodzącego i detekcję zagrożeń. Za mało uwagi jest skierowane na detekcję ataków w ruchu wychodzącym. To jest aspekt, który można i należy poprawić.
Ku przestrodze
Cyberbezpieczeństwo nie jest dziedziną, którą możnaby określić jako statyczna i dogłębnie poznana. Przeciwnie - to dynamicznie rozwijająca się gałąź IT ogranioczona jedynie przez wyobraźnię aktorów po obu stronach barykady. Niestety dominujaca na codzień asymetryczność w dostepnych środkach nie jest czynnikiem sprzyjającym w kształtowaniu strategii bezpieczeństwa przedsiębiorstw.
A gdyby można było uczynić z tej asymetrii przewagę?
Na tak postawione pytanie z pewnością znajdzie się kilka możliwych scenariuszy i odpowiedzi. Należy podjąć wysiłek i paradoksalnie przestać ograniczać się do sztampowych rozwiązań w strategii ochrony przedsiębiorstwa. Angażowanie usług, pomysłów które mogą wydawać sie zbyt luźno połączone nie powinno nikogo dziwić, gdyż adwersarze działaja bardzo kreatywnie.
Marszałkowska 18 lok 5
00-590 Warszawa
office@degroup.pl