W czerwcu 2023 roku opublikowaliśmy wpis, w którym opisywaliśmy ataki hakerskie z 2022 roku. Poświęciliśmy w nim uwagę konkretnym rodzajom ataków oraz trendom i statystykom. Według przytoczonego w artykule raportu CERT Polska, aż 69% wszystkich zgłoszonych w tym czasie incydentów dotyczyło phishingu, czyli jednej z najpowszechniejszych metod socjotechnicznych.

W ubiegłym roku wiele ataków było bezpośrednio lub pośrednio związanych z działającymi na rzecz Rosji grupami hakerów. W wielu przypadkach konkretne osoby i grupy przyznały się do przeprowadzenia ataków, a ich celem była destabilizacja sytuacji w poszczególnych krajach, wywołanie paniki, polaryzacja społeczeństwa lub zwyczajny pokaz siły. W przypadku ataków na instytucje państwowe nader często dochodziło do ataków typu DDoS, które miały na celu chwilowy paraliż działania np. witryn rządowych.

To, co należy zrobić po ataku hakera, jest uwarunkowane rodzajem ataku i tym, jaką funkcję jego ofiara pełni w społeczeństwie. Przykładowo, inne kroki powinny podjąć osoby fizyczne otrzymujące wiadomość phishingową, a inne operatorzy usług kluczowych sklasyfikowani zgodnie z ustawą o KSC.

W przypadku ataku na organizację należy powiadomić administratora sieci firmowej oraz wewnętrzny lub zewnętrzny zespół SOC, zajmujący się reagowaniem na incydenty, a następnie wdrożyć stworzone na takie okazje polityki bezpieczeństwa i procedury.

Kluczowe, w przypadku wczesnego wykrycia ataku cybernetycznego opartego na naruszeniu integralności systemów czy przedostania się intruza do firmowej sieci, jest wdrożenie takich działań, jak:

• izolacja zainfekowanych systemów i elementów sieci w celu zatrzymania dalszych skutków ataku i utrudnienie hakerowi penetracji firmowej infrastruktury,


• odłączenie firmowej sieci od sieci publicznej,


• zresetowanie i natychmiastowa zmiana haseł do kont użytkowników, systemów i urządzeń.

Czasami, po opanowaniu trwającego ataku, jeśli dane lub systemy zostały naruszone, przychodzi kolej na przywrócenie kopii zapasowych.

Pierwszym krokiem, który należy podjąć po opanowaniu bieżącego ataku, jest przeprowadzenie analizy powłamaniowej przy pomocy wewnętrznego zespołu IT lub zewnętrznych specjalistów. Ten proces ma na celu rozpoznanie metod ataku, znalezienie podatności, które umożliwiły jego skuteczne przeprowadzenie i zaraportowanie błędów osobom odpowiadającym za cyberbezpieczeństwo firmy. Zebrany w tym czasie materiał może też posłużyć jako dowód w ewentualnej sprawie sądowej.

Warto bowiem zaznaczyć, że ataki hakerskie, które mogły narazić nas na szkody (majątkowe, wizerunkowe czy prawne), są jak najbardziej powodem do zawiadomienia policji. W zasadzie każdy atak cybernetyczny wyczerpuje znamiona przestępstwa w myśl artykułów 267, 268, 269 oraz 287 Kodeksu Karnego. Tego typu przestępstwa są ścigane na wniosek pokrzywdzonego.

W przypadku wycieku danych osobowych klientów istnieje ryzyko naruszenia praw i wolności tych osób, dlatego firma ma obowiązek bezzwłocznie zgłosić ten fakt do Urzędu Ochrony Danych Osobowych oraz powiadomić poszkodowanych.

Incydenty bezpieczeństwa – zarówno skuteczne ataki, jak i tylko nieudane próby – powinny być zgłaszane do zespołu CERT Polska, realizującego obowiązki CSIRT NASK. Służy do tego formularz, który znajduje się na stronie internetowej instytucji. Operatorzy usług kluczowych tzw. incydenty poważne powinni zgłaszać za pośrednictwem Systemu S46.

Już na wstępie warto rozprawić się z pewnym błędnym przekonaniem, jakoby małe firmy nie były narażone na cyberataki. Takie myślenie może sprowadzić na organizację poważne kłopoty. Atrakcyjnym celem ataku może być każda firma, niezależnie od jej wielkości, branży oraz wyników finansowych. Oszuści rzadko obierają sobie konkretne cele, a raczej skanują sieć w poszukiwaniu luk w zabezpieczeniach. Wyszukiwanie podatności i ich likwidacja jest więc stałym procesem, którego nigdy nie można uznać jako zakończony.

Dane statystyczne z wielu lat pokazują, że najczęstszym rodzajem ataków jest phishing, jego pochodne i inne ataki socjotechniczne. Nasuwa się więc prosty wniosek, jak bronić się przed atakami hakerów - właściciel firmy powinien zadbać przede wszystkim o właściwe przeszkolenie swoich pracowników w zakresie zagrożeń płynących z sieci. Poprawa świadomości bezpieczeństwa (o security awareness pisaliśmy w dedykowanym artykule) powinna być priorytetem w firmach każdej wielkości.

Bardzo ważne jest także stosowanie najlepszych systemów bezpieczeństwa oraz aktualizowanie oprogramowania. Każda firma powinna posiadać również politykę tworzenia kopii zapasowych i jasno zdefiniowane zasady wykonywania kopii zapasowych oraz procedury postępowania w przypadku wystąpienia ataku.

Istotną kwestią jest też zabezpieczenie punktów końcowych poprzez rozwiązania klasy EDR/XDR, które monitorują każdy proces na stacji roboczej i są w stanie szybko odciąć stację roboczą w przypadku stwierdzenia niebezpieczeństwa w jej obrębie.

Firmy powinny również rozważyć stosowanie testów podatności, dzięki którym mogą zaobserwować, co z firmowych zasobów jest widoczne w Internecie i do czego cyberprzestępcy mogą się relatywnie łatwo włamać (np. z uwagi na brak lub słabe hasło).

Wymienione wyżej elementy to jednak tylko podstawy. Dla zapewnienia firmie najwyższego poziomu ochrony potrzebny jest aktywny monitoring sieci 24/7/365 (do wielu ataków dochodzi w weekendy i święta), a w tym może pomóc zewnętrzny zespół specjalistów działających w ramach SOC, czyli Security Operations Center. Jednym z najnowocześniejszych w Polsce jest SOC Netii, który wykorzystuje nowoczesne systemy SIEM/SOAR. Automatyzują one pracę specjalistów i pozwalają pokryć ochroną całą firmową infrastrukturę. Tego rodzaju outsourcing jest zgodny z obowiązującymi w Polsce normami wynikającymi między innymi z ustawy o KSC czy dyrektywy RODO.

Szukasz najlepszej ochrony dla swojej firmy? Zadaj pytanie naszym konsultantom!