Hakerzy coraz śmielej mierzą się z wyzwaniami programistycznymi, a dzięki nim podnoszą swoje umiejętności łamania zabezpieczeń sieciowych. Tym samym zaspokajają również swoją ciekawość związaną ze zrozumieniem, modyfikacją i obejściem najlepszych systemów informatycznych — czytamy w raporcie „The cyber threat to UK business”, opublikowanym przez Brytyjską Narodową Agencję ds. Przestępczości. Ale też, jak zauważa Wojciech Gołębiowski, założyciel firmy Veronym, cyberprzestępcy, ceniąc swój czas i pieniądze, coraz częściej atakują najsłabiej zabezpieczone firmy, czyli te z sektora MŚP.
— Małe i średnie przedsiębiorstwa nie mają tak silnej cyberochrony jak np. korporacje. Dlatego hakerzy wybierają ofiary, które m.in. stosują najsłabsze technologie bezpieczeństwa lub popełniają błędy konfiguracyjne — zaznacza Wojciech Gołębiowski.
Niepokojące jest to, że wciąż niewiele polskich MŚP decyduje się na kompleksową ochronę. Co więcej, znacząca liczba firm, które już doświadczyły cyberataku, wciąż pozostaje bierna pod tym względem. Potwierdzają to chociażby wyniki raportu „E-commerce w Polsce 2018. Gemius dla e-Commerce Polska”, według którego aż 60 proc. przebadanych polskich e-sklepów, które padły ofiarą ataku hakera, nie zdecydowało się na przeprowadzanie testów penetracyjnych, wykonywanych po to, aby podnieść poziom bezpieczeństwa w przedsiębiorstwie. Tymczasem zrealizowane niedawno przez Better Business Bureau badanie pokazuje, z jak dużymi trudnościami może borykać się mały i średni biznes w przypadku poważnego cyberataku. Jak się okazuje, jedynie 35 proc. ankietowanych przyznaje, że w jego efekcie byliby w stanie utrzymać rentowność działalności przez ponad trzy miesiące. Natomiast ponad połowa z nich przyznała, że w takiej sytuacji ich firma będzie nierentowna szybciej niż w ciągu 30 dni.
Nie bądź ofiarą
Nieprzyjemności, z jakimi może spotkać się mały biznes, doskonale obrazuje np. historia małego hotelu, który zdecydował się na technologiczne udogodnienie, jednak niestety poprawnie go nie zabezpieczył.
— Właściciele ośrodka wypoczynkowego zamontowali zamki do drzwi z systemem RFID [technika przesyłania danych — przyp. red.], które były zamykane i otwierane za pośrednictwem smartfonów klientów. Niestety, serwer, który je obsługiwał, został zaszyfrowany przez hakera, wskutek czego żaden z gości nie mógł ani wejść ani wyjść z pokoju. Haker zaproponował okup w wysokości 30 tys. EUR za odszyfrowanie. Właściciele hotelu zastanawiali się, w jaki sposób rozwiązać tę sytuację. Po trzech dniach zdecydowali się na zapłacenie przestępcy. Jest to efekt, który chce osiągnąć haker — proponuje niską cenę za zdjęcie blokady, dzięki czemu otrzymuje szybką odpowiedź od przedsiębiorcy — opowiada Wojciech Gołębiowski.
Warto zaznaczyć, że w tego typu sytuacji należałoby, jak podkreśla Tomasz Wodziński, zarządzający architekt bezpieczeństwa w firmie ClearSec, bezzwłocznie zgłosić taki incydent do prokuratury albo policji. Tylko dzięki temu organy ścigania mogą podjąć akcję i złapać przestępcę.
— Nawet jeżeli koszt incydentu wydaje nam się mały to brak zgłoszenia może zachęcić hakera do popełniania dotkliwszych przestępstw. Zdarza się, że przedsiębiorcy, którzy zapłacili okup, aby np. odzyskać swoje dane, po pewnym czasie znów mogą stać się ofiarami tego samego cyberprzestępcy — ostrzega Tomasz Wodziński.
Świadomość zagrożeń
Cyberatakom jednak da się zapobiec. Według Tomasza Wodzińskiego, najszybszą i najbardziej skuteczną inwestycją w tym kierunku, która jest w zasięgu portfela MŚP, jest awareness — czyli po prostu świadomość. A świadomy przedsiębiorca to jego zdaniem taki, który np. sięga po publikacje tworzone przez organizację ISSA, udostępniająca różnego rodzaju poradniki dla małych i średnich przedsiębiorstw.
— Np. podręcznik skierowany do kancelarii prawnych — pojawiły się w nim rady, jak np. zabezpieczyć swój telefon, w którym trzymamy maile od klienta, dlaczego warto korzystać z poczty komercyjnej czy jak tworzyć hasła. Ten podręcznik — „Bezpieczeństwo IT w kancelarii” — jest do pobrania za darmo. Warto dodać, że z zawartych w nim rad może korzystać każdy przedsiębiorca. Chcemy pracować nad kolejnymi opracowaniami, które będą przydatne również dla innych grup zawodowych, potrzebujemy jednak chętnych, którzy chcieliby wziąć w tym udział — zaznacza Tomasz Wodziński.
Jak zaznacza, każdy właściciel firmy powinien wiedzieć, na jakie zagrożenie jest narażone jego przedsiębiorstwo — i jak je przed nim uchronić.
— Konieczne jest również uświadamianie pracowników w tym zakresie — najlepiej w sposób ciekawy i trafiający do wyobraźni, np. w formie warsztatów. Należy jednak pamiętać, że tego typu szkolenia należy regularnie powtarzać, dlatego, że technologie i sposoby działania hakerów ciągle się zmieniają — twierdzi Tomasz Wodziński.
Tego samego zdania jest Krzysztof Cudak, menedżer ds. bezpieczeństwa IT w ING Tech Poland, według którego każdy przedsiębiorca powinien sam edukować się w temacie cyberbezpieczeństwa — np. uczęszczając na konferencje poświęcone takim zagadnieniom.
Narzędzia i działania
Obecnie liczba dostępnych dla biznesu rozwiązań w zakresie cyberochrony jest niemal tak duża, jak liczba dostawców, którzy je oferują. Wybór odpowiedniego zależy natomiast od tego, w jaki sposób przedsiębiorca chce chronić swoją firmę.
— W tym celu warto odwiedzić stronę: sectools.org — tam znajdziemy oprogramowania, które będą służyły np. do tego, aby odpowiednio testować zabezpieczenia, ale też monitorować zasoby, które mogą ulec atakowi — mówi Krzysztof Cudak.
Ekspert podkreśla, jak ważne okazuje się sprawdzanie pracowników, których dopuszczamy do firmy.
— Co ciekawe, zdarzają się przypadki, w których polskie firmy zatrudniają byłych hakerów w celu wykonania testu penetracyjnego [proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu jego bezpieczeństwa — przyp. red.], chcąc tym samym poprawić swoje bezpieczeństwo — opowiada Krzysztof Cudak.
Pomoc ekspertów
Właściciele MŚP, którzy jednak obawiają się samodzielnego podejmowania działań w zakresie cyberochrony, zawsze mają możliwość zwrócenia się o pomoc do specjalistów.
— Należy wówczas bardzo dobrze skonstruować umowę i jasno przedstawić zakres zaplanowanych prac wdrożeniowych — podpowiada Krzysztof Cudak.
Oczywiście nie jest to opcja bezkosztowa, jednak dzięki chociażby demokratyzacji technologii (proces, dzięki któremu technologia staje się bardziej dostępna dla większej liczby osób) mają szansę płacić znacznie mniej. Taką opcję oferuje np. firma Veronym.
— Zdejmujemy z korzystających z naszego rozwiązania konieczność ponoszenia kosztów inwestycyjnych czy zatrudniania specjalistów IT. Nasi eksperci biorą na siebie poszukiwanie najlepszych w danym momencie systemów bezpieczeństwa, ich testowanie, konfigurację, ciągłą optymalizację i obsługę. Wykorzystujemy do tego technologię chmury obliczeniowej — tłumaczy Wojciech Gołębiowski.
Stosowaną przez firmę demokratyzację porównuje do lotu z Warszawy do Nowego Jorku. Jak barwnie tłumaczy — nie potrzebujemy własnego samolotu i załogi, aby taką podróż odbyć. Wystarczy kupić bilet w wybranej klasie, reszta należy do specjalistów.