Cyberochrona jak ruletka: firmy liczą na szczęście

Marek Mejssner
08-05-2018, 22:00

Spółki, również te innowacyjne, musza bronić się przed nowatorskimi zagrożeniami. Niestety, wiele z nich bagatelizuje problem

Według badania przeprowadzonego przez PwC, ponad 62 proc. zarządów spółek uważa, że niebezpieczeństwa związane z IT będą silnie wpływać na globalny rynek w ciągu trzech najbliższych lat. Tymczasem tylko 9 proc. wszystkich firm ma wysokie kompetencje w zakresie zarządzania cyberryzykiem, a kolejne 17 proc. ma je opanowane na poziomie średnim. Jest to widoczne w polskich firmach: brak polityki bezpieczeństwa, szkoleń pracowników z tego zakresu oraz standardowe systemy ochrony — to podstawowe grzechy przedsiębiorców w tej dziedzinie.

Oszczędność

Bezpieczeństwo IT nadal jest tą częścią budżetu informatycznego przedsiębiorstw, na której się oszczędza. W zależności od wielkości i rodzaju, firmy wydają na to od 2 proc. do 15 proc. planowanych kosztów na IT. Dodatkowym problemem jest to, że według przedsiębiorców trudno określić, czy wydatki te są uzasadnione i efektywne. Problemem są wskaźniki takiego pomiaru.W raporcie IDC z 2017 r. czytamy, że ponad 33 proc. ankietowanych przedsiębiorców w ogóle nie mierzy efektywności wydatków na bezpieczeństwo IT, zaś bardzo niewielu wylicza stopę zwrotu (ROI) z inwestycji w zabezpieczenia IT.

Jak podaje raport, najpoważniejszym zagrożeniem dla polskich specjalistów IT jest wyciek danych, który powodują — intencjonalnie lub nie — własni pracownicy. Dopiero na następnym miejscu plasują się ataki hakerskie, ale warto odnotować, że rośnie liczba tego typu zdarzeń. Niemal 30 proc. badanych potwierdziło, że z poważnymi atakami tego typu miała już do czynienia, a 20 proc. musiało stawić czoła atakom DDOS.

Jednym z największych problemów w zakresie bezpieczeństwa IT jest wdrażanie dyrektyw GDPR (znanej jako RODO) i NIS. Wymogi zapisane w unijnej dyrektywie NIS jednoznacznie nakładają na firmy realizujące usługi kluczowe (np. oparte na infrastrukturze) obowiązek monitorowania i zgłaszania incydentów. Natomiast, jak wynika z badań PwC, systemy SOC ma tylko 14 proc. firm, zaś systemy klasy SIEM — nieco prostsze — 34 proc. Gotowość do RODO deklaruje co trzecia firma.

Trudno nadążyć

Bagatelizowanie RODO i NIS dziwi tym bardziej, że w przypadku co trzeciej spółki „główną przyczyną wystąpienia incydentu były przeoczenia czy wręcz błędy ich własnych pracowników, które często prowadziły do wycieku danych” — czytamy w raporcie PwC. Aż 44 proc. przedsiębiorstw poniosło z tego tytułu straty finansowe.

— Coraz trudniej nadążyć za rozwojem technologii — technologii, która ma wspierać efektywność biznesu, ułatwiać pracę i przyczyniać się do większej integracji przedsiębiorstw, konsumentów i międzynarodowych rynków. Z drugiejstrony, ta sama technologia otwiera wrota do świata biznesu dla osób o nieuczciwych zamiarach, mogąc być źródłem istotnych strat. Część firm rozumie, że cyberaktywność świata przestępczego wystawia ich własne działanie na niespotykane do tej pory ryzyko. Aż 80 proc. zdaje sobie sprawę, że cyberataki są jednym z największych zagrożeń dla rozwoju ich biznesu — podkreśla Piotr Urban, lider usług cyberbezpieczeństwa w regionie Europy Środkowo-Wschodniej z PwC.

Stosunkowo najgorzej mają się kwestie bezpieczeństwa w małych i średnich przedsiębiorstwach, gdzie pokutuje jeszcze myślenie z lat 90. ubiegłego wieku, według którego „skuteczne bezpieczeństwo IT to dobry antywirus i firewall”. W wielu z nich włącza się firewall w domyślnej konfiguracji w routerze, instaluje antywirus na stacjach roboczych — i to w zamyśle właściciela wystarczająca ochrona. W małych firmach w Polsce nie przeprowadza się choćby podstawowego szkolenia pracowników z zakresu bezpieczeństwa IT. Przedsiębiorstwa te zwykle mają standardową umowę z firmami IT, zajmującymi się najczęściej „administracją sieci”, bez wyszczególnienia obszarów bezpieczeństwa informatycznego — lub zatrudniają do tego typu działań informatyka na umowę-zlecenie, często studenta.

W codziennej pracy o powodzeniu lub niepowodzeniu ataków z zewnątrz decydująca okazuje się w nich ogólna wiedza informatyczna i rozsądek pracowników. W przypadku ich braku następuje katastrofa.

Warto dodać, że proste ataki typu „Nigerian scam” czy „nagie zdjęcia aktorek” są stosowane coraz rzadziej. Pojawiają się formy o wiele bardziej wyrafinowane, jak w przypadku ataków ransomware — łudzące naśladownictwo korespondencji z urzędami, bankami lub firmami usługowymi. W takich przypadkach wiedza z zakresu IT jest potrzebna, aby nie poddać się atakowi.

Kwestia bezpieczeństwa w małych i średnich polskich przedsiębiorstwach nie wygląda najlepiej nawet w działach IT. Zwykle w firmach nie ma spisanej polityki bezpieczeństwa, a jeśli nawet, często jest to dokument ściągnięty z internetu, o tak ogólnych treściach, że pasują zarówno do firmy hi-tech, jak i handlującej warzywami.

Uda się, albo się nie uda

Firmy bagatelizują ochronę danych — w efekcie, w sytuacji konkretnego cyberzagrożenia, jego blokada zależy od… szczęścia.

— Na szczęściu można polegać jedynie do czasu, kiedy się je ma — a co do tego nigdy nie mamy pewności i na pewno nie należy mieć takiego przeświadczenia. Dopiero w momencie, kiedy firma padnie ofiarą ataku, cyberbezpieczeństwo objawia się jako jeden z filarów funkcjonowania firmy. Patrząc na rynek globalny, najlepiej radzą sobie pod tym względem spółki z branż transportowej, logistyki i bankowości. Mają one nie tylko wysoko rozwinięte systemy SIEM, DLP czy SOC, ale również procesy, zespoły i rozwiązania, które umożliwiają pełne ich wykorzystanie. Dotyczy to m.in. systemów klasy Governance Risk Compliance, które umożliwiają analizę wielu danych i procesów z dziedzin audytu, bezpieczeństwa i zgodności — zwraca uwagę Leszek Tasiemski, lider centrum cyberbezpieczeństwa firmy F-Secure.

Warto zauważyć, że w Polsce panuje jednolity model ochrony danych wrażliwych. Tymczasem, jak twierdzą eksperci od bezpieczeństwa, budżetowanie pieniędzy na bezpieczeństwo IT powinno być poprzedzone oceną zagrożeń, na jakie konkretna firma jest narażona. Istotniejsza od rozmiaru czy lokalizacji działalności jest tutaj specyfika czy nawet profil klienta. Oznacza to, że wybór takiego samego modelu ochrony danych np. dla klubu fitness, zatrudniającego kilkadziesiąt osób i dysponującego dużą liczbą stanowisk do ćwiczeń, oraz dla niewielkiej firmy informatycznej, projektującej np. systemy komunikacji dla agencji rządowych, jest bezsensowny. W przypadku pierwszej spółki, największym zagrożeniem mogą być nieselektywne ataki, np. scam czy ransomware, które mogą powodować przestój w działalności i utratę zaufania klientów. Możliwy jest też wyciek bazy zawierającej dane klientów. Koniecznie trzeba się więc skoncentrować na ochronie komunikacji, głownie mailowej, przed scamem i phishingiem oraz zabezpieczeniu urządzeń końcowych, jak komputery, laptopy czy telefony. Sprzęt i oprogramowanie zabezpieczające przed takimi zagrożeniami są stosunkowo tanie, a poprawna ich konfiguracja, przeprowadzona przez dobrego informatyka, powinna dać zadowalające rezultaty i zminimalizować zagrożenie.

— Natomiast, jeśli chodzi o drugi przypadek — bardzo istotne jest zachowanie pracowników. Tego typu firmy są narażone na wszystkie podstawowe zagrożenia, ale dodatkowo pojawia się wysokie ryzyko zaawansowanych ataków ukierunkowanych, które mają na celu szpiegostwo przemysłowe i kradzież informacji. Firmy o takim charakterze mogą być wykorzystane również jako tzw. przyczółek do zaatakowania ich klientów. Poza stosowaniem typowych zabezpieczeń, należy pomyśleć o szkoleniach dla pracowników, rozważyć system wykrywania cyberzagrożeń, bazujący na anomaliach zachowań, a także zadbać o regularny audyt bezpieczeństwa, prowadzony przez zewnętrznych konsultantów — dodaje Leszek Tasiemski. © Ⓟ

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Marek Mejssner

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Innowacji / Cyberochrona jak ruletka: firmy liczą na szczęście