Wnioski z badania
Ze względu na złożoność tematu, jego specyfikę i wysoki poziom specjalizacji badanie zostało w całości oparte o metodę delficką. W pierwszym etapie przeprowadzono wywiady z 12 ekspertami. Następnie zaś, na podstawie informacji uzyskanych od ekspertów w trakcie wywiadów, stworzono 10 potencjalnych cyberzagrożeń (zobacz: ZAGROŻENIA DZIŚ, ZAGROŻENIA JUTRO, ZAGROŻENIA POJUTRZE). W drugim etapie badania zostały poddane ocenie 20 ekspertów w anonimowej ankiecie ilościowej. Eksperci zostali poproszeni w niej o wskazanie prawdopodobieństwa wystąpienia danego zagrożenia, ocenę siły jego negatywnego wpływu oraz prawdopodobny czas jego wystąpienia. Na podstawie uzyskanych danych ilościowych wyrysowano mapę ryzyk. Oba etapy badania przeprowadzono w marcu 2018 roku.
CZYM JEST CYBERBEZPIECZEŃSTWO?
Eksperci w czasie rozmów podawali szerokie definicje pojęć „cyberzagrożenie” i „cyberbezpieczeństwo”, wskazując na konieczność ochrony różnych sfer ludzkiego życia.
Tak cyberbezpieczeństwo zdefiniował jeden z ekspertów:
Cyberbezpieczeństwo to metodyczne przeciwdziałanie zagrożeniom zarówno w wymiarze socjotechnicznym, jak i informatycznym. Niezmiennie najsłabszym i pierwszym ogniwem, które zostaje wystawione na próbę, jest człowiek. Ten trend nie zmienił się od lat i wiele wskazuje na to, że tak zostanie.
Dariusz Włodarczyk, Hestia
RODZAJE CYBERZAGROŻEŃ
Wśród kluczowych rodzajów cyberzagrożeń eksperci wskazywali na zagrożenia komercyjne, militarne, polityczne oraz ideologiczne. Zdaniem jednego z ekspertów w przyszłości możemy się spodziewać, iż cyberprzestępcy zaangażują się w walkę o kończące się na Ziemi zasoby i surowce.
W wywiadach poruszono liczne kwestie dotyczące cyberbezpieczeństwa w wielu jego aspektach.
Były to:
- MOTYWY
Wśród najczęstszych motywów działania cyberprzestępców wskazywano na prowadzenie nielegalnej działalności usługowej, chęć pozyskania cennych informacji biznesowych, danych wrażliwych osób oraz chęć zdobycia sławy, aktywizm i potrzebę wywarcia presji.
- ZORGANIZOWANE GRUPY PRZESTĘPCZE
W cyfrowym świecie działają haktywiści chcący wpływać na określone zmiany społeczno-polityczne, ale też script kiddies – niedoświadczone osoby, które używają programów i skryptów napisanych przez innych bez dogłębnej znajomości zasad ich działania. Choć ta druga grupa w ostatnich latach w Polsce zmniejsza się, zdaniem jednego z ekspertów, zwiększa skala działalności zorganizowanych grup cyberprzestępczych, kierujących się wyrafinowanymi technikami socjotechnicznymi.
- PRAWO
Eksperci wskazywali, że zaatakowane firmy niejednokrotnie stają się podwójnymi ofiarami – nie dość, że ukradziono im cenne informacje, dane wrażliwe klientów bądź uniemożliwiono bieżące działanie, to dodatkowo są one karane za to przez instytucje państwowe. Wprowadzenie regulacji o ochronie danych osobowych (RODO) wymusza na firmach szereg zabezpieczeń związanych z danymi osobowymi.
(…) złym elementem RODO jest kwestia gigantycznych kar nakładanych na firmy, które padają ofiarą wycieku lub kradzieży danych. Powoduje to przenoszenie odpowiedzialności z przestępcy na ofiarę.
Jakub Jagielak z Cyber Security Business Development Manager, Atende S.A.
- SZTUCZNA INTELIGENCJA
W obszarze cyberbezpieczeństwa, podobnie jak w innych branżach, zainteresowanie sztuczną inteligencją wzrasta. Na rynku zaobserwować można wyścig firm w obszarze pozyskiwania danych o opiniach ludzi, ich zachowaniach, upodobaniach itd. Są one niezbędne do tworzenia zbiorów danych czy budowania algorytmów. W zależności od przesłanek sztuczna inteligencja może zostać wykorzystana w służbie dobrego bądź złego, jednak w opinii ekspertów (w jej obszarze) tym, co nas czeka, jest z pewnością automatyzacja cyberataków i cyberzabezpieczeń.
- ATAKI NA OBIEKTY PRZEMYSŁOWE
Zdaniem uczestników panelu eksperckiego otwiera się przed nami okres nasilonych ataków na obiekty przemysłowe. Ich czuły punkt to przestarzałe sieci OT (Operational Technology), odpowiadające za sterowanie maszynami, liniami produkcyjnymi oraz niewystarczające systemy monitorujące pracę i obiekty. Wiele zakładów bazuje na rozwiązaniach, które nie były tworzone z uwzględnieniem wymogów cyberbezpieczeństwa, są znacznie rzadziej aktualizowane, niż dzieje się to w przypadku rozwiązań IT.
- INFRASTRUKTURA KRYTYCZNA
Infrastruktura krytyczna to najwrażliwszy punkt egzystencji firm i gospodarstw domowych. Pomimo, że ma ona znacznie wyższy poziom zabezpieczeń, oparty o bardzo zaostrzone przepisy, to w ostatnim okresie widoczne jest nasilenie tego rodzaju ataków. W części mają one podłoże polityczno-militarne.
- CZŁOWIEK – NAJSŁABSZE OGNIWO SYSTEMU CYBERZABEZPIECZEŃ
W przeprowadzonych wywiadach z ekspertami wielokrotnie padało stwierdzenie, że człowiek to najsłabsze ogniwo w systemach zabezpieczeń przed cyberatakami. Najbardziej zaawansowane technologie często są pokonywane na skutek ludzkiej niefrasobliwości. Organizacje o wysokich standardach bezpieczeństwa, poza zapewnieniem odpowiednich zabezpieczeń infrastruktury i sieci inwestują również w edukację pracowników. Nieaktualizowanie oprogramowania, a także inteligentnych urządzeń (IoT), czy zaniedbania w obszarze haseł to kolejne często popełniane błędy.
Jeden z ekspertów zwrócił uwagę na jeszcze dwa istotne problemy: Shadow IT oraz brak blisko 2 mlilionów doświadczonych specjalistów z tego zakresu na świecie, których zadaniem byłoby wdrażanie odpowiedniego zabezpieczenia w firmach.
Mamy również problem dotyczący pracowników, którzy chcąc sobie ułatwić pracę, często korzystają z aplikacji czy usług z chmury, które nie są rekomendowane pracownikom przez dział IT danej firmy. Przykładem jest zainstalowanie Dropbox, by móc wspólnie wymieniać się większymi plikami. Odbywa się to poza kontrolą firmy i działu IT. Ów problem można nazwać Shadow IT.
Łukasz Bromirski, Dyrektor ds. Technologii, Cisco Poland
Trzeba edukować ludzi, aby byli świadomi niebezpieczeństw w internecie. Ważne są podstawowe kwestie, takie jak polityka haseł, aktualizacja oprogramowania, aspekty związane z prywatnością, również to, czego nie udostępniać w mediach społecznościowych.
Przemysław Frasunek, specjalista z zakresu bezpieczeństwa systemów i kryminalistyki cyfrowej, architekt rozwiązania redGuardian, ekspert ds. cyberbezpieczeństwa Business Centre Club, Dyrektor Działu Rozwiązań Multimedialnych i Działu Systemów Bezpieczeństwa w Atende Software, Grupa Atende
- OSOBOWOŚĆ CYFROWA I PRYWATNOŚĆ
W ostatnim czasie prywatność i anonimowość stały się wartością deficytową. Zarówno sfera administracji państwowej, jak i biznesu chciałaby jak najwięcej o każdym wiedzieć. Uczestnicząc w świecie cyfrowym często nawet nieświadomie ludzie udostępniają to, co powinno pozostać wyłącznie w sferze prywatnej. Publikując niezliczone zdjęcia, komentarze, informacje o życiu na własne życzenie przekraczają próg prywatności, częstokroć posuwając się dalej niż w świecie rzeczywistym.
- MEDYCYNA I CYBORGIZACJA CIAŁA
Branżę medyczną postrzega się jako obiekt wzmożonych ataków cyberprzestępców w najbliższej przyszłości. Według ekspertów jest ona mniej zaawansowana w obszarze cyberzabezpieczeń, a jednocześnie ma za zadanie chronić ludzkie życie. Dane medyczne pozwalają na profilowanie usług i ofert. Mogą się stać stosunkowo łatwym łupem dla cyberprzestępców, gdyż (także według ekspertów) w wielu polskich placówkach zbyt mały nacisk kładzie się na bezpieczeństwo danych. Lista cyberzagrożeń w obszarze medycyny jest długa. Eksperci wskazywali m.in. na zmianę parametrów leczenia i na ich podstawie zmianę dawkowania leków, poszukiwanie dawców organów, a także – w dalszej przyszłości – sterowanie genotypem.
- AUTONOMICZNE AUTA
Choć autonomiczne auta do niedawna wydawały się dość nierealną wizją transportu, to regularne testy oraz informacje o tym, że praktycznie wszyscy liczący się na rynku motoryzacyjnym gracze chcą je wdrożyć w ciągu najbliższych 5 lat, stawiają społeczeństwo przed zupełnie nowymi wyzwaniami. W badaniu jakościowym zwrócono uwagę na to, iż szczególnie trudnym momentem będzie koegzystencja tych pojazdów ze zwykłymi samochodami.
Jeśli będą samochody autonomiczne i ktoś włamie się do systemu, to 11 września będzie dziecinną igraszką w stosunku do tego, co by się mogło wydarzyć.
Paweł Pisarczyk, prezes spółek Atende Software i Phoenix Systems z Grupy Atende
To tylko wycinek raportu
Future of Crime
W PEŁNEJ WERSJI RAPORTU
(ponad 100 str.):
- Pełne opisy wszystkich zagrożeń DZIŚ, JUTRO i POJUTRZE
- Szczegółowe wnioski z badania jakościowego,
- Wywiady i komentarze ekspertów,
- Więcej inspirujących przykładów dotychczasowych ataków
by MajkelG — Posted on 6 kwietnia 2018 in, Future of Crime