Polska scena startupów i małych firm przechodzi dynamiczny rozwój, ale większość przedsiębiorców skupia się na wzroście biznesu, a nie na cyberbezpieczeństwie. To dokładnie to, na co czekają hakerzy. Niedawne śledztwo ujawniło, że Mali i średni przedsiębiorcy stanowią teraz największy cel cyberataków w Europie Środkowo-Wschodniej, a polska branża startup jest szczególnie atrakcyjnym celem ze względu na niedofinansowanie działów IT i brak zaawansowanych systemów ochrony.
Podatne sektory: gdzie hakerzy szukają łatwych celów
Hakerskie forum w sieci Tora pełne są dyskusji o tym, które polskie branże są najmniej przygotowane do cyberataków. Listy klientów, dane bankowe pracowników, informacje o opracowywanych produktach – to wszystko znajduje się na powierzchni, czekając na pierwszego atakownika. Szczególnie zagrożone są e-commerce, fintech, usługi medyczne i szkoły online, które w czasach pandemii przeszły szybką cyfrową transformację bez odpowiedniego zabezpieczenia. Raport przygotowany przez zespół niezależnych badaczy zawiera szczegółową mapę podatności w polskim ekosystemie przedsiębiorczości.
Sektor e-commerce pozostaje królem podatności. Hakerzy wiedzą, że właściciele małych sklepów internetowych używają słabych haseł, nie aktualizują wtyczek CMS-ów i przechowują dane kart kredytowych w niebezpieczny sposób. Jeden włamany sklep to dostęp do tysięcy liczb kart kredytowych, które trafiają na rynek hakerski za kilkadziesiąt złotych za sztukę. Firmy fintech są natomiast atrakcyjne ze względu na bezpośredni dostęp do środków finansowych i baz danych użytkowników – pojedynczy atak może przynieść hakerowi miliony złotych.
Usługi medyczne online, głównie gabinety prywatne i platformy konsultacji, przechowują jedne z najcenniejszych danych – dokumentację medyczną pacjentów. Hakerzy wiedzą, że lekarze są mniej biegli technicznie niż typowi przedsiębiorcy z sektora IT, co czyni je łatwym łupem. Dokumentacja dostępna w openSource pokazuje konkretne przykłady ataków na tego typu podmioty.
Anatomia ataku na małą firmę: od rozpoznania do kradzieży
Hakerz rozpoczyna pracę od rozpoznania. LinkedIn okazuje się niezwykle przydatny – szukają tam pracowników mówących o technologiach, jakie używa firma, a potem próbują się z nimi skontaktować, udając rekruterów lub kolegów z branży. Email firmowy to następny cel. Hakerskie podręczniki instruują, jak znaleźć pattern adresów email (na przykład [email protected]), a potem masowo wysyłać phishingowe linki. Jeden pracownik, któremu się spieszy, kliknie na „resetowanie hasła” i gra skończona – haker ma dostęp do wewnętrznej sieci.
Kiedy haker jest już wewnątrz, ma całe tygodnie na eksplorację. Szuka plików biznesowych, baz danych, komunikacji z klientami, dokumentów finansowych. Małe firmy zwykle nie monitorują, co dzieje się w ich sieciach – pracownicy logują się z domów, z kawiarni, z różnych urządzeń, nikt nie sprawdza logów dostępu. Hakerskie fora pełne są dyskusji o tym, jak łatwo znaleźć serwery SFTP z domyślnymi hasłami lub niezabezpieczony dostęp do baz danych SQL w firmach, które „oszczędzały na IT”.
Następna faza to ekstrakcja danych. Haker kopiuje wszystko, co ma wartość – bazy klientów, korespondencję biznesową, nagrania z kamer, tajne formule produktów. Wszystko to trafia na dysk twój lub serwer, z którego można je sprzedać. Hakerzy czasem czekają, zanim wybuchnie bomba – wolą sprzedać dostęp do wewnętrznej sieci innym grupom hakerów, niż od razu rabować dane. Szczegółowy przewodnik po metodologii ataków znajduje się w tym tekście.
Co wiedzą hakerzy i czego ty nie wiesz
Na hakerskich forach dostępne są całe prezentacje poświęcone polskiemu rynkowi startupów. Hakerzy wiedzą, które platformy są najczęściej używane przez polskie startup (Salesforce, Zapier, Slack bez dwuskładnikowego uwierzytelnienia), które hosty są najpopularniejsze (bardzo często niezabezpieczone serwery), a nawet gdzie pracownicy polskich firm zapisują hasła (w notnikach w Dokumentach Google dostępnych publicznie).
Wiedzą też, że polska regulacja RODO jest słaba w egzekwowaniu. Firma, która padnie ofiarą ataku, może ukryć wyciek, i dopóki nie będzie to odkryte przez lata, nikt nie będzie jej karać. Hakerskie blogi nauczają, jak wyciekły dane można sprzedać bezpiecznie – czasami najlepiej poczekać kilka lat, zanim cena za dane wzrośnie, bo firma zmieni system i dane będą już bezużyteczne dla organów ścigania.
Hakerze rozumieją też psychologię przedsiębiorcy. Wie, że mały startup nie ma budżetu na drogie narzędzia bezpieczeństwa. Wie, że właściciel bardziej się boi konkurencji niż hakerów. Wie, że pracownicy są przeciążeni i klikną na podejrzane linki, bo są w stresie. To nie jest tak, że hakerz jest geniuszem – to że system jest łamliwy.
Costsystemu: dlaczego hakerzy wygrywają
Infrastruktura polskich małych firm często wygląda tak: kilka komputerów biurowych, cloud Microsoft 365 z tym samym hasłem dla wszystkich, jeden router wymieniany co 10 lat, brak firewalla, brak monitorowania, brak kopii zapasowych (lub kopie zapasowe w tym samym systemie, co dane). Jeden wirus, jeden włamany komputer, i wszystko się sypie.
Problem w tym, że właściciel myśli: „To się mnie nie dotyczy, ja nie jestem duży grosz”. Mały startup wydaje 100 tysięcy złotych na marketing, ale nie chce wydać 5 tysięcy na zainstalowanie sensownego firewall’a. To paraliż myślenia – „problem, którego nie widzę, nie istnieje”.
Tymczasem hakerskie usługi stają się coraz tańsze i dostępniejsze. Zautomatyzowane narzędzia mogą testować tysiące domen naraz, szukając słabych stron, niezaktualizowanego oprogramowania, domyślnych loginów. Haker nie musi być genialny – musi być systematyczny.
Droga wyjścia: co mogą zrobić małe firmy dzisiaj
Aby uchronić się przed tym zagrożeniem, przedsiębiorcy muszą zacząć od podstaw. Dwuskładnikowe uwierzytelnianie na wszystkich kluczowych kontach – email, DNS, platformy finansowe. To zajmuje godzinę, a redukuje ryzyko o 90%. Regularne aktualizacje oprogramowania – nie trzeba czekać na weekend, trzeba to robić co miesiąc. Edukacja pracowników o phishingu – jedną godzinę szkolenia, a ludzie będą ostrożniejsi.
Trzecia rzecz to kopie zapasowe offline. Jeśli wszystko jest w chmurze, a w chmurze pojawia się ransomware, nie masz nic. Dysk twardy, co miesiąc odłączany od internetu, kosztuje 200 złotych i ratuje życie biznesu.
Czwarta sprawa to świadomość – poznanie tego, że jesteś celem. To nie jest paranoizm, to rzeczywistość. Każdy, kto ma coś wartościowego, jest targetowany. I hakerze wiedzą, że polska małą firmę atakować opłaca się bardziej, bo jest mniej przygotowana do obrony i mniej będzie się tym raportować.
O autorze
