Cyberprzestępczość w RP

„W 2017 roku najczęściej występującymi incydentami były należące do kategorii Wirus, definiowanej jako uzyskanie informacji na temat prawdopodobnej infekcji stacji roboczej, serwerów lub urządzeń sieciowych. Cyberprzestępcy bardzo często w celu propagacji złośliwego oprogramowania wykorzystują elementy inżynierii społecznej np. złośliwe załączniki w wiadomościach email. Takie wiadomości zaklasyfikowano do kategorii Wirus (około 1.868 incydentów).

Drugą najczęściej występującą kategorią w 2017 roku była błędna konfiguracja urządzenia, w której odnotowano 1 847 incydentów. Należy podkreślić, iż ten rodzaj zagrożenia bezpieczeństwa, choć nie wynika z ingerencji zewnętrznej w system, w wielu przypadkach może stanowić furtkę do przeprowadzenia skutecznego ataku.

Incydenty z trzeciej najczęściej występującej kategorii klient sieci botnet to zdarzenia, w których, z wykorzystaniem systemów wspomagających, zaobserwowano próby połączenia (bardzo często udane) stacji roboczych z adresami/domenami sklasyfikowanymi jako serwery C&C lub charakterystyka ruchu sieciowego odpowiadała wskaźnikom IoC znanych sieci Botnet. Mimo, iż nadal ta kategoria incydentów znajduje się na pozycji trzeciej to jednakże należy zauważyć, odnotowywaną w ostatnich latach wyraźnie spadkową tendencję w tym zakresie. Wynika to m.in. z prowadzonych na całym świecie działań skierowanych przeciwko systemom kierującym grupami zarażonych komputerów, czyli tzw. serwerami C&C (około 1.082 incydentów).

Zdarzenia o charakterze Inżynierii społecznej to wiadomości, które w związku z brakiem złośliwej zawartości bez większych problemów trafiały do odbiorców i miały na celu wyłudzenie wrażliwych danych lub wykonanie nieautoryzowanej czynności np. transakcji finansowej na zagraniczny rachunek (około 254 incydentów).”

(źródło: Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2017 r. opublikowany w kwietniu 2018 r. przez cert.gov.pl, adres: ABW ul. Rakowiecka 2a 00-993 Warszawa, strona 13 i 14.)

Jak wynika z tej części raportu o stanie bezpieczeństwa cyberprzestrzeni w RP z 2017 r. na pierwszych dwóch miejscach znajdowały się: celowe działania grup cyberprzestępczych i nieświadomość użytkowników. Dużym ryzykiem jest kradzież sensytywnych danych ale podobnie dużym ryzykiem jest błędna konfiguracji urządzeń.

Na trzecim miejscu znalazły się zdarzenia spowodowane przez Botnet. Czym jest Botnet? Botnet to sieć połączonych ze sobą komputerów zainfekowanych specjalnym oprogramowaniem. Zazwyczaj jest ona sterowana przez operatorów, którzy kontrolują całą strukturę. Botnet wykorzystywany jest do wysyłania spamu, przechwytywania haseł czy wykradania danych.

Dobrą praktyką jest klasyfikacja informacji i wydzielenie kilku komputerów, a także odizolowanie ich od internetu. Dzięki tak przygotowanej infrastrukturze można w jakimś stopniu uchronić firmę przed niekontrolowanym wyciekiem danych sensytywnych.

Natomiast skutecznym rozwiązaniem tego typu problemów będzie konsultacja z naszym działem bezpieczeństwa.

Dariusz Korganowski | Dyrektor Śledztw i Bezpieczeństwa Grupa Prawna Togatus