Z raportu Cisco Cybersecurity Readiness Index wynika, że stosowana przez polskie firmy profilaktyka przed atakami hakerskimi wciąż jest wysoce niewystarczająca. W ciągu ostatniego roku 59 proc. ankietowanych przedsiębiorstw z naszego kraju doświadczyło incydentu związanego z cyberbezpieczeństwem. W 51 proc. przypadków straty były wyższe niż 100 tys. dolarów, a w 18 proc. opiewały na ponad 500 tys. dolarów. Wprawdzie zabezpieczenia systemów informatycznych w firmach są coraz lepsze, ale w wielu przypadkach atak udaje się dzięki działaniu niefrasobliwego pracownika.
- Najpopularniejszym zagrożeniem dla firm są ataki phishingowe, których głównym celem jest uśpienie czujności ofiar poprzez zastosowanie socjotechniki. Narzędzia i taktyki stosowane przez przestępców mogą być różne, ale cel pozostaje zawsze ten sam – wykorzystując nieuwagę użytkowników i podsycając podstawowe reakcje, takie jak ciekawość, złość czy radość, przestępcy liczą, że pracownicy otworzą podejrzany załącznik lub klikną w link, który tylko przypomina adres prawdziwej strony [firmy lub instytucji – przyp. red.], a ma np. zaszyte złośliwe oprogramowanie – mówi Przemysław Kania, dyrektor generalny Cisco w Polsce.
Odporność dzięki edukacji
Kevin Mitnick, jeden z najsłynniejszych hakerów wszech czasów, powtarzał, że łamał ludzi, a nie hasła. Pracownicy bardzo często są na pierwszej linii ataku cyberprzestępców, dlatego ich umiejętności obrony w tym obszarze są kluczowe dla bezpieczeństwa organizacji. Jednakże często zdarza się, że nie są świadomi, że ich z pozoru nieznaczące działania, np. otwieranie załączników lub linków z nieznanego źródła, mogą prowadzić do przypadkowych naruszeń bezpieczeństwa firmy.
Warto dodać, że poza samą „fizyczną” szkodą, taką jak przechwycenie poufnej informacji czy uzyskanie dostępu do zasobów, firmy będące ofiarami udanych ataków bardzo często odczuwają straty wizerunkowe. Dlatego tak ważna jest edukacja, która pomaga zmniejszyć ryzyko popełnienia błędów.
- Wiedza z zakresu cyberbezpieczeństwa pomaga zachować ciągłość operacyjną firmy. Hakerzy stosują wyrafinowane metody ataków, aby omijać techniczne zabezpieczenia. Do stosunkowo groźnych ataków należy ransomware, czyli szyfrowanie danych i żądanie okupu za przekazanie klucza deszyfrującego. W ten sposób sparaliżowano już wiele firm. Wiedza pracowników na temat tych taktyk pozwala rozpoznawać podejrzane sytuacje – zwraca uwagę Artur Pajkert, członek zarządu firmy Cyber Folks.
Eksperci podkreślają, że edukacja pracowników w zakresie bezpieczeństwa cyfrowego powinna być procesem zaplanowanym, zorganizowanym i ciągłym. Ograniczanie się do jednorazowego szkolenia będzie miało niską skuteczność, gdyż każdy z nas potrzebuje utrwalenia wiedzy. Ponadto wciąż pojawiają się nowe rodzaje zagrożeń – trzeba więc mieć o nich aktualną wiedzę. Istotny jest także praktyczny aspekt szkoleń – powinny one obejmować np. testy i ćwiczenia dotyczące unikania zagrożeń typu phishing, polityki haseł albo reakcji na podejrzane linki.
Żelazne zasady
Specjaliści od cyberbezpieczeństwa zwracają uwagę na kilka podstawowych reguł, których powinni przestrzegać pracownicy, aby nie paść ofiarą hakera. Po pierwsze - sprzętów służbowych, np. telefonu czy laptopa, należy używać wyłącznie do celów zawodowych. Kolejną kwestią jest zachowanie ostrożności przy instalacji programów, otwieraniu załączników oraz klikaniu w podejrzane linki. Nie należy zapominać o stosowaniu silnych haseł, tj. nawet kilkunastoznakowych kombinacji wielkich, małych liter, cyfr i znaków specjalnych.
Co równie ważne, hasła powinny być unikalne do każdego systemu – w tym pomocny może być generator. Warto stosować dwuskładnikową identyfikację, np. poprzez hasło jednorazowe wysłane mejlem, lub specjalną aplikację do autentykacji, np. Google Auth, albo korzystać z klucza sprzętowego.
- Zalecam także, by korzystać z wirtualnych sieci VPN, tak aby dostęp do krytycznych zasobów był możliwy wyłącznie dzięki nim. Wprowadza to dodatkową warstwę ochronną, utrudniającą penetrację sieci. Co więcej, nie należy logować się do systemów firmowych w sieciach publicznych bez zabezpieczeń. Trzeba pamiętać również o blokadach ekranu, ochronie komputerów i telefonów hasłami, odciskami palców oraz włączonej opcji szyfrowania dysku – aby w razie kradzieży sprzętu dane nie zostały odczytane przez osoby nieuprawnione. Należy też wykonywać kopie zapasowe kluczowych danych – wskazuje Artur Pajkert.
Emocje na wodzy
W jaki sposób powinien zareagować pracownik, który padnie ofiarą ataku ze strony hakera? Specjaliści radzą, by przede wszystkim nie panikować.
- W takiej sytuacji należy jak najszybciej poinformować zespół ds. cyberbezpieczeństwa lub dział IT, a w przypadku mniejszych firm – informatyka odpowiedzialnego za konfigurację urządzeń. Jeśli organizacja korzysta z odpowiednich narzędzi monitorowania ruchu sieciowego lub usług firm zewnętrznych, to możliwe, że odpowiednie osoby już wiedzą o zagrożeniu. Jednak podanie kontekstu i informacji o tym, jak doszło do incydentu, może pomóc rozwiązać problem i uchronić inne urządzenia – radzi Przemysław Kania.
Średnio tyle razy w ciągu tygodnia atakowano polskie organizacje w 2022 r. Najczęściej ofiarą padały firmy z sektora badań i edukacji - wynika z danych GrantThornton.
Tyle firm wskazało, że barierą w budowaniu odpowiedniego poziomu zabezpieczeń są trudności w znalezieniu i zatrzymaniu odpowiednio wykwalifikowanych pracowników - czytamy w raporcie “Barometr cyberbezpieczeństwa KPMG. Edycja 2023”.