W dawnych czasach złoczyńcy zatruwali studnie, dziś mogą zrobić to samo, nie wychodząc nawet z domu. Działanie co trzeciej polskiej firmy zostało w 2022 roku zakłócone w wyniku cyberataku – alarmuje firma VMware w najnowszym raporcie. Niestety wielu przedsiębiorców ślepo wierzy, że im taki atak nie grozi, biją na alarm twórcy opracowania.
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa szacuje w swoim ostatnim raporcie, że cena, jaką rocznie płacimy za ataki przestępców w sieci na całym świecie wynosi około 5,5 bln Euro. Co więcej, za nie dalej niż 2 lata ta suma może ulec podwojeniu.
Czy jesteśmy gotowi?
“Nadchodzi cybernetyczna zima” – powiedział w 2021 roku szef izraelskich służb cybernetycznych Jigal Unna, nawiązując do słynnego zdania z serialu “Gra o tron”. Wodociągi w jego kraju zostały wówczas zaatakowane przez hakerów. Tamtejszy Krajowy Zarząd ds. Cyberbezpieczeństwa (INCD) przyznał, że gdyby nie właściwe zabezpieczenia, które umożliwiły udaremnienie ataku w czasie rzeczywistym, doszłoby do powstania w wodzie niewłaściwej mieszanki chloru i innych substancji chemicznych, co mogłoby mieć “katastrofalne” skutki.
Czy na podobne zdarzenia przygotowani są polscy operatorzy infrastruktury krytycznej? Raport VMware pokazuje, że niestety – mogą podzielić los drogowców, zaskoczonych corocznie pierwszymi opadami śniegu. Liczba cyberataków na Polskę rośnie z roku na rok. Jak podają autorzy opracowania, w latach 2020-22 liczba skutecznych naruszeń bezpieczeństwa wzrosła o 20,1 proc.
Do czego zdolni są cyberprzestępcy, mieliśmy okazję przekonać się pod koniec października 2022, gdy ofiarą ich ataku padł Instytut Centrum Zdrowia Matki Polki w Łodzi. Atak ransomware stworzył duże zagrożenie dla infrastruktury szpitalnej. Z powodu niebezpieczeństwa wycieku danych pacjentów oraz pracowników obiekt został czasowo odłączony od sieci. To jednak tylko wierzchołek góry lodowej.
Raport VMware ukazuje niepokojące wiadomości z elektrowni, sieci energetycznych, wodociągów, rafinerii, rurociągów, systemu finansowego i edukacyjnego, sieci teleinformatycznych czy transportowych. Aż co trzecia z nich (32 proc.) przyznaje, że w ostatnim roku poniosła szkodę w wyniku ataku hakerów. Mimo to zaledwie 39 proc. organizacji uważa cyberbezpieczeństwo za priorytetową kategorię. Ponad połowa (56 proc.) firm ujętych w badaniu nie widzi też potrzeby ulepszeń i szkoleń na poziomie zwiększenia bezpieczeństwa cybernetycznego. 50 proc. potrzebuje lepszych narzędzi w dziedzinie cyberbezpieczeństwa, 50 proc. uznaje, że takowe potrzebne nie są.
Cel hakerów: żrąca ciecz zamiast wody w twoim kranie
Na wyobraźnie polskich firm powinna też zadziałać historia zakładu uzdatniającego wodę dla około 15 tys. osób w pobliżu miasta Tampa na Florydzie. W 2021 roku zdigitalizowana aparatura obiektu została przejęta przez hakerów, którym udało się zyskać sterowność nad lokalnym systemem informatycznym. Niewiele brakowało, by doszło do tragedii. Przestępcy zwiększyli ilość wodorotlenku sodu w wodzie dostarczanej do gospodarstw domowych. Ta substancja chemiczna, nazywana sodą żrącą, zwykle stosowana jest w niewielkich dawkach w celu kontrolowania kwasowości wody, ale spożyta przez człowieka w większej ilości może dosłownie rozpuścić jelita i doprowadzić do śmierci w męczarniach. Szybka reakcja pracowników zakładu zapobiegła jednak przedostaniu się do wodociągów dużych ilości związku.
Dwa oblicza cyfryzacji
Badanie VMware zastaje polskie firmy w momencie intensywnych przemian technologicznych. 77 proc. zbadanych podmiotów chce zwiększyć inwestycje w cyfryzację, z czego 33 proc. zamierza przeznaczyć na ten cel “znacząco więcej” nakładów. Zmienia się również tryb organizacji pracy. 85 proc. zbadanych firm już teraz stosuje zdalny (31 proc.) albo hybrydowy (54 proc.) model pracy.
Żarty się skończyły. Dyrektywa wprowadza nowe porządki
Operatorzy infrastruktury krytycznej, którzy dotychczas zwlekali z modernizacją swojej architektury bezpieczeństwa, będą musieli wziąć się do pracy. 16 stycznia weszła w życie dyrektywa NIS 2, tworząca nowe ramy europejskiego porządku infrastruktury krytycznej i cyfrowej. Rozszerza ona definicje sektorów i rodzajów podmiotów krytycznych objętych regulacjami na polu cyberbezpieczeństwa. Przepisy wzmocnią odporność infrastruktury krytycznej na szereg zagrożeń, w tym na zagrożenia naturalne, ataki terrorystyczne, zagrożenia wewnętrzne lub sabotaż. Obejmą one 11 sektorów: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność. Państwa członkowskie będą musiały przyjąć krajową strategię i przeprowadzać regularne oceny ryzyka w celu zidentyfikowania podmiotów uznawanych za kluczowe lub niezbędne dla społeczeństwa i gospodarki.
39 proc. zbadanych podmiotów zbadanych przez VMware to firmy zatrudniające od 1 do 3 tys. osób, 27 proc. liczy sobie od 500-1000 pracowników. Pozostałe 35 proc. to duże podmioty, utrzymujące ponad 3000 etatów.