26 mar 2020
Cyberbezpieczeństwo  w dobie COVID-19

Cyberbezpieczeństwo w dobie COVID-19

Autor Kazimierz Klonecki

EY Polska, Consulting, Partner, Lider Działu Zarządzania Ryzykiem Informatycznym

Praktyk z ponad 25-letnim doświadczeniem w zakresie zarządzania ryzykiem informatycznym. Pasjonat sportu.

26 mar 2020

Na co szczególnie zwrócić uwagę w czasie kryzysu COVID-19?

Rozprzestrzenianie się koronawirusa może dotknąć ponad 5 milionów firm na całym świecie1. Sumarycznie kraje najbardziej dotknięte problemem stanowią prawie 40 procent światowej gospodarki2.

Przedsiębiorstwa z różnych sektorów stoją w obliczu szybko zmieniającego się krajobrazu cyberzagrożeń spowodowanych pandemią. Ponadto szybkie przejście do trybu pracy zdalnej wymaga od zespołów bezpieczeństwa zwrócenia baczniejszej uwagi na falę potencjalnych ryzyk z tym związanych.

Global Risk Survey 2020

79%

członków zarządu przyznaje, że ich organizacje nie są przygotowane do radzenia sobie z sytuacją kryzysową w wystarczającym stopniu.

Najnowsze zagrożenia i ataki w obszarze cyberbezpieczeństwa

Wyłudzenia informacji, złośliwe witryny i ataki na firmową pocztę
  • Cyberprzestępcy wykorzystują zainteresowanie globalną pandemią i wzmagają aktywność poprzez kampanie phishingowe nawiązujące do rozprzestrzeniania się wirusa
Wyłudzenia lub kradzież informacji oraz narażenie reputacji firmy
  • Możliwe są ataki skierowane w organizacje będące pod presją związaną z pandemią
  • Działania lub stanowiska uznane za niewłaściwe mogą wywołać „haktywizm” i ataki z wewnątrz organizacji
Zakłócenia działalności biznesowej spowodowane atakami hakerskimi
  • Już obserwujemy ataki typu ransomware związane z tematyką koronawirusa, mogące szyfrować dane na dyskach twardych, gdzie hakerzy będą żądać zapłaty za ich odszyfrowanie
Zmiana zachowań użytkowników dla czynności i procesów wykonywanych dotychczas osobiście
  • Zmiana sposobu wykorzystania sieci teleinformatycznej będzie powodować dodatkowe alarmy
  • Zwiększona liczba zdalnych logowań z wykorzystaniem kont uprzywilejowanych utrudnia zidentyfikowanie faktycznie niepożądanych działań
  • Zwiększone obciążenie działu pomocy technicznej oraz infrastruktury, a także całego personelu IT może powodować mniejszą czujność na sytuacje nienormalne
Domeny z motywem koronawirusa są potencjalnie o 50% częściej złośliwe od pozostałych domen.
CheckPoint
Coronavirus Scam Alert: Uważaj na niebezpieczne strony internetowe i e-maile na temat COVID-19.
Forbes
Czeski szpital dotknięty cyberatakiem podczas wybuchu COVID-19.
ZDNet
Atakujący udają, że pochodzą z Centrum Zdrowia Publicznego Ministra Zdrowia Ukrainy i wysyłają niebezpieczny załącznik.
RedDrip Team
Warto rozważyć poniższe działania, aby pomóc ochronić Twoją organizację w obliczu szybko zmieniającego się otoczenia oraz z perspektywy pojawiających się cyberzagrożeń.

1.    Zaktualizuj VPNy, infrastrukturę sieciową oraz urządzenia używane do pracy zdalnej, do najnowszego dostępnego oprogramowania producenta oraz łatek bezpieczeństwa.

2.    Zaimplementuj wieloskładnikowe uwierzytelnienie (MFA) dla wszystkich połączeniach zdalnych dla zwiększenia bezpieczeństwa. Jeżeli nie jest to możliwe, wymagaj od pracowników stosowania silnych haseł.

3.    Zapewnij, że dział bezpieczeństwa IT przeprowadził testy wydajności VPN na wypadek masowego użycia. Jeżeli to możliwe, wprowadź priorytetyzację - takie jak ograniczenia prędkości – aby pierwszeństwo posiadały osoby potrzebujące większej przepustowości łącza.

4.    Bacznie monitoruj dostęp uprzywilejowany, wykorzystując narzędzia analizujące zachowania użytkowników (UEBA), aby wykrywały podejrzaną aktywność administratorów i tych użytkowników, którzy przetwarzają kluczowe dane.

5.    Systemy monitorowania bezpieczeństwa (SIEM) powinny zostać skonfigurowane pod kątem wykrywania nowych zagrożeń i logów generujących alerty. Zespoły monitorowania bezpieczeństwa powinny być gotowe na wzmożoną liczbę alertów, priorytetyzując je na podstawie ryzyka oraz umiejętnie wykrywając fałszywe alarmy. W tym celu, rozważ zwiększenie liczebności zespołu.

6.    Poświęć więcej uwagi takim aspektom bezpieczeństwa pracy zdalnej, jak: przeglądanie logów, wykrywanie ataków, reagowanie na incydenty.

 

7.      Rozważ white listing i oznaczanie wiadomości od nadawców zewnętrznych. Wzmocnij świadomość pracowników i informuj o wzmożonych atakach phishingowych w związku z COVID-19, poproś o nieotwieranie podejrzanych odnośników.

8.     Zapewnij ochronę sieci oraz poczty elektronicznej implementując techniki filtrowania ruchu, tak aby uchronić pracowników przed odwiedzaniem zainfekowanych witryn. Zaimplementuj filtrowanie ruchu poczty elektronicznej, aby zablokować spam oraz ataki phishingowe. Jeżeli prowadzisz szpital albo jesteś operatorem infrastruktury krytycznej lub usługi kluczowej, stosuj jeszcze bardziej rygorystyczne reguły.

9.      Ogranicz dostęp i zadania administracyjne tylko do najbardziej niezbędnych. Aktywności administracyjne powinny być ponadto lepiej kontrolowane i monitorowane (np. z zachowaniem zasady czterech oczu).

10.  Zwiększ możliwości zarządzania awaryjnego, przenosząc zasoby. Sprawdź, czy twoje mechanizmy kopii zapasowych działają oraz przetestuj przełączenie na urządzenia zapasowe. Zespoły wsparcia technicznego powinny być przygotowane, aby obsłużyć większą liczbę zgłoszeń oraz posiadać procedurę kategoryzowania ich.

11.   Zwiększ monitorowanie urządzeń końcowych, aktualizuj sygnatury antywirusowe, zabezpiecz sprzęt przed kradzieżą

12.  Przygotuj się na najgorsze. Sprawdź możliwości własnych zespołów zarządzania kryzysowego oraz obsługi incydentów, a także dostępność zewnętrznych dostawców i ich wpływ na procesy krytyczne. Rozważ zwiększenie liczby dostawców.

Jakie zalecenia powinny zostać przekazane pracownikom?

1.    Na bieżąco stosuj się do procedur firmy
Polityki, wytyczne oraz zasady dostępu do sieci firmowej spoza biura. Zawsze zgłaszaj podejrzane zachowania do Zespołu Wsparcia IT lub Bezpieczeństwa oraz stosuj się do standardów np. posiadaj zaktualizowany system operacyjny, oprogramowanie antywirusowe oraz regularnie skanuj swój komputer etc.

2.    Używaj rozwiązań przechowywania danych zatwierdzonych przez twoją firmę
Upewnij się, że przechowujesz wszystkie dane w chronionym obszarze, który został zatwierdzony przez twoją firmę.

3.    Korzystaj z sieci z zachowaniem ostrożności
Uważaj na podejrzane odnośniki na stronach www, zwłaszcza jeżeli odnoszą się one do tematu koronawirusa. Potencjalni atakujący wykorzystują obecną sytuację wzbudzając strach i potrzebę natychmiastowego rozwiązania sytuacji poprzez kliknięcie w odnośnik bez zastanowienia.

4.    Używaj tylko urządzeń zatwierdzonych przez twoją firmę oraz skonsultuj z działem IT każdy przypadek użycia prywatnego urządzenia do połączenia z siecią firmową
Jeżeli korzystasz z domowego połączenia bezprzewodowego, upewnij się, że posiada ono silne hasło oraz unikaj używania publicznych lub otwartych sieci. Ponadto, zmień domyślne hasło administracyjne w swoich urządzeniach i dawaj do nich dostęp wyłącznie osobom zaufanym.

5.    Upewnij się, że twój komputer, urządzenie mobilne oraz aplikacje posiadają najnowszą wersję oprogramowania

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY

Subskrybuj

Źródła: 1 - CNBC, 4 lutego 2020; 2 - McKinsey

Podsumowanie

Kryzys COVID-19 wpływa również na cyberbezpieczeństwo. Aby dobrze zabezpieczyć firmę należy znać najnowsze zagrożenia oraz podjąć odpowiednie działania w odniesieniu do samej organizacji, jak i pracowników.

Kontakt

Porozmawiaj z jednym z naszych specjalistów o tym, jak możemy wesprzeć Cię podczas epidemii COVID-19.

Informacje

Autor Kazimierz Klonecki

EY Polska, Consulting, Partner, Lider Działu Zarządzania Ryzykiem Informatycznym

Praktyk z ponad 25-letnim doświadczeniem w zakresie zarządzania ryzykiem informatycznym. Pasjonat sportu.