Cyberprzestępstwa
Internet i firmowe sieci informatyczne coraz częściej stają się narzędziem wykorzystywanym do dokonywania przestępstw i nadużyć przeciwko organizacjom. Są to tzw. cyberprzestępstwa.Z globalnych badań wynika, że tego typu działania są po sprzeniewierzeniu aktywów...
Z globalnych badań wynika, że tego typu działania są po sprzeniewierzeniu aktywów (kradzieże, oszustwa i nadużycia) drugim najczęściej występującym rodzajem przestępstwa gospodarczego.
Przyczyny
Na skalę zjawiska cyberprzestępczości wpływa kilka czynników:
1. Po pierwsze, zainteresowanie mediów i nagłaśnianie przez nie przypadków cyberprzestępstw zwiększyło zainteresowanie spółek tą kwestią i mogło je skłonić do przeprowadzenia dodatkowych kontroli. Te z kolei mogły zaowocować większą wykrywalnością tych przestępstw.
2. Po drugie, rosnące wymagania organów regulacyjnych w zakresie ochrony danych i monitorowania transakcji mogły przyczynić się do zwiększenia wykrywalności cyberprzestępstw.
3. Po trzecie, na rzeczywisty wzrost przypadków cyberprzestępczości mógł wpłynąć postęp w technologii.
4. Po czwarte, cyberprzestępczości sprzyja zwiększona aktywność pracowników w sieci, w tym używanie przez nich portali społecznościowych, takich jak Facebook, Twitter lub LinkedIn, co może zwiększać zasięg lub efektywność cyberprzestępczości, np. może ułatwić identyfikację osób pracujących w danej organizacji i ich adresów mailowych, a w dalszej kolejności umożliwić instalowanie toksycznego oprogramowania (wirusów, trojanów) na komputerach służbowych tych pracowników.
5. Wreszcie po piąte, na liczbę cyberprzestępstw mogą mieć również wpływ niejasności definicyjne – firmy mogły interpretować inne tradycyjne przestępstwa popełnione z wykorzystaniem komputerów, technologii bądź kradzieżą danych jako cyberprzestępstwa.
Cyberprzestępczość ewoluuje, wyprzedzając adekwatne zmiany prawne oraz odpowiednie zabezpieczenia organizacji. Ponadto rozwój coraz prostszych w obsłudze urządzeń dających dostęp do Internetu, takich jak smartfony czy tablety, ułatwia popełnienie cyberprzestępstwa w dowolnym miejscu i czasie oraz utrudnia identyfikację i zmniejsza prawdopodobieństwo złapania sprawcy.
Typowym cyberprzestępcą z wewnątrz firmy jest szeregowy pracownik bądź kierownik średniego szczebla
Branżami w naturalny sposób bardziej narażonymi na ataki cyberprzestępców bądź wykrywającymi większą liczbę ich przypadków są sektory opierające swoją działalność na systemach informatycznych, dysponujące obszernymi bazami danych bądź też podlegające ścisłym regulacjom prawnym, m.in. instytucje finansowe, firmy sektora telekomunikacyjnego oraz technologii.
Na całym świecie trwają ciągle intensywne prace legislacyjne, które w swoim założeniu mają na celu zwalczanie cyberprzestępczości, terroryzmu oraz wszelkich innych zagrożeń. Negatywne skutki cyberataków mogą być bardzo dotkliwe. Amerykańskie firmy szacują, że koszty wynikające z samego tylko wycieku danych, takie jak np. wydatki związane z odpowiedzią na te incydenty oraz koszty kar i postępowań sądowych sięgają setek milionów dolarów.
Wymienione obawy wydają się uzasadnione, jeśli się weźmie pod uwagę często niewystarczający poziom stosowanych zabezpieczeń. Jedna firma na trzy na świecie nie posiada odpowiednich mechanizmów obronnych przed tym zjawiskiem, a dwie na trzy nie mają systemów jego wykrywania.
Skala zjawiska
Badania pokazały, że 42% organizacji na świecie postrzega cyberprzestępców jako osoby pochodzące z wewnątrz firmy. Przykładem cyberprzestępstw popełnionych przez pracowników są:
- pozyskanie przez pracownika poufnych informacji dotyczących wynagrodzeń i premii oraz ich wykorzystanie w celu osiągnięcia korzyści
- pozyskanie przez pracownika informacji dotyczących zobowiązań spółki, założenie w systemie księgowym fikcyjnego konta dłużnika, a następnie poprzez dokonywanie płatności na to konto wyprowadzanie pieniędzy ze spółki
- rozpowszechnianie przez pracownika na portalach społecznościowych i forach informacji wrażliwych dla spółki
- pozyskanie przez pracownika dostępu do skrzynki pocztowej współpracownika w celu rozpowszechniania e-maili o szkodliwej zawartości bądź też w celu zastraszenia pracowników, wpłynięcia na relacje biznesowe z partnerami spółki itd., (mimo że takie działanie w bezpośredni sposób nie generuje strat finansowych, to może negatywnie wpłynąć na reputację spółki, spowodować przerwy lub zakłócenia w działalności, narazić na konsekwencje prawne).
Możliwość dokonania cyberprzestępstw wiąże się ze znajomością zagadnień technologicznych oraz wiedzą informatyczną, które często są domeną ludzi młodych.
Globalne badania pokazują, że typowym cyberprzestępcą z wewnątrz firmy jest szeregowy pracownik bądź kierownik średniego szczebla (84% przestępców), w wieku poniżej 40 lat (65% wskazań), o stażu pracy nieprzekraczającym 5 lat (51%). Jako źródło zagrożeń wewnętrznych najwięcej respondentów wskazało dział IT (po 53% wskazań zarówno w Polsce, jak i na świecie). Taka percepcja badanych firm nie dziwi, zważywszy, że to właśnie pracownicy tego działu dysponują odpowiednimi umiejętnościami, narzędziami i wiedzą, które mogą umożliwić popełnianie tego typu przestępstw. Ponadto posiadają oni szerokie prawa dostępu do systemów księgowych, baz danych i innych systemów funkcjonujących w przedsiębiorstwach i potrafią przynajmniej częściowo zatrzeć ślady popełnianych nadużyć.
Jeśli chodzi o sprawców zewnętrznych, globalne firmy najczęściej upatrują ich w takich krajach, jak: Hongkong, Chiny, Nigeria, Rosja i USA. Należy jednak podkreślić, że wynika to wyłącznie z percepcji firm. W rzeczywistości cyberataki mogą być inicjowane z dowolnego miejsca na świecie i przypisanie ich do konkretnego regionu geograficznego bądź kraju jest niezwykle trudne.
Rodzaje cyberprzestępstw
Wraz z rozwojem technologii bardzo szybko pojawiają się kolejne, często wymykające się z aktualnych ram prawnych, rodzaje cyberprzestępstw. Obok najbardziej powszechnych form cybernadużyć, takich jak phishing i pharming, które są metodami pozyskiwania informacji poufnych, np. haseł i loginów, numerów rachunków bankowych od firm bądź osób fizycznych, zaczynają pojawiać się również formy bardziej wyrafinowane.
Koszty wynikające z samego tylko wycieku danych, takie jak np. wydatki związane z odpowiedzią na te incydenty oraz koszty kar i postępowań sądowych sięgają setek milionów dolarów.
Podczas gdy na rynku dóbr konsumpcyjnych istnieją tzw. czarne rynki, w świecie wirtualnym zaczynają pojawiać się platformy wymiany dóbr pozyskanych w drodze działalności przestępczej, na których m.in. sprzedawane są szczegóły skradzionych kart kredytowych już za kilka centów od sztuki. Pojawiają się również nowe formy nielegalnej działalności organizacji światopoglądowych, politycznych lub ekstremistycznych zwane hacktivismem.
Przykładem może być atak grupy Anonymous, który sparaliżował działanie stron internetowych firm obsługujących płatności kartami kredytowymi, ponieważ zdecydowały one o zablokowaniu płatności na rzecz portalu WikiLeaks.
Obrona przed cyberprzestępczością
Świat biznesu zaczął obawiać się cyberprzestępstw, dlatego kraje Europy, jak również inne kraje, a szczególnie Stany Zjednoczone Ameryki Północnej próbują ograniczyć skalę cyberprzestępczości wprowadzając szereg kontrowersyjnych czasami ustaw. Jedną z takich ustaw zatwierdził ostatnio Kongres USA o wykrywaniu i zapobieganiu cyberprzestępczości (CISPA ang. Cyber Intelligence Sharing and Protection Act,) która w swoim założeniu ma na celu zwalczanie cyberprzestępczości, terroryzmu oraz wszelkich innych zagrożeń, którym można zapobiec poprzez monitorowanie działań użytkowników w sieci. Założenie jest szczytne, natomiast Amerykanie, przyzwyczajeni do swojej słynnej wolności, boją się, że cała sprawa obróci się przeciwko nim. Trzeba przy tym pamiętać, że największym lękiem mieszkańców Stanów Zjednoczonych jest strach przed inwigilacją, a co za tym idzie, CISPA stała się w ostatnim czasie osią sporu, wokół której amerykańskie media rozpętały burzę.
Organami, które w USA wciąż zajmują czołową pozycję w sprawie prowadzonych krajowych i międzynarodowych postępowań dotyczących nadużyć na szeroką skalę, między innymi w sprawozdaniach finansowych, czy też poprzez przekupstwa są Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) oraz amerykański Departament Sprawiedliwości. Spektakularne były działania tych organów, które doprowadziły ostatnio do aresztowań w siedzibie członków zarządu FIFA, które odbiły się szerokim echem na świecie, szczególnie wśród kibiców piłki nożnej. SEC nie jest jedynym amerykańskim organem nadzoru czy organem ścigania, który walczy z nieprawidłowościami. Departament Sprawiedliwości rozpoczął postępowania o nielegalne wykorzystywanie informacji wewnętrznych, korzystając z podsłuchów i innych technik stosowanych zwykle przy ściganiu przestępczości zorganizowanej.
Ryzyko przestępczości
Wyniki najnowszego z serii długookresowych badań dotyczących nadużyć na świecie, prowadzonych przez EY, pokazują pewne niepokojące trendy. Łatwe zyski i szybkie korzyści osiągane w zgodzie z obowiązującymi regulacjami zostały już osiągnięte. A to oznacza, że dalszy rozwój na legalnej ścieżce będzie prawdopodobnie trudny dla wielu spółek, co może generować nadużycia.
Badania firmy EY z udziałem ponad 2700 respondentów z 59 krajów wykazały, że ryzyko ponoszone przez spółki nie maleje. A częstotliwość nadużyć i ujawniane poziomy korupcji nie spadają. Wyniki badania firmy EY sugerują także, że firmy niechętnie przyjmują do wiadomości źródło takich zagrożeń.
Wykrywanie i diagnozowanie zagrożenia
Cyberataki testują systemy obrony w poszukiwaniu ich słabych punktów. Skuteczna obrona wymaga nadzorowania całości platformy informatycznej spółki z wykorzystaniem testów diagnostycznych. Testy te powinny obejmować całość sieci, systemów, logów i zdarzeń, a także poszukiwać dowodów czterech elementów cyberataków:
1. Wejścia – w celu zidentyfikowania złośliwego oprogramowania, które zapewnia
atakującemu cyfrowy „przyczółek”.
2. Ruchów bocznych – szukania dowodów zasięgu ataku w różnych częściach sieci.
3. Zbioru – identyfikacji niestandardowego działania lub narzędzi wśród kont i źródeł
danych, które wskazują na nieupoważnione pozyskiwanie informacji.
4. Kradzieży danych – identyfikacji starań atakującego mających na celu usunięcie danych.
Badania firmy EY dowodzą, że w 40 krajach objętych badaniem połowa respondentów stwierdziła, że korupcja jest rozpowszechniona. W Egipcie, Kenii i Nigerii udział osób, których zdaniem korupcja jest rozpowszechniona, przekroczył 80%. Członkowie kadry kierowniczej są często gotowi generować ryzyko, ponieważ jak to wykazało badanie, są gotowi działać nieetycznie, aby nawiązać lub podtrzymać relacje biznesowe.
Jedna firma na trzy na świecie nie posiada odpowiednich mechanizmów obronnych przed tym zjawiskiem, a dwie na trzy nie mają systemów jego wykrywania
Jest mało prawdopodobne, że postępowanie zgodne z regulacjami skupiające się wyłącznie na zarządzaniu ryzykiem prawnym zapewni trwałą zmianę zachowań w firmie. Wiele może zmienić tylko zdecydowane zaangażowanie liderów firmy, które powinno napędzać dynamiczne podejście do zarządzania ryzykiem.
Działania mające na celu zapewnienie zgodności z regulacjami powinny koncentrować się na zespołach, które są najbardziej narażone na ryzyko. Wyniki badania firmy EY pokazują, że nie zawsze tak jest.
58% respondentów z rynków rozwiniętych ukończyło szkolenie dotyczące przeciwdziałania korupcji. Dla porównania to szkolenie ukończyło zaledwie 40% respondentów z rynków rozwijających się. Jest niewątpliwie bardzo ważne, czy spółka ma dobry kodeks postępowania i programy antykorupcyjne, ale jest równie ważne, jak zdecydowanie i skutecznie są one stosowane. Niewłaściwy proces w tym zakresie może pozwolić na dalszą korupcję – wraz z wszystkimi powiązanymi szkodami dla rentowności i reputacji firmy, jak również potencjalną odpowiedzialnością cywilną i karną.
Przedsiębiorstwa powinny być świadome zarówno szans, jak i ryzyka, jakie niesie ze sobą świat wirtualny, tak aby móc czerpać z niego jak najwięcej korzyści, a jednocześnie unikać zagrożeń. Budowanie takiej świadomości w organizacji wymaga wsparcia kierownictwa najwyższego szczebla, edukacji pracowników oraz stosowania odpowiednich zabezpieczeń. Jest to niezbędne minimum w wyścigu zbrojeń pomiędzy cyberprzestępcami a organizacjami w czasach postępu technologicznego i coraz większej aktywności gospodarczej spółek w wirtualnym świecie.
Rewolucja w sferze globalnej łączności daje siłę tym, którzy chcą obnażyć nieuczciwe praktyki firm, (co może skutkować utratą ich dobrej reputacji), na tej samej zasadzie, jak daje samym firmom możliwość zdobycia zaufania.