Właściciele małych firm wiedzą, że muszą zatrudnić stróża lub — chociażby — założyć alarm i drzwi antywłamaniowe. Gdyby doszło do kradzieży, nie mogliby sobie darować, że chcieli zaoszczędzić na bezpieczeństwie. Nie sposób z dnia na dzień odbudować infrastrukturę sprzętową.
Zwłaszcza jeśli towarzystwo ubezpieczeniowe z powodu niefrasobliwości klienta odmówiłoby wypłaty odszkodowania. Nikogo nie dziwi, że drobni przedsiębiorcy zamartwiają się o urządzenia biurowe, maszyny produkcyjne lub samochody. Ale czy specjalną troskę zapewniają także dokumentom i danym, które przechowują na swoich serwerach? Drażliwy temat, prawda? Tylko 28 proc. firm z sektora MŚP stosuje politykę bezpieczeństwa sieci — wynika z badania firmy Kaspersky, partnera technologicznego ZyXELa. A według analiz Microsoftu, 20 proc. przedstawicieli małych i średnich firm w ogóle nie archiwizuje swoich danych.
Wyścig zbrojeń
Skąd się bierze ta beztroska? Z przekonania, że kradzież lub wyciek to problem, który mniejszych spółek nie dotyczy, bo jaką mogą przedstawiać wartość dla zorganizowanych grup przestępczych? Prawda jest inna: najłatwiej uderzyć w najsłabszy element systemu.
— Małe przedsiębiorstwa często współpracują z wielkimi, dlatego ich systemy IT przynajmniej częściowo są połączone. Atakując skutecznie malucha, można uzyskać dostęp do środowiska informatycznego korporacji — wyjaśnia Zbigniew Rymarczyk, wiceprezes i dyrektor sektora ERP Comarchu. To po pierwsze. Po drugie, kto powiedział, że zawsze chodzi o zorganizowane grupy przestępcze? Sprawcami nierzadko są ludzie z najbliższego otoczenia, którzy niekoniecznie kierują się motywami ekonomicznymi.
— Czasem chodzi o zemstę, chęć zaburzenia działania firmy, naznaczenia jej, zszargania reputacji. Tak się dzieje na przykład wtedy, kiedy ktoś zostaje zwolniony z pracy lub gdy wspólnicy rozstają się w kłótni — wskazuje Michał Jarski, dyrektor sprzedaży na Europę Środkowo-Wschodnią w spółce Trend Micro.
Co do kooperantów, podwykonawców, dystrybutorów… Poważni partnerzy biznesowi żądają od nich stosowania wyśrubowanych standardów bezpieczeństwa IT. Zapominają jednak o złotej zasadzie „ile wymagań, tyle wsparcia”.
— Weźmy dilera samochodowego lub punkt sprzedaży smartfonów. Zwykle to kilkuosobowe biznesy lokalne na usługach międzynarodowych gigantów motoryzacji i elektroniki konsumenckiej. W oczy rzuca się kontrast: duże oczekiwania co do ochrony danych przy nikłych zasobach finansowych i technologicznych — wskazuje Michał Jarski.
Jak maluchy mogą stanąć do pojedynku z cyberprzestępcą? Odpowiednio się zbrojąc,co oznacza, że program antywirusowy — choć koniecznie powinien się znaleźć w ich arsenale — stanowczo nie wystarcza. Przedstawiciel Trend Micro za skuteczniejszy oręż uważa zbiór aplikacji Office 365. Jakkolwiek — zaznacza — jego podstawowa wersja daje zaledwie podstawowe zabezpieczenie.
— Pakiet Office 365 można uzupełnić o dostępne w chmurze usługi z segmentu security. Do najpopularniejszych należą: szyfrowanie dysków na komputerach, zdalne blokowanie urządzeń czy uniemożliwianie bezprawnego wysyłania informacji na zewnątrz przedsiębiorstwa — wyjaśnia dyrektor Jarski. Bezpieczeństwo informatyczne często kojarzy się z bardzo dużymi nakładami. Tymczasem wydatki nie przekraczają możliwości nawet najmniejszych firm. Przynajmniej w usługowym modelu IT.
— Według badań Deloitte, aż 70 proc. podmiotów z sektora MSP nie liczy się z konsekwencjami finansowymi i spadkiem wiarygodności związanym np. z utratą wrażliwych danych. Oszczędności w tej dziedzinie są pozorne. Straty spowodowane przez cyberprzestępców mogą być dużo dotkliwsze niż inwestycje w aktualne oprogramowanie antywirusowe komputerów i odpowiednie zabezpieczenie sieci komputerowej — uświadamia Jarosław Domińczak, dyrektor centrum danych w spółce MakoLab.
Czynnik ludzki
Właściwie dobrany soft pełni rolę wirtualnego strażnika. Jego waga jest nie do podważenia. Tyle samo — jeśli nie więcej — zależy jednak od ludzi, ich odpowiedzialności, rozsądku, rozeznania w świecie nowych technologii. Gdy analitycy BalaBit IT Security spytali ekspertów od bezpieczeństwa IT, co jest dla nich największym wyzwaniem, prawie 60 proc. odpowiedziało, że wykrywanie podejrzanych zachowań pracowników. Jednak wycieki danych częściej są skutkiem niewiedzy niż złej woli zatrudnionych. Wniosek: inwestycjom w aplikacje powinny towarzyszyć edukacja cyfrowa.
— Gdy zostajemy zatrudnieni, na dzień dobry musimy przejść szkolenie bhp. Dziwię się, że nie ma obowiązkowego kursu z bezpieczeństwa i higieny używania służbowych komputerów, smartfonów i internetu — mówi Michał Jarski. Stawką może być przetrwanie firmy. Ktoś ukradł monitor z biura? Trudno, można kupić nowy. Ale jeśli wraz z danymi zapisanymi w komputerze ginie zaufanie klientów, taką stratę trudno jest odrobić.
685
mld USD Taką wartość osiągnie w tym roku rynek rozwiązań bezpieczeństwa IT w Czechach, Polsce, Rumunii i na Węgrzech. Krajowa branża security będzie odpowiadała niemal za połowę tej kwoty — prognozuje firma analityczna IDC.
70
proc. Taki odsetek polskich firm nadaje bezpieczeństwu informacji wysoki priorytet. W sektorze MSP o potrzebie zwiększania cyberochrony mówi połowa podmiotów ankietowanych przez HP.
58
proc. O taki odsetek wzrosła w drugim kwartale 2015 r. (rok do roku) liczba ataków typu ransomware — wynika z raportu McAfee Labs. Ransomware polega na tym, że cyberprzestępcy szyfrują dane na zainfekowanym komputerze, a następnie żądają okupu w zamian za klucz do odszyfrowania plików.
86
proc. Taki odsetek przedsiębiorstw chroni się przed wewnętrznymi cyberatakami za pomocą firewalli. Systemy do zarządzania prawami dostępu i menedżerów haseł używa 64 proc. spółek, a rozwiązań do monitoringu aktywności użytkowników 58 proc. firm — wynika z badania BalaBit IT Security.