Cyberprzestępczość – także w logistyce – to już nie są pojedyncze incydenty. Jak zauważył Damian Wróblewski z Security Masters, gdyby cyberprzestępczość i jej skutki uznać za gospodarkę, byłaby to trzecia największa siła ekonomiczna na świecie: mówimy bowiem o setkach miliardów dolarów strat rocznie. Aby uświadomić uczestnikom skalę zagrożenia, organizatorzy postanowili porzucić suchą teorię na rzecz eksperymentu na żywo. Na scenę zaproszono „etycznego hakera”, który udowodnił, jak niewiele trzeba, by przejąć kontrolę nad naszymi cyfrowymi tożsamościami.
Jak zhakowano publiczność konferencji Smart Warehouse
Damian Wróblewski, który sam określa się mianem „etycznego hakera”, swoją karierę rozpoczął dwie dekady temu od znalezienia luki w raczkującym systemie firmy Przelewy24. Jako nastolatek zgłosił firmie znaleziony błąd i wskazał jak zabezpieczyć się przed ponownym atakiem. Dziś zawodowo wyszukuje podatności na ataki hakerskie w systemach na całym świecie. Podczas swojej prelekcji ujawnił, że przed panelem przeprowadził na uczestnikach kontrolowany atak phishingowy.
Jeszcze przed swoim wystąpieniem rozłożył na stolikach kawowych kartki z kodem QR i informacją o możliwości wygrania nagrody w konkursie. Efekt? Około 40 uczestników konferencji dało się nabrać, wpisując na łudząco podobnej do prawdziwej stronie Microsoft swoje loginy, hasła i numery telefonów.
Zyskaliśmy wasze adresy IP, informacje o urządzeniach, z których się logowaliście, oraz poświadczenia do skrzynek prywatnych i służbowych – wyliczał ze sceny ekspert, uspokajając jednak, że w tym przypadku dane zostaną trwale usunięte.
Brak prawa jazdy na internet
Eksperci zajmujący się cyberprzestępczością przyznają, że najczęstszą wymówką ofiar ataków hakerskich jest: „Ja tylko nieświadomie kliknąłem w link”. Tymczasem jedno kliknięcie często wystarczy, by dać atakującym dostęp do wrażliwych danych lub systemu firmowego. Dzięki zebranym informacjom, numerowi IP oraz technikom białego wywiadu (OSINT), wprawny haker jest w stanie błyskawicznie ustalić dokładną lokalizację i tożsamość ofiary, podczas gdy w tle złośliwe skrypty próbują już logować się na jej prawdziwe konta.
Zagrożeń jest więcej. Damian Wróblewski zwrócił uwagę m.in. na fałszywe, publiczne sieci Wi-Fi, które pozwalają hakerom na przechwytywanie ruchu sieciowego ofiary bez wzbudzania alarmu w firmowych systemach bezpieczeństwa.
Jednak głównym wektorem ataków, niezmiennie od 20 lat, pozostaje phishing. Dlaczego wciąż jest tak skuteczny? Odpowiedź tkwi w systemowych brakach edukacyjnych.
Jak idziecie na prawo jazdy, musicie zaliczyć 30 godzin teorii, 30 godzin praktyki i zdać egzamin państwowy. A kto z nas zdał egzamin z bezpiecznego poruszania się po internecie? Nikt – podsumował „etyczny haker”. – Wyrobione przez lata złe nawyki, takie jak korzystanie z identycznych haseł w wielu serwisach, to proszenie się o kłopoty.
Ostatnią linią obrony pozostaje dziś uwierzytelnianie dwuskładnikowe (MFA/2FA), choć i ono bywa zawodne, gdy użytkownik bezmyślnie potwierdza powiadomienia autoryzacyjne w aplikacji w smartfonie. Jak z pełnym przekonaniem zaznaczył prelegent, zaledwie około 30% firm na rynku posiada poprawne i pełne zabezpieczenia w tym zakresie.
Afrykański blackout, który uratował globalną logistykę
Błędy pojedynczych pracowników mogą mieć katastrofalne skutki dla całych łańcuchów dostaw. Podsumowując wątek bezpieczeństwa, prowadzący panel przypomniał słynną rosyjską kampanię cybernetyczną z użyciem złośliwego oprogramowania (tzw. atak NotPetya), wycelowaną początkowo w Ukrainę. Rykoszetem uderzyła ona w jednego z globalnych gigantów branży logistycznej.
Atak sparaliżował flotę i terminale firmy na całym świecie, zatrzymując operacje biznesowe. Infrastrukturę informatyczną uratował przypadek – awaria prądu w jednym z oddziałów w Afryce. Tylko dzięki temu, że znajdujący się tam pracownik był w momencie ataku odłączony od sieci, firmie udało się odtworzyć kluczowe dane. Straty globalnej gospodarki wywołane tamtym jednym incydentem szacuje się na 10 miliardów dolarów.
Wniosek płynący z konferencji jest brutalny, ale konieczny do uświadomienia: systemy IT są tylko tak silne, jak ich najsłabsze ogniwo. A tym najsłabszym ogniwem, niezależnie od zaawansowania technologicznego infrastruktury, wciąż pozostaje nieświadomy, działający w pośpiechu człowiek. I to w jego edukację biznes musi inwestować w pierwszej kolejności.