Źródło artykułu - Rzeczpospolita 20.12.2017
DANE | Złośliwe oprogramowanie może zniknąć i zatrzeć ślady swojej aktywności. Jak księgowy udowodni, że w ogóle doszło do ataku i nie popełnił błędu, wpisując inny numer konta, albo nie podmienił go celowo, współdziałając z przestępcami?
Cyberzagrożenia to modny temat. Coraz bardziej nasila się przekonanie, że nikt nie jest bezpieczny, nawet największe i najbardziej znane światowe firmy technologiczne, a co dopiero mali czy średni polscy przedsiębiorcy. Bezpieczeństwo informatyczne znalazło się w obszarze zainteresowania nie tylko informatyków, ale także członków zarządów i rad nadzorczych. Czy ma ono znaczenie także dla pracy i bezpieczeństwa księgowych?
Skala problemu
Cyberprzestrzeń stała się naszym naturalnym środowiskiem i siłą rzeczy zagrożenia z „prawdziwego” świata przeniosły się również do internetu. (...) Wykrywanie incydentów i usuwanie ich skutków to jedno, ale wyedukowany użytkownik równie skutecznie sam może zapobiegać zagrożeniom. Czasy, gdy to nam instalowano wirusa minęły, teraz robimy to nieświadomie sami. Dziś cyberprzestępca nie musi się znać na złośliwym oprogramowaniu – zwyczajnie może je kupić.
Przytoczone cytaty pochodzą z raportu "Raport CERT Orange Polska za rok 2016", z którego wynika jednoznacznie, że skala zagrożeń w cyberprzestrzeni jest już znacząca i nadal będzie rosła. Obecnie odnotowuje się ponad 17 tys. incydentów bezpieczeństwa w ciągu roku. Co piąty z nich to próba włamania, co piętnasty – przypadek złośliwego oprogramowania. A to tylko częściowy obraz zagrożeń w polskim internecie.
Inny raport, „Badanie rynku cyberbezpieczeństwa w Polsce 2017”, przeprowadzony na zlecenie T‑Mobile w niemal 700 dużych i średnich firmach, mówi o tym, że 51 proc. średnich przedsiębiorstw i 45 proc. dużych spółek zadeklarowało, że nie padło do tej pory ofiarą cyberataku. Czy to świadczy o naszym bezpieczeństwie? Niestety nie, raczej o niskiej świadomości zagrożeń. Jak wskazują autorzy raportu, brakuje w polskich firmach monitoringu i rejestracji tego typu zdarzeń.
Dowodzi tego również piąta edycja raportu „Zarządzanie ryzykiem i ubezpieczeniami w firmach w Polsce 2017/2018” Aon Polska, podmiotu zajmującego się zarządzaniem ryzykiem, pośrednictwem ubezpieczeniowym i reasekuracyjnym. Raport pokazuje bowiem, że wbrew ogólnoświatowej tendencji przestępczość komputerowa nie jest uważana przez polskich przedsiębiorców za ryzyko kluczowe (na liście najważniejszych ryzyk zajmuje dopiero 19 miejsce, podczas gdy w ogólnoświatowych wynikach zajmuje piątą pozycję, a w Ameryce Północnej – stanowi obecnie największe zagrożenie).
Jakie czynniki sprawiają, że skala zagrożeń cybernetycznych cały czas rośnie? Autorzy raportu „MMC Cyber Risk Handbook 2018” – specjaliści z firmy Marsh & McLennan Companies, zajmującej się ubezpieczeniami i zarządzaniem ryzykiem – wskazują na dwie główne tendencje:
- z jednej strony, branża cyberprzestępczości jest już dojrzała i działa na wielką skalę (Europol szacuje, że już w tej chwili globalne straty wynikające z działalności cyberprzestępców wynoszą rocznie ponad 290 mld euro, czyli więcej niż zyski karteli narkotykowych),
- z drugiej strony, coraz bardziej otaczająca nas technologia zaciera granice pomiędzy światem cyfrowym i fizycznym (od smartfonów poczynając, poprzez autonomiczne auta, na inteligentnych termostatach czy żarówkach kończąc).
Niebezpieczeństwo dla firm…
„Wiele wskazuje na to, że rok 2017 okaże się rokiem phishingu, przygotowywanego pod konkretne grupy zawodowe, co może znacznie wpłynąć na jego skuteczność. Księgowy z większym prawdopodobieństwem otworzy odpowiednio nazwany plik excela, a jeśli przestępca, usiłujący zaatakować naszą firmę znajdzie wcześniej na Facebooku czy Linkedin odpowiednich kandydatów, szanse jego powodzenia wyraźnie wzrosną.”
To kolejny cytat ze wspomnianego raportu CERT Orange Polska. Jego autorzy diagnozują, że grupą zawodową, znajdującą się w obszarze szczególnego zainteresowania cyberprzestępców, mogą być księgowi – strażnicy firmowych pieniędzy.
Dlaczego tak się dzieje?Działa tu zimna kalkulacja, oparta na przewidywanej większej efektywności działania, wywołanej przez iloczyn dwóch czynników: prawdopodobieństwa i skutku. Przeciętny Nowak wykonuje w ciągu miesiąca raczej ograniczoną liczbę przelewów, wobec nielicznej grupy stałych kontrahentów, zazwyczaj w powtarzalnych terminach. Z kolei przeciętna księgowa realizuje w ciągu miesiąca kilkadziesiąt, kilkaset czy w przypadku dużych organizacji kilka czy kilkanaście tysięcy przelewów, zazwyczaj nie analizując i nie akceptując ich w momencie autoryzacji sztuka po sztuce.
Skutek w tym przypadku oznacza z kolei potencjalną wielkość straty (dla przedsiębiorcy) i zysku (dla przestępcy). Kowalski, nawet jeśli zainstaluje złośliwe oprogramowanie, to będzie miał na rachunku dostępną do przelewu dla przestępców kwotę sięgającą prawdopodobnie najwyżej kilkunastu tysięcy złotych. Z kolei rachunek bankowy firmy będzie zwykle gromadził wielokrotność tej kwoty.
Jeśli zatem skalkulujemy potencjalną korzyść zautomatyzowanego w dużym stopniu ataku nawet na większą liczbę przypadkowych Kowalskich i dedykowanego ataku na wybranego księgowego z dużej organizacji, to okaże się, że bardziej opłaca się poświęcić więcej czasu na przygotowanie i przeprowadzenie ataku skierowanego na służby księgowe.
Sceptyk powie, że to wcale nie takie łatwe, bo przeciętny Kowalski jest z kolei łatwiejszym „łupem”, gdyż zapewne nie posiada tak dobrych zabezpieczeń, jak firmowa sieć dużej firmy. Pod względem narzędzi bezpieczeństwa IT zapewne tak jest. Jednak złośliwe oprogramowanie phishingowe (wyłudzające informacje np. o kodach dostępu do bankowości elektronicznej) może być „zaszyte” w dokumentach docierających do księgowych masowo drogą elektroniczną (np. podrobiona faktura elektroniczna czy fałszywe wezwanie do zapłaty), ale też omijać skutecznie oprogramowanie np. antywirusowe, poprzez zaciemnianie złośliwego kodu.
Nieprzypadkowo ogromne zagrożenie stanowią obecnie także ataki socjotechniczne (ang. „business email compromise”), „uszyte” pod konkretnego księgowego. Zazwyczaj polegają one na poleceniu dokonania przelewu (na dużą kwotę, ale poufnego z uwagi na przedmiot transakcji). Wysyła się je z podrobionego lub przejętego adresu mailowego, albo smsem z numeru telefonu kluczowego członka kierownictwa danej firmy (zastrzegając przezornie brak dostępności z uwagi na „trwające ważne spotkanie”). Innym sposobem ataku jest przesłanie informacji o zmianie rachunku bankowego, otrzymanej z podrobionego lub przejętego maila stałego kontrahenta. Wspomniany wcześniej raport „MMC Cyber Risk Handbook 2018” podaje przykłady skutecznego użycia tego typu schematu w 2016 roku, gdy przestępcy ukradli ponad 75 milionów dolarów z belgijskiego banku czy prawie 50 milionów dolarów od austriackiego producenta części dla przemysłu lotniczego.
…i osobistego bezpieczeństwa księgowych
Podobnie jak złośliwe oprogramowanie potrafi się niezauważenie dostać i ukryć w systemie, po zrealizowanym ataku (np. dokonanym przelewie na podstawiony przez przestępców numer rachunku bankowego) może równie niepostrzeżenie zniknąć i dodatkowo zatrzeć ślady swojej wcześniejszej aktywności.
Taki finał nie stawia księgowego odpowiedzialnego za płatności w zbyt dobrym świetle. Jak udowodni swoim przełożonym, a w skrajnym przypadku także policji czy prokuratorowi, że w ogóle doszło do ataku i nie popełnił błędu np. wpisując przez pomyłkę inny numer rachunku bankowego, albo co gorsze, nie podmienił go celowo, współdziałając z przestępcami? Odrębną sprawą jest to, jak wytłumaczy się księgowy, który zrobi przelew po mailu od prezesa.
Niezależnie od rozpatrywanego wariantu, zaistnienie takiej sytuacji może co najmniej zburzyć zaufanie, którym księgowy był obdarzony w firmie, będącej celem ataku, a także podważyć jego reputację w oczach współpracowników i przełożonych. Dodatkowo, szczególnie, gdy w grę wchodzą znaczące kwoty, księgowy może być pociągnięty do odpowiedzialności nie tylko dyscyplinarnej, ale również finansowej. Dlatego wiedza na temat cyberzagrożeń oraz znajomość najważniejszych technik obrony przed nimi jest niezbędna w pracy współczesnego księgowego.
Oczywista oczywistość? Tylko pozornie
Oprócz najważniejszych zasad, które dotyczą wszystkich użytkowników internetu, niezależnie od tego czy firmowych, czy prywatnych, takich jak:
- budowanie świadomości cyberzagrożeń wśród pozostałych pracowników zatrudnionych w organizacji,
- instalowanie oprogramowania oraz pobieranie treści pochodzących wyłącznie z legalnych źródeł,
- zachowanie szczególnej ostrożności w przypadku nietypowej korespondencji mailowej,
- korzystanie z dodatkowych usług podnoszących bezpieczeństwo informatyczne oferowanych przez dostawców usług teleinformatycznych,
- aktualizowanie systemów operacyjnych, przeglądarek internetowych, ale też wszystkich narzędzi służących poprawie bezpieczeństwa (np. programów antywirusowych, antymalware, antyspyware, firewall),
- nieinstalowanie na telefonie aplikacji z linków otrzymanych smsem czy mailem,
- informowanie banku o nietypowym wyglądzie, zachowaniu stron bankowości elektronicznej,
- zmienianie okresowo haseł dostępu do kluczowych systemów; powinny być unikatowe, a nie „1234” czy „alamakota”; należy jednak zachować umiar co do wymagań w tym zakresie, aby nie skończyło się na zapisywaniu haseł na karteczce przyklejonej do monitora czy – co gorsze – w pliku tekstowym w systemie,
— księgowi dodatkowo powinni:
- budować świadomości cyberzagrożeń wśród pozostałych pracowników działów finansowo-księgowych, najlepiej poprzez zaaranżowanie pozorowanego ataku z użyciem socjotechnik,
- zachować szczególną ostrożność w przypadku maili od przedstawicieli kluczowego kierownictwa, zlecających wysokie przelewy owiane tajemnicą i/lub presją szybkiego działania lub maile dotyczące zmiany sposobu płatności na rzecz kontrahentów (np. zmiana rachunku bankowego),
- sprawdzać podejrzane maile czy linki za pomocą dostępnych skanerów on-line (np. www.virustotal.com),
- wejść w bezpośredni kontakt telefoniczny z kontrahentami, czy przedstawicielami kluczowego kierownictwa, ale także służbami informatycznymi w przypadku otrzymania podejrzanej korespondencji,
- rozmawiać otwarcie z przedstawicielami kluczowego kierownictwa na temat zagrożeń płynących z cyberryzyka dla organizacji, jak i samych księgowych,
- korzystać z dodatkowych usług podnoszących bezpieczeństwo informatyczne, oferowanych przez banki (np. można określić parametry sieci czy ramy czasowe wymagane dla logowania się do bankowości elektronicznej),
- dostosować parametry usług bankowych do faktycznych potrzeb danej organizacji (np. limit dotyczący maksymalnych kwot przelewów),
- wspierać przedstawicieli IT w działaniach na rzecz poprawy bezpieczeństwa informatycznego w organizacji (zarówno od strony narzędziowej, jak i budowania świadomości pracowników),
- czytać komunikaty bezpieczeństwa publikowane przez banki, ale też ogólnodostępne strony zajmujące się cyberbezpieczeństwem (np. www.niebezpiecznik.pl),
- podzielić uprawnienia oraz hasła dostępu w zakresie przygotowania i autoryzowania przelewów, a także zmiany danych kontrahentów i edycji przygotowanych już przelewów (szczególnie w przypadku znaczących kwot),
- korzystać z dwuetapowej weryfikacji podczas logowania (tzn. nie tylko z hasła, ale również jednorazowego kodu otrzymanego w smsie, mailu lub z dodatkowym wykorzystaniem tokena),
- zwracać uwagę na przypadki omijania ustalonych procedur dotyczących płatności, szczególnie podczas okresów urlopowych czy „szczytu sezonu”, kiedy brak czasu i/lub rąk do pracy może powodować niebezpieczne odstępstwa od przyjętych reguł.
Gwarancji nie ma
Przedstawione w ramce działania nigdy nie zapewnią 100-proc. gwarancji skuteczności. Mogą jednak przyczynić się do poprawy bezpieczeństwa i zmniejszenia prawdopodobieństwa wystąpienia skutecznego ataku.
Przykład
Nawet jeśli zainfekowany zostanie komputer jednego pracownika księgowości, odpowiedzialnego za przygotowanie przelewów, próba nieautoryzowanej płatności może zostać wykryta przez osobę uprawnioną do ich autoryzacji. Nawet jeśli uda się zrealizować nieautoryzowany przelew na podstawie uprawnień jednej osoby, to jego kwota będzie ograniczona do określonego poziomu itd.
Koniec przykładu
Należy jednak pamiętać, że niezależnie od liczby i jakości stosowanych narzędzi ,podnoszących bezpieczeństwo, które w każdym przypadku powinny być dostosowane do potrzeb i skali ryzyka w danej organizacji, na samym końcu zostaje użytkownik-pracownik i to przede wszystkim od jego świadomości zależy, czy cyberzagrożenie zadziała, czy powstaną straty w majątku przedsiębiorstwa, ale też zagrożenie dla jego osobistego bezpieczeństwa.
Edukacja i jeszcze raz zdrowy rozsądek
Warto zatem korzystać z różnych źródeł wiedzy na temat cyberzagrożeń (raportów, dobrych praktyk – dostępnych w internecie, a także doniesień medialnych), dzielić się nią ze współpracownikami, analizować przykłady zagrożeń pod kątem możliwości ataku w danej organizacji. Przede wszystkim jednak należy zachować zdrowy rozsądek i ostrożność, akceptując równocześnie fakt, że obecnie cyberbezpieczeństwo dotyczy nie tylko służb informatycznych, ale w zasadzie wszystkich pracowników organizacji.
Piotr Hans, biegły rewident, biegły ds. przestępstw i nadużyć gospodarczych (CFE), certyfikowany audytor wewnętrzny (CIA), certyfikowany menedżer ryzyka, członek Zarządu Głównego i Zarządu Oddziału Wielkopolskiego w Poznaniu SKwP