Autor: Marek Pielach

Dziennikarz Obserwatora Finansowego, specjalizuje się w makroekonomii i finansach publicznych

Krytyczne luki kosztują miliony

W 28 krajach UE łącznie 30 proc. internautów doświadczyło wyłudzania danych (phishingu) – wynika z raportu OECD. Firmy narażone są na ataki malware i nawet posiadacze kryptowalut nie mogą spać spokojnie.

„Wraz z transformacją cyfrową coraz więcej produktów zawiera kod i może się ze sobą łączyć. Każdy produkt zawierający kod zawiera również luki w zabezpieczeniach. Według szacunków na każde 2 tys. wierszy kodu występuje od 20 do 100 błędów. Można to sprowadzić do jednej usterki na 2 tys. wierszy, jeśli przestrzegane są wytyczne dotyczące bezpieczeństwa w fazie projektowania. Aby spojrzeć z perspektywy, przeciętna aplikacja na iPhone’a ma około 50 tys. linii kodu. Tymczasem Android ma około 12 mln. linii, a Windows 10 ponad 50 mln.” – czytamy w raporcie OECD „Digital Economy Outlook 2020”.

„Jednak nie wszystkie luki są krytyczne. Według automatycznej analizy 1,4 mln. aplikacji, 85 proc. zawiera przynajmniej jedną lukę, ale jest ona krytyczna tylko w 13 proc. przypadków. Podobnie, nie wszystkie luki można łatwo wykorzystać. W przypadku niektórych wymagana jest fizyczna obecność i interakcja międzyludzka, podczas gdy inne mogą być wykorzystywane zdalnie. Każde oprogramowanie ma nieodkryte lub utajnione luki w zabezpieczeniach” – czytamy dalej.

Te luki w oprogramowaniu przydają się cyberprzestępcom wykorzystującym metodę phishingu. To oszustwo, którego istotą jest podszycie się pod osoby lub zaufane instytucje aby wyłudzić wrażliwe dane (loginy do bakowości elektronicznej albo sieci firmowej, numery kart płatniczych itd.). Pharming z kolei polega na modyfikacji zawartości adresu www w celu przekierowania na fałszywą stronę. Cel jest taki sam – przejęcie wrażliwych danych.

Technologie i pandemia zwiększają skalę oszustw w sieci

Odsetek internautów, którzy doświadczyli phishingu i pharmingu różni się znacząco w poszczególnych europejskich krajach. Biorąc pod uwagę sam phishing, pierwszą trójkę stanowią Norwegia (prawie 60 proc. internautów doświadczyło phishingu), Szwajcaria (47 proc.) oraz Dania (46,5 proc.). Na przeciwnym biegunie leżą kraje nie tak zinformatyzowane i nie tak zamożne – W Polsce 7,4 proc. internautów doświadczyło phishingu, na Łotwie 6,8 proc., a na Litwie tylko 4,1 proc.

Przywołane tu przez OECD dane z Eurostatu dotyczą 2019 roku. Jest niemal pewne, że 2020 rok te odsetki internautów stykających się z próbą oszustwa tylko zwiększy. To przecież rok, w którym i praca i zakupy przeniosły się do sieci na bezprecedensową skalę. Siłą rzeczy do sieci przenieśli się też przestępcy.

W marcu 2020 roku kampania phishingowa we Włoszech dotknęła ponad 10 proc. organizacji w kraju dzięki umiejętnemu użyciu słowa COVID-19. Inni cyberprzestępcy stworzyli interaktywny pulpit udający ten Uniwersytetu Johnsa Hopkinsa, na którym śledziliśmy rozprzestrzenianie się koronawirusa.

Nieco bardziej skomplikowane są ataki na firmy, ale i tu, korzystając z ludzkich słabości przestępcy mogą osiągnąć wiele. W raporcie OECD przytacza się przykłady dwóch ataków typu malware (to różnego rodzaju szkodliwe programy, które usiłują zainfekować pojedynczy komputer, a potem firmową sieć) o niebanalnych nazwach: WannaCry i NotPetya. Złośliwy program szyfrował pliki w firmowych sieciach i żądał okupu w zamian za klucz deszyfrujący. Tylko WannaCry zainfekował ponad 100 tys. systemów na całym świecie. Razem te dwa ransomware spowodowały miliardy dolarów szkód w wielu firmach.

Mając to na uwadze, ciekawie spojrzeć też na grafikę ukazującą, jaki procent przedsiębiorstw ubezpieczyło się od incydentów związanych z technologią informacyjną i komunikacyjną (ang. ICT). W Danii postąpiło tak aż 55,7 proc. firm, w Wielkiej Brytanii 45,6 proc. a we Francji 39,1 proc. Na przeciwnym biegunie są Słowenia, Węgry i Litwa (odpowiednio 4,4 proc; 3,9 proc. oraz 3,6 proc.). Polska ma wynik dwucyfrowy – 10,8 proc.

Oczywiście nie jest tak, że ubezpieczenia od ataków, ocena ryzyka i wszelkie środki zaradcze, które podejmują firmy mają sens w każdym przypadku i przy każdym rodzaju działalności. Nawet w raporcie OECD znajduje się konstatacja, że skłonność firm do wdrażania środków bezpieczeństwa cyfrowego rośnie wraz z ich wielkością i jest wyższa też w określonych branżach – w samym sektorze ICT, działalności naukowej i technicznej albo na rynku nieruchomości.

Nowy świat walut cyfrowych

Ciekawy wątek w raporcie dotyczy też przestępstw związanych z rynkiem kryptowalut. Już ponad miliard dolarów ma wartość kryptowalut ukradzionych z różnych ich giełd w dziesiątkach udanych ataków. Tylko w 2019 roku 12 ataków zakończyło się kradzieżą kryptowalut o wartości 292 mln dolarów. W 2018 roku osiem ataków doprowadziło do kradzieży 844 mln dolarów. Czasem ataki doprowadzają do upadku całej giełdy (np. Mt. Gox, Cryptopia, Youbit), a klientom nie zawsze udaje się odzyskać swoje konta.

Przy tej okazji raport wprowadza kolejne angielskie słówka – cryptominingcryptojacking. To pierwsze ma miejsce, gdy przestępcy instalują złośliwe oprogramowanie, które przywłaszcza moc obliczeniową użytkownika do wydobywania kryptowaluty, to drugie – to kopanie kryptowalut poprzez wstawione skrypty w treści internetowej działającej w przeglądarce.

Jak widać, możliwości bycia ofiarą wykroczenia lub przestępstwa o nowoczesnej angielskiej nazwie jest bez liku. Ostrożność jest zatem wskazana, ale chyba tak samo świadomość, że gdyby nie nowoczesne środki komunikacji, zapaść gospodarcza podczas lockdownów byłaby jeszcze większa.

Raport „OECD Digital Economy Outlook 2020” można znaleźć tutaj.

Otwarta licencja


Tagi


Artykuły powiązane

Jak wielka jest luka CIT?

Kategoria: Raporty
Luka w podatku dochodowym od osób prawnych – CIT mogła osiągnąć maksymalnie wartość 1,08 proc. PKB w 2017 r. – wynika z najnowszego raportu Polskiego Instytutu Ekonomicznego. Gdyby została zminimalizowana, prawdopodobnie do budżetu państwa trafiłoby o kilka miliardów złotych więcej.
Jak wielka jest luka CIT?

Technologie i pandemia zwiększają skalę oszustw w sieci

Kategoria: Analizy
Cyfrowe technologie coraz częściej stają się narzędziem w przeprowadzaniu wyrafinowanych ataków na instytucje i osoby prywatne. Pandemia i lockdown jeszcze bardziej je nasiliły. Wiele firm ciągle jest słabo przygotowanych i nie jest w stanie się chronić przed cyberatakami.
Technologie i pandemia zwiększają skalę oszustw w sieci

5G staje się rzeczywistością, czyli zderzenie PowerPointa z Excelem

Kategoria: Analizy
Dziś technologia 5G potrzebna jest przede wszystkim producentom sprzętu telekomunikacyjnego. Jutro będzie potrzebna operatorom. Pojutrze firmom. A dla konsumentów najlepiej byłoby, gdyby w ogóle nie dostrzegli, że już z niej korzystają.
5G staje się rzeczywistością, czyli zderzenie PowerPointa z Excelem