11:29
6/10/2015

Co jakiś czas słyszymy o włamaniach do serwisów internetowych. Burza, która niedawno rozpętała się po ataku na “randkowy” portal Ashley Madison pokazuje, że włamania mogą nieść za sobą poważne konsekwencje. W wyniku wycieku danych z serwisu i ujawnienia tożsamości jego użytkowników, jeden z klientów serwisu musiał uciekać z kraju, a inny popełnił samobójstwo (por. 37 milionów miłośników skoków w bok będzie dziś spać na kanapie…). Wśród ofiar tego ataku znajdowały się też osoby piastujące ważne państwowe stanowiska, które ze wstydem wygłaszały publiczne przeprosiny. Ale wykradane bazy danych serwisów internetowych to problem nie tylko dla klientów serwisów internetowych, ale również dla ich właścicieli, którzy po ataku mogą zmagać się z poważnymi problemami z odbudową wizerunku i pozwami swoich klientów a często także kosztami dotyczącymi analizy powłamaniowej połączonej z testami bezpieczeństwa i wymuszoną modernizacją reszty infrastruktury.

To zazwyczaj wygląda tak…

Włamywacz, który przełamał zabezpieczenia serwisu i wykradł jego dane odzywa się do właścicieli i mówiąc wprost — szantażuje ich, żądając zapłaty za swoje “nieautoryzowane” testy bezpieczeństwa (por. Dane dłużników Getin i Noble banku na sprzedaż). Nie ma się co dziwić, że firmy w większości nie odpowiadają na takie próby “rozwiązania problemu”, dlatego w sieci prędzej czy później pojawiają się pierwsze dowody włamania. Ktoś anonimowo publikuje na forum (zazwyczaj w sieci TOR) próbkę poufnych danych z profili użytkowników. Wystawia też cenę za całość bądź fragment wykradzionej bazy danych (por. Dane kolejnych 500 klientów Plusbanku ujawnione przez włamywacza). Kilka godzin później, o włamaniach piszą już pierwsze specjalistyczne serwisy — a następnego dnia temat podchwytuje mainstream. O incydencie jest głośno zarówno w mediach elektronicznych jak i tradycyjnych (prasa, radio, telewizja). Policja, choć zdarzają się wyjątki, w większości przypadków jest bezsilna. W firmie, która nie jest przygotowana na tego typu incydenty, zamiast skoordynowanych działań technicznych, prawnych i PR-owych zaczyna się panika…

Wyciek danych użytkowników www.gay.pl.sql

Wyciek danych użytkowników www.gay.pl (baza sql)

Wśród ujawnianych danych mogą znajdować się prawnie chronione, dane osobowe, adresy zamieszkania i numery telefonów, numer PESEL, oraz dane finansowe (np. numery kart płatniczych) i hasła. Ujawnienie tych ostatnich może ofiary zaboleć najbardziej — jeśli korzystali z tych samych haseł do wielu serwisów, atakujący przejmą kontrolę nad ich pozostałymi kontami, a nierzadko zrobią także tzw. “distroja” (por. Od wycieku haseł z forum do wrzucania nagich zdjęć ofiar na ich profile Facebookowe).

Włamanie i wyciek danych roztrząsane publicznie przez kilka dni robi swoje. Przekaz kreowany przez media ma jeden wydźwięk: „dziurawy, niebezpieczny portal, który lepiej omijać szerokim łukiem”. Anonimowe wypowiedzi dotkniętych atakiem ofiar są pełne emocji i cierpkich słów kierowanych pod adresem administratorów serwisu. To w odpowiedni sposób działa na odbiorców. Nie tylko nie rejestrują się nowi członkowie, ale dotychczasowi mogą zacząć zamykać swoje konta…

Czym zawinił sobie dany serwis? Oto najpopularniejsze z powodów włamań:

Często atakujący “wchodzą” na dany system, ponieważ na skutek przeoczenia administratorów, posiada on nieaktualne oprogramowanie, które wyskakuje na masowym skanie w internecie… Atakującym może się też po prostu nudzić i na cel obierają sobie różne firmy, które niczym im nie zawiniły. Jak pokazuje historia, ofiarą ataku informatycznego mogą paść wszyscy. I duże firmy (pokroju SONY Pictures, czy Google, Giełda Papierów Wartościowych, Getin/Noble Bank) jak i niszowe, polskie sklepy internetowe.

W ubiegłym roku przestępcy podjęli ponad 7 tysięcy prób ataku na serwery firm i instytucji w Polsce. Policyjne statystyki odnotowały w sumie aż 22 tys. przestępstw internetowych. Z każdym rokiem liczby te mogą być coraz większe… Czy da się temu zapobiec? Specjaliści od internetowych zabezpieczeń nie mają złudzeń: błędy czy luki w systemie, którymi hakerzy „wyciągną” poufne informacje, były, są i będą zawsze. Czasem nawet najnowsze rozwiązania do ochrony systemów i sieci nie są w stanie w porę wykryć zagrożenia. O ile włamanie uniknąć nie można, to da się skutecznie zabezpieczyć się przed jego następstwami. Zapewnia to #CyberOchrona od ERGO Hestii.

#CyberOchrona — uzupełnienie “firewalla” i polityk bezpieczeństwa

#CyberOchrona to pakiet ubezpieczeniowy dedykowany firmom i instytucjom narażonym na ataki cyberprzestępców oraz działanie złośliwego oprogramowania. #CyberOchrona to idealne rozwiązanie praktycznie dla każdej firmy, która w każdej chwili może stać się ofiarą cyberwłamywaczy.

Konsekwencje ataku dotykają zawsze obie strony — właściciela serwisu i jego klientów. Dla właściciela jest to osłabienie reputacji, bardzo trudna i żmudna praca nad odzyskaniem pozycji rynkowej. Bez profesjonalnego i kosztownego wsparcia trudno samodzielnie poradzić sobie z tak poważnym kryzysem. I tu pomocą przychodzi ERGO Hestia i #CyberOchrona! Polisa zrekompensuje dodatkowe koszty z zakresu public relations, np. wynajęcie zewnętrznej agencji PR, która sprawnie opanuje kryzys. W takiej sytuacji to niezbędne działanie dla „być albo nie być” portalu czy instytucji finansowej. Agencja PR wszelkimi możliwymi kanałami rozpocznie odbudowę mocno nadszarpniętego wizerunku. Zaczynając od listów z przeprosinami do wszystkich poszkodowanych, przez uspokajające teksty na blogach internetowych, aż po łagodzące atmosferę komentarze i wywiady w mainstreamowych mediach.

#CyberOchrona to pokrycie kosztów związanych z utratą danych w wyniku ataku informatycznego czy działania złośliwego oprogramowania. W ramach ubezpieczenia oferujemy wsparcie firm specjalizujących się w informatyce śledczej, które sprawdzą, co mogło być przyczyną ataku. Ubezpieczyciel pokryje także koszty powstałe wskutek cyberataku, m.in. koszty porady prawnej lub działania PR-owe, których celem będzie odbudowa reputacji portalu
– wyjaśnia Tomasz Dolata z Biura Ubezpieczeń Podmiotów Gospodarczych ERGO Hestii.

Koszty wynajęcia profesjonalnej agencji PR, działań na wielu różnych kanałach, mogą sięgnąć kilkudziesięciu tysięcy złotych. #CyberOchrona, której składka będzie kosztować firmę 2900 zł, jest w stanie pokryć takie wydatki nawet do 50 tys. zł. Składka ta obejmuje również koszty związane z utratą danych elektronicznych aż do 200 tys. zł. To nie wszystko! #CyberOchrona to także pokrycie kosztów odpowiedzialności cywilnej za szkody wyrządzone osobom trzecim w wyniku cyberataku. Dzięki temu z pewnością łatwiej będzie znieść wszelkie konsekwencje tych wirtualnych, ale realnie bardzo dotkliwych zdarzeń.

Pomyśl o skutecznej #CyberOchronie zanim w Twoim komputerze namieszają hakerzy czy wirusy, o których nawet nie będziesz miał pojęcia! Zadbaj o swoje dane elektroniczne najlepiej, jak możesz! Dowiedz się więcej o #CyberOchronie już teraz na stronie CyberOchrony.

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Moglibyście podać zestaw aplikacji dla windows serwer 2012 i dla opensuse do analizy plików przed i powłamaniowej ?

  2. A gdzie dopisek: artykuł sponsorowany przez ergo Hestia? ;)
    Poza tym żadne ubezpieczenie nie da rady zniwelować skutków włamania. Co to jest 50 tys?

    • Akurat niebezpiecznikowi nie można zarzucić braku oznaczeń artykułów sponsorowanych. Zawsze jest odpowiedni tag tuż pod tytułem i to CAPSLOCKIEM :]

      50 000 to jak sądzę jeden z poziomów. Pewnie można i więcej. Ktoś korzystał z takich polis? Rok temu chyba jakaś firma z tym startowała, ale pamiętam że nasz bezpiecznik nie miał na ich temat dobrego zdania. Jak ktoś sieci w ubezpieczeniach, niech da znać czy ergo zrobiła to lepiej bo ja przez żadne regulaminy polis nigdy nie jestem w stanie przejsc ;]

    • Może by czasem użyć CTRL+F jak nie da się użyć rozumu?

    • lolek, nie wiem jak Ty ale ja na tagi nie patrzę ;)

  3. Spoko art, nawet jak na sponsorowany. Gorzej sie czyta kiedy dchodzimy do wklejanych materiałów od firmy zlecającej. Najbardziej to padłem jak zacząłem czytać ten tekst ichniejszy i wszędzie te hasz-tagi #cyberochrona to #cyberochrona tamto. Nie wiem czy się da, ale jako urzytkownik waszego portalu zgłaszam iż ich materiał jest miernie napisany i jesli się da, na przyszłość spytajcie się czy mozecie przerobić odrobinę tekst, by dało się go czytać.

  4. 50 tysi i wiecej to koszt strat wizerunkowych dowolnej malej frmy .. stawki sa lol jak zwykle – lepiej zatrudnic specjaliste IT a nie specjaliste PR :)

    • Specjaliste IT za 3k rocznie? Yhym.

  5. JAK się nie ma nic do ukrycia i mówi się prawdę ,i uczciwie żyje ,to po co się komu włamywać ,proszę niech zapyta odpowiem ,zgodnie z prawdą…

    • Prosze o szczera odpowiedz: Czy przestala juz pani brac lapowki?
      Tak czy nie?

      ;-)

    • A więc pytam: Jak często się Pani masturbuje? Ile ma Pani nagich fotek? Gdzie mogę je znaleźć? Jaki jest Pani adres zamieszkania? Tylko proszę odpowiadać zgodnie z prawdą, w końcu nie ma Pani nic do ukrycia.

    • Ach, uwielbiam to naiwne podejście do rzeczywistości :D

    • Ale mówienie prawdy tez kosztuje. Przecież trzeba wszystkich poszkodowanych klientów przeprosić i poinformować o sytuacji w odpowiedni sposób? Trzeba. Trzeba skontaktować się z innymi zaangażowanymi podmiotami? Trzeba. Trzeba wygłosić publiczne kajania oraz poinformować społeczność w jaki sposób planuje się zabezpieczyć przed powtórką incydentu? Trzeba. Trzeba w końcu wytłumaczyć zainteresowanym w jaki sposób doszło do ataku i jakie mogą być jego skutki? Trzeba. A przekazanie takich informacji w sposób właściwy, który z jednej strony uspokoi klienta, ale bez oszukiwania go, że nic się nie stało i przekazując mu pełnie informacji potrzebnych do zapewnienia mu bezpieczeństwa (np. wyciekło ci hasło, jeżeli w jakimkolwiek innym systemie masz takie samo zmień je natychmiast!) nie jest łatwe. Ba nawet bardzo trudno.

    • Drakos333 dobitnie wskazał na fakt, że każde z nas ma coś do ukrycia. Każda organizacja ma wszystkie rodzaje informacji. Od informacji jawnej czyli tej, o której mówisz “nie mam nic do ukrycia”, poprzez informacje niejawnej czyli tej, którą Drakos333 określił jako “nagie zdjęcia” po informacje tajne, które powinniśmy strzec i nie dopuścić do ich upublicznienia. Informacja tajna jest to rodzaj wiedzy tajemnej, której niekontrolowany wyciek doprowadzi do zachwiania organizacją. Każdą organizacją.

  6. koszta większe są ale nie ma 100 % zabezpieczenia jak pisze
    krzysztof 2015.10.06 12:50 | # | Reply cytując “lepiej zatrudnic specjaliste IT a nie specjaliste PR” . Krzysiek powiem ci szczeże że hakerzy włamują się do firm antywirusowych gdzie na codzień pracują z bezpieczenstwem IT. Co do ergo to ja ma miłe wspomnienia

  7. Jak agencja PR może opanować kryzys? Namierzy i zlikwiduje włamywacza, czy po prostu zatuszuje wpadkę i będzie wmawiać “Polacy, nic się nie stało”.

  8. Mam linuxa, nigdy mi danych nie wykradną!

    • Marzenia, to ty masz

  9. Na PC linuks, na telefonie iOSa, a infra za potrójną ścianą ogniową :-)

    • Nie ma 100% bezpiecznych systemów, są tylko takie, do których jeszcze nikomu z odpowiednimi zasobami nie chciało się włamać. Ale fakt, grunt to się zabezpieczyć przed podstawowymi atakami by nie był w stanie tego zrobić byle gówniarz z ulicy bo szansa, że ktoś z odpowiednimi zasobami zainteresuje się szarym Kowalskim jest niewielka ;)

  10. Witam, na UTM Fortigate są opcje które blokują wyciek kard kredytowych SSN i innych ręcznie zdefiniowanych o ile oczywiście dane lecą nieszyfrowane przez router. Ale się zastanawiam czy nie ma czasami dodatku do nginx/apacha/loadbalancera który po prostu zatrzyma webserwer i powiadomi admina jeżeli tylko ten zacznie wypluwać zastrzeżony ciąg znaków (np nazwę tabeli/pierwsze wiersze itp)? ktoś coś?

    • … myślisz że komunikacja zawierająca takie dane nie będzie szyfrowana (nawet w malware)?

    • Takie rzeczy możesz zrobić w bezpłatnym mod_security do Apache (bardzo duże możliwości jeśli chodzi o pisanie własnych reguł, ale standardowe też są bardzo dobre jeśli chodzi o większość “standardowych” ataków).

      Możesz nawet postawić mod_security w trybie reverse proxy na apache i w backendzie trzymać inny webserver.

      Jak chcesz podejść jeszcze z innej strony to konfigurujesz IDS-a (czy IPS-a jeśli chcesz aktywnie blokować określony ruch). W takim bezpłatnym snorcie lekko zdefiniujesz własne reguły – w tym też banalnie wykrywanie wycieków określonych danych typu: numery kart kredytowych, PESELI, czy ogólnie określonych fraz (piszesz po prostu regexa).

  11. Mnie to najbardziej ciekawi co po takim ataku z GIODO klimatami? Czy odpowiedzialność można ponieść tylko z tytułu ewentualnego pozwu użytkowników, czy właśnie GIODO może solidnie dowalić?

  12. Nie polecam takich ubezpieczen, bo gdy dojdzie rzeczywiscie do wypadkow to firma i tak w 75% nie zaplaci bo costam nie bedzie spelniac ich regulaminu.

  13. Do akapitu o #cybercoś tam czytało się normalnie wnoszę więc że tekst zapewne sklejony tekst z dwóch części – pisanej przez Niebezpiecznika oraz części dosłanej przez reklamodawcę. Ale generalnie – dla mnie trochę obciach – albo pisze się wyraźnie że sponsoring – i wówczas ja sobie spokojnie omijam tekst i czytam to co ważne, ciekawe, albo robi się ludzi w lalala… a to nie służy wizerunkowi – Panowie – albo niezależny blog ekspercki na poziomie, albo markieting. Szkolenia macie dość drogie, więc chyba nie ma aż takiej potrzeby dobijania na reklamie? Szanujmy się wzajemnie – Wy nie róbcie Onetu, my będziemy czytelnikami uczestniczącymi…

  14. Droga redakcjo – artykuł jest w połowie reklamą.

    W dobrym tonie byłoby jakoś bardziej wyróżnić oznaczenie “ARTYKUŁ SPONSOROWANY”, bo w szarych tagach na szarym tle trochę się gubi.

    • P.S.

      Po tytule, a także po przeczytaniu fragmentu “W firmie, która nie jest przygotowana na tego typu incydenty, zamiast skoordynowanych działań technicznych, prawnych i PR-owych zaczyna się panika…” spodziewałem się, że w dalszej części artykułu znajdzie się ABC obsługi incydentu – tym czasem dalsza część mówi o tym, że “Polisa zrekompensuje dodatkowe koszty z zakresu public relations, np. wynajęcie zewnętrznej agencji PR”.

      Przesłanie jasne – “nie musisz umieć kompetentnie zareagować na incydent, wystarczy, że zakupisz reklamowany produkt”. Niestety sądzę, że rzeczywistość może negatywnie zweryfikować poleganie na tylko i wyłącznie polisie a nie pewności, że firma jest na obsługę incydentu przygotowana wewnętrznie.

  15. Google już działa, a strony słabo zabezpieczone na których były/są włamania hakerskie będą miały nieciekawie w wyszukiwarce. Garść info na ich blogu > An update on how we tackle hacked spam

  16. Ale bezczelna reklama :) Pewnie jak bedziesz chcial odebrac ubezpieczenie po skutecznym ataku nie bedzie to takie latwe. Przyjdzie pan z ubiezpieczalni i sprawdzi polityki bezpieczenstwa panujace w firmie, zainstalowane aktualizacje oraz dzialajace systemy przeciwwlamaniowe itd. W najlepszym wypadku ktos dostanie 1 000 zl na otarcie lez.

    Wnioski:
    Szkoda pieniedzy na takie cos i lepiej zatrudnic specjaliste lub zlecic audyt bezpieczenstwa. Taniej wyjdzie i bedzie bardziej skuteczne od ubezpieczyciela.

  17. Artykuł jak artykuł, bez rewelacji. Natomiast po dokładnym przeczytaniu widać, że to dla firm. Trochę mnie dziwią powyższe opinie, bo chyba nikt z komentujących nie przeczytał uważnie. Stwierdzenie, że “lepiej zatrudnić specjalistę IT niż PR” jest ok, ale za ubezpieczenie zapłacisz ponad 2 tys za rok, wiec chyba nie zatrudnisz za tyle specjalisty IT… Drugie stwierdzenie “jak agencja PR ma opanować kryzys….”, jest w artykule info, że w ramach ubezpieczenia jest wsparcie firm informatyki śledczej. Zapewne w sekcji I, która kryje dane elektroniczne. PR to sekcja II i pomoc w działaniach marketingowych. Ale lepiej narzekać…

    • Dla mojego dobrego samopoczucia lepiej jak firma ma dobry dzial IT (kompetentny) i doklada wszelkich staran dla zabezpieczenia uslug z jakich korzystam. Czyli firma bedzie mogla sie pochwalic “drodzy klienci bo my jestesmy ubezpieczeni to jestesmy lepsi od konkurencji”. A co taki szarak jak ja ma z tego. Czy ja tez moge liczyc na wieksza sume za moje straty. W koncu powierzam im moje dane, haslo itp. a oni nie dopilnowali swojej infrastruktury tylko wydali pieniadze na Ergo Hestia bo taniej? Hmm… czy w takiej sytuacji bede mogl pozwac firme od odszkodowanie poniewaz bardziej im zalezy na PIAR niz na moim bezpieczenstwie?

  18. A jaką ubezpieczalnia przewiduje odpowiedzialność za popełnione błędy w sztuce IT? Chodzi o np. przechowywanie haseł w bazie danych jawnym tekstem zamiast z haszem i na słono, zabytkowe i dziurawe oprogramowanie, czy jak pracownik niechcący komuś wyśpiewa wrażliwe dane przez telefon??? Ja widzę tyko dwie możliwości: albo ta firma 99,9% odszkodowań nie wypłaci albo jest frajerem i bierze odpowiedzialność za czyjąś głupotę i niedouczenie, bo większość incydentów IT właśnie z tego się bierze. Tego normalne ubezpieczenia nie obejmują.

    • Z informacji, które są nam dostępne, klienci “mniejsi” są oceniani poprzez kwestionariusz (jak skłamią, to robią krzywdę sobie, bo można zakwestionować wypłatę ewentualnego odszkodowania), a więksi są audytowani i ubezpieczyciel może wymusić, przed przystąpieniem do ubezpieczenia, poprawienie bezpieczeństwa infrastruktury.

      Nasza branża (IT) myśli, że ubezpieczycielom zależy na niewypłącaniu odszkodowań. To nawet logiczne, prawda? Ale prawda jest taka, że ubezpieczycielowi jest w zasadzie wszystko jedno (równoważy sobie ryzyko w tzw. “portfelu”) a nawet czasem — jak nam tłumaczono (nie tylko w Hestii) — zależy im na wypłacie odszkodowania, bo nic tak dobrze nie świadczy o polisie, jak to, że jej klienci są chronieni , a ubezpieczenie “działa”. Tak, też byłem zaskoczony :-)

  19. Myślę, że w pierwszej kolejności ERGO Hestia powinna ubezpieczyć siebie od takiego ryzyka ;) If you know what I mean..

  20. od dzisiaj czytam tagi zamiast tytułów ..i od czasu do czasu treść jeśli tagi , nooo i ewentualnie tytuł mnie zaciekawią.. ..z ubezpieczycielami to jest dokładnie tak, że starannie szukają winy najpierw u ubezpieczonego :) a jak wszyscy wiedzą nie ma bezpiecznych systemów choćby z powodu naturalnych opóźnień pomiędzy wydaniem aktualizacji a ich implementacją ..dlatego szczerze nie wierzę w takie ubezpieczenia.

  21. Tytuł powinien brzmieć bardziej “Prędzej czy później się włamią. Jak się na to przygotować?”. Propozycja, aby wykupić ubezpieczenie nie jest odpowiedzią na pytanie, co zrobić, gdy włamanie już wystąpi…

  22. Lepiej inwestowac w lepsze zabezpieczenia niz ubezpieczenie. Niektore firmy moga przyjac strategie aby nie dbac o bezpieczenstwo swoich danych tylko wykupic ubezpiecznie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.