Bezpiecznik potrzebny od zaraz

opublikowano: 13-09-2016, 22:00

Aby wykraść najcenniejsze zasoby firmy, nie trzeba się włamywać do jej siedziby. Wystarczy geniusz z komputerem.

Tymczasem ludzi od ochrony danych brak.

Trudno zabiegać o specjalistów ds. bezpieczeństwa IT, gdy zagraniczne firmy i urzędy oferują im dużo lepsze warunki pracy i płacy — uważa Anna Streżyńska, minister cyfryzacji.
Zobacz więcej

NIERÓWNA WALKA:

Trudno zabiegać o specjalistów ds. bezpieczeństwa IT, gdy zagraniczne firmy i urzędy oferują im dużo lepsze warunki pracy i płacy — uważa Anna Streżyńska, minister cyfryzacji. Marek Wiśniewski

Wyobraźmy sobie, że siedzimy na Facebooku, odpowiadamy na esemesy lub przeglądamy raport kwartalny swojej firmy, gdy nagle na środku ekranu zaczyna migać czerwony napis: „Uwaga! Wykryto niebezpieczne wirusy!”. Głośniki komputera wyją jak syrena strażacka. Następnie pojawia się logo antywirusa w towarzystwie poruszającego się szkła powiększającego, które sugeruje skanowanie dysku twardego w naszym PC. Migają skomplikowane nazwy plików systemowych, a w ramce u dołu ekranu wydłuża się lista znalezionych wirusów, robaków i programów szpiegowskich wraz ze złowieszczym komunikatem: „Twój komputer jest poważnie zagrożony trwałym zniszczeniem systemu i utratą danych. Kliknij tutaj, żeby rozwiązać problem”. Jaskrawy przycisk „Usuń zagrożenia” kieruje nas na stronę WWW, na której za 49 USD można kupić program System Defender, rzekomo chroniący przed zainfekowaniem maszyny. Kto lekceważy ten guzik, szybko zaczyna żałować: urządzenie zostaje zablokowane i nie wykonuje standardowych czynności — emituje tylko okropny dźwięk syreny. Użytkownik wpatruje się w czerwony ekran śmierci, niezdolny do odzyskania kontroli nad prywatnym lub służbowym komputerem. To prawdziwa historia. A System Defender, oferowany przez Innovative Marketing, zapoczątkował linię nieznanych wcześniej produktów — programów przestępczych, zastraszających, wymuszających okup, zwanych również bandyckimi antywirusami.

Łatwiej o belfrów i kucharzy

Firmy z cyfrowego podziemia stać na najzdolniejszych programistów. Czasem ściągają ich z odległych krajów, np. Innovative Marketing, pozyskiwał fachowców na Ukrainie. Aby stawić czoła przestępcom, trzeba zatrudnić równie utalentowanych specjalistów ds. bezpieczeństwa IT w urzędach i przedsiębiorstwach. Sęk w tym, że takich ekspertów brakuje. W dużym ogólnopolskim serwisieogłoszeniowym czeka na nich 137 ofert pracy. Dla porównania: w tym samym serwisie wakatów dla kucharzy jest 88, a dla nauczycieli 141. Ewelina Hryszkiewicz z firmy Atman, która jest operatorem jednego z największych centrów danych w Polsce, przytacza dane zespołu CERT Polska, według których w zeszłym roku zarejestrowano w naszym kraju 8,9 tys. incydentów związanych z atakami na administrację publiczną (w 2014 r. było ich 4,7 tys., a w 2013 r. o tysiąc więcej). Jeśli chodzi o sektor prywatny — jak podaje PwC, liczba przypadków tzw. cyberagresji wzrosła w stosunku do minionego roku o prawie 40 proc.

— W przypadku ataków na administrację publiczną poza stratami finansowymi poważnym problemem jest kradzież wrażliwych danych, takich jak cyfrowe profile osobowe obywateli. To dotyczy każdego z nas — proszę przypomnieć sobie niedawny szum medialny wokół podejrzenia o wyciek milionów rekordów z bazy PESEL — wskazuje Ewelina Hryszkiewicz.

Drenaż mózgów

Dlaczego trudno znaleźć tzw. bezpieczników? Zdaniem Anny Streżyńskiej, minister cyfryzacji, chodzi m.in. o pieniądze. Przykład: jej resort dla takiego eksperta przewiduje miesięczną pensję w wysokości 9 tys. zł brutto. Wydaje się, że jak na Polskę, jest to wysoka kwota. Tyle że w USA — według analiz payscale. com — mediana zarobków na tym stanowisku wynosi prawie 68 tys. USD rocznie. W największych przedsiębiorstwach specjaliści mogą liczyć nawet na 380 tys. USD za rok. Innym problemem w Polsce jest lekceważenie cyberzagrożeń przez kadrę menedżerską wyższego szczebla. Dowód: 58 proc. decydentów IT, badanych przez VMware, uważa ochronę danych za jeden z najważniejszych priorytetów biznesowych. Tymczasem 90 proc. przedstawicieli tej grupy zawodowej twierdzi, że w razie incydentów związanych z cyberbezpieczeństwem trudno się im dogadać z zarządem. Takie podejście kierownictwa owocuje tym, że w firmach często nie przewiduje się nawet etatów dla fachowców od bezpieczeństwa. — Przedsiębiorstwa muszą wypracować mechanizmy, które ułatwią komunikację między zarządem a działami informatycznymi. Potrzeba też edukacji w dziedzinie IT security, skierowanej zarówno do szefów, jak i pracowników liniowych — komentuje Paweł Korzec z VMware.

Najsłabsze ogniwo

55 proc. respondentów uważa, że najsłabszym ogniwem w łańcuchu bezpieczeństwa informatycznego jest człowiek, czyli zwykle lekkomyślny pracownik. Tylko 4 proc. jest zdania, że zatrudnieni przeszli odpowiednie szkolenia i mają wystarczające kompetencje cyfrowe, by nie narazić przedsiębiorstwa na cyberataki czy wyciek danych. 75 proc. zatrudnionych przyznało, że byliby gotowi naruszyć procedury bezpieczeństwa, gdyby pozwoliło to im osiągnąć większą efektywność w pracy. Sen z oczu szefom IT spędza zwłaszcza konsumeryzacja, przez którą rozumie się używanie prywatnych urządzeń, najczęściej mobilnych, do celów zawodowych — 56 proc. pracowników uzyskuje dostęp do służbowych informacji za pośrednictwem smartfonów i tabletów, bo własny sprzęt wydaje się im lepszy od tego, który zapewnili im firmowi informatycy. — Cyberprzestępcy bardzo często nie są zainteresowani sprzętem jako takim, ale chcą za jego pośrednictwem uzyskać dostęp do innych urządzeń i infrastruktury firmy. Ostrzą sobie zęby na przechowywane i przepływające przez smartfony dane — mówi Arkadiusz Krawczyk, dyrektor regionalny Intel

Security Poland. Atak nie musi być przeprowadzony zdalnie. Jeżeli urządzenie znajdzie się w rękach nieuczciwej osoby, może ona uzyskać dostęp do loginów i haseł, numerów kont, a także do galerii zdjęć, filmów i nagrań dźwiękowych poprzednich właścicieli. Tym bardziej trzeba dmuchać na zimne.

90 proc. Taki odsetek decydentów IT, ankietowanych przez TNS Polska na zlecenie VMware, dostrzega braki w komunikacji pomiędzy działem IT a zarządem firm dotyczące zdarzeń mających wpływ na ich cyberbezpieczeństwo…

28 proc. …a tylu ankietowanych twierdzi, że to kierownictwo wyższego szczebla powinno ponosić odpowiedzialność za wyciek danych.

 

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mirosław Konkel

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu