CEO jest na cybercelowniku. Bądź gotów na najgorsze

Prezesem czy top menedżerem jest się nawet w internecie. Warto o tym pamiętać – ważne osoby stanowią łakomy kąsek dla cyberprzestępców o najwyższych kompetencjach i działających w najbardziej wyrafinowany sposób.

Tomasz Matuła

jest ekspertem i menedżerem zajmującym się m.in. cyberbezpieczeństwem, cloud computingiem, nowoczesnymi usługami ICT. Był szefem tego obszaru w Orange Polska.

Absolwent Politechniki Śląskiej. W 2002 r. uzyskał Międzynarodowy Dyplom Managementu IFG (MBA) Francuskiego Instytutu Zarządzania, w 2009 r. ukończył Advanced Management Program IESE Uniwersytetu Nawarra. Zdobył tytuł „CIO Roku” w 2010 r., od tego czasu uczestniczy w obradach jury konkursu. W 2016 r, został wyróżniony tytułem Digital Leader of the Year CIONET POLSKA. W roku 2017 został finalistą European CIO of the Year.

Jego pasją jest praktyczne wykorzystanie nowoczesnych technologii w biznesie, zarządzanie oraz skuteczne wykorzystanie wiedzy i kompetencji pracowników.

Dla obywateli cyfrowego świata najważniejsza jest wygoda. Niewygasające nigdy hasła, nieograniczony dostęp do aplikacji chmurowych i przechowywanych na nich dokumentów służbowych i prywatnych oraz do ulubionych urządzeń. Pełna wolność i swoboda wyrażania siebie, radość dzielenia się wrażeniami, euforia z poczucia uczestniczenia w życiu i dokonaniach ludzi na całym świecie dzięki sieci. Nawet jeśli jest się prezesem czy top menedżerem korporacji czy poważnej instytucji.

Niestety, to pozory. Reguły cyberbezpieczeństwa zwykle stoją w sprzeczności z tak pojmowaną ergonomią użytkowania. Ich stosowanie wymaga czasu i uważności, których zwykle brakuje. Czy mimo to warto je stosować? To pytanie powinniśmy sobie zadać, zwłaszcza gdy należymy do kadry zarządzającej.

Zobacz również:

„Na szefa” i „w szefa”

Od wielu lat trendy w cyberbezpieczeństwie są niezmienne pod jednym względem. Najważniejszą i najbardziej skuteczną metodą przestępców pozostaje socjotechnika. Nie bez przyczyny dawny haker Kevin Mitnick dał swoim quasi-wspomnieniom podtytuł: „łamałem ludzi, nie hasła”. Socjotechniki wciąż ewoluują. Jednym z klasycznych i wciąż skutecznych chwytów jest sposób „na szefa”.

Polega on na tym, że przestępcy podszywają się pod prezesa albo kogoś z zarządu spółki. Wysyłają wiadomość do konkretnej osoby, np. z działu księgowości, i domagają się natychmiastowego przelewu za fakturę na podany przez siebie numer konta. Kto odmówi prezesowi lub innemu ważnemu menedżerowi? Metoda wykorzystuje ludzkie emocje, ale stosowana jest też w przemyślny i sugestywny sposób. To sprawia, że zjawisko phishingu ma się coraz lepiej. Uważamy, że nas to nie dotyczy, ale tylko w pierwszym półroczu 2018 r. spotkałem się z kilkunastoma tego typu przypadkami dotyczącymi najwyższej kadry kierowniczej dużych polskich firm.

Według FBI Internet Crime Complaint Center, oszustwa typu BEC (Business Email Compromise) naraziły osoby prywatne na ponad 12 mld USD strat w ostatnich pięciu latach. To poważny problem, który występuje na całym świecie. Ponad 30% tego typu ataków było ukierunkowanych na prezesów bądź dyrektorów generalnych firm.

Niedawno na stronach CERT Orange Polska opisano przypadek wyjątkowo wyrafinowanego phishingu. Treść e-maila napisana była w niebudzącej zastrzeżeń polszczyźnie, a ofiara mogła mieć wrażenie, że dostaje od swojego przełożonego polecenie zapłaty 47 tys. euro. Merytorycznie e-mail był szczególnie niebezpieczny dla osób, które faktycznie zajmują się w firmie transakcjami finansowymi. Efektem informacji od przełożonego o konieczności płatności, na dodatek sugerującej, że coś przegapili, może faktycznie być błyskawiczne wykonanie przelewu. Dopiero po fakcie wszyscy zorientują się, że kilkadziesiąt tysięcy euro poszłona konto cyberprzestępców. Jedyną szansądla potencjalnej ofiary pozostawało dokładne przyjrzenie się linii adresowej, bowiem o ile imię i nazwisko pokrywały się z danymi szefa to już adres e-mail był zupełnie inny. Proste? Okazuje się, że w emocjach i w pośpiechu nie każdy dokona takiej podstawowej weryfikacji, jeśli nadawcą jest np. szef firmy.

Skąd przestępcy mają prawdziwe, w tym „duże”, nazwiska i adresy? Niekoniecznie z wycieków danych. Dużo bardziej dostępnym i wiarygodnym źródłem są choćby media społecznościowe, takie jak LinkedIn czy Facebook. Tak, tak szanowni CEO, CFO, CMO – Wasza swobodna i wydawałoby się niewinna aktywność w mediach społecznościowych to prawdziwa kopalnia informacji. Tam często można w łatwy sposób np. zorientować się w schemacie podległości służbowej.

Media społecznościowe są ogromnym polem do przeprowadzenia tzw. OSINT (Open Source Intelligence), czyli rozpoznania operacyjnego przed finalnym zastosowaniem zabiegów socjotechnicznych. Chcemy być popularni i mieć wielu znajomych. Uważamy, że nasz wpis albo artykuł przysporzył nam bezinteresownej sympatii fanów, którzy chcą za nami podążać, inspirować się nami i sławić nasze dokonania. Tymczasem przyjmując do tego grona nieznaną osobę (potencjalnego przestępcę), dajemy jej dostęp do kolejnych ofiar – naszych faktycznych znajomych czy pracodawcy.

Jak opisują to autorzy tegorocznego raportu CERT Orange Polska, scenariusz włamania może wyglądać następująco: cyberprzestępca wyszukuje pracowników firmy, którą obrał sobie za cel , np. za pośrednictwem LinkedIn. Kolejnym krokiem jest odszukanie ich prywatnych kont społecznościowych. Jeśli pracownicy linkują tam inne swoje profile społecznościowe, jest łatwiej. Następnie atakujący poznaje zainteresowania i zwyczaje ofiary, zwykle nie trzeba wiele, aby dowiedzieć się, w jakich miejscach i kiedy dana osoba fizycznie się pojawia. Na koniec przestępca wykrada jej identyfikator lub token kryptograficzny albo telefon, bądź też, rezygnując z bezpośredniej ingerencji, przygotowuje staranny atak phishingowy pod kątem zainteresowań lub kompetencji ofiary.

Wykorzystując autorytet i używając perswazyjnych wezwań do działania, przestępcy sprawiają, że tego typu wiadomości wydają się wiarygodne. W ich tytułach zwykle znajdujemy sformułowania typu: „Pilna prośba”, „Kliknij, aby dowiedzieć się więcej", „Przegapiłeś dostawę", „Potwierdź swoje konto", „Od prezesa”.

Niezależnie od tego, czy potencjalnym zagrożeniem jest utrata pieniędzy czy kara, zdecydowane ponaglenie do działania obniża naszą czujność.

PDF albo e-mail z wiadomością o niezapłaconym rachunku...

Mój ulubiony przykład. Znajomy prezes dużej polskiej spółki, który od lat szczycił się tym, że nie dał się nabrać na podobne metody, a jego firma jest jednym z liderów ochrony przed zagrożeniami w cyberprzestrzeni, zapłacił ponad 1000 zł za odszyfrowanie danych z komputera służbowego. Właśnie przez „niezapłaconą fakturę”. Na jego komputerze były bowiem nie tylko materiały firmowe, ale też – czy może przede wszystkim – bezcenne zdjęcia jego wnuków. To, że przechowywał je na służbowym komputerze uspokoiło jego czujność. Uważał, że tak chronione urządzenie daje mu gwarancję bezpieczeństwa. Nie zawsze.

Spear phishing. Celujemy w grube ryby

Ataki typu spear phishing faktycznie mogą przypominać polowanie z harpunem na wieloryba, bo przestępcy atakują szczególnie ofiary i organizacje „z najwyższej półki”. Ataki są niezwykle skuteczne, ponieważ napastnicy spędzają dużo czasu nad tworzeniem informacji dla odbiorcy, np. odwołując się do konferencji, w której odbiorca wziął właśnie udział, lub wysyłając złośliwy załącznik, a jego nazwa pliku nawiązuje do tematu, jakim adresat ataku jest zainteresowany.

Atak spear phishing skierowany jest przede wszystkim na menedżerów najwyższego szczebla. Przestępca zdaje sobie sprawę, że skradzione informacje będą bardziej wartościowe niż to, co może przynieść włamanie się do zwykłego pracownika. Dane uwierzytelniające konta należące do CEO otworzą więcej drzwi, a przecież celem jest kradzież danych, pieniędzy i informacji o pracownikach.

Cyberprzestępca musi wiedzieć, z kim komunikuje się dana ofiara, czym się obecnie zajmuje. Wymaga to od niego zastosowania odpowiedniej socjotechniki, aby zebrać informacje o atakowanym i firmie przed przygotowaniem wiadomości phishingowej.

Według raportu Verizon, przestępca wysyłający 10 e-maili spearphishingowych ma 90% szans, że „złowi” jedną osobę. To bardzo wysoki poziom skuteczności. Porównajmy sobie taki wskaźnik choćby z precyzyjnymi, wyrafinowanymi kampaniami marketingowymi ukierunkowanymi na „najwyższej jakości leady”… Tylko pozazdrościć.

Obieżyświat gaduła

Sieci społecznościowe zostały wymyślone po to, aby dzielić się ze znajomymi jak największą ilością wrażeń, spostrzeżeń, doświadczeń. W praktyce dziś polega to na produkcji wielkiej liczby wpisów, „meldunków”, komentarzy, które rozsiewane są do jak najszerszej publiczności. Powoli rośnie co prawda liczba osób, które na tak pojętej otwartości się sparzyły albo dowiedziały się, że ktoś się dotkliwie sparzył. Te złe doświadczenia mają charakter utraty prywatności, narażenia na szwank godności i prywatności własnej albo bliskich.

Być może mniej bolesną nauczką jest doświadczenie fizycznego włamania do mieszkania czy domu pod nieobecność „zameldowaną” na Facebooku albo potwierdzoną reportażem na żywo na Instagramie.

Wśród kadry zarządzającej wiele osób odreagowuje trudy pracy, poświęcając się w czasie prywatnym pasjom, często są to podróże w egzotyczne miejsca albo zwykłe wypady weekendowe „w Polskę”. Znam osoby z najwyższych szczebli organizacji, które z wizyt w egzotycznych krajach albo ze swoich wędrówek przesyłały reportaże. Dając jasny sygnał zwykłym, niecyberetycznym włamywaczom, że dom stoi pusty. „Podróżnicze” profile przedsiębiorców, CEO i CxO są na celowniku scyfryzowanych przestępców – wiemy o tym doskonale.

Ile mnie to kosztuje?

W 2018 r. cyberataki mogą kosztować przedsiębiorstwa 180 mld USD, a w 2019 r. nawet 2 bln USD – przewiduje firma Bitdefender. Szacuje się, ze ubiegłoroczny masowy atak z wykorzystaniem oprogramowania WannaCry, które zainfekowało ponad 230 tys. komputerów na całym świecie, przyniósł straty finansowe w wysokości 8 mld USD, i to tylko w przypadku firm, które przyznały się do bycia jego ofiarą. Można spokojnie ocenić, że faktycznych ofiar było co najmniej drugie tyle. Wspomniany WannaCry to ransomware. Jego działanie polega na zaszyfrowaniu kluczowych plików na urządzeniu ofiary, możliwych do usunięcia przez napastnika po opłaceniu okupu. To wyjątkowo wdzięczny „produkt” cyberprzestępców. Początkowo jego celem były osoby bogate i dobrze sytuowane, dziś stopniowo się demokratyzuje (niemal każdy z nas ma jakieś dane, za których przywrócenie jest w stanie zapłacić, choćby zdjęcia najbliższych). Kiedy jednak trafi na CEO, dane mogą okazać się cenniejsze, mieć wymiar nie tylko osobisty, prywatny, ale i firmowy. Niektóre z nich mogą posłużyć do szantażu i wywołania potężnego kryzysu zaufania do marki.

Skuteczny atak naraża firmę nie tylko na straty finansowe, ale wiąże się też – a może przede wszystkim – z utratą zaufania jej klientów czy otoczenia instytucji. A tę wartość trudno wyliczyć. Dlaczego więc mimo tej świadomości w walce z cyberzagrożeniami wciąż liczymy na szczęście?

Z opublikowanego w lutym 2018 r. raportu PwC wynika, że 44% polskich przedsiębiorstw poniosło w roku 2017 straty finansowe w wyniku cyberataków. 62% odnotowało zakłócenia i przestoje w działaniu. Zaledwie 8% firm można określić jako dojrzałe w kwestii cyberbezpieczeństwa, czyli posiadające odpowiednie narzędzia i systemy zabezpieczeń (proszę wybaczyć garść branżowych terminów: SIEM, Anty APT, IPS/IDS, SOC), powołany zespół ds. cyberbezpieczeństwa i odpowiedni budżet, stanowiący co najmniej 10% całego budżetu IT.

Z kolei w raporcie Cisco „Annual Cybersecurity Report” czytamy, że 42% organizacji doświadczyło ataków DDoS w 2017 r. Ponad połowa przeprowadzonych ataków (53%) spowodowała szkody w wysokości co najmniej 500 tys. USD, w tym w 8% szkody przekroczyły 5 mln USD, a 11% aż 2,5–4,9 mln USD.

Jak chronić „głowę” firmy?

Pomimo oczywistego dyskomfortu użytkowania zdecydowanie warto w przypadku zarządzających firmą stosować szyfrowanie korespondencji służbowej oraz podpis elektroniczny, kilkustopniowe uwierzytelnianie, tokeny dostępowe.

Bezpieczeństwo to jednak nie tylko doskonalenie rozwiązań technologicznych. Punktem wyjścia powinna być edukacja i zwiększanie świadomości, na zasadzie pracy u podstaw. By okraść firmę, nie trzeba włamać się na konto CEO – do tego wystarczy szeregowy pracownik. Widzę tu istotną rolę kadry zarządzającej, która odpowiada za kulturę organizacji, tak samo jak za prawidłowe działanie firmy, minimalizację ryzyka, reputację etc. Nasza postawa względem polityk bezpieczeństwa ma znaczenie.

Warto przeprowadzać systematycznie wewnętrzne kampanie informacyjne, m.in. przy zaangażowaniu liderów wszystkich szczebli, by zapewnić pracownikom odpowiednią wiedzę oraz narzędzia do rozpoznawania różnych typów ataków. Warto nagradzać pracowników za mądre stosowanie zasad bezpieczeństwa i uświadamiać im, jak naruszenia wpływają na ich codzienne obowiązki.

W mediach społecznościowych zachowajmy zdrowy rozsądek. Przede wszystkim odseparowujmy tożsamość prywatną od zawodowej, używajmy ustawień prywatności, nie klikajmy w podejrzane posty, ograniczmy podawanie osobistych danych oraz używanie funkcji lokalizacyjnych. Uważajmy, kogo dodajemy do znajomych. W ten sposób jesteśmy w stanie znacząco ograniczyć ryzyko.

Cyfrowa odpowiedzialność zarządu

Aż 86% prezesów martwi się o lojalność swoich klientów – wynika z badań przeprowadzonych przez firmę doradczą KPMG. Zarządy firm, mając świadomość zagrożeń i tego, do czego one mogą doprowadzić, powinny traktować cyberbezpieczeństwo jako inwestycję związaną z utrzymaniem wizerunku. Kadra menedżerska firmy odpowiada przecież przed swoimi klientami, pracownikami i akcjonariuszami (nie zapominajmy o prawie!) za właściwe zarządzanie, minimalizację ryzyka i ochronę zasobów firmy, jej reputację.

Ustawodawca daje właśnie szansę, aby CEO i zarząd firmy się w tej materii wykazały.

28 sierpnia br. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (Network and Information Systems directive), dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z zapewnieniem cyberbezpieczeństwa.
Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.

Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa, do 9 listopada br. mają czas na podjęcie decyzji odnośnie do podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym terminie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.

W ciągu zaledwie trzech miesięcy operatorzy usług kluczowych będą musieli m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem lub skorzystać z usług innych zespołów z wypracowanymi już kompetencjami i doświadczeniem, wdrożyć program systematycznej analizy i zarządzania ryzykiem oraz uruchomić sprawnie działający proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godziny od ich wykrycia. To ogólny obraz.

Warto, aby obok zasad i polityk uwzględnić w strategii cyberbezpieczeństwa osobno i starannie ochronę kluczowych osób w firmie, w tym CEO i CXO. Obok prewencji na miejscu byłyby działania osłonowe, dyskretna opieka nad profilami, kontami takich osób. Przecież prezesem czy top menedżerem się jest, a nie się bywa, nawet na platformie social media.