Polski i ukraiński biznes w czasie wojny. Hakerzy „wrzucili piąty bieg”

Przed wybuchem wojny w Ukrainie działało ok. 2,5 tys. polskich firm. Wśród nich np. Wawel, PKO BP, Śnieżka, Cersanit, Wielton czy Inter Cars. 

Relacje gospodarcze z naszym wschodnim sąsiadem rozwijały się dobrze. Potwierdzają to chociażby dane GUS. W 2021 r. polski eksport do Ukrainy osiągnął wartość 28,9 mld zł (rekord), a import 19,4 mld zł. Wojna uderzyła nie tylko w tamtejszy biznes, ale również polskich przedsiębiorców w Ukrainie, zakłóciła ciągłość działania wielu firm, zaburzyła wiele relacji biznesowych i ograniczyła możliwości rozwoju.

Czarny scenariusz

24 lutego br. rozpoczęła się rosyjska inwazja na Ukrainę. Czarny scenariusz, który wcześniej dla wielu był nierealny, stał się faktem. Wojska rosyjskie wkroczyły na terytorium naszego sąsiada, dopuszczając się bezwzględnego ataku na obiekty militarne i cywilne, w tym centra biznesowe. 

Każdego dnia śmierć zbiera żniwo, a wiele osób zostaje rannych. Przez ostrzał rakietowy oraz uderzenia lądowe siły okupanta niszczą infrastrukturę produkcyjną i zaplecze usługowe. Tego typu działania w największym stopniu oddziałują na naszą wyobraźnię, ponieważ są „namacalne” – widzimy ogrom zniszczenia i ludzkiego cierpienia. Należy mieć jednak na uwadze, że wojna w Ukrainie odbywa się na wielu frontach równocześnie, a jeden z nich to wzmożona aktywność hakerów w cyberprzestrzeni.

Wypełnij poniższy formularz, aby uzyskać szczegóły promocyjnej oferty Netii na Internet i usługi bezpieczeństwa dla firm.

Szeroki wachlarz grup i ataków

W czasie wojny środowiska hakerskie i cyberprzestępcze stały się zdecydowanie aktywniejsze, sprawiając, że ryzyko dla podmiotów państwowych, biznesu i samych użytkowników stało się jeszcze większe. Ich motywacje mogą być różne – od chęci wykorzystania sytuacji kryzysowej do zarobku, przez zastraszanie i demonstrację swoich możliwości, po realizację celów strategicznych i interesów rządu. 

Z tego też względu wojna w Ukrainie charakteryzuje się bogatym katalogiem wrogich kampanii. To nie tylko ataki DDoS (występujące w skali masowej), ale również m.in. phishing, rozpowszechnianie złośliwego oprogramowania, ransomware czy włamania do infrastruktury. 

Przyglądając się bliżej, można zauważyć, że doszło do ukształtowania się dwóch obozów w cyberprzestrzeni: proukraińskiego i prorosyjskiego. Przedstawiciele każdego z nich utożsamiają się ze wskazanymi państwami, prowadząc na ich rzecz (jako wyraz poparcia) różnego rodzaju cyberkampanie. 

Po stronie Kremla opowiedział się m.in. znany gang ransomware „Conti”. Jego członkowie publicznie zadeklarowali, że użyją wszelkich posiadanych zdolności i możliwości w reakcji na wrogie operacje wymierzone w Rosję. Podobne stanowisko przyjęła inna grupa o nazwie „Killnet”. Jej przedstawiciele publicznie wypowiedzieli wojnę Polsce oraz 9 innym krajom, wspierającym Ukrainę. 

Po stronie Kijowa stanęła m.in. globalna społeczność haktywistów Anonymous. Tuż po rosyjskiej inwazji oficjalnie wypowiedzieli cyberwojnę Putinowi, którego oskarżają o śmierć i zniszczenia w Ukrainie. Przedstawiciele „anonimowych” działają nie tylko w imieniu rządu w Kijowie, ale także tych wszystkich podmiotów, które angażują się w odparcie agresji sił okupanta, w tym również biznesu. O atakach Anonymous wiele się mówi. Mają oni stać np. za włamaniem do rosyjskiej telewizji i udostępnianiem proukraińskich materiałów, przejęciem komunikacji wojskowej sił Putina czy licznymi wyciekami danych z rosyjskich instytucji i firm. Jak twierdzą, to ich odwet za inwazję.

Dobrze znani

Celem wrogich ugrupowań hakerskich i cyberprzestępczych są nie tylko podmioty publiczne (instytucje państwowe, administracja itd.), ale także prywatne. Prowadzone w sieci cyberoperacje stwarzają ryzyko dla biznesu, który musi być wyczulony na wszelkie anomalie, mogące zwiastować nadchodzące cyberzagrożenie. 

Gotowość do reakcji na incydenty bezpieczeństwa należy oczywiście zachowywać nieprzerwanie, ale w czasie wojny, konfliktu czy napiętej sytuacji geopolitycznej, wzmożona czujność jest szczególnie pożądana. Na celowniku może znaleźć się każda firma czy instytucja publiczna, a skuteczny, paraliżujący atak stanowi dodatkowo pożywkę dla propagandy agresora. Potwierdza to chociażby aktywność grup hakerskich powiązanych z rządami takich krajów, jak Rosja, Chiny, Iran czy Korea Północna. Ich kampanie od lat stanowią przedmiot badań i analiz specjalistów ds. cyberbezpieczeństwa z całego świata. Zajmują się nimi nie tylko eksperci firm prywatnych (np. Mandiant, ESET, Google, Microsoft), ale również instytucji i organów państwowych (m.in. krajowe CERT-y, służby bezpieczeństwa, cyberwojska).

Analizując operacje prowadzone przez grupy z poszczególnych państw, można zauważyć, że w pewnym sensie mają one swoją specjalizację. Przykładowo, jeśli mówimy o podmiotach związanych z Chinami, pierwsze z czym się kojarzą, to cyberszpiegostwo. Korea Północna to z kolei cyberataki motywowane finansowo, a konkretnie kradzieżą aktywów (pieniędzy, kryptowalut itd.), co pozwala Pjongjangowi m. in. rozwijać program nuklearny. Rosyjskie grupy skupiają się zaś na wspieraniu wysiłków Kremla i jego interesów. Pokazuje to chociażby ingerowanie w amerykańskie wybory prezydenckie w 2016 r. czy doprowadzenie do blackoutu w regionie Iwano-Frankiwska (Ukraina), gdzie w grudniu 2015 r. ok. 700 tys. ludzi zostało na pewien czas pozbawionych energii.

Przed inwazją

Wzmożona wroga aktywność w cyberprzestrzeni z reguły nieco wyprzedza, a potem towarzyszy otwartej wojnie. Tak też było przed atakiem rosyjskich wojsk na Ukrainę. Mowa tu przede wszystkim o masowych kampaniach DDoS (ang. Distributed Denial of Service), które prowadziły do paraliżu wielu witryn internetowych i aplikacji webowych instytucji rządowych u naszego wschodniego sąsiada. Nie działały strony np. Ministerstwa Spraw Zagranicznych, Ministerstwa Obrony Narodowej, Ministerstwa Spraw Wewnętrznych i Służby Bezpieczeństwa Ukrainy. 

Specjaliści firmy ESET wskazują, że 23 stycznia br., czyli w przeddzień napaści zbrojnej, doszło do ataków na ukraińskie agencje państwowe i organizacje pozarządowe z wykorzystaniem złośliwego oprogramowania WhisperGate.  Użyte oprogramowanie naśladowało ransomware – różnica polegała na tym, że malware po zaszyfrowaniu danych na urządzeniach nie posiadał mechanizmu ich przywracania po zapłaceniu okupu.

Idąc dalej, na kilka godzin przed inwazją ESET wykrył w sieci HermeticWiper – niezwykle destrukcyjny malware, służący do bezpowrotnego usuwania danych, który pojawił się na setkach stacji roboczych w kilku różnych organizacjach w Ukrainie. 

Zdecydowanie bardziej poważny był atak na infrastrukturę dostawcy Internetu satelitarnego Viasat, który miał miejsce tuż przed militarną agresją Rosji. Incydent pierwotnie został wymierzony w modemy znajdujące się w Ukrainie, ponieważ jej siły zbrojne korzystały z usług tego dostawcy. Ostatecznie kampania „rozlała się” również na inne państwa, w tym Polskę, powodując m.in. zakłócenia w pracy terminali pozwalających na zdalne zarządzanie ok. 5,8 tys. turbin wiatrowych w Niemczech.

Cyberataki są skoordynowane z militarnymi działaniami

Eksperci z różnych firm technologicznych, w tym Google czy Microsoft, są zgodni – przygotowania do wrogich operacji podejmowanych przed, a także już w trakcie wojny, trwały od dłuższego czasu. Wystarczy podkreślić, że wspomniany wcześniej HermeticWiper został zmodyfikowany 28 grudnia 2021 r. Z kolei Billy Leonard z Threat Analysis Group Google wskazał wprost: „Wrogą aktywność zaobserwowaliśmy kilka miesięcy przed wybuchem wojny w Ukrainie”. Jego zdaniem, dotychczasowe obserwacje pokazują, że cyberdziałania są skoordynowane z militarnymi atakami, a taki stan rzeczy wymaga długich przygotowań i wewnętrznej współpracy między agencjami rządowymi a grupami realizującymi ataki APT (ang. Advanced Persistent Threat).

Zagrożenie w Polsce. Wzmożona gotowość

Cyberprzestrzeń nie uznaje granic geograficznych. Z tego względu wiele kampanii dotyka również instytucji innych państw. Często bezpośrednim celem ataków są także podmioty prywatne z innych krajów, które współpracują z Ukrainą, wspierają ją lub w jakiś sposób angażują się w konflikt po „niewłaściwej” – zdaniem agresora – stronie. Ze względu na ogromne i zauważalne przez Rosję zaangażowanie naszego kraju w pomoc Ukrainie, aktywność rosyjskich grup hakerskich można odczuć również w Polsce. 

O tym, że istnieje realne ryzyko dla instytucji i przedsiębiorstw nad Wisłą może świadczyć fakt, że rząd zdecydował się na wprowadzenie i kilkukrotne przedłużenie (obecnie ma trwać do końca czerwca) stopnia alarmowego CHARLIE-CRP (trzeci w czterostopniowej skali). Nakłada on obowiązek m.in. ścisłego monitorowania sieci w celu zapewnienia bezpieczeństwa i ciągłości działania krytycznych usług. Taki krok władz pokazuje, że cyberzagrożenia związane z wojną w Ukrainie dotykają także polskich systemów i sieci, więc czujność w tym zakresie oraz szybka reakcja to podstawa.

Jedno z najważniejszych zagrożeń

Obecna sytuacja geopolityczna niejako wymusza szczególne zwracanie uwagi na kwestie związane z cyberbezpieczeństwem. Właściwa ochrona infrastruktury to współcześnie fundament, na którym powinno opierać się nie tylko państwo, ale również biznes. Poprzez sieć można stracić wszystko. 

Badania przeprowadzone przez koncern IBM jednoznacznie pokazują, że od 2017 r średnie straty związane z atakiem na infrastrukturę IT przedsiębiorstwa stale rosną. Zgodnie z najnowszymi danymi za ubiegły rok wyniosły one 4,24 mln dolarów. 

Obawy polskich przedsiębiorców związanych z cyberzagrożeniami pokazuje statystyka dotycząca oceny ich ryzyka, zawarta w raporcie „Zwarci, silni, gotowi? Polskie firmy w obliczu cyberzagrożeń”, opracowanego przez CyberDefence24.pl oraz DGTL Kibil Piecuch i Wspólnicy. Prawie 2/3 respondentów wskazało, że niebezpieczeństwa czyhające w sieci stanowią jedno z trzech najważniejszych ryzyk w ich działalności. „Potwierdza to, jak bardzo aktualnie firmy są uzależnione od infrastruktury IT. W przypadku zablokowania firmie dostępu do tej infrastruktury, występuje wysokie prawdopodobieństwo wstrzymania wszelkiej pracy przez firmę” – stwierdzono w raporcie. 

Zwiększająca się świadomość w zakresie bezpieczeństwa teleinformatycznego oraz wymienione obawy, które potęgują doniesienia o kolejnych atakach w związku z wojną w Ukrainie, istotnie wpływają na zainteresowanie firm rozwiązaniami cyberbezpieczeństwa, nie tylko w Polsce, ale również u naszego wschodniego sąsiada. 

„Polscy przedsiębiorcy są coraz bardziej świadomi zagrożeń w cyberprzestrzeni. W ostatnim czasie w związku z agresją na Ukrainę ta świadomość rośnie jeszcze szybciej. Jesteśmy bardzo blisko tego konfliktu. Przekazywane nam niemal codziennie informacje medialne często opisują również teatr wrogich działań w sieci. Słyszymy o skutecznych atakach przeprowadzanych przez strony konfliktu oraz ich wpływie na działanie instytucji i firm nie tylko na Ukrainie. Naturalną tego konsekwencją w ostatnich miesiącach jest również wzrost zainteresowania rozwiązaniami bezpieczeństwa, które mogą uchronić przed zakłóceniami lub nawet przerwaniem ciągłości działania, a w konsekwencji stratami finansowymi” – powiedział Tomasz Orłowski, Security Excellence Program Manager w Netia S.A.

„W Netia SOC odnotowujemy coraz więcej zapytań o usługi monitoringu infrastruktury sieciowej i aplikacji biznesowych. Standardem bezpieczeństwa wśród polskich firm stają się usługi ochrony przed atakami DDoS oraz zarządzanego next-generation firewall'a, które obecnie dostarczamy licznej grupie naszych klientów szerokopasmowego symetrycznego dostępu do Internetu. W obliczu wojennych zniszczeń i zakłóceń w dostawach energii w Ukrainie, jako lider rozwiązań data center, wspieramy również firmy ukraińskie, które szukają w Polsce bezpiecznej przystani dla swojej infrastruktury serwerowej i decydują się na migrację do centrów przetwarzania danych za swoją zachodnią granicą” – dodał Tomasz Orłowski.

Praktyki cyberbezpieczeństwa

Jak wynika z badania CyberDefence24.pl, na rynku brakuje obecnie jednej dominującej wizji obszaru zajmującego się cyberbezpieczeństwem firmy. Blisko jedna trzecia ankietowanych przedsiębiorstw nie posiada wyodrębnionej struktury organizacyjnej odpowiedzialnej za ten obszar funkcjonowania organizacji. 

Z drugiej jednak strony, 70% firm wprowadziło Business Continuity Plan (BCP). Należy to ocenić pozytywnie, przy założeniu, że poziom świadomości cyberbezpieczeństwa stale wzrasta i organizacje będą ten element nie tylko uzupełniać, ale i nim zarządzać.

Firmy decydują się także na przeprowadzanie testów. Mowa tu o jednorazowym sprawdzeniu pod kątem bezpieczeństwa nowych usług lub produktów (86,5%) oraz okresowych testów cyberbezpieczeństwa (92,3%), np. skanów podatności czy testów penetracyjnych systemów informatycznych.

„To pokazuje pozytywny obraz, że przedsiębiorcy spoglądają już na kwestię cyberbezpieczeństwa jako proces. Nie testują bowiem jedynie na początku i jednorazowo, a traktują tę sprawę jako stały element zarządzania ryzykiem ICT” – wynika z raportu „Zwarci, silni, gotowi? Polskie firmy w obliczu cyberzagrożeń”.

Coraz powszechniejszą praktyką są szkolenia z cyberbezpieczeństwa dla pracowników. W przypadku ankietowanych firm polegały one na wystąpieniu specjalistów, którzy omawiali występujące w sieci cyberzagrożenia i sposoby walki z nimi. Popularne formą są także e-learningi zakończone testem sprawdzającym. Tego typu inicjatywy odbywają się cyklicznie lub po wystąpieniu incydentu. Niemniej jednak, aż 15% przedsiębiorstw nie przeprowadza w ogóle szkoleń z cyberbezpieczeństwa. A przecież w dobie wszechobecnej cyfryzacji, dla blisko 80% ankietowanych prowadzenie biznesu w oderwaniu od Internetu i technologii jest niemożliwe. Takie uzależnienie od dobrodziejstwa cyberprzestrzeni stwarza dodatkowe ryzyko.

„Wiele złożonych ataków w swojej początkowej fazie wykorzystuje metodę tzw. phishingu. To metoda oszustwa polegająca na podszyciu się przez przestępcę pod inną osobę lub instytucję w celu wyłudzenia od nas informacji poufnych, zainfekowania komputera szkodliwym oprogramowaniem lub nakłonienia do kliknięcia w złośliwy link. Najczęstszym wektorem ataku jest email. Poza systemami zabezpieczenia poczty firmowej i szkoleniami pracowników, w celu podniesienia ich odporności na stosowane w tego typu atakach techniki manipulacji, warto rozważyć przeprowadzenie w firmie symulacji phishingowych. Polega to na przeprowadzeniu pozorowanego ataku na grupę pracowników, a następnie zebraniu i analizie wyników. Wnioski z raportu mogą posłużyć do przeprowadzenia pogłębionej akcji edukacyjnej wśród pracowników, a sama symulacja pomaga osiągnąć wyuczony poziom reakcji na potencjalne zagrożenie” – dodaje Tomasz Orłowski z Netii.

Z kolei z raportu PMR i Netii „Chmura i cyberbezpieczeństw w Polsce 2021" wynika, że chmura odgrywa niebagatelne znaczenie w podnoszeniu bezpieczeństwa polskich firm. 54% badanych wskazuje poprawę bezpieczeństwa danych jako jedną z głównych korzyści z wdrożenia rozwiązań chmurowych, a 80% zadeklarowało inwestycje w kolejnych latach w rozwiązania chmurowe, które m.in. zwiększają ochronę zasobów firmy i zapewniają jej ciągłości działania na wypadek incydentu. 

Warto także zastanowić się nad wdrożeniem w organizacji podejścia „zero trust” (zerowego zaufania). Taką postawę przyjął m.in. Google po tym, jak chińscy hakerzy włamali się do sieci i systemów koncernu. Od tamtego momentu – w 2007 r. – w firmie pracownicy nie korzystają z niezaufanych urządzeń podczas wykonywania pracy. Każdy proces jest monitorowany pod kątem bezpieczeństwa, aby zminimalizować ryzyko. 

Niezmiennie istotne pozostaną podstawy cyberbezpieczeństwa. Cyberhigiena to klucz do ochrony siebie i firmy. Stosowanie silnych haseł, uwierzytelniania wieloskładnikowego, tworzenie kopii zapasowych, aktualizacja oprogramowania czy używanie antywirusów to elementy mogące uchronić przedsiębiorstwo przez incydentem. 

Warto także monitorować stan infrastruktury oraz analizować to, co się w niej dzieje. Pozwoli to na wczesne wykrycie wrogiej aktywności i ograniczenie lub całkowitą neutralizację skutków potencjalnego ataku. 

Warto również rozważyć wykupienie polisy na wypadek wystąpienia cyberzagrożenia, aby mieć środki na pokrycie ewentualnych strat. Patrząc jednak z perspektywy biznesowej, najważniejsze jest zapewnienie ciągłości działania.

Jak wspólnie odbudować Ukrainę?

Gesty solidarności z Ukrainą były i są widoczne na każdym kroku – od pomocy humanitarnej po dostawy broni i amunicji. 

Polski biznes również otworzył się na tamtejsze firmy i pracowników. Ukraińcy znajdują nad Wisłą spokój, nowe miejsce do życia, możliwość pracy w polskich firmach, czy prowadzenia w naszym kraju działalności gospodarczej. Wielu z nich to specjaliści branży IT, których militarna agresja Putina zmusiła do opuszczenia swojej ojczyzny. 

Wspólne polsko-ukraińskie więzi okażą się szczególnie ważne po wojnie, gdy przyjdzie czas na odbudowę Ukrainy. Można przypuszczać, że wiele firm zdecyduje się powrócić na tamtejszy rynek lub podejmie decyzję o rozszerzeniu swojej działalności w Polsce. 

Wsparcie dla Ukrainy płynie i będzie płynęło z wielu stron, w tym rządów i biznesu. Polskie przedsiębiorstwa zyskają okazję, aby wykorzystać ten czas i ugruntować już istniejące lub nawiązać nowe relacje z ukraińskimi partnerami. Biorąc pod uwagę potencjał obu stron, wszystkim może to wyjść na dobre. 

Więcej informacji o tym, jak zadbać o cyberbezpieczeństwo można znaleźć na:  https://www.netia.pl/pl/srednie-i-duze-firmy/produkty/bezpieczenstwo

Artykuł powstał we współpracy z firmą Netia S.A.