Kategoria: bezpieczeństwo IT

Kategorie
bezpieczeństwo IT

Potężny botnet atakuje Microsoft Office365

„Rozpylanie haseł” tzw. „password spayring” nie jest niczym nowym. Takie wykorzystanie logowań pomaga atakującym uniknąć wykrycia przez tradycyjne kontrole bezpieczeństwa. Atakujący próbują dopasować hasło do usługi poprzez złamanie niedługich i nieskomplikowanych kombinacji znaków alfanumerycznych. Chociaż obroną przed takim rodzajem ataku stało się tzw. podwójne uwierzytelnienie, czyli poświadczenie logowania poprzez drugi kanał komunikacji (two-factor authentication – 2FA), to jednak w ostatnich dniach stało się to niewystarczające. Dlaczego?


Właściciel uwierzytelnionego mechanizmem 2FA już wcześniej konta może z czasem „pójść na skróty” i dodać swój autoryzowany uprzednio sposób logowania jako zaufany czyli sprzęt, swoją geolokalizację, kanał komunikacji, komputer lub adres logowań. Zaufana lista „upośledza” drogę podwójnej autoryzacji poprzez zatwierdzenie pytania „- Czy chcesz aby w przyszłości nie pytać Cię o hasło na tym urządzeniu?”, „- Czy dodać urządzenie do zaufanych?”.

Zazwyczaj „rozpylanie haseł” poprzez próby dopasowania ich w krótkich i nieskomplikowanych ciągach znaków, powoduje blokady systemów logowań, które ostrzegają zespoły bezpieczeństwa IT. Jednak obecna kampania jest skierowana w szczególności do nieinteraktywnych logowań czyli logowań systemowych, w części zautomatyzowanych i poświadczonych wcześniej jako zaufane. Co to oznacza i dlaczego stało się tak niebezpieczne i „skuteczne” z punktu widzenia autorów ataku?


Podczas każdej próby logowania na konto usług IT np. poczty lub hostingu na serwerze dostępnym z sieci Internet, który zabezpieczony jest mechanizmem podwójnej autoryzacji (two-factor authentication 2FA) system generuje alerty bezpieczeństwa uwierzytelniające logowanie na np. innym urządzeniu niż komputer (chociażby smartfon należący do właściciela lub administratora konta z zainstalowany tzw. autentykatorem do generowania poświadczeń). Jeżeli wcześniej atakowane konto posiadało zatwierdzoną, zaufaną autentykację a proste i nieskomplikowane hasło zostało uprzednio, dodatkowo skompromitowane (złamane), to taka sytuacja umożliwia atakującym działanie bez uruchamiania obrony mechanizmu 2FA lub zasad dostępu warunkowego, nawet w wysoce zabezpieczonych środowiskach. Takim celem stał się uznawany za bezpieczny system poczty Microsoft Office365. System nie broni się jednak sam. Właściciele kont sami dostarczają powodów do wykorzystania zaufanych mechanizmów poświadczeń.


W ostatnim czasie atakujący za cel obrali sobie konta Microsoft 365 głównie w organizacjach świadczących usługi finansowe, ubezpieczenia, usługi dla ludności i biznes korzystający z masowej wysyłki wiadomości e-mail tzw. „newsletter”. Sygnały o atakach dochodzą do specjalistów IT również z sektorów takich jak opieka zdrowotna, rząd i obrona, technologia, usługi chmurowe oprogramowania oraz edukacja i badania. To spory zasięg ogromnej kampanii botnet.

Uważa się, że teraźniejszy atak ma duży impakt, ponieważ omija na swój sposób nowoczesną obronę i prawdopodobnie jest to czyn chińskiego rządu.

Jakie kroki należy wykonać? Jakie działania prewencyjne są niezbędne?


Właściciele zabezpieczonych hasłami i mechanizmem 2FA kont jak i administratorzy i zespoły bezpieczeństwa IT winni niezwłocznie przejrzeć nieinteraktywne dzienniki logowania pod kątem nieautoryzowanych prób dostępu w celu wyłączenia starszych protokołów uwierzytelniania poświadczeń. Ponadto powinno się monitorować ewentualnie skradzione dane uwierzytelniające powiązane z organizacjami i wdrażać zasady dostępu warunkowego 2FA tam gdzie go jeszcze nie ma. Bezwzględnie należy zmienić hasła dostępowe do usług na minimum 24-ro znakowe ciągi kombinacji liczb, wielkich i małych liter oraz znaków specjalnych. Warto przejrzeć listy urządzeń zaufanych w usługach i poświadczyć ich uwierzytelnienie ponownie już po zmianie hasła na silniejsze. Niezbędnym krokiem jest również wyczyszczenie używanej przeglądarki Internet poprzez usunięcie „ciasteczek” (cookies) z pamięci cache oraz usunięcie wszelkich, zapamiętanych uprzednio haseł i loginów (na wszystkich używanych urządzeniach).

Nie należy „chodzić na skróty” i unikać zapamiętywania haseł w przeglądarkach Internetowych. Warto weryfikować co pewien czas listę zaufanych urządzeń i ją aktualizować poprzez zmianę haseł na silniejsze. Konieczne jest używanie długich i trudnych do odgadnięcia słownikowego poświadczeń, najlepiej stworzonych w tym celu przez generator losowy. W przeciwnym razie, skompromitowane hasła poprzez ominięcie systemu podwójnej autentykacji w przypadku poczty Microsoft Office365 mogą umożliwić atakującym przejęcie konta pocztowego w celu np. wysyłki niechcianych wiadomości typu „spam”, które w ostatecznym rozrachunku zablokują konto pocztowe poprzez działania prewencyjne administratorów serwera. Brak komunikacji poprzez zablokowane konta to możliwy, nie jedyny skutek ataku. Przejęte konto e-mail może posłużyć do podszycia się pod tożsamość jego właściciela.


Źródło: https://www.darkreading.com/cyberattacks-data-breaches/microsoft-365-accounts-sprayed-mega-botnet

Kategorie
bezpieczeństwo IT

Podatność w 7-Zipie

Odkryto groźną lukę w oprogramowaniu 7-Zip, pozwalającą zdalnym atakującym na obejście mechanizmu ochrony Windows i w rezultacie wykonanie dowolnego kodu na komputerze.

Źródło: https://kapitanhack.pl/2025/01/24/nieskategoryzowane/podatnosc-w-7-zipie-umozliwia-zdalnym-atakujacym-ominiecie-zabezpieczen-i-wykonanie-dowolnego-kodu/

Informacje o CVE-2025-0411

Odkrycie luki i jej zgłoszenie przypisywane są badaczowi Peterowi Girnusowi (informacja z Trend Micro Zero Day Initiative). Oto, co wiemy o nowej podatności:

  • Posiada wysoki stopnień zagrożenia i występuje w archiwizatorze plików 7-Zip.
  • Umożliwia atakującym ominięcie funkcji zabezpieczeń systemu Windows, znanej jako Mark of the Web(MotW), oraz wykonanie złośliwego kodu na komputerach użytkowników podczas wyodrębniania plików z zagnieżdżonych archiwów.
  • Do jej wykorzystania wymagana jest interakcja użytkownika, polegająca na otwarciu złośliwego pliku lub odwiedzeniu strony internetowej zawierającej zainfekowany plik.
  • Stanowi poważne ryzyko dla użytkowników, ponieważ podważa kluczową funkcję zabezpieczeń systemu Windows, która ma zapobiegać uruchamianiu niezaufanych plików bez odpowiedniej kontroli. Atakujący mogą wykorzystać lukę w celu dystrybucji złośliwego oprogramowania lub uzyskania nieautoryzowanego dostępu do systemów, szczególnie w środowiskach, w których użytkownicy mają uprawnienia administracyjne.

Funkcja Mark of the Web (MotW) została zaimplementowana w 7-Zip od wersji 22.00, wydanej w czerwcu 2022 roku. Od tego momentu 7-Zip automatycznie dodaje flagi MotW (przechowywane w postaci alternatywnych strumieni danych „Zone.Id”) do plików wyodrębnianych z pobranych archiwów. Flagi te sygnalizują systemowi operacyjnemu oraz aplikacjom (w tym przeglądarkom internetowym), że dany plik pochodzi z niezaufanego źródła, przez co może wiązać się z ryzykiem i powinien być traktowany ostrożnie.

Niestety złośliwe pliki umieszczone w zagnieżdżonych archiwach mogą obejść tę ochronę. Problem występuje, gdy złośliwy plik, umieszczony głęboko w strukturze archiwum, nie dziedziczy flagi MotW w sposób prawidłowy. Atakujący może stworzyć taki zestaw zagnieżdżonych archiwów, w którym pliki wyodrębnione na dalszych poziomach nie będą oznaczone jako pochodzące z niezaufanych źródeł, co pozwala na ich uruchomienie bez wywołania odpowiednich ostrzeżeń ze strony systemu.

W rezultacie po wyodrębnieniu takiego pliku użytkownik może przypadkowo uruchomić złośliwy kod, doprowadzając do potencjalnego zainfekowania systemu, kradzieży danych lub innych ataków. Luka stanowi poważne zagrożenie, zwłaszcza w przypadku użytkowników, którzy nie są świadomi ryzyka związanego z otwieraniem plików z niezaufanych źródeł.

Przypominamy, że niedawno odkryto inną podatność umożliwiającą wykonanie kodu w 7-Zipie, śledzoną jako CVE-2024-11477. Dotyczyła ona wersji 24.07 i umożliwiała atakującym wykonanie dowolnego kodu w kontekście bieżącego procesu, jeśli użytkownik wszedł w interakcję ze złośliwymi archiwami.

Zagrożone wersje 7-Zip

Luka dotyczy wszystkich wersji 7-Zip do 24.07. Użytkownikom zdecydowanie zaleca się aktualizację do wersji 24.09, która rozwiązuje problem i zapewnia, że lagi MOTW są prawidłowo propagowane do wyodrębnionych plików.

Luka została zgłoszona dostawcy 1 października. Skoordynowane publiczne ujawnienie i wydanie poprawionej wersji nastąpiło19 stycznia.

Podsumowanie

Chociaż 7-Zip jest od dawna uważany za zaufane narzędzie do kompresji i ekstrakcji plików, ten incydent pokazuje, że nawet powszechnie używane oprogramowanie może zawierać luki w zabezpieczeniach. Użytkownicy powinni niezwłocznie podjąć kroki w celu złagodzenia ryzyka związanego z podatnością, aby zapewnić bezpieczeństwo swoich systemów.

Kategorie
bezpieczeństwo IT

Podatność CVE-2024-30103 MS Outlook

W związku z wykrytą krytyczną podatnością (Identyfikator: CVE-2024-30103) dotyczącą produktu Microsoft Outlook 2016, uczulamy Klientów Henwar i Wszystkich Państwa, aby w najbliższych dniach bacznie przyglądali się Państwo poczcie przychodzącej e-mail. Luka typu „zero-click” jest szczególnie niebezpieczna, ponieważ nie wymaga od użytkownika żadnych działań, takich jak otwieranie załączników czy klikanie linków. Wystarczy, że złośliwa wiadomość zostanie dostarczona do skrzynki pocztowej, a już może dojść do zainfekowania systemu.

Wśród systemów poczty elektronicznej, nad którymi sprawujemy opiekę IT, podjęliśmy już kroki administratorskie, w tym:

 

  1. Aktualizacja oprogramowania na końcówkach PC.
  2. Monitorowanie propagacji aktualizacji:
    • Będziemy na bieżąco monitorować stan wdrażania aktualizacji, aby upewnić się, że wszystkie systemy są zabezpieczone.

Prosimy również o poinformowanie pracowników IT Henwar Outsourcing o zagrożeniach związanych z otwieraniem nieznanych wiadomości e-mail, mimo że w tym przypadku nie jest to wymagane do aktywacji luki. Zastosowanie się do zaleceń pomoże zabezpieczyć system przed możliwym wykorzystaniem opisanej podatności.

Kategorie
bezpieczeństwo IT

Uży-szkodnik. Cyberbezpieczeństwo to gra zespołowa.

Wojsko Polskie na cyfrowym froncie. „Skala ataków
wzrosła drastycznie”

 

źródło:
https://biznes.interia.pl/gospodarka/news-wojsko-polskie-na-cyfrowym-froncie-skala-atakow-wzrosla-dras,nId,7516629#utm_source=paste&utm_medium=paste&utm_campaign=safari

 

Ogromne wsparcie, jakiego udzielamy braciom i siostrom z Ukrainy, powoduje, że interesują się nami wszelkie grupy hakerskie działające pod egidą służb specjalnych Federacji Rosyjskiej czy Białorusi, które próbują oddziaływać na nasze systemy – mówi Interii Biznes gen. dyw. Karol Molenda, Dowódca Komponentu Wojsk Obrony Cyberprzestrzeni. Jak dodaje, w ciągu pierwszego roku od wybuchu wojny skala ataków na infrastrukturę wojskową wzrosła pięciokrotnie. Jednocześnie podkreśla, że Wojska Obrony Cyberprzestrzeni wraz z innymi jednostkami odpowiedzialnymi za cyberobronę wspólnie monitorują sieć w sposób ciągły.

Dotyczy to każdej infrastruktury, zarówno wojskowej, jak i cywlilnej. Podczas kongresu Impact 2024 w rozmowie z Interią Biznes gen. dyw. Karol Molenda, Dowódca Komponentu Wojsk Obrony Cyberprzestrzeni, podkreślał, że właśnie dlatego cyberobrona jest konieczna nie tylko z wojskowego punktu widzenia, ale i całej Polski.

 

Duży wzrost ataków w cyberprzestrzeni

 

– Cieszę się, że zainwestowaliśmy w Siłach Zbrojnych w budowanie naszych kompetencji w zakresie wykrywania, monitorowania złośliwej aktywności w cyberprzestrzeni – powiedział gen. Molenda, wskazując, że polskie wojsko ma dobre kompetencje w zakresie rozpoznania czy działań ofensywnych. Podkreślał, że świadomość zagrożeń nie jest jednak na najwyższym poziomie, co jest niepokojące w kontekście zwiększonej aktywności hakerów. Z analiz jego zespołu wynika, że w pierwszym roku po wybuchu wojny w Ukrainie skala ataków „wzrosła drastycznie”.

Jest pięciokrotnie więcej ataków na infrastrukturę wojskową niż rok wcześniej. Ogromne wsparcie, jakiego udzielamy braciom i siostrom z Ukrainy, powoduje, że jesteśmy w zainteresowaniu wszelkich grup hakerskich, które działają pod egidą służb specjalnych Federacji Rosyjskiej czy Białorusi, które próbują oddziaływać na nasze systemy – powiedział nasz rozmówca.

 

Być o krok przed przeciwnikiem

 

Gen. Karol Molenda wyjaśnił, że cyberprzestrzeń można zdefiniować na kilka kolorów. Niebieski oznacza systemy wojskowe lub partnerskie, szary – firmy i sojuszników, czerwony – infrastrukturę, za którą są atakujący.

– Atakujący wielokrotnie wykorzystują tę cyberprzestrzeń szarą; my widzimy systemy, które oddziałują lub próbują oddziaływać na naszą infrastrukturę. To nie znaczy, że to są rosyjskie adresy IP, bo operacje prowadzone są pod obcą flagą – wyjaśniał, dodając, że monitoring cyberprzestrzeni prowadzony jest w sposób ciągły.

Jednocześnie zwrócił uwagę, że intencją WOC jest być „o krok przed przeciwnikiem”, jednak mimo wielowarstwowej ochrony zawsze istnieje ryzyko najsłabszego ogniwa, którym jest użytkownik, nazywany wręcz „uży-szkodnikiem„.

 

„Cyberbezpieczeństwo to gra zespołowa”

 

Nasz rozmówca zwrócił uwagę na obecny światowy problem związany z brakiem specjalistów.

– Szacuje się, że brakuje ok. 3 mln ekspertów na świecie w zakresie cyberbezpieczeństwa – wskazywał.

Jednocześnie podkreślał, że WOC współpracuje z innymi instytucjami odpowiedzialnymi za cyberbezpieczeństwo. W skali kraju dotyczy to CSIRT KNF czy NASK.

– Cyberbezpieczeństwo to gra zespołowa. Ataki mają miejsce nie tylko na sferę wojskową, ale również na rządową czy cywilną, więc nasza współpraca jest ciągła. Wymieniamy się informacjami każdego dnia o tym, co sami widzimy – tłumaczył. 

Dodał również, że WOC współpracuje z instytucjami odpowiedzialnymi za cyberbezpieczeństwo w NATO oraz swoimi partnerami.

– Utworzyliśmy z naszej inicjatywy forum, gdzie eksperci każdego roku spotykają się na poziomie niejawnym. Wymieniamy się taktykami, technikami, procedurami, które były wykorzystywane przez ostatni rok przez te grupy hakerskie, które na nas oddziaływały. Wnioski są jednoznaczne – w większości przypadków te same grupy wykorzystują te same narzędzia i tą samą infrastrukturę – podsumował rozmówca Interii.

Czytaj więcej na https://biznes.interia.pl/gospodarka/news-wojsko-polskie-na-cyfrowym-froncie-skala-atakow-wzrosla-dras,nId,7516629#utm_source=paste&utm_medium=paste&utm_campaign=safari

Kategorie
bezpieczeństwo IT

Wciąż nabieramy się na oszustwo z lat 90-tych.

W jaki sposób uruchomienie zwykłego kalkulatora Windows może czasem prowadzić do infekcji komputera? [kampania rosyjskich rządowych hackerów celująca w polskie instytucje]

źródło: https://sekurak.pl/%f0%9f%94%b4-w-jaki-sposob-uruchomienie-zwyklego-kalkulatora-windows-moze-czasem-prowadzic-do-infekcji-komputera-kampania-rosyjskich-rzadowych-hackerow-celujaca-w-polskie-instytucje/


Jak widzicie W treści maila pojawia się link (niby ze szczegółami), prowadzący do popularnego serwisu (webhook.site), który tylko przekierowuje do innego serwisu, a który finalnie serwuje plik zip

Po co takie przekierowanie? Ano po to, żeby systemy wykrywające podejrzane linki nie wykryły tego jako fraud („przecież link prowadzi do znanego serwisu”)

Co jest w pliku zip? Wygląda to jak plik .jpg ale po bliższym przyjrzeniu się jest to aplikacja (plik exe):

Zawartość archiwum zip

Co robi ten plik exe? To windowsowy kalkulator (czyli nic złośliwego). Rosyjscy hackerzy odpalają więc kalkulator? Niby tak, ale nie tylko kalkulator. Otóż w zipie znajdują się jeszcze dwa ukryte pliki – WindowsCodecs.dll oraz drugi plik – z rozszerzeniem .bat

Teraz przechodzimy do istoty tricku z kalkulatorem. W trakcie normalnego działania, windowsowy kalkulator szuka w aktualnym folderze pliku WindowsCodecs.dll i jeśli go znajduje, jest on ładowany (technika DLL side-loading – szerzej o niej pisaliśmy tutaj). Złośliwy DLL ma za zadanie odpalić plik .bat

Po co takie zamieszanie? Ano żeby zmylić systemy antywirusowe/antymalware

Dalej dla niepoznaki w przeglądarce wyświetlane jest zdjęcie kobiety w stroju kąpielowym + linki do (prawdziwych) kont na socjalach. Jednocześnie w tle odpalany jest skrypt, który listuje pliki w wybranych katalogach, a informację tę – wraz z adresem IP ofiary – wysyła do serwera atakujących. Dla części ofiar skrypt może realizować bardziej złośliwe operacje (w szczególności np. przejęcie dostępu do komputera).

Kategorie
bezpieczeństwo IT

Samorządy dostaną pieniądze na zwiększenie cyberbezpieczeństwa?

Hakerzy z Rosji coraz częściej atakują polskie serwery – w tym rządowe i wojskowe. Jak podaje „Rzeczpospolita” od stycznia liczba ataków wzrosła o 60 proc., a w ciągu pół roku o 130 proc. Skalę problemu potwierdza minister cyfryzacji Krzysztof Gawkowski, który wprost mówi o zimnej cyberwojnie z Rosją.

źródło: https://biznes.interia.pl/gospodarka/news-polska-toczy-zimna–z-rosja-tak-niebezpiecznie-jes,nId,7502010#ref#ref#ref#refutm_source=paste&utm_medium=paste&utm_campaign=safari

„Rzeczpospolita” przywołuje najnowsze analizy izraelskiej firmy Check Point Software (CP), do których dotarła. Wynika z nich, że co tydzień polskie firmy i instytucje atakowane są średnio 1430 razy. Tymczasem na Węgrzech ten wskaźnik to 1390, w Niemczech – 1011, na Łotwie 660 razy. Tylko w Czechach instytucje muszą odpierać więcej ataków, bo blisko 2000 tygodniowo – podkreśla gazeta.

Według cytowanych danych, najaktywniejszą grupą hakerską w tym obszarze jest rosyjska NoName057(16). W 2024 r. uderzała już m.in. w portale Polskiego Radia, Portu Gdynia, strony województwa lubelskiego, czy serwisy GOV.pl i ePUAP.pl.

Tym samym Polska znalazła się w czołówce krajów atakowanych na cyberwojnie, co potwierdzają polskie władze.

– Polska znajduje się w stanie zimnej cyberwojny z Rosją, to właśnie Polska jest najczęściej atakowana przez Rosjan w przestrzeni cyfrowej – mówił minister cyfryzacji, wicepremier Krzysztof Gawkowski w wywiadzie dla ukraińskiego portalu Ekonomiczna Prawda. 

CP poinformowało też „Rzeczpospolitą”, że w kwietniu 2024 r. około 55 proc. zagrożeń trafiało do polskiej sieci za sprawą złośliwych stron i aplikacji webowych. Z kolei 45 proc. ataków opartych była na poczcie elektronicznej. Jak podkreśla gazeta, to sytuacja odwrotna do trendów światowych, gdzie ataki e-mailowe stanowią ponad 60 proc. Ciekawy jest również fakt, że w ponad jednej trzeciej przypadków zainfekowany plik dostarczany do polskich komputerów ma rozszerzenie .exe, a co dziesiąty to .docx lub .pdf, tymczasem na świecie dominują PDF-y – to ponad 70-proc.

Samorządy dostaną pieniądze na zwiększenie cyberbezpieczeństwa

„Rzeczpospolita”, powołując się na dane CP wskazuje, że tylko w ciągu ostatniego pół roku administracja i armia były celem przestępców 1256 razy w tygodniu. Liczba ta ma zwiększyć się w II kwartale do ponad 2 tysięcy.

Obecnie rząd pracuje nad projektem ustawy, który ma na celu zwiększenie cyberbezpieczeństwa w Polsce, począwszy od najmniejszych jednostek samorządowych.

„Ponad 2 500 samorządów (blisko 90 proc.) otrzyma w bieżącym roku wsparcie finansowe w postaci grantów finansowanych ze środków budżetu państwa oraz programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027 (FERC). (…) Wsparcie to jednostki samorządu terytorialnego będą mogły wykorzystać na modernizację rozwiązań w obszarze cyberbezpieczeństwa. Łączna wartość wsparcia jaka zostanie przekazana wyniesie ok. 1,5 mld zł.” – czytamy w Ocenie Skutków Regulacji.

Jednocześnie w uzasadnieniu do projektu wyjaśniono, że „obecnie ani przedsiębiorcy telekomunikacyjni ani dostawcy usług zaufania nie są podmiotami krajowego systemu cyberbezpieczeństwa„, stąd nowe przepisy mają zarówno zwiększyć poziom bezpieczeństwa, jak również usprawnić proces reagowania na incydenty.

Kategorie
bezpieczeństwo IT

Przedłużenie stopni alarmowych ( BRAVO i BRAVO-CRP)

1 marca 2023

Przedłużenie stopni alarmowych BRAVO w obszarze ceberbezpieczeństwa.

Prezes Rady Ministrów na podstawie art.16 ust.1 pkt 1 ustawy z dnia 10 czerwca 2016 roku o działaniach antyterrorystycznych (Dz.U. z 2024 r. poz. 92) podpisał Zarządzenia:

- nr 16 z dnia 29 lutego 2024 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2 stopień BRAVO) na całym terytorium Rzeczypospolitej Polskiej,

- nr 17 z dnia 29 lutego 2024 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (stopień BRAVO CRP) na całym terytorium Rzeczypospolitej Polskiej.

Zarządzenia obowiązują od dnia 1 marca 2024 roku od godz.00:00  do dnia 31 maja 2024 roku do godz. 23:59. Przypominamy, że w związku z ustawowymi przesłankami, które warunkują wprowadzenie drugiego stopnia alarmowego BRAVO, tj. zgodnie z art.15 ust.4 ww. ustawy: „drugi stopień (…), można wprowadzić w przypadku zaistnienia zwiększonego i przewidywalnego zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym, jednak konkretny cel ataku nie został zidentyfikowany”. Proszę o zachowanie wzmożonej czujności w stosunku do osób zachowujących się w sposób wzbudzający podejrzenia, a także na podejrzane przedmioty pozostające bez opieki.

W związku z powyższym zwracamy Państwa uwagę na zachowanie zwiększonej czujności również przy użytkowaniu systemów teleinformatycznych, a w szczególności podczas korzystania z sieci Internet. 

Prosimy o zwracanie uwagi na wszelkie budzące Państwa wątpliwość wiadomości e-mail oraz wzmożone próby logowania do dostępnych usług w sieci Internet celem uzyskania dostępu do kont użytkowników. Szczególnej uwagi wymagają zwłaszcza pola związane z określeniem nadawcy wiadomości i jej tematem oraz załączonymi do wiadomości plikami. Ponadto, stwarzająca zagrożenie wiadomość bardzo często zawierać może w treści odnośnik do innych zasobów (link), którego aktywacja umożliwi zainfekowanie komputera, kradzież danych etc. Dodatkowo uwagi wymagają pozostawione bez opieki nośniki danych i urządzenia, których  podłączenie do infrastruktury teleinformatycznej (komputerów, terminali, tabletów itp.) może stanowić potencjalne zagrożenie. Znalezione niezidentyfikowane nośniki/urządzenia należy niezwłocznie przekazywać do lokalnych Działów/Sekcji/ Informatyki. Ostrzegamy o możliwości wystąpienia kolejnych odsłon kampanii phishingowych, wymierzonych w prywatne skrzynki poczty elektronicznej, w szczególności osób pełniących kierownicze funkcje. Jednocześnie przypominamy, że zabronione jest przetwarzanie służbowych informacji za pośrednictwem prywatnej poczty elektronicznej. Prosimy nie otwierać odnośników i załączników do wiadomości e-mail budzących jakiekolwiek Państwa wątpliwości, a wszelkie dostrzeżone przez pracowników podmiotów leczniczych MSWiA incydenty bezpieczeństwa informacji, niezwłocznie zgłaszać do lokalnych Działów/Sekcji/ Informatyki.

Wcześniej:

Zarządzeniem Nr 282 Prezesa Rady Ministrów od dnia 01.09.2022r. od godz. 00.00 do dnia 30.11.2022r. do godz. 23.59 na terytorium RP wprowadzono III stopień alarmowy CRP (stopień CHARLIE-CRP), oraz

Zarządzeniem Nr 283 Prezesa Rady Ministrów od dnia 01.09.2022r. od godz. 00.00 do dnia 30.11.2022r. do godz. 23.59 na terytorium RP wprowadzono II stopień alarmowy (stopień BRAVO).

 

 

W związku z tym przypominamy o zwracaniu uwagi na podejrzanie wyglądające wiadomości e-mail.
Na skrzynki e-mail często spływają wiadomości informujące np. o nieopłaconych fakturach, prośbach o potwierdzenie tożsamości, postępowaniu sądowym, oczekującej przesyłce do odebrania itp. Takie wiadomości w załącznikach mogą zawierać złośliwy kod skutkujący po otwarciu załącznika zainfekowaniem komputera złośliwym oprogramowaniem spreparowanym przez atakującego hackera. Grozi to utratą danych z dysku, kradzieżą danych osobowych i nierzadko w konsekwencji utratą pieniędzy. Co więcej można w ten sposób narazić bezpieczeństwo IT całej instytucji, jeśli zaatakowany komputer pracuje w lokalnej sieci komputerowej.
Otrzymaliśmy również informację o zwiększonej ilości fałszywych maili od osób podszywających się pod banki. W mailach nakazuje się kliknięcie linku w celu zwiększenia bezpieczeństwa mobilnych aplikacji. Jest to wrogi proceder imitujący kontakt z prawdziwym bank.

 

Kategorie
bezpieczeństwo IT

DORA – co to za rozporządzenie?

DORA - co to za rozporządzenie?

DORA (ang. Digital Operational Resilience Act) to akt prawny, którego projekt powstał już 24 września 2020 r. Wiąże się z ujednoliceniem przepisów dotyczących cyberbezpieczeństwa w sektorze finansowym i zwiększeniem operacyjnej odporności cyfrowej podmiotów finansowych działających na terenie wspólnoty europejskiej. Już za kilkanaście miesięcy tysiące organizacji będzie musiało spełniać dodatkowe wymagania. Tym, co wyróżnia rozporządzenie DORA na tle innych regulacji sektora finansowego jest to, że obejmuje nie tylko firmy zajmujące się świadczeniem usług finansowych, ale także dostawców usług ICT. DORA daje tzw. wiodącym organom nadzorczym, właściwym dla danego kraju, szereg praktycznych narzędzi umożliwiających dogłębną kontrolę.

 

DORA jest rozporządzeniem, a więc nowe przepisy będą obowiązywały bezpośrednio we wszystkich państwach członkowskich UE bez konieczności tworzenia wewnętrznych interpretacji (choć z pewnością wiele wewnętrznych organizacji zajmujących się nadzorem finansowym stworzy własne regulacje dopasowane do prawa krajowego). Poza włączeniem w obszar regulacji dostawców usług ICT, zmiany dotyczą głównie:

Zapisy rozporządzenia wprowadzają także wytyczne dotyczące treści kontraktów zawieranych z dostawcami usług ICT. W umowie muszą znaleźć się między innymi: ocena krytyczności poszczególnych usług, jurysdykcja i lokalizacja dostawcy usług, informacje dotyczące przetwarzania danych i zachowania poufności, wykaz wykorzystywanych środków technicznych (np. metod kontroli dostępu do sieci i systemów).

    • konieczności stworzenia strategii zarządzania ryzykiem wewnątrz organizacji finansowych oraz zarządzania ryzykiem ze strony kluczowych dostawców ICT, a także scenariuszy działań w przypadku wystąpienia incydentu bezpieczeństwa,
    • obowiązku przeprowadzania regularnych testów penetracyjnych systemów i sieci IT oraz ćwiczeń dotyczących ciągłości działania na wypadek incydentów występujących po stronie dostawców ICT,
    • obowiązku zgłaszania incydentów właściwym organom,
    • konieczności utrzymywania aktualnych systemów informacyjno-komunikacyjnych

  • DORA to jednak tylko część szerokiej strategii poprawy bezpieczeństwa sieci i systemów ICT w sektorze finansowym. Jest niejako uzupełnieniem takich aktów prawnych, jak rozporządzenie RODO. regulujące sposób przetwarzania danych osobowych, a także dyrektywy NIS/NIS2. To właśnie NIS/NIS2, jako pierwsze unijne prawo dotyczące cyberbezpieczeństwa, stworzyły fundament do uchwalenia ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ustawa ta dotyczy nie tylko instytucji finansowych, ale wszystkich dostawców kluczowych usług o krytycznym znaczeniu dla funkcjonowania państw członkowskich. Sprawy związane z cyberbezpieczeństwem instytucji finansowych w Polsce regulowała dotąd głównie dyrektywa PSD2 oraz Rekomendacja D wydana w 2002 roku przez Komisję Nadzoru Finansowego. Rekomendacja D została podzielona na 4 obszary rozwoju środowiska w kierunku poprawy bezpieczeństwa, a nadchodzące zmiany związane z DORA powinny uszczelnić przede wszystkim luki obowiązujących przepisów wynikające z niedostatecznego poziomu zarządzania ryzykiem.Za nieprzestrzeganie przepisów, wynikających z rozporządzenia, organ nadzorczy będzie uprawniony do nakładania kar finansowych w wysokości do 10% rocznego obrotu w przypadku instytucji finansowej (w zależności od stopnia, charakteru i skutków naruszenia) oraz do 1% dziennego średniego obrotu światowego za poprzedni rok – w przypadku dostawców usług ICT.

    Kiedy rozporządzenie DORA wchodzi w życie?

    Rozporządzenie DORA zostało przyjęte przez Radę Unii Europejskiej 28 listopada 2022 roku. W przypadku nowego prawa przewidziano 24-miesięczne vacatio legis. Zważywszy na to, że przepisy weszły w życie 16 stycznia 2023 roku, podmioty objęte nowymi regulacjami powinny dostosować do nich najpóźniej 17 stycznia 2025 roku. Do tego czasu trwać będą procedury związane z wyznaczaniem dostawców ICT, jako kluczowych dla sektora finansowego oraz wypracowywanie nowych umów pomiędzy instytucjami finansowymi a obsługującymi je podmiotami.

    Kogo obejmie rozporządzenie DORA? Jak się do niego przygotować?

    Przepisy wynikające z rozporządzenia DORA obejmą wszystkie podmioty działające w sektorze finansowym – zarówno tradycyjne banki, jak i FinTechy, operatorów obrotu kryptoaktywów i pieniądza elektronicznego, a także (co jest największą nowością) -dostawców usług ICT, świadczących usługi dla tych organizacji. Firmy, które zostaną wyznaczone jako dostawcy kluczowych usług ICT dla regulowanego sektora, będą podlegać bezpośredniemu nadzorowi finansowemu uprawnionych organów. Procedura wyznaczania dostawców kluczowych rozpocznie się planowo po 18 miesiącach od chwili wejścia przepisów w życie, a więc od 16 stycznia 2023 roku. Przeprowadzać ją będą europejskie organy: EBA (European Banking Authority), ESMA (European Securities and Markets Authority) oraz EIOPA ( European Insurance and Occupational Pensions Authority ). O objęcie regulacjami będą mogły zawnioskować osobiście dostawcy usług ICT. Wiąże się to ze sprowadzeniem na nie dodatkowych obowiązków, ale jest transparentne i pozwala uzyskać im lepszą pozycję rynkową.

    Nadchodzące przepisy wymuszą na wielu podmiotach wprowadzenie wielu zmian proceduralnych i konieczność zastosowania nowych zasad cyberbezpieczeństwa. Niedostosowanie się do nowej rzeczywistości może skutkować dotkliwymi karami finansowymi.

    ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r.

Kategorie
bezpieczeństwo IT

Największy wyciek w historii? Dane tysięcy Polaków w sieci

Wyciek danych Polaków

Jedna z największych ogólnopolskich sieci laboratoryjnych ALAB padła ofiarą ataku hakerskiego. Firma nie chciała negocjować z cyberprzestępcami, w efekcie czego ci postanowili udostępnić dane medyczne i osobowe ponad 50 tysięcy Polaków. Informacje dotyczą m.in. wyników badań medycznych i nie tylko.

źródło: news-najwiekszy-wyciek-w-historii-dane-tysiecy-polakow-w-sieci,nId,7174444

ALAB Laboratoria to duża i ogólnopolska sieć laboratoriów diagnostycznych, z którą współpracuje wiele przychodni, klinik i innych placówek medycznych w całym kraju. Firma padła ofiarą ataku ransomware ze strony grupy RA World, w wyniku czego z ich komputerów wyciekły dane tysięcy Polaków. Cyberprzestępcy próbowali szantażować medyczne przedsiębiorstwo, jednak nie podjęto próby negocjacji.

W związku z tym do sieci udostępniono pierwszą „próbną” paczkę danych. Ta zawiera kilka gigabajtów informacji, w tym dane osobiste i medyczne ponad 50 tysięcy osób. Mowa tutaj nie tylko o imionach czy nazwiskach. W wycieku znalazły się też numery PESEL, dane kontaktowe czy wyniki przeprowadzonych badań medycznych. Oznacza to, że jeżeli korzystaliście w ostatnim czasie z usług laboratoryjnych to może oznaczać, że wasze dane również się tam znalazły.

Cyberprzestępcy straszą

Grupa RA World udostępniła pierwszą paczkę skradzionych danych, jednak to nie koniec. Dane opublikowane do tej pory składają się w 5GB z wyników laboratoryjnych testów, do tego dochodzi jeszcze 1GB umów firmy. Jak podał serwis Zaufana Trzecia Strona, liczba plików dotyczących wyników badań dotyczy około 50 tysięcy osób, a dokumenty są datowane na 2017-2023 rok. To jednak nie koniec.

Cyberprzestępcy poinformowali na swoim blogu, że to dopiero początek wycieku. Próbna paczka udostępniona do tej pory pojawiła się w sieci z powodu braku woli ALAB do współpracy i uiszczenia okupu. Hakerzy zapowiedzieli, że pozostała część danych wycieknie dokładnie 31 grudnia. Mowa o zestawie 246 gigabajtów plików PDF i XML, w których znajdują się numery PESEL i nie tylko.

Firma ALAB zapowiedziała, że wkrótce wyda oficjalne oświadczenie i skontaktuje się z poszkodowanymi osobami.

Hakerzy ukradli PESEL. Co można zrobić?

Choć brzmi to przerażająco, to ostatecznie ryzyko wykorzystania wszystkich danych w złych celach jest stosunkowo niewielkie. Wszystko za sprawą serwera, na których umieszczono pliki. Serwis Zaufana Trzecia Strona przetestował jego zdolność przesyłu i jest ona na tyle niewielka (a na dodatek niestabilna), że pobranie ponad 200 gigabajtów jest praktycznie niemożliwe.


Źródło, czytaj więcej na https://geekweek.interia.pl/technologia/news-najwiekszy-wyciek-w-historii-dane-tysiecy-polakow-w-sieci,nId,7174444#utm_source=paste&utm_medium=paste&utm_campaign=safari

 

Kategorie
bezpieczeństwo IT

Dyrektywa NIS i NIS2 – co zawierają?

Dyrektywa NIS i NIS2 – co zawierają?

Artykuł partnera IT: NETIA, autor: Tomasz Orłowski
źródło: https://www.netia.pl/pl/srednie-i-duze-firmy/youtro-strefa-wiedzy/co-zawiera-dyrektywa-nis-i-nis2

Uchwalona przez Unię Europejską w lipcu 2016 r. Dyrektywa NIS (ang. Network and Information Systems Directive) była fundamentem dla wielu zmian w zakresie cyberbezpieczeństwa we wszystkich krajach członkowskich, a nowe regulacje, które pojawiły się w ich następstwie, objęły kilkaset polskich podmiotów. Dyrektywa NIS2 wprowadza kolejne regulacje, a planowana w jej wyniku nowelizacja ustawy o Krajowym Systemie Bezpieczeństwa (KSC) obejmie niedługo kolejnych kilka tysięcy polskich firm i instytucji. Czy Twoja firma jest na to gotowa?

Dyrektywa NIS – co to jest?

Dyrektywa NIS to pierwsze uchwalone przez Parlament Europejski prawo dotyczące cyberbezpieczeństwa.Jej powstanie było efektem wzmożonego ruchu sieciowego i bardzo dynamicznego rozwoju wszelkiego rodzaju usług online oraz cyfryzacji praktycznie każdego sektora biznesu. Wprowadzenie nowych zasad ujednoliciło poziom bezpieczeństwa cyfrowego w poszczególnych krajach członkowskich. Dyrektywa NIS dawała członkom stosunkowo dużą swobodę w organizacji bezpieczeństwa „na własnym podwórku”.

Co zawiera dyrektywa NIS?

Dyrektywa NIS reguluje trzy obszary (zwane w jej treści filarami) i stanowi bardzo obszerny dokument. W dalszej części artykułu skupimy się na przedstawieniu jej najważniejszych założeń:

• Pierwszy filar – zakłada powstanie w każdym z krajów członkowskich instytucji odpowiedzialnych za bezpieczeństwo cyfrowe, tzw. CSIRT (ang. Computer Security Incident Response Team, zespół reagowania na incydenty bezpieczeństwa).

• Drugi filar – dotyczy współpracy krajów członkowskich na poziomie technicznym oraz strategiczno-politycznym. Ten filar realizowany jest przez tak zwane Cooperation Group oraz sieć CSIRT, w skład których wchodzą przedstawiciele CSIRT państw członkowskich, CERT-EU i Komisja Europejska jako obserwator.

• Trzeci filar – reguluje obowiązek reagowania na incydenty, obowiązek implementacji systemów bezpieczeństwa adekwatnych do ryzyka w poszczególnych sektorach i wiele innych. Dyrektywa nakłada również na członków UE stworzenie dedykowanej strategii narodowej w zakresie cyberbezpieczeństwa.

Czym jest dyrektywa NIS?

Dyrektywa NIS2 to rewizja istniejącej dyrektywy NIS. Jej powstanie było efektem kilku czynników:

• Przyczynił się do tego między innymi wybuch pandemii COVID-19, która znacznie przyśpieszyła cyfryzację, w tym popularyzację i rozwój usług chmurowych oraz zwiększyła znaczenie dostawców usług cyfrowych na rynku. Nowa dyrektywa obejmie swoimi regulacjami także bezpieczeństwo łańcucha dostaw.

• Dyrektywa NIS2 ma też skłonić instytucje państw członkowskich do bardziej skrupulatnego nakładania kar na przedsiębiorstwa, które nie wywiązują się z nałożonych obowiązków przez dyrektywę NIS (w Polsce poprzez ustawę o KSC). W grę wchodzą również kary nakładane na zarządy firm. Wartość kary może sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.

• Trzecim z głównych powodów było niedoszacowanie liczby „krytycznych” pod względem cyberbezpieczeństwa sektorów gospodarki. Wprowadzenie nowej klasyfikacji i dodanie do listy wielu nowych podmiotów ma wpłynąć na poprawę bezpieczeństwa w UE i wiedzy CSIRT (ang. Computer Security Incident Response Team) na temat ogólnego poziomu cyberbezpieczeństwa.

• Problemem, który ujawnił się po uchwaleniu dyrektywy NIS były duże różnice w sposobie i zakresie implementacji przepisów w ramach prawa państw członkowskich UE oraz nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w obrębie Wspólnoty.

Dyrektywa NIS2 nanosi na państwa członkowskie obowiązek opracowania planu i procedur na wypadek wystąpienia incydentów i kryzysów o dużej skali.

Największą zmianą z perspektywy firm i instytucji jest znaczne rozszerzenie zakresu podmiotów objętych zarządzeniami dyrektywy. Już niedługo w naszym kraju na kilka tysięcy firm zostaną nałożone duże wymagania dotyczące cyberbezpieczeństwa. Wiele podmiotów może nie być gotowych do spełnienia warunków. Jak sobie z tym poradzić? Piszemy o tym w dalszej części artykułu.

Dyrektywa NIS a ustawa o KSC

Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w Polsce w życie w sierpniu 2018 r. Była implementacją dyrektywy NIS – pierwszego unijnego prawa regulującego kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty. Ustawa sklasyfikowała tak zwanych operatorów usług kluczowych (OUK), którzy zostali objęci restrykcyjnymi przepisami w zakresie cyberbezpieczeństwa. Na liście znalazło się kilkaset podmiotów (w tym firmy z sektora energetycznego, transportowego, bankowość, służba zdrowia i inne).

Do najważniejszych obowiązków OUK należało między innymi:

• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństwa,

• ich utrzymanie oraz monitorowanie,

• zgłaszanie wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON).

Ponadto operatorzy usług kluczowych mają obowiązek przeprowadzania raz na dwa lata audytów swoich zabezpieczeń.

Pod koniec 2020 r. Unia Europejska przyjęła projekt dyrektywy NIS2. W efekcie już miesiąc później, tj. w styczniu 2021 r. rozpoczęto prace nad nowelizacją ustawy o Krajowym Systemie Bezpieczeństwa. Zmiany będą znaczące i obejmą dużą grupę podmiotów (szacuje się, że nawet kilka tysięcy na terenie naszego kraju).

Oprócz operatorów usług kluczowych specjalne wymagania dotyczące cyberbezpieczeństwa spełnić będzie musiała druga grupa – tak zwane podmioty istotne. Mają być tutaj sklasyfikowane m.in. podmioty świadcząceusługi pocztowe i kurierskie, dostawcy usług cyfrowych, producenci maszyn, urządzeń i pojazdów.

Czy Twoja firma ma odpowiednią ochronę przed cyberatakami?

 Nie jesteśmy w stanie przewidzieć, kiedy wejdzie w życie znowelizowana ustawa o KSC (spodziewany czas jest jednak krótki – nawet 3–4 miesiące). W przeciwieństwie do pierwotnej wersji ustawy z 2018 r., główni zainteresowani nie otrzymają decyzji administracyjnych od Ministerstwa Cyfryzacji o objęciu regulacjami ustawy.

Niestety sprostanie wymogom znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa będzie wymagało znacznie więcej wysiłku niż jedynie stosowanie się do podstawowych zasad cyberbezpieczeństwa. Szacuje się, że wdrożenie wymaganych zmian może zająć firmie nawet kilkanaście miesięcy. To zdecydowanie zbyt długi czas, z uwagi na planowane vacatio legis, czyli okres od publikacji aktu prawnego do momentu jego wejścia w życie, które w przypadku ustawy o KSC wyniesie zaledwie 30 dni.

Jak sobie z tym poradzić? Jednym z najwygodniejszych rozwiązań jest skorzystanie z usługi Netia SOC, czyli Security Operations Center – wykwalifikowanego zespołu specjalistów ds. bezpieczeństwa teleinformatycznego, którzy zajmą się cyberbezpieczeństwem w Twojej firmie. Nowelizacja ustawy o KSC zakłada bowiem, że w realizację założeń mogą być zaangażowane zewnętrzne zespoły SOC, prowadzące proaktywny monitoring sieci przy użyciu wydajnych systemów i reagujące na incydenty bezpieczeństwa, a następnie przesyłające stosowne raporty do sektorowych i krajowych zespołów reagowania CSIRT. Zespół Netia SOC ponadto realizuje szeroki wachlarz zaawansowanych usług bezpieczeństwa, które pomogę w osiągnięciu zgodności z istniejącymi i nowymi regulacjami, m.in. skanowania podatności sieciowych i aplikacyjnych, audyty bezpieczeństwa, testy penetracyjne, analiza złośliwego oprogramowania, ochrona poczty firmowej, ochrona przed wyciekami danych firmowych czy wreszcie szkolenia w zakresie cyberbezpieczeństwa.

Co daje postawienie na zewnętrzny SOC? Zgodność z nowymi przepisami bez wdrażania w firmie poważnych zmian, budowania co najmniej kilkunastoosobowego zespołu i inwestowania w infrastrukturę sprzętową.
Wiesz już, kiedy weszła w życie dyrektywa NIS, co oznacza dyrektywa NIS2 i jak wpływa na ustawę o KSC. Liczymy, że przedstawione tu porady pomogą Twojej firmie odnaleźć się w nowej rzeczywistości.

Przejdź do treści