Według niedawnego raportu grupy Lloyds Banking Group, poważny cyberatak może kosztować świat do 46 miliardów euro. Budzi to ważne pytanie: w jaki sposób można zniechęcić do finansowo motywowanej cyberprzestępczości? Projekt E-CRIME [ang. e-przestępczość] dostarcza konkretnych odpowiedzi, koncentrując się na sektorach innych niż ICT.

Gospodarka cyfrowa

Bezpieczeństwo

Badania z zakresu E-CRIME koncentrowały się wokół dwóch głównych celów. Po pierwsze, zespół projektowy starał się lepiej zrozumieć rozprzestrzenianie się, rozwój i wpływ cyberprzestępczości w sektorach innych niż ICT: stworzył szczegółowy wykaz cyberprzestępczości, przeanalizował struktury i gospodarkę cyberprzestępczości, i dokonał oceny dostępnych środków zaradczych. „Aby opracować skuteczne strategie, musimy najpierw uzupełnić istniejące luki w wiedzy", przypomina dr Timothy Mitchener-Nissen, koordynator projektu. „Najważniejsze były zasadniczo związane z przewidywaniem lub modelowaniem ogólnego kosztu ekonomicznego cyberprzestępczości, jak również rzeczywistych działań podejmowanych przez osoby zaangażowane w prowadzenie zmotywowanej finansowo cyberprzestępczości — niezależnie od konkretnej formy ataku, którą wykorzystują". Dr Mitchener-Nissen i jego zespół pracowali przy użyciu metodologii scenariusza przestępstwa stosowanej często w kryminologii. Analizując informacje z najlepszych dostępnych źródeł danych, udało im się określić kroki wymagane przez cyberprzestępców w przypadku podejmowania cyberprzestępczości finansowej, począwszy od etapu przed atakiem, wybierając cele i metody ataków, aż do momentu monetaryzacji. „Przyjmując to podejście, możemy nałożyć kroki wymagane do pomyślnego zakończenia wielu różnych typów cyberataków i zidentyfikowania podobieństw, a tym samym stworzenia wyprawy kryminalnej, która skutecznie obejmowałaby wszystkie typy ataków", wyjaśnia dr Nissen. Podejście to uzupełniły spostrzeżenia ze strony specjalistów, a także ogromne europejskie badanie obejmujące ponad 6 000 obywateli i 1 250 ofiar cyberprzestępczości. Zestawy danych z ankiety ofiar są dostępne dla badaczy i stanowią próbkę poglądów i poziomów cyberprzestępczości gospodarczej. Z kolei kwestionariusz dostarcza ujednolicony zestaw pytań, który można wykorzystać do ponownego pobierania próbek w badaniach podłużnych — do pomiaru zmian w opiniach i poziomach oddziaływania na cyberprzestępczość w czasie. Znajdowanie właściwych środków zaradczych Dzięki scenariuszom przestępczym zespół mógłby kontynuować realizację drugiego celu programu E-CRIME, polegającego na określeniu odpowiednich środków poza sektorem ICT, w celu skutecznego zapobiegania cyberatakom. Scenariusze przestępcze rzeczywiście umożliwiają obrońcy identyfikację bram koncepcyjnych, które napastnicy chcą złamać, ponieważ prowadzą oni różne typy cyberprzestępczości. Wartość jest podwójna, jak podkreśla dr Mitchener-Nissen: „Po pierwsze, umożliwia model koncepcyjny, który pomaga wyjaśnić kryminalne ataki odbiorcom, którzy wcześniej mogli nie rozumieć metod ataków. Następnie, może pomóc obrońcom w identyfikowaniu »punktów zaczepienia« na, których powinni skupiać swoje wysiłki w celu zapobieżenia jak największej liczbie ataków". W sumie projekt opracował zalecenia dotyczące środków regulacyjnych, ulepszeń dotyczących aplikacji chronionych przed przestępczością, narzędzi zarządzania ryzykiem, najlepszych praktyk, zaufania i środków budowania zaufania, a także więcej: „Nasze środki zaradcze obejmują opracowanie programu szkolenia dotyczącego świadomości w zakresie egzekwowania prawa, specjalnie skierowanego do Agencji ds. Egzekwowania prawa (LEA) oraz podręcznika w sprawie zapobiegania i powstrzymywania cyberprzestępczości ekonomicznej, który został już wdrożony w całej Europie. Dla przemysłu opracowaliśmy metodykę wyliczenia kosztów/korzyści i wskazówki, które pozwalają firmie zmierzyć koszty i korzyści środków zaradczych w celu określenia, co najlepiej wykorzystywać"" — mówi dr Mitchener-Nissen. Wraz z zakończeniem projektu, konsorcjum E-CRIME ma nadzieję, że program szkoleniowy dotyczący egzekwowania prawa będzie nadal doskonalony i wykorzystywany przez policję w wielu państwach członkowskich UE. Dr Mitchener-Nissen mówi: „To samo w sobie zapewniłoby, że prace związane projektem E-CRIME będą miały znaczenie oraz wpływ po zakończeniu projektu”.

Słowa kluczowe

E-CRIME, cyberprzestępczość, cyberatak, scenariusz przestępstwa, zapobieganie przestępczości, zarządzanie ryzykiem, środki zaradcze