CERT Polska – jeden z najważniejszych podmiotów w zakresie cyberbezpieczeństwa w Polsce, właśnie podsumował ubiegły rok. Przedstawiamy najważniejsze fakty związane z nową legislacją w tym obszarze, aktywnością CERT w ostatnich miesiącach, a także najczęstszymi formami ataków, z którymi zapewne będziemy mieć do czynienia również w tym roku. Zapraszamy do lektury.
Na wstępie warto przypomnieć, że CERT Polska to historycznie pierwszy w Polsce zespół reagowania na incydenty. Działa on w strukturach NASK – Państwowego Instytutu Badawczego i realizuje część zadań CSIRT NASK zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa. CERT odpowiada m.in. za obsługę incydentów bezpieczeństwa i współpracę międzynarodową w działalności operacyjnej, jak i badawczo-wdrożeniowej.
Jako CSIRT NASK, zgodnie z art. 26 ustawy KSC, CERT rozwija także narzędzia do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa. Mowa m.in. o narzędziu Artemis, które bada poziom zabezpieczeń stron internetowych.
Ważnym etapem w funkcjonowaniu CERT Polska było przyznanie temu podmiotowi w sierpniu ubr. statusu CNA (CVE Numbering Authority). Od tego momentu CERT może nadawać identyfikatory i publikować informacje o podatnościach w programie CVE. CVE (Common Vulnerabilities and Exposures) to międzynarodowy program wspierający ujawnianie luk bezpieczeństwa w oprogramowaniu lub sprzęcie komputerowym. Co ważne, baza CVE jest publiczna i dostępna za darmo dla każdego i umożliwia organizacjom z całego świata identyfikować i śledzić informacje o nowych lukach bezpieczeństwa.
Dołączenie do grona podmiotów CNA skutkowało do końca 2023 roku otrzymaniem przez CERT 26 zgłoszeń o podatnościach, z czego 12 spełniało kryteria otrzymania identyfikatorów CVE. CERT zarezerwował na ich podstawie 32 identyfikatory CVE i opublikował informacje dotyczące sześciu z nich.
Wylistowanie aktywności cyberprzestępców na przestrzeni ostatnich kilkunastu miesięcy pokazuje jak dobrze hakerzy bazują na sezonowości i pewnych tendencjach wynikających z pór roku. I tak w poprzednie wakacje szczególną popularnością wśród oszustów cieszyły się kampanie z wykorzystaniem dzieci i wizerunku WhatsApp. W fałszywych wiadomościach sms hakerzy podszywali się pod dzieci, prosząc rodziców o wysłanie wiadomości na nowy numer dziecka. Podczas konwersacji oszuści wyjaśniali, dlaczego kontaktują się z nieznanego numeru (utrata telefonu) oraz próbowali zdobyć podstawowe informacje o dziecku, co miało umożliwić skuteczniejsze podszywanie się w dalszej rozmowie. Jeśli oszust dowiadywał się, że rodzic nie ma bankowości elektronicznej, to prosił o dane z karty płatniczej i kod SMS autoryzujący operację, aby w ten sposób uzyskać dostęp do pieniędzy rodzica. Kiedy natomiast okazywało się, że rodzic nie miał na swoim koncie żądanej kwoty, oszust proponował zakup tańszego telefonu.
Tematyką fałszywych wiadomości sms były wciąż dopłaty do paczek, inwestowanie na giełdzie lub w kryptowaluty.
Nowością w metodach cyber oszustów było wykorzystanie w atakach kodów QR, które były naklejone na parkometrach. Kierowcy chcący uiścić opłatę za parking, po zeskanowaniu kodu byli przenoszeni na stronę zawierającą logo miasta. Strona miała na celu wyłudzenie danych karty płatniczej. Głośną sprawą, o której zresztą pisaliśmy na naszym blogu, były nieprawdziwe powiadomienia o nieprawidłowym parkowaniu w stolicy. Dokument miał być rzekomo wystawiony przez Straż Miejską i zawierał kod QR, którego zeskanowanie miało umożliwić kierowcy zweryfikowanie szczegółów wystawionego mandatu. Dodatkową zachętą do wykonania działań miało być zredukowanie kwoty mandatu o 50 procent.
Pierwsze miesiące 2023 upłynęły pod znakiem wyroku Naczelnego Sądu Administracyjnego z 9 lutego w sprawie wycieku z serwisu morele.net z 2018 roku po skardze kasacyjnej złożonej przez sklep. Prezes Urzędu Ochrony Danych Osobowych nałożył na sklep internetowy Morele. net karę 2,8 mln zł za nienależytą ochronę danych osobowych.
NSA uznał, że skarga kasacyjna ma usprawiedliwione podstawy, twierdząc, że sam skutek, czyli włamanie i kradzież bazy z danymi klientów, nie jest dowodem na to, że administrator danych nie dochował odpowiednich standardów. NSA zwrócił też uwagę, że Wojewódzki Sąd Administracyjny (WSA) nie zlecił sporządzenia opinii biegłego, wbrew sugestiom ukaranego podmiotu. Tymczasem, na początku br., UODO poinformował, że zakończył kolejne postępowanie administracyjne w sprawie wycieku i postanowił nałożyć na spółkę kolejną karę w wysokości 3.8 miliona złotych.
Głośnym echem w mediach odbił się także wyciek danych klientów firmy ALAB Laboratoria. Wykradzione pliki opublikowane zostały w dwóch partiach w grudniu. Ujawnione dane zostały wgrane do serwisu bezpiecznedane.gov.pl, gdzie każdy zainteresowany mógł zalogować się za pomocą Profilu Zaufanego i na podstawie swojego numeru pesel sprawdzić, czy jego dane znajdowały się w wycieku.
CERT Polska przypomina w swoim raporcie, że każdy z nas posiada skuteczne narzędzie chroniące przed zaciągnięciem w naszym imieniu jakichkolwiek zobowiązań finansowych czy uzyskaniu duplikatu karty SIM. Mowa o zastrzeżeniu numeru PESEL, czyli nowej funkcji aplikacji mObywatel, którą można aktywować także poprzez wizytę w banku, na poczcie czy w urzędzie gminy. W aplikacji mObywatel możemy nie tylko zastrzec PESEL, ale także zweryfikować historię zapytań od różnych instytucji, co w praktyce pozwala sprawdzić czy ktoś próbował wykorzystać nasze dane w sposób nieuprawniony.
Przypominamy, że od 1 czerwca br. banki oraz firmy telekomunikacyjne będą zobowiązane do weryfikacji czy nasz PESEL nie znajduje się w bazie zastrzeżonych numerów identyfikacyjnych. W przypadku zaciągnięcia zobowiązań bez naszej wiedzy, pomimo zastrzeżenia PESEL-u, instytucja finansowa nie będzie mogła rościć sobie prawa do spłaty środków.
Najnowsze komentarze