Bomba logiczna to określenie oprogramowania lub fragmentu kodu, którego celem jest złośliwa aktywność. Osadzona w systemie IT bomba logiczna nie daje o sobie znać aż do momentu osiągnięcia z góry założonych warunków. Powodem „detonacji” bomby logicznej może być na przykład wykonanie założonych przez jej autora zadań w systemie, takich jak otwarcie bazy danych, wykorzystanie określonej kombinacji klawiszy, czy logowanie do systemu konkretnego użytkownika. Bomba logiczna może być też zaprogramowana w taki sposób, by uaktywniła się w konkretny dzień, o konkretnej porze.

Po zadziałaniu „zapalnika” bomba logiczna dokonuje zwykle określonych zniszczeń, takich jak trwałe usuwanie plików, nadpisywanie stanu dysku, blokowanie dostępu do systemów lub paraliż konkretnych procesów. W skrajnych przypadkach może trwale uszkodzić komponenty stacji roboczej.

Jednym z rodzajów bomby logicznej jest bomba zegarowa (ang.: time bomb), która uaktywnia się po określonym czasie. Bomba zegarowa nie musi być jednak złośliwa. Często jest tylko legalną funkcją oprogramowania, dzięki której przestaje ono działać po pewnym czasie (dacie lub godzinie). To rozwiązanie stosują m.in. producenci oprogramowania do dezaktywacji wersji beta po premierze pełnoprawnej wersji produktu.

Jednym z pierwszych wirusów, przyjmujących formę bomby logicznej, był wirus Michelangelo, który powstał w kilku różnych wariantach i atakował maszyny IBM PC z systemem operacyjnym MS-DOS. Wirus powstał w 1992 roku i uaktywniał się 6 marca – w dniu urodzin włoskiego artysty. Skutkiem było nadpisywanie krytycznych danych systemowych i zniszczenie dysków. W wyniku intensywnych prac IBM udało się zmarginalizować działanie wirusa na podatnych jednostkach, jednak mimo to szacuje się, że Michelangelo zaatakował kilka tysięcy komputerów.

Znacznie większe szkody wyrządził napisany przez Chen Ing-hau – studenta Tatung University w Tajwanie – wirus CIH (znany także jako „Czarnobyl” lub „Spacefiller”). Oprogramowanie powodowało nadpisanie krytycznych danych na dyskach komputerów oraz trwałe uszkodzenia pamięci BIOS. Ostrożne szacunki mówią o 60 milionach zainfekowanych komputerów i 1 miliardzie USD strat finansowych. Wirus został wykryty w 1998 roku, a nazwa „Czarnobyl” nie była przypadkowa – niektóre jego warianty uruchamiały się właśnie 26 kwietnia – w rocznicę katastrofy w Czarnobylu.

W 2008 roku programista wykonujący zlecenia dla Fannie Mae – znanego banku hipotecznego w USA – umieścił w systemie firmy bombę logiczną, która miała aktywować się po jego odejściu z pracy. Bomba mogła spowodować potężne zniszczenia w postaci utraty ważnych firmowych danych, jednak analiza logów pozwoliła odkryć anomalie w zachowaniu programisty i odnaleźć złośliwy kod przed aktywacją bomby logicznej.

Jak wynika z przytoczonych wcześniej przykładów, bomba logiczna może nieść prawdziwe spustoszenie w infrastrukturze IT firmy. Tego typu ataki zagrażają zarówno korporacjom, jak i niewielkim firmom lokalnym. Historia pokazuje, że bomby logiczne są nierzadko umieszczane w systemach firm przez pracowników, tzw. insiderów, których celem jest zemsta na firmie lub osiągnięcie konkretnych korzyści materialnych.

Nie można jednak lekceważyć zagrożeń zewnętrznych. Hakerzy stosujący socjotechniki mogą nakłonić pracowników firmy do pobrania rzekomej aktualizacji firmowego oprogramowania, wysyłając fałszywe e-maile z zainfekowanymi załącznikami. To tylko jeden z przykładów, jak wirusy wykorzystujące bomby logiczne mogą przenikać do firmowej sieci, by następnie szyfrować bazy danych, usuwać krytyczne pliki czy nawet uszkadzać urządzenia.

Podstawą ochrony jest jak zwykle dobrej jakości oprogramowanie antywirusowe, które może wykryć nieprawidłowości w kodzie przed uaktywnieniem się bomby logicznej. Rynek oferuje wiele rozwiązań – zarówno w formie samodzielnego produktu, jak i modułu w bardziej złożonych narzędziach. Pomocne są także rozwiązania monitorujące i zarządzające bezpieczeństwem w urządzeniach końcowych (EDR, XDR).

Przy opracowaniu BIA warto kierować się wytycznymi norm ISO 22317 oraz ISO 24762.

Niezbędne jest również regularne przeprowadzanie testów podatności, które pozwalają wykryć słabe punkty w infrastrukturze IT i potencjalne furtki dla tego typu zagrożeń. Systematyczna analiza bezpieczeństwa zwiększa szanse na wychwycenie nieznanych podatności, zanim zostaną one wykorzystane przez cyberprzestępców.

W ofercie Netii znajduje się kilka produktów zawierających bardzo skuteczną ochronę przed wirusami. Chmurowy firewall Netii to zlokalizowana w bezpiecznej chmurze zapora sieciowa chroniąca firmową infrastrukturę przed popularnymi zagrożeniami i filtrująca ruch przychodzący oraz wychodzący.

Firmy pracujące w modelu zdalnym doceniają z kolei zarządzany UTM/firewall nowej generacji, który umożliwia dostęp do firmowej sieci z dowolnego miejsca za pomocą szyfrowanych tuneli VPN.

W trosce o cyberbezpieczeństwo swojej firmy nie można też pominąć kwestii fundamentalnych, takich jak regularna aktualizacja oprogramowania oraz uświadamianie pracowników o możliwych zagrożeniach.

Specjaliści Netii chętnie przedyskutują możliwości poprawy bezpieczeństwa organizacji i zasugerują odpowiednie działania.