Czy atak hakerski może zniszczyć firmę. Jak się bronić?

Żyjemy w czasach, gdzie już prawie nikt nie okrada banków z pistoletem w ręku. To czasy, gdzie informacja jest cenniejsza niż pieniądz. Podobnie jak w ubiegłym wieku era przemysłowa wpływała na mentalność ludzi, dziś w erze informacji wpływa również, choć nieco inaczej. W czym problem? Poniższa historia jest tylko przykładem, a wszelkie zbieżności są przypadkowe. A te będą na pewno, gdyż problem może dotknąć każdego z nas.

Mirosław był jednym z tych biznesmenów, który dorobił się w czasach transformacji. Zaczynał jako sprzedawca zabawek na bazarze, by ostatecznie zostać przedsiębiorcą posiadającym zarówno przyzwoity kapitał, jak i dobrze prosperującą niewielką fabrykę zabawek. Jako doświadczony biznesmen przygotowywał do przejęcia biznesu swoje dzieci wchodzące już w wiek dojrzały. Jako człowiek „starej daty”, nie bardzo interesował się nigdy kwestią komputerów, od tego miał przecież informatyka. Zwykle wszystko działało, więc wzywany był tylko od potrzeby. Syn miał smykałkę do innowacji i wdrożył z niemiecką firmą automatyzację linii produkcyjnej, dzięki czemu koszty zatrudnienia personelu na produkcji spadły o połowę. 

Pewnego dnia otrzymał rano telefon od syna, że musi pilnie przyjechać do firmy, stało się coś poważnego. Produkcja stanęła, a realizowali właśnie duże zamówienie przed świetami dla zagranicznego odbiorcy. Nie mogli pozwolić sobie na przestój, gdyż kary umowne były bardzo dotkliwe. Nikt nie może sobie pozwolić przed świętami na braki w asortymencie. Po przyjechaniu do firmy dowiedział się, że syn skontaktował się już z firma z Niemiec, ale nie mogą zestawić zdalnego połączenia z maszynami produkcyjnymi i konieczna będzie wizyta lokalna, która w trybie pilnym generuje znaczące koszty. Nie było jednak innego wyjścia. Umówili się na serwis w najbliższy poniedziałek.

Mirosław z synem poszli do swojego biura, by spojrzeć w system ERP odpowiedzialny m.in. za obliczenia powiązane z produkcją. Fabryka pracowała pełną parą również w weekendy i dopięcie zamówienia wisiało na włosku. Ku ich zdziwieniu system nie chciał się włączyć, dlatego skontaktowali się z informatykiem, by ten przybył możliwie jak najszybciej w celu sprawdzenia co się stało. Zapowiadał się długi piątek.

Po godzinie informatyk był już na miejscu i wziął się od razu do pracy. Zalogował się na lokalny serwer i ku jego zdziwieniu, okazało się, ze baza danych obsługująca system ERP została zaszyfrowana. Podobnie stało się z bazą danych sklepu internetowego. Firma działała również na rynku klienta detalicznego. Kolejnym odkryciem okazała się sama strona internetowa, na której widniał teraz wyłącznie napis „HACKED”.

W tym momencie Mirosław otrzymał wiadomość e-mail na swoją skrzynkę zatytułowaną „Żądanie okupu”.

Treść wiadomości:

Szanowni Państwo,

Jesteśmy specjalistami w swoim fachu. Infiltrujemy Was i Waszą firmę od kilku miesięcy. W tym czasie przejęliśmy kontrolę nad wszystkimi kluczowymi zasobami Waszej firmy. Zapewne zauważyliście już, że maszyny produkcyjne przestały działać, Wasza strona internetowa przestała działać, Wasze oprogramowanie przestało działać, Wasze bazy danych zostały zaszyfrowane.

Odłączenie od internetu w tej chwili już Wam nie pomoże, gdyż w ciągu tych kilku miesięcy skopiowaliśmy wszystkie Wasze dane z dysków twardych, również te znajdujące się na Pana smartfonie, Panie Mirosławie. Tak, wiemy więcej o Panu niż Pana żona.

Co się teraz wydarzy? Zapłaci nam Pan milion złotych okupu za przywrócenie Pana firmy do stanu poprzedniego. Wskażemy też gdzie Pan i Pana informatyk popełniliście błędy. Okup prześle Pan na wskazany przez nas portfel w Kryptowalucie Monero. Powiemy dokładnie jak należy wykonać tę operację.

Co się stanie, jeśli nie wpłaci Pan okupu?

To będzie oznaczało koniec Pana firmy i prawdopodobnie koniec Pana małżeństwa.

Nie wykona Pan zamówienia i zapłaci Pan kary umowne – tak, wiemy jak to jest kosztowne.

Poufne dane Pana kontrahentów, dane o zamówieniach oraz patenty trafią w ręce konkurencji.

Dane osobowe Pana Klientów zostaną ujawnione w sieci DarkNet, co z pewnością wywoła skandal i odbije się wysoką karą w Urzędzie Ochrony Danych Osobowych – grozi za to do 20mln euro.

Paraliż firmy i ujawnienie tego wycieku spowodują też znaczące straty wizerunkowe.

Panie Mirosławie, na Pana miejscu zgodzilibyśmy się na proponowane przez nas warunki.

Jesteśmy honorowi i dotrzymujemy słowa.

Z poważaniem

Anonimowi

Jak skończyła się ta historia?

Możliwe są dwa scenariusze – albo Pan Mirosław zgodził się zapłacić okup, albo nie zgodził się na współpracę. Jedno jest pewne – niemal niemożliwe jest w tym przypadku namierzenie hakerów, gdyż Ci używają skutecznych technik maskujących ich, dobrze ukrywają swoje faktyczne położenie. Bardzo rzadko takie sytuacje kończą się sukcesem organów ścigania.

Jak ochronić siebie (i swoją firmę) przed atakiem hakera?

Należy pamiętać, że posiadanie oprogramowania antywirusowego nie chroni przez wieloma rodzajami ataków, podobnie jak korzystanie z firewall’a. Dobrą praktyką jest wykonywanie cyklicznych audytów bezpieczeństwa oraz testów penetracyjnych systemów informatycznych i aplikacji. Jeżeli stale pracujemy nad poprawianiem efektywności swojego Systemu Zarządzania Bezpieczeństwem Informacji (tzw. SZBI wg rodziny norm ISO/IEC 27000), prawdopodobieństwo wystąpienia incydentu będzie znacząco niższe, a nawet jeśli takowy wystąpi, będziemy dokładnie wiedzieli jak z nim postępować oraz jak się bronić.

(Artykuł Partnerski DDB)