Może dla wielu firm produkcyjnych wciąż brzmi to jak science-fiction, jednak coraz częstsze ataki na infrastruktury rządowe, wojskowe i biznesowe świadczą o tym, że cyberzagrożenie to kwestia dotycząca coraz większej liczby aktywnych na rynku podmiotów. Szczególnie kiedy dysponują unikalnymi technologiami i rozwiązaniami atrakcyjnymi dla konkurencji.

Dane, loginy i własność intelektualna

Przykładem może być Airbus, przeciwko któremu w 2019 r. hakerzy przeprowadzili, według informacji francuskiej agencji prasowej AFP, cztery ataki. Ich celem była kradzież poufnych danych, a zaatakowali sieci VPN (Virtual Private Network – wirtualna sieć prywatna) wykorzystywane przez dostawców części, m.in. firmę Rolls-Royce, która produkuje silniki odrzutowe dla Airbusa. W rękach hakerów znalazła się dokumentacja dotyczącą procesu certyfikacji wielu części, a także opisy budowy silników śmigłowych i odrzutowych oraz systemów sterowania. Były to więc ataki wymierzone typowo we własność intelektualną przedsiębiorstwa.

Kuszącym celem dla cyberprzestępców mogą być też jednak bazy danych klientów przedsiębiorstw, nie wspominając już o dostępach do kont bankowych.

Wysoka świadomość, mała aktywność

Coraz większa grupa osób zarządzających firmami ma świadomość cyberzagrożeń, o czym świadczyć mogą wyniki przeprowadzonej w 2019 r. przez firmy Marsh i Microsoft ankiety dotyczącej postrzegania ryzyka cybernetycznego („Marsh-Microsoft 2019 Global Cyber Risk Perception Survey”). W badaniu wzięło udział 1500 liderów biznesu z różnych obszarów działalności. Wśród nich 35% pochodziło z Europy, 35% z Ameryki Łacińskiej i Karaibów, 22% z Ameryki Północnej i Kanady, pozostali z Azji, Bliskiego Wschodu i Afryki. Reprezentowali 15 wyodrębnionych obszarów, ale największą grupę (16%) stanowili przedstawiciele sektorów produkcji i motoryzacji. Aż 79% badanych uznało ryzyko cybernetyczne za jeden z pięciu największych problemów swojej organizacji (w 2017 r. było to 62%).

Ranking zagrożeń przedsiębiorstwa/organizacji

Wiele firm musi wdrażać innowacje technologiczne, aby zachować konkurencyjność na rynku, co jednak oznacza też więcej potencjalnych źródeł zagrożeń. Mimo to aż 77% respondentów ww. ankiety w ubiegłym roku wdrożyło co najmniej jedną innowacyjną technologię albo to rozważa. Połowa badanych stwierdziła, że ryzyko cybernetyczne prawie nigdy nie stanowi bariery dla przyjęcia nowej technologii, ale 23% (w tym zwłaszcza mniejsze firmy) uznało, że w przypadku większości nowych technologii ryzyko przeważa nad potencjalnymi korzyściami biznesowymi.

Mimo coraz większej świadomości zagrożeń i coraz częstszego wdrażania nowych technologicznych rozwiązań niewiele przedsiębiorstw na bieżąco śledzi związane z ich wykorzystywaniem ryzyko. W ww. badaniu Marsh i Microsoftu prawie trzy czwarte ankietowanych firm (74%) wskazało, że ocenia ryzyko technologiczne tylko przed wdrożeniem danego rozwiązania, jedynie 5% analizuje je w całym cyklu życia technologii, a aż 11% nie przeprowadza żadnej oceny.

Słabe ogniwo – poczta firmowa

Atak hakerski może spowodować wiele szkód w przedsiębiorstwie. Wiąże się nie tylko z ryzykiem wycieku danych osobowych czy danych logowania, co daje przestępcom dostęp do poufnych informacji firmy bądź jej kont, ale też z możliwością przejęcia patentów technologicznych, know-how oraz poznania strategicznych punktów działalności.

Rosnącą liczbę ataków potwierdzają firmy ubezpieczeniowe, które odnotowują coraz większą liczbę tzw. roszczeń cybernetycznych. Firma AIG przygotowała raport pokazujący dynamikę w tym obszarze w latach 2013–2018. Analizie poddano ponad 1100 roszczeń w obszarze EMEA (Europa, Bliski Wschód i Afryka). Jak się okazuje, najczęściej (23% zgłoszeń) cyberataki prowadzone były właśnie poprzez naruszenie bezpieczeństwa poczty elektronicznej (BEC – business email compromise).

Roszczenia cybernetyczne zgłoszone do AIG EMEA w 2018 r. – typ incydentu

W większości przypadków przestępcy posłużyli się wiadomością pishingową (tj. taką, w której nadawca podszywa się pod inną osobę lub instytucję) zawierającą link lub załącznik. Choć jest to nagłośniona już forma oszustwa, wciąż spora liczba odbiorców takich e-maili daje się zwieść i trafia np. do fałszywego ekranu logowania, gdzie wprowadza swoje dane uwierzytelniające, dostarczając je w tym momencie przestępcy. W niektórych przypadkach atak BEC wiąże się też z zainstalowaniem na komputerze złośliwego oprogramowania szpiegującego. Oszuści mogą też podszywać się pod kontrahentów firmy i prosić osoby odpowiedzialne za płatności o dokonanie przelewów pieniężnych, innym razem mogą mieć na celu informacje o klientach i pracownikach bądź tajemnice handlowe.

Ponieważ często najsłabszym ogniwem łańcucha jest człowiek, rosnąca liczba tego typu ataków pokazuje, jak ważne jest szkolenie personelu pod kątem rozpoznawania fałszywych wiadomości lub też wprowadzenie procedur zapobiegających pochopnym reakcjom na takie e-maile. Problemem może być też brak polityki tworzenia bezpiecznych haseł logowania i ich regularnej zmiany. Wreszcie przyczyną dostarczania danych do nieuprawnionych odbiorców może być zwykła niedbałość (przypadkowo załączone dokumenty).

Nie zapłacisz – nie zarobisz

Na drugim miejscu po atakach typu BEC znalazło się wykorzystywanie ransomware’a (18% zgłoszeń w 2018 r.), czyli oprogramowania szantażującego, które blokuje dostęp do sieci firmowej albo uniemożliwia odczyt zawartych w niej danych. Strona zaatakowana może odzyskać dostęp po zapłaceniu żądanej kwoty.

Spektakularnym przykładem takiego ataku jest przypadek firmy Norsk Hydro, dużego norweskiego producenta aluminium. W marcu 2019 r. padła ona ofiarą trudnego do wykrycia ransomware’a zwanego „Lockergoga”, dzięki któremu cyberprzestępcy przejęli kontrolę nad siecią firmy. Musiała ona zatrzymać produkcję w bardzo wielu zakładach w Europie i USA i przejść na operacje ręczne, co spowodowało ogromne straty. Dzięki temu jednak, że firma miała przygotowane procedury działania na wypadek cyberataku, potrafiła podjąć szybkie decyzje.

Wszystko zaczęło się 19 marca, kiedy to wykryto zdarzenia dotyczące bezpieczeństwa w amerykańskich zakładach Norsk Hydro. Do godziny 5 rano firma zdecydowała się odłączyć swoją światową sieć WAN, nie miała więc dostępu do strony internetowej, systemów zarządzania IT, sterowania pracą maszyn, zamówień itd. Walka ze skutkami ataku trwała ponad miesiąc, większość ze 160 lokalizacji w tym czasie działała w trybie ręcznym. Straty firmy Reuters szacował na 35–41 mln dolarów tylko w pierwszym tygodniu po ataku. Ostatecznie jednak wartość przedsiębiorstwa wzrosła, a jego reakcja na cyberatak przez niektórych uznawana jest za wzorcową, m.in. dzięki temu, że szybko odłączono urządzenia od sieci, a zarząd otwarcie mówił o problemie, także swoim pracownikom, i w tym czasie komunikował się z otoczeniem biznesowym za pomocą tymczasowej strony internetowej. Przede wszystkim jednak firma zdecydowała, że nie zapłaci przestępcom za przywrócenie systemu, ale odzyska dane i dostępy z serwerów kopii zapasowych.

Chmura – sposób na zwiększenie bezpieczeństwa

Decyzja Norsk Hydro była łatwiejsza do podjęcia dzięki temu, że wcześniej już firma przeniosła swoje zasoby informatyczne i dane do chmury obliczeniowej (cloud computing; w tym wypadku był to chmurowy Office365). Pozwoliło to utrzymać bieżącą komunikację telefoniczną wewnętrzną i zewnętrzną, dało dostęp do backupów itp.
Korzystanie z przechowywania danych w chmurze wskazywane jest jako jeden ze sposób na zwiększenie bezpieczeństwa cybernetycznego. Informacje gromadzone w chmurze w awaryjnych sytuacjach mogą zdecydować o zachowaniu ciągłości biznesu bądź możliwości jej przywrócenia. Tymczasem w Polsce wciąż popularność cloud computingu wśród firm jest niewielka.

Według danych GUS w 2018 r. z chmury korzystało 11,5% polskich przedsiębiorstw (o 1,5% więcej niż w 2017 r.). Tymczasem, jak pokazują dane Eurostatu, w Finlandii w tym czasie odsetek takich firm wynosił 65,3%, w Szwecji – 57,2%, a w Danii – 55,6%, średnia unijna zaś to 26%. Polska w tym rankingu znalazła się na trzecim miejscu od końca, przed Bułgarią i Rumunią. Zapewne jednak w nadchodzących latach widoczny będzie wzrost korzystania z tego typu usług na rodzimym rynku, bo wydatki na ten cel rosną w tempie 20% r/r. Analitycy z Gartner przewidują, że za kilka lat firmy niestosujące rozwiązań chmurowych będą w Polsce tak rzadkie jak te, które dziś nie wykorzystują w swojej działalności internetu.

Konieczne szyfrowanie

Skuteczne uczestniczenie w czwartej rewolucji przemysłowej oznacza wdrożenie szeregu systemów informatycznych, które wspierają produkcję i wpływają na zwiększenie efektywności zakładu. To oznacza, że coraz częściej zinformatyzowana jest już nie tylko infrastruktura komputerowa, ale też park maszynowy. Myśląc o cyberbezpieczeństwie, należy uwzględniać ochronę danych osobowych, danych dostępowych oraz strategicznych informacji przedsiębiorstwa, ale też bezpieczeństwo maszyn.

Pierwszym krokiem do zwiększenia odporności infrastruktury sieciowej firmy na cyberataki jest zastosowanie protokołów szyfrujących, takich jak SSL (ang. Secure Socket Layer) czy TLS (ang. Transport Layer Security), które służą do bezpiecznej wymiany danych za pośrednictwem internetu, zapewniają poufność i integralność transmisji danych, a także uwierzytelnienie serwera (niekiedy też klienta). Dzięki temu dane krążące między serwerami, komputerami i aplikacjami w sieci są zaszyfrowane.

Eksperci zalecają też wykorzystanie technologii sprzętowych modułów zabezpieczających HSM (ang. Hardware Security Module), które chronią komputery, dane i programy przed manipulacją i dostępem osób nieuprawnionych oraz umożliwiają rozpoznawanie ataków z zewnątrz i aktywne zapobieganie ich skutkom. Dla zwiększenia poziomu odporności na ewentualne ataki można też pomyśleć o osobnych sieciach komunikacyjnych dla działów produkcji i biur.

Cyberbezpieczeństwo maszyn

Mówiąc o bezpieczeństwie samych maszyn, trzeba zwrócić uwagę na unijną dyrektywę Cybersecurity Act, opublikowaną w czerwcu 2019 r., która przewiduje powstanie specjalnego systemu certyfikacji maszyn pod kątem bezpieczeństwa. To druga ogólnoeuropejska regulacja w obszarze cyberbezpieczeństwa – po dyrektywie NIS (Network and Information Systems Directive), która odnosi się do podmiotów z sektorów energetyki, infrastruktury cyfrowej, zaopatrzenia w wodę pitną, bankowości, ochrony zdrowia i transportu (do systemu polskiego wdrożona została jako ustawa o krajowym systemie cyberbezpieczeństwa i wynikające z niej rozporządzenia).

Przepisy nowej dyrektywy Cybersecurity Act wymagają stworzenia określonych zasad i ustalenia jednolitych krajowych przepisów dotyczących certyfikacji usług i sprzętu. Obecnie nad „Krajowym schematem oceny i certyfikacji bezpieczeństwa oraz prywatności produktów i systemów IT zgodnym z Common Criteria (KSO3C)” pracują jednostki naukowo-badawcze pod nadzorem Ministra Cyfryzacji: Instytut Łączności – Państwowy Instytut Badawczy, Naukowa i Akademicka Sieć Komputerowa oraz Instytut Technik Innowacyjnych EMAG. Ich celem jest stworzenie skutecznych metod i technik ewaluacji bezpieczeństwa oraz prywatności. W tym celu wykorzystują innowacyjne podejście do oceny podatności na ataki. W efekcie tych prac do 2022 r. ma też powstać specjalna organizacja, która będzie miała uprawnienia do wydawania certyfikatów.

Wszystkie te działania – podejmowane i na poziomie prawnym, i komercyjnym – mają na celu uodpornienie systemów firmowych na cyberataki. A to jest niezbędne w czasach coraz częstszych, coraz bardziej pomysłowych, ukierunkowanych i skrupulatnie przygotowywanych ataków hakerskich. Wszędzie tam bowiem, gdzie gromadzone są wartościowe dane, wzrasta ryzyko, że ktoś zechce z nich skorzystać bez zgody właściciela.