O tym, czym jest WannaCry i jak doszło do największego cyberataku w ostatnim czasie oraz o zmianach w prawie, które mogą w przyszłości pomóc w zapobieganiu tego rodzaju incydentom rozmawiam z Michałem Ceklarzem, ekspertem ds. bezpieczeństwa w firmie CISCO
W miniony weekend cyberprzestępcy zaatakowali komputery na całym świece. W chwili, gdy przeprowadzam ten wywiad, ciągle pojawiają się nowe informacje o kolejnych poszkodowanych firmach. Co się właściwie wydarzyło i dlaczego hakerom tak łatwo udało się przeprowadzić ten atak?
Mieliśmy do czynienia z ogólnoświatową kampanią ramsonware WannaCry, czyli rozpowszechnienia oprogramowania, które ma celu wymuszenie okupu. Proceder jest znany od lat, ale tym razem przestępcy działali w nieco inny sposób. Zazwyczaj jest bowiem tak, że aby zarazić komputer użytkownik musiał wykazać jakąś aktywność, czyli na przykład otworzyć plik załączony do e-maila, wejść na jakąś stronę internetową etc. Wówczas uruchamiał się program, który szyfrował dane zapisane na dysku i wyświetlał informację, że można je odzyskać po zapłaceniu jakiejś kwoty.
Przeczytajcie także: Wkrótce większość polis będziecie kupować przez internet
W przypadku WannaCry działanie użytkownika nie było w ogóle potrzebne. Zastosowano bowiem technikę robaka internetowego, który rozprzestrzenia się w sieci samoistnie wykorzystując podatność systemu operacyjnego bądź aplikacji. Tym razem przestępcy użyli luki w systemie Windows.
Zagrożone są wszystkie komputery z Windowsem?
Nie. Tylko te, na których nie dokonywano aktualizacji systemu, a konkretnie nie zrobiono tego od 14 marca tego roku. Trzeba jednak zaznaczyć, że często wprowadzenie aktualizacji ogranicza funkcjonalność innych aplikacji. Dlatego proces testowania nowej, załatanej wersji systemu może trwać od kilku tygodni do nawet kilku miesięcy.
Czyli wystarczy uruchomić komputer aby stać się ofiarą ataku?
Tak. Wystarczy włączony komputer podłączony do sieci z otwartymi portami TCP 135 i 445. Zresztą przypadki zainfekowanych urządzeń to potwierdzają, bo zaatakowano system sterowania ruchem kolei niemieckich DB, sieć bankomatów Chinach, a nawet systemy wyświetlania reklam w dużych sklepach, gdzie zamiast sukienek czy garniturów ekran pokazywał żądanie okupu wysłane przez hakerów.
Jaki jest zasięg tego ataku?
Najnowsze doniesienia wskazują, że zarażonych zostało 200 tys. komputerów. Jednak robak może się przenosić na kolejne jednostki, bo około 1,5 mln maszyn ma otwarte te same porty TCP. To nie znaczy, że wszystkie są podatne na to szkodliwe oprogramowanie, ale pokazuję skalę problemu. Jak już powiedziałem, w tym przypadku wykorzystano znaną lukę i technikę działania. Microsoft przygotował w marcu łatę na Windowsa, która zapobiega atakowi.
Kto ucierpiał w Polsce?
Są mapy zasięgu, które pokazują, że także w naszym kraju znajdują się zaatakowane komputery. To nie ulega wątpliwości. Nie chcę spekulować. Fakty są takie, że na przykład większość bankomatów zaopatrzono w system Windows XP. Siłą rzeczy są więc narażone, jeśli nie wgrano na nich aktualizacji systemu. Co ciekawe, Microsoft nie obsługuje już wersji Windowsa XP, ale w tym konkretnym przypadku udostępnił aktualizację.
Czy gdyby się okazało, że zarażone zostały także komputery w instytucjach finansowych, ich klienci powinni się czegoś obawiać?
Trudno odpowiedzieć na to pytanie, ponieważ nie wiadomo, co się dzieje na takim zainfekowanym komputerze. Widzimy tylko na ekranie żądanie okupu. W tle mogą być przesyłane zaszyfrowane dane znajdujące się na dysku. A nie można takiej maszyny od sieci odłączyć, bo wtedy danych już nigdy nie odzyskamy nawet po zapłaceniu okupu, o czym zresztą informują w komunikacie cyberprzestępcy.
Przeczytajcie także: FDP chce zainstalować 5 tys. terminali w urzędach
A zatem ransomware może być tylko przykrywką innej operacji, znacznie bardziej szkodliwej, bo niosącej poważniejsze konsekwencje np. dla banku. To jest trochę tak jak w amerykańskich filmach – jeśli chcesz kogoś zabić, to najlepiej w obecności prezydenta USA. Wszyscy pomyślą, że był to nieudany zamach, a nikt nie wpadnie na pomysł, że to była mistyfikacja.
W przypadku większości instytucji, a finansowych zwłaszcza, przyznanie się do bycia ofiarą cyberataku to duży problem wizerunkowy. To się przekłada między innymi na zaufanie klientów. Z drugiej strony ukrywanie wpadek często uniemożliwia analizę sytuacji i zapobieganie im w przyszłości. Potrzebny jest jakiś złoty środek. Czy są nim przepisy rozporządzenia RODO, które zaczną obowiązywać w przyszłym roku? Czy one są tylko prokonsumenckie, czy też dbają o interesy firm?
Unijne rozporządzenie o ochronie danych osobowych jest rozwiązaniem bardzo korzystnym z punktu widzenia przeciętnego zjadacza chleba. Natomiast osobiście zawsze obawiam się przepisów, które wymuszają pewne działania. Bo wtedy przedsiębiorcy mogą odczuwać pokusę, by wprowadzić te zmiany tylko formalnie.
Tak było z Payment Card Industry Data Security Standard(PCI DSS), normą bezpieczeństwa ustanowioną, aby zapewnić wysoki i spójny poziom bezpieczeństwa we wszystkich systemach, w których przetwarzane są dane posiadaczy kart płatniczych. W niej bardzo szczegółowo rozpisano, co należy zrobić. I oczywiście wszyscy to zrobili, na zasadzie odfajkowania kolejnych punktów. Natomiast zamierzonego efektu nie osiągnięto.
Z RODO będzie podobnie?
Nie, w przypadku tego rozporządzenia jest zupełnie inne podejście. Wszyscy, którzy przechowują dane osobowe, podlegają pod te przepisy. Za ich nieprzestrzeganie grożą kary finansowe sięgające nawet 20 mln euro, bądź 4 proc. rocznego obrotu osiągniętego na świecie. Jeśli zatem jakaś międzynarodowa firma pod względem bezpieczeństwa danych zostanie skompromitowana w Polsce, to może zapłacić bardzo wysoką karę. Co więcej fakt wycieku danych i ukarania będzie upubliczniony. W Europie to nie jest obecnie standard. U nas odbywa się zamiatanie pod dywan.
Przeczytajcie także: Policja ostrzega przed nową plagą oszustw
Przy okazji rozwiązano problem przenoszenia danych. Teraz gdybym na przykład chciał odebrać ze szpitala "x" moją dokumentację medyczną, by leczyć się w szpitalu "y", czeka mnie gehenna. Prawdopodobnie szpital mi wszystkich dokumentów nie wyda, a pozostałe będą po części analogowe a po części cyfrowe. Po 25 maja 2018 r. szpital będzie musiał to udostępnić w ogólnie akceptowalnym formacie umożliwiającym importowanie tych danych w systemie innej placówki. To samo dotyczy telekomów, banków etc. Jeśli ktoś będzie chciał zachować swoją historię rachunku i przekazać to nowemu usługodawcy, RODO mu to umożliwia.
Możemy zatem liczyć na ucywilizowanie rynku jeśli idzie o ochronę danych osobowych?
Tak, te przepisy są dla niego bardzo korzystne, szczególnie w takich krajach jak Polska. Pewnie Pan słyszał o tym, że Gemius świadczący usługi z zakresu Big Data dla jednego z banków poprzez ciasteczka uzyskiwał dane klientów z saldami rachunków włącznie. Po wejściu w życie przepisów RODO Gemius musiałby poinformować, że uzyskał takie dane, a bank musiałby powiadomić wszystkich klientów, czyli o sprawie dowiedzielibyśmy się od niego, a nie od kogoś, kto prowadzi stronę internetową dotyczącą naruszeń bezpieczeństwa.
Ryzyko związane z zaniedbaniami w tym zakresie będzie więc bardzo duże. W związku z tym należy się spodziewać dużych inwestycji w systemy bezpieczeństwa. Znając polskie realia, firmy zaczną to robić "za pięć dwunasta" czyli na początku 2018 r.
Dziękuję za rozmowę