Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Odpowiedzialność prawna sprawcy ataku APT

Data publikacji: 26-08-2021 Autor: Charlotta Lendzion

Z roku na rok liczba cyberataków rośnie, a napastnicy używają coraz bardziej zaawansowanych technik ataków. Zagrożenie rośnie nie tylko ze względu na coraz większą liczbę podłączonych do internetu urządzeń – na krajobraz zagrożeń wpłynęła także sytuacja epidemiologiczna. Jednym z największych zagrożeń pozostają kampanie Advanced Persistent Threat.

 

Biorąc pod uwagę, że nie zawsze zabezpieczenia systemowe w danym przedsiębiorstwie są na odpowiednim poziomie, a zarazem rośnie liczba coraz bardziej zaawansowanych kampanii, może być przyczyną nieuprawnionego dostępu do danych, a co za tym idzie – potencjalnie kolosalnych strat finansowych i wizerunkowych dla danego przedsiębiorstwa. Według danych zgromadzonych przez analityków statista.com przychody z rynku ochrony przed APT na całym świecie od 2015 do 2025 r. szacuje się na prawie 12,5 mld dolarów rocznie.

W odpowiedzi sekretarza stanu w Ministerstwie Sprawiedliwości – z upoważnienia ministra – na interpelację nr 15805 w sprawie internetowych przestępstw komputerowych możemy przeczytać m.in, że przestępczość komputerowa jest zjawiskiem niejednolitym, które obejmuje cały szereg różnych bezprawnych zachowań, a przestępstwa popełniane z wykorzystaniem sieci internet ujawniane są na wielu płaszczyznach. Najczęściej jednak godzą one w bezpieczeństwo danych osobowych, własność intelektualną, własność przemysłową czy też – jak trafnie wskazuje autor interpelacji – „w bezpieczeństwo usług bankowych (finansowych) świadczonych za pośrednictwem Internetu”. Oznacza to, że przestępstwa APT mogą mieć na celu nie tylko pozyskanie danych osobowych, ale również własności intelektualnej czy danych bankowych i finansowych.

Głównym celem ataków Advanced Persistent Threat (APT) jest pozyskanie poufnych informacji, wrażliwych danych czy tajemnic przedsiębiorstw. Jednak nie tylko przedsiębiorstwa mogą być celem ataku – zagrożone są również osoby fizyczne, które są inwigilowane za pomocą oprogramowania po to, aby ostatecznie spenetrować infrastrukturę przedsiębiorstw. Jest to proces długotrwały, który polega na wytrwałym szpiegowaniu ofiary i skrupulatnym maskowaniu całego procederu. Innymi słowy podmiot przeprowadzający atak łamie zabezpieczenia systemowe danej firmy, organizacji lub osoby fizycznej, dostaje się w głąb systemu i śledzi go w taki sposób, aby zebrać jak najwięcej informacji potrzebnych do przeprowadzenia ostatecznego ataku, w którym zostanie osiągnięty cel. Wskazuje się, że średni czas od włamania do osiągnięcia celu trwa około sześciu miesięcy. Użytkownicy systemu nie wiedzą nawet, że złośliwe oprogramowanie szpieguje wszystkie kroki, jakie są w danej organizacji czy firmie wykonywane na każdym szczeblu.

Według cybersecurity.org atak APT, ze względu na ich złożoność, dzieli się na kilka etapów. Pierwszym z nich jest faza reconnaissaince, czyli rozeznania w zakresie firmy, która ma być celem ataku. Przykładem rekonesansu może być weryfikacja słabych punktów, które najpierw mogą być początkowym wektorem ataku, np. słabo zabezpieczona skrzynka pocztowa. Drugi etap określany jest mianem weaponization, co można tłumaczyć jako uzbrajanie kampanii. Ma on na celu przygotowanie odpowiedniego oprogramowania, które złamie zabezpieczenia infrastruktury. Może się to sprowadzać do dystrybucji zainfekowanych plików XLS czy PDF, które pracownicy otworzą na firmowych komputerach. Następnie złośliwe oprogramowanie trafia do celu, czyli jest dostarczane do danej firmy np. poprzez maila, z użyciem mechanizmów socjotechnicznych (phishing). Po otwarciu takiego pliku dochodzi do kolejnych etapów, jakimi są exploitation i install, które mającą na celu instalację złośliwego oprogramowania w zaatakowanym systemie. Po instalacji atakujący przejmuje kontrolę (Command and Control) nad danym komputerem czy systemem i dochodzi do zrealizowania celu samego ataku, czyli pozyskania poufnych informacji, kradzieży danych itp.

Złożoność problematyki APT wynika głównie z trudności w odnalezieniu sprawców lub możliwości wskazania ich tożsamości, co jest kluczowe, aby móc w przyszłości postawić komuś chociażby zarzuty karne czy też domagać się odszkodowania.

O ile przepisy na terenie Polski zawierają katalog mający zastosowanie do przestępstw tego typu, o tyle znalezienie podmiotu odpowiedzialnego za ataki może być utrudnione lub wręcz niemożliwe. Coraz mniej skuteczne jest na przykład śledzenie przepływów finansowych po opłaceniu okupu – konta napastników zakładane są na „słupy”, a coraz częściej hakerzy wykorzystują kryptowaluty gwarantujące im pełną anonimowość. Atrybucja jest tym trudniejsza, że skutku nie przynosi także analiza ruchu sieciowego – atakujący wykorzystują zaawansowane mechanizmy ukrywania źródeł ataku, jak choćby trasowanie cebulowe.

Podmioty prywatne powinny nie tylko poszerzać swoją wiedzę z zakresu cyberbezpieczeństwa w obrębie własnej branży, ale również zapoznawać się z komunikatami pochodzącymi z organizacji działających w innych gałęziach gospodarki. Chociażby w zakresie publikacji informacji sojuszniczych, np. US–01/2020, która jest skierowana do sektora bankowego/finansowego, ale ogólny jej przekaz może być bardzo wartościowy również dla innych branż. Nawet jeśli w danym momencie ataki mogą być skierowane na daną branżę, to nie ma pewności, że za chwilę nie zaistnieją one w innej. Najcześciej takie komunikaty można znaleźć na stronie KNF.

 

> Ustalenie sprawcy ataku

Ustalenie podmiotu przestępstwa (podejrzanego, oskarżonego) jest niezwykle ważne, ponieważ wskazanie konkretnej osoby/podmiotu jest niezbędne, aby móc postawić zarzut karny. W początkowej fazie postępowanie karne toczy się w sprawie, wtedy jest ustalany zakres strat, jakie firma poniosła, oraz zbieranie wszelkich dowodów. Kolejną fazą postępowania jest prowadzenie sprawy in personam, czyli przeciwko komuś. Dlatego, jak czytamy w pozycji „Ustalenie tożsamości oskarżonego w postępowaniu karnym” J. Izyroczyka, istotą postępowania karnego jest ustalenie zakresu przestępstwa, następnie tożsamości podejrzanego, a dopiero w dalszej kolejności ustalenie jego dokładnych danych osobowych.

Zgodnie z artykułem 213 Kodeksu postępowania karnego: „w postępowaniu należy ustalić tożsamość oskarżonego, jego numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL), a w przypadku osoby nieposiadającej numeru PESEL – numer i nazwę dokumentu stwierdzającego tożsamość oraz nazwę organu, który wydał dokument, a także wiek oskarżonego, jego stosunki rodzinne i majątkowe, wykształcenie, zawód i źródła dochodu, dane o jego karalności oraz w miarę możliwości numer telefonu i telefaksu oraz adres poczty elektronicznej umożliwiające kontaktowanie się z oskarżonym oraz numer identyfikacji podatkowej (NIP), o ile został nadany. Odnośnie do oskarżonego będącego funkcjonariuszem publicznym w chwili popełnienia czynu lub w czasie postępowania należy ponadto zebrać dane dotyczące przebiegu służby publicznej, wyróżnień oraz ukarań dyscyplinarnych. W razie potrzeby prokurator, inny organ prowadzący postępowanie przygotowawcze lub sąd uzyskuje informację z systemu teleinformatycznego ministra właściwego do spraw finansów publicznych dotyczącą stosunków majątkowych i źródeł dochodu oskarżonego, w tym prowadzonych i zakończonych postępowań podatkowych, na podstawie aktualnych danych znajdujących się w tym systemie. Informację uzyskuje się drogą elektroniczną”. Oznacza to, że tożsamość sprawcy jest kluczowa dla sprawy. Dlatego podmiot poszkodowany/pokrzywdzony powinien złożyć zawiadomienie o popełnieniu przestępstwa (jeżeli takowe zachodzi) wraz z żądaniem ustalenia sprawcy ataku.

 

[...]

 

Prawnik, właściciel llegal.pl, stały mediator przy Sądzie Okręgowym w Gdańsku specjalizujący się w mediacjach z zakresu własności intelektualnej. Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD, Autorka książki o odpowiedzialności odszkodowawczej. Auditor wewnętrzny w zakresie bezpieczeństwa informacji oraz systemu zarządzania jakością. Certyfikowany tester oprogramowania. Z branżą IT związana od 2012 roku. Aktualnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"