Banki, linie lotnicze, portale aukcyjne, serwisy gier online, a nawet strony rządowe i uczelnie padają coraz częściej ofiarą cyberprzestępców. Jednym z popularniejszych sposobów na sparaliżowanie serwerów czy stron internetowych są tzw. ataki DoS (ang. Denial of Service), czyli celowe przeciążenie ruchem urządzeń sieciowych lub urządzeń użytkowników końcowych. W przypadku wykorzystania dużej ilości komputerów, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania, mamy do czynienia z tzw. atakiem DDoS (ang. Distributed Denial of Service).
Ataki DDoS (DoS) mogą poważnie zakłócić funkcjonowanie systemów lub całkowicie je sparaliżować. Najprostszym i najbardziej popularnym sposobem na przeprowadzenie ataków na serwery jest masowe przesyłanie dużej ilości danych, co powoduje wyczerpanie przestrzeni serwera, powodując jego paraliż. Można tego dokonać wysyłając ogromne ilości e-maili lub składając ogromne ilości wniosków lub zapytań z wykorzystaniem funkcji serwisu. Ataki mogą być połączone z żądaniami finansowymi (np. wpłaty określonej ilości bitcoinów) lub prowadzone przeciwko konkurentom (np. atak sklepu internetowego konkurencyjnej marki).
Statystyki prowadzone przez profesjonalne podmioty zajmujące się przeciwdziałaniem cyberprzestępstwom wskazują, że liczba ataków DDoS z każdym rokiem diametralnie wzrasta. Spowodowane jest dostępem do specjalnych programów do przeprowadzania ataków tzw. o generatorów ataków DDoS, ale również ofert przeprowadzenia ataków na zlecenie oraz spadkiem cen za tego rodzaju programy lub „usługi”.
Odpowiedzialność za ataki DDoS
Warto zwrócić uwagę na kwestie odpowiedzialności za przeprowadzenie ataków DDoS na gruncie polskich przepisów prawa. Zgodnie z polskim kodeksem karnym do odpowiedzialności można pociągnąć zarówno osoby, które przeprowadziły ataki DDoS, jak również osoby które stworzyły oprogramowanie wykorzystane do takich ataków.
Odpowiedzialność za przeprowadzenie ataków DDoS reguluje art. 268a § 1 Kodeksu karnego, zgodnie z którym kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. W zakresie utrudnienia dostępu do danych informatycznych, przepis ten penalizuje właśnie paraliż serwerów czy stron internetowych dokonany w wyniku ataków DDoS. Kara może być surowsza i sięgać 5 lat pozbawienia wolności, jeżeli w wyniku ataków zostanie wyrządzona znaczna szkoda majątkowa. Aby jednak organy ścigania podjęły stosowne kroki w celu wykrycia sprawców ataków DDoS, konieczne jest złożenie wniosku o ściganie. Przestępstwo określone w art. 268a k.k. jest bowiem przestępstwem ściganym na wniosek pokrzywdzonego.
Kara może być jeszcze bardzie dotkliwa w przypadku ataku na serwery czy strony internetowe administracji rządowej i innych instytucji państwowych i zakłócenia lub uniemożliwienia przetwarzanie, gromadzenie lub przekazywanie tzw. danych szczególnych, przetwarzanych przez te podmioty („tzw. sabotaż informatyczny”).
Problemem może okazać się zarówno wykrycie sprawców ataków DDoS jak i ich ściganie., ponieważ przeprowadzenie ataku typu DDoS jest procesem etapowym. W celu przeprowadzenia ataku, w pierwszej kolejności konieczne jest opracowanie złośliwego oprogramowania (bądź jego nabycie), umieszczenie go w miejscu skąd będzie „atakował” wyznaczone cele, a następnie jego uruchomienie, wskutek czego będzie generowany ruch powodujący paraliż serwerów czy stron internetowych. Warto zwrócić uwagę, że w pewnych okolicznościach karalne jest już samo opracowanie złośliwego oprogramowania (narzędzi) (art. 269 k.k.).
Audyt bezpieczeństwa
Nie od dzisiaj wiadomo, że lepiej zapobiegać niż leczyć. Aby jednak skutecznie zapobiegać atakom (nie tylko Ddos) trzeba poznać swoje słabe strony w zakresie bezpieczeństwa. Zapewni to odpowiedni audytu bezpieczeństwa systemów, obejmujących w szczególności testy penetracyjne. Testy takie sprowadzają się do wykrycia ewentualnych luk w zabezpieczeniach, pozwalają wskazać nieprawidłowości i w konsekwencji ocenić poziom naszych zabezpieczeń. Testy mogą dotyczyć infrastruktury połączonej z siecią Internet, obejmować strony www, aplikacje, ale również wykorzystywane sieci VPN czy sieci Wi-Fi.
Istotną rolę pentestów dostrzega również Komisja Nadzoru Finansowego, która w swoich rekomendacjach dotyczących zarządzania i bezpieczeństwa środowiska teleinformatycznego w bankach podkreśla, iż infrastruktura teleinformatyczna powinna podlegać okresowej weryfikacji pod kątem zmian zachodzących w tym środowisku, a także ujawnianych luk bezpieczeństwa. Komisja wskazuje, iż jednym z narzędzi, które powinno być systematycznie stosowane przy ocenie skuteczności mechanizmów kontrolnych w obszarach infrastruktury teleinformatycznej o wysokiej istotności powinny być testy penetracyjne.
Właściwe przeprowadzenie audytu bezpieczeństwa, obejmującego przeprowadzenie również pentestów (jednorazowych lub okresowych), powinna określać odpowiednio skonstruowana umowa, która zabezpieczy zarówno zamawiającego jak i testerów. Ponieważ przeprowadzanie testów penetracyjnych związane jest z dostępem do informacji poufnych oraz danych osobowych, może również prowadzić do zmiany kodów źródłowych oprogramowania, konieczne jest precyzyjne uregulowanie zasad odpowiedzialności stron w tym zakresie. Jednak umowa powinna określać przede wszystkim zakres zlecanych testów penetracyjnych (obszary oraz częstotliwość) z obowiązkiem opracowania raportu z przeprowadzonych testów, a także zasady zachowania poufności (również w zakresie wyników testów).
Ataki DDoS a RODO
Regularne testowanie własnych zabezpieczeń nabierze szczególnego znaczenia z chwilą wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO), które wprost nakłada na administratorów danych oraz podmioty przetwarzające obowiązek wdrożenia odpowiednich środków bezpieczeństwa, obejmujących w szczególności „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania” (art. 32 ust. 1 lit. e).
Dodając do tego surowe kary za naruszenie zasad przetwarzania danych osobowych, jakie przewiduje RODO, nietrudno przewidzieć, iż wzrośnie zapotrzebowanie na podmioty świadczące tego rodzaju usługi.
Jednym z instrumentów mających zapewnić odpowiedni poziom bezpieczeństwa jest – nałożony przez RODO – obowiązek zgłaszania naruszeń danych osobowych oraz ich dokumentowanie. W opinii Grupy Roboczej art. 29 naruszeniem danych osobowych jest także – naruszenie dostępności w przypadku przypadkowej lub nieautoryzowanej utraty dostępu do danych osobowych. Z takimi przypadkami mamy zazwyczaj do czynienia w sytuacjach ataków sieciowych Ddos, które powodują, że dane osobowe są trwale lub tymczasowo niedostępne. W każdym przypadku należy zatem rozważyć obowiązek zgłoszenia właściwemu organowi nadzoru lub powiadomienia podmiotów danych, jeżeli spełnione są przesłanki określone w RODO.
Podsumowanie
Raport jednej z firm doradczych wskazuje, że w 33% ataki DDoS przełożyły się na straty finansowe, w 31% skutkowały ujawnieniem informacji poufnych, a w 16% miały wpływ na stratę zaufania klientów. Ochrona przed atakami DDoS powinna zatem stanowić poważne wyzwanie dla każdego podmiotu. Należy pamiętać, że koszty przeprowadzenia ataków DDoS spadają, a koszty ich ofiar rosną. Skuteczne zabezpieczenia swojej infrastruktury, ale również okresowe audyty bezpieczeństwa, to bez wątpienia dobra inwestycja.