Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) opublikował niedawno raport "Stan bezpieczeństwa IT w Niemczech 2021". Raport ten podsumowuje sytuację zagrożenia bezpieczeństwa IT w Niemczech w okresie od 1 czerwca 2020 do 31 maja 2021. BSI skupia się na atakach na przedsiębiorstwa, instytucje państwowe i publiczne oraz osoby prywatne. Jednocześnie chce również przyczynić się do zapobiegania i zwalczania tych sytuacji.
Co roku raport BSI dostarcza konkretnych przykładów sytuacji związanych z bezpieczeństwem i cyberzagrożeniami z różnych obszarów. BSI wykorzystuje je do wyjaśnienia typowych metod stosowanych przez napastników. Ponadto BSI chce wyjaśnić, czym są odpowiednie środki ochronne.
Wniosek z raportu: Sytuacja w zakresie bezpieczeństwa IT w Niemczech jest napięta do krytycznej.
Cyberszantażyści: pieniądze za ochronę, okup i hush money
W okresie sprawozdawczym nastąpił wyraźny rozwój metod wymuszeń dokonywanych przez cyberprzestępców. Samo to nie jest szczególnie nowym zjawiskiem. Jednak w ostatnim czasie zagrożenie osiągnęło inną jakość. Szkody, jakie mogą w jego wyniku powstać, są ogromne.
Zaobserwowano ogólnoświatową kampanię cybernetycznych wyłudzaczy, wyłudzających od swoich ofiar pieniądze na ochronę pod groźbą ataków DDoS (distributed denial of service attacks).
Jednocześnie do ataków wykorzystywali w szczególności złośliwe oprogramowanie Emotet, aby następnie wymusić okup za pomocą ransomware, które szyfruje wszystkie dane.
Można było również zaobserwować rozszerzenie tej strategii. W niektórych przypadkach osoby atakujące nielegalnie przechowywały dane przed zaszyfrowaniem, aby następnie wyłudzić hush money pod groźbą publikacji. Takie podejście mogło okazać się skuteczne, jeśli ofiara nie wykazywała zainteresowania zapłaceniem okupu za odszyfrowanie danych ze względu na własne kopie zapasowe danych. Jeśli teraz dojdzie do ataku typu ransomware, należy zatem założyć, że dane zostały zagrożone.
Największą furtką dla takich ataków są prawdopodobnie ataki socjotechniczne. Tutaj próbuje się podstępnie nakłonić ludzi do klikania w złośliwe linki lub pobierania załączników, które instalują złośliwe oprogramowanie, na przykład poprzez sprytnie sfałszowane wiadomości e-mail.
W celu wymuszenia okupu niektórzy napastnicy udawali również bezpośrednio do użytkownika końcowego poprzez ataki spamowe, że doszło do wycieku danych. Następnie wymuszali odpowiedni okup, grożąc opublikowaniem danych ofiary.
W branży cyberprzestępczej coraz bardziej widoczny jest podział pracy i cyberataki są wykorzystywane jako usługi. Mamy do czynienia z prawdziwym outsourcingiem standardowych zadań, co oznacza, że atakujący mogą jeszcze konkretniej skupić się na swoich silnych finansowo ofiarach i mają do dyspozycji wyrafinowane metody.
Szczególnie niebezpieczne stają się ataki na "infrastrukturę krytyczną" (CRITIS), do której zaliczają się np. dostawcy usług komunalnych, takich jak energia elektryczna czy woda. Według BSI są one niemal na porządku dziennym.
Luki w zabezpieczeniach programu Microsoft Exchange
Na początku marca 2021 roku Microsoft Exchange trafił na pierwsze strony gazet za sprawą podatności w serwerze Exchange. Krótko po tym, jak podatność stała się znana, w Internecie można było już zaobserwować skanowanie na dużą skalę w poszukiwaniu podatnych serwerów Exchange. W wyniku tego, że około 65 000 serwerów zostało dotkniętych, BSI ogłosiło drugi najwyższy poziom kryzysowy dopiero po raz trzeci od czasu swojego istnienia.
Luki te zostały szybko załatane przez aktualizacje, ale BSI uważa za prawdopodobne, że nawet jeśli aktualizacja została szybko zainstalowana, niektóre serwery zostały już niepostrzeżenie zainfekowane złośliwym oprogramowaniem. Napastnicy mogli w każdej chwili aktywować to infiltrowane oprogramowanie, co zamieniłoby serwery w tykające bomby zegarowe. BSI nazywa radzenie sobie z takimi podatnościami "jednym z największych wyzwań w dziedzinie bezpieczeństwa informacji".
Ataki na łańcuch dostaw
W ataku z wykorzystaniem łańcucha dostaw atakujący atakują producenta oprogramowania w celu dołączenia swojego złośliwego kodu do produktów oprogramowania producenta i w ten sposób wstrzyknięcia go użytkownikowi końcowemu. To również miało miejsce w okresie sprawozdawczym i według BSI okazało się ścieżką ataku, którą trudno było kontrolować.
Cyberbezpieczeństwo i pandemia
W swoim raporcie BSI rozważyło również cyberbezpieczeństwo w kontekście pandemii.
Z jednej strony digitalizacja procesów biznesowych w związku z pandemią w naturalny sposób zwiększyła powierzchnię ataku (zdalny dostęp i VPN, systemy wideokonferencyjne, korzystanie z prywatnych urządzeń w pracy itp.) Z drugiej jednak strony cieszy fakt, że do tej pory nie odnotowano żadnych incydentów związanych z bezpieczeństwem IT w związku z aplikacją ostrzegawczą Corona.
Ataki na sektor ochrony zdrowia
W okresie sprawozdawczym szczególną uwagę zwróciły różne ataki na placówki służby zdrowia. Polegały one między innymi na pozyskiwaniu wewnętrznych danych dotyczących szczepionek, które następnie były publikowane w zmanipulowany sposób, prawdopodobnie w celu wywołania wątpliwości dotyczących szczepionki. Ucierpiały również poszczególne kliniki, które musiały ograniczyć swoją działalność do czasu zakończenia ataku.
Reakcje
W świetle tego raportu pojawia się pytanie, jak państwo, gospodarka i społeczeństwo mogą się przed tymi zagrożeniami chronić.
Federalny minister spraw wewnętrznych Seehofer podkreśla, że okres legislacyjny został wykorzystany do masowego wzmocnienia cyberbezpieczeństwa. W Halle utworzono nie tylko agencję ds. innowacji w zakresie cyberbezpieczeństwa, ale także rozbudowano Centralne Biuro Informatyki w Sektorze Bezpieczeństwa (ZITiS). Ogólnie rzecz biorąc, jesteśmy lepiej przygotowani, zarówno pod względem technicznym, jak i kadrowym.
BSI zwraca również uwagę na ustawę o bezpieczeństwie IT 2.0, która zobowiązuje "firmy w szczególnym interesie publicznym" do zgłaszania incydentów bezpieczeństwa i udowodnienia ich bezpieczeństwa. Ponadto przyznaje ona BSI szersze uprawnienia, co również jest krytycznie oceniane w niektórych kręgach. To, co jednak nie znalazło się w ustawie, to odpowiedzialność za wadliwe oprogramowanie, której wielu się domagało. BSI ogranicza się więc w tym obszarze do apelowania do odpowiedzialności deweloperów.
Jeśli chcieliby Państwo rozszerzyć bezpieczeństwo swoich informacji i zlecić nam ich opiekę, zapraszamy do kontaktu.