Cyberbezpieczeństwo – trendy i newsy z rynku
Cyberbezpieczeństwo to temat, który jest dziś aktualny jak nigdy wcześniej. Jak działają hakerzy, na co jesteśmy narażeni i jak zmienia się rynek ubezpieczeń Cyber? Więcej informacji w naszym artykule.
Od ransomware do cyber crime - zwrot wektora ataków hakerskich
Ubezpieczyciele specjalizujący się w zabezpieczeniu ryzyk związanych z atakami hakerskimi (ubezpieczenie Cyber) od jakiegoś czasu obserwują zmianę sposobu działania przestępców internetowych. O ile do czasu wybuchu wojny w Ukrainie zdecydowana większość likwidowanych szkód wiązała się z atakami typu ransomware, o tyle od kilku-kilkunastu miesięcy zdecydowanie przeważają ataki określane jako cyber crime (cyberprzestępczość). Polegają one na wyłudzaniu środków pieniężnych poprzez podszywanie się pod znane nam osoby, firmy, instytucje itp. Mowa tu o stosowaniu takich socjotechnik jak phishing, smishing, vishing. Cyberprzestępcy omijają w ten sposób ograniczenia związane z rozliczaniem okupów w kryptowalutach, uzyskując od razu środki finansowe w postaci tradycyjnych walut.
Więcej na ten temat (i nie tylko) opowiadał jakiś czas temu nasz ekspert Piotr Cholewczyński w wywiadzie dla CyberDefence24 – całą rozmowę przeczytacie tutaj: Ubezpieczenia od cyberataków. „Wektor ataków hakerskich nie jest uzależniony od wielkości spółki”
SPRAWDŹ
Phishing: 89% z nas potrafi rozpoznać fałszywe maile
Jeśli jesteśmy już przy phishingu, bardzo ciekawych – choć nie zawsze optymistycznych – wniosków dostarcza raport “Dane osobowe – czy wiemy, jak je chronić?” z badania przeprowadzonego w maju 2023 r. pod patronatem Urzędu Ochrony Danych Osobowych.
Wynika z niego, że 89% Polaków potrafiłoby rozpoznać próbę oszustwa poprzez SMS, e-mail lub fałszywy telefon, ale pewność w tym zakresie ma tylko 18,5% badanych. Za największe zagrożenia dla bezpieczeństwa danych osobowych ankietowani uważają działalność cyberprzestępców (42%), a także wycieki danych z baz instytucji publicznych i firm prywatnych (łącznie 38%). Co piąty badany najbardziej obawia się hakerów włamujących się na nasze komputery i telefony. Co trzeci z nich doświadczył w ciągu ostatniego roku próby wyłudzenia danych poprzez techniki takie jak phishing, smishing, vishing. Jedna na 8 takich prób zakończyła się kradzieżą danych.
Ponad połowa respondentów (55,5%) deklaruje, że wie, co powinna zrobić w przypadku wyłudzenia lub kradzieży danych osobowych. Przecząco na to pytanie odpowiedziało niespełna 14% ankietowanych, a prawie ⅓ (30,9%) nie potrafiła udzielić odpowiedzi. Na liście czynności, które należy podjąć w przypadku wyłudzenia lub kradzieży danych, znalazły się m.in.:
- zgłoszenie zdarzenia na policję (85,2%),
- zgłoszenie zdarzenia w banku, w którym posiada się konto (77,8%),
- zmiana danych do logowania w banku/laptopie/telefonie oraz na portalach społecznościowych (71,7%),
- zgłoszenie zdarzenia do Urzędu Ochrony Danych Osobowych (51,5%).
40% Polaków nie potrafi sobie wyobrazić, jakie mogą być konsekwencje wycieku danych osobowych. Co więcej, 3 na 4 Polaków nie wie, kto powinien się zająć neutralizacją negatywnych skutków wycieku danych.
Pełen raport do pobrania TUTAJ.
Ubezpieczenie, które ochroni Twoją firmę
przed skutkami ataków hakerskich
1,2 mld euro kary dla Facebooka
Czy to początek końca ery Facebooka w Europie? Takie zapowiedzi pojawiały się już w zeszłym roku od właściciela platformy, spółki Meta, w związku ze sprawą, która toczyła się od połowy 2021 r. Ostatnie wydarzenie z tym związane, czyli nałożenie gigantycznej kary w wysokości 1,2 mld euro na irlandzką spółkę Meta Platforms Ireland Limited, może tylko przyspieszyć ten proces.
Kara ta, która jest największą dotąd administracyjną karą pieniężną nałożoną na podstawie RODO, jest skutkiem wiążącej decyzji Europejskiej Rady Ochrony Danych. Meta została ukarana za przesyłanie danych należących do użytkowników Facebooka z UE na serwery w Stanach Zjednoczonych. Ponadto została zobowiązana do dostosowania swoich operacji przekazywania danych do RODO.
Trwające od maja 2021 postępowanie rozpoczęło się od słynnego wyroku TSUE w sprawie Schrems II, który dotyczył legalności transferu danych obywateli UE do USA. O szczegółach całej sprawy można przeczytać TUTAJ.
UODO nakłada kary za nieskuteczne zabezpieczenia
W ostatnich tygodniach coraz częściej pojawiają się informacje o karach nałożonych przez UODO, lecz nie tylko na skutek złamania przepisów RODO, ale również na skutek stosowania zbyt słabych zabezpieczeń. Przykładowo, jeden z burmistrzów otrzymał karę w wysokości 30 tys. zł. UODO argumentuje to jak poniżej:
Do organu nadzorczego wpłynęło zgłoszenie naruszenia ochrony danych osobowych spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym. Podczas postępowania i po dokonaniu analizy materiału dowodowego UODO uznał, że faktyczną przyczyną wystąpienia ataku ransomware była niezaktualizowana baza wirusów. Co więcej, administrator przeprowadził w sposób nierzetelny analizę ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), a także wdrożył niepełne środki techniczne i organizacyjne, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych. Efektem tego było przełamanie zabezpieczeń wykorzystywanego przez administratora systemu informatycznego, a następnie zaszyfrowanie przetwarzanych w nim danych z użyciem złośliwego oprogramowania.
Jako ciekawostkę możemy podać, że zanim ubezpieczyciele zdecydują się przedstawić ofertę w zakresie Cyber, przeprowadzają bardzo szczegółowy wywiad/ankietę dotyczący m.in. stosowanych zabezpieczeń technicznych oraz procedur (w tym m.in. związanych z tworzeniem kopii zapasowych). Niedostateczny poziom zabezpieczeń czy też brak regularnych testów, które mają weryfikować ich skuteczność, może spowodować odmowę przedstawienia oferty w tym zakresie.
Dowiedz się więcej
o ubezpieczeniach branżowych
AI a cyberbezpieczeństwo
Sztuczna inteligencja to zdecydowanie największy trend tego roku w branży IT, głównie za sprawą ChatGPT. Popularność tego i podobnych narzędzi, które zaczęły wyrastać jak przysłowiowe “grzyby po deszczu”, skłania wielu ekspertów do dość śmiałych tez, że sztuczna inteligencja to jedna z bardziej prawdopodobnych przyczyn wyginięcia ludzkości, zaraz obok takich zagrożeń jak pandemia czy wojna nuklearna.
Z drugiej strony, AI przyczynia się do rozwoju wielu innowacyjnych projektów, także w branży militarnej. Tak więc sztuczna inteligencja może służyć zarówno jako narzędzie wykorzystywane do celów “obronnych”, jak i np. chatboty mogą być celem ataków i same przyczyniać się do ataków, np. tworzenia złośliwego oprogramowania. Choć póki co hakerzy nie używają AI na dużą skalę, ponieważ nadal skuteczne są prostsze metody socjotechniczne.
Eksperci podkreślają, że znacznie bardziej niebezpieczne mogą być ataki, które będą łączyły spoofing (podszywanie się pod inną osobę telefonicznie) z deepfake – zarówno w formie wideo, jak i audio (technologia wykorzystująca sztuczną inteligencję opartą na głębokim uczeniu, aby zastąpić wizerunek/głos jednej osoby wizerunkiem/głosem innej osoby). Przykład: dzwoni do nas “porywacz” żądając zapłacenia okupu za uwolnienie rzekomo porwanego dziecka, posługując się “jego” sklonowanym głosem – wygenerowanym przy pomocy AI (takie zdarzenie faktycznie miało miejsce w USA).
Więcej na ten temat znajdziesz w artykułach:
Sztuczna inteligencja. Wzmocni cyberbezpieczeństwo czy zwiększy liczbę cyberataków? oraz Deepfake głosowy. Rośnie zagrożenie klonowaniem głosu
Jeśli chcesz być na bieżąco z trendami z zakresu cyberbezpieczeństwa, które mogą mieć wpływ na ochronę w Twojej polisie – obserwuj nasz profil na LinkedIn.
Aleksandra Woźniakowska – Broker
PRZECZYTAJ TAKŻE: OC ogólne a OC zawodowe dla branży IT
Potrzebujesz ochrony w zakresie ryzyk cybernetycznych?
Skontaktuj się z Nami!
