Czy producenci i dystrybutorzy systemów bezpieczeństwa IT tworzą atmosferę lęku, aby zwiększyć sprzedaż? 61 proc. uczestników badania PwC widzi to inaczej: cyberataki to jedno z największych zagrożeń, które mogą wpłynąć na rozwój firm! — Chciałabym, aby chodziło tylko o sprytne sztuczki marketingowców. Niestety, zagrożenia są prawdziwe. Działający w sieci przestępcy stosują socjotechnikę, kradzieże tożsamości, rozbudowane ataki APT czy lawinowe DDoS-y. A ostatnio uwzięły się na przedsiębiorstwa o skromniejszych budżetach na IT — ostrzega Klaudyna Busza, inżynier ds. przedsprzedażowych w Flowmon Networks. Po pierwsze, mniejszemu podmiotowi trudniej się bronić. Po drugie, biznesowa drobnica często współpracuje z jakimś rynkowym gigantem, co oznacza, że ich środowiska IT są przynajmniej częściowo zintegrowane. Najłatwiej zaś uderzyć w najsłabszy element systemu. Jak odeprzeć atak?
2— Niektórzy specjaliści mówią, że na informatykę i bezpieczeństwo trzeba poświęcić 10 proc. budżetu firmy. Nie zgadzam się z tym. Zamiast trzymać się sztywnych ram finansowych, lepiej działać elastycznie, czyli nakłady dopasowywać do aktualnych potrzeb przedsiębiorstwa — zaleca Paweł Dawidek, dyrektor ds. technicznych w Wheel Systems. Jego zdaniem mikrobiznes to jednak coś innego niż bank, szpital czy serwis randkowy mający setki tysięcy użytkowników — jeśli zajmujemy się sprzedażą książek lub używanych ubrań, potrzebujemy dużo prostszych rozwiązań technologicznych.
— Jeśli mała firma przesadzi z inwestycjami w bezpieczeństwo IT, zabraknie jej pieniędzy na rozwój. Oba cele są bardzo ważne i trzeba szukać złotego środka — podkreśla Paweł Dawidek.
Pracując z wrogiem
Skromniejsze wdrożenia uzasadnia jeszcze inny fakt: rzadko która mała firma pada ofiarą zorganizowanej grupy przestępczej. Częściej sprawcą jest pracownik lub były wspólnik, który pała chęcią zemsty.
— Za nadużyciami wewnętrznymi, na czele z kradzieżami i niszczeniem danych, zwykle nie stoją motywy ekonomiczne. Ktoś nie dostał podwyżki albo został wyrzucony z pracy. Chce się więc odegrać: zaburzyć działanie spółki, odebrać jej klientów, zepsuć opinię — zwraca uwagę Michał Jarski, dyrektor sprzedaży na Europę Środkowo-Wschodnią w spółce Trend Micro. Zanim jednak posądzimy kogoś o złą wolę, warto sprawdzić, czy w grę nie wchodzi lekkomyślność lub brak wiedzy technologicznej.
To nie tylko polski problem. Na 19 tys. mieszkańców 144 krajów tylko 3 proc. prawidłowo rozpoznało wszystkie przedstawione im wiadomości typu phishing, czyli próby wyłudzenia informacji przez podszywanie się pod zaufaną instytucję lub firmę — wynika z eksperymentu Intel Security. Szkopuł w tym, że na grunt zawodowy przenosimy zwyczaje z życia prywatnego. Według badań Biura Informacji Kredytowej, 22 proc. Polaków doświadczyło problemów z ochroną danych osobowych. A w przypadku 3 proc. chodziło o kradzież hasła do konta bankowego czy skrzynki e-mailowej. Mimo to aż 14 proc. respondentów nie stosuje żadnych zabezpieczeń. Wiele zagrożeń wynika ze zmieniającego się charakteru naszej pracy. Coraz więcej obowiązków wykonujemy zdalnie, przez co trudno uszczelnić firmową sieć. Ale od początku… 87 proc. smartfonów z Androidem jest podatnych na ataki — wynika z badania przeprowadzonego przez naukowców z Uniwersytetu w Cambridge. A według raportu „Polska jest Mobi 2015”, Polacy używają prawie 19 mln inteligentnych telefonów, z czego 65 proc. ma ten właśnie system. Jaki to ma związek z bezpieczeństwem firmowych danych? Ano taki, że wiele, jeśli nie większość, osób do załatwiania spraw zawodowych lub biznesowych używa prywatnego sprzętu. Zjawisko to określa się mianem BYOD (bring your own device) lub konsumeryzacją IT. Jeśli pracownicy mają swobodny dostęp do strategicznych informacji przedsiębiorstwa za pośrednictwem urządzeń mobilnych, administratorzy sieci i specjaliści od bezpieczeństwa IT nie mogą spać spo- kojnie.
Edukacja, głupcze!
Czy edukacja na temat bezpieczeństwa IT rozwiąże problem? Z pewnością go ograniczy. — Gdy zaczynamy pracę w jakiejś firmie, musimy przejść szkolenie bhp. Szkoda, że nie ma obowiązkowych zajęć z bezpieczeństwa i higieny używania służbowych komputerów, smartfonów i internetu — ubolewa Michał Jarski. Zaznacza jednak, że jeśli cyberprzestępcy będą chcieli zaatakować firmę, nawet najlepiej przeszkoleni pracownicy ich nie powstrzymają.
— Wraz z wiedzą użytkowników zwiększy się poziom zaawansowania i wyspecjalizowania ataków, wycelowanych w konkretne osoby i firmy — przewiduje przedstawiciel Trend Micro. Wtóruje mu Klaudyna Busza, według której do obrony potrzebne są najnowsze technologie. — W tym przypadku może się sprawdzić monitoring ruchu sieciowego z dodatkowymi funkcjami, które pozwalają na automatyczne alerty wskazujące na dziwne zachowania pracowników i umożliwiają szybką reakcję, na przykład zablokowanie danego urządzenia czy użytkownika w sieci — mówi menedżerka Flowmon Networks.
Do wykrywania zapobiegania i wykrywania nieprawidłowości służy śledcza analiza danych (ang. Forensic Data Analytics, w skrócie FDA). 60 proc. firm ankietowanych przez EY chce zwiększyć nakłady w tej dziedzinie w najbliższych dwóch latach. 53 proc. respondentów, którzy mają takie plany, uzasadnia je rosnącym ryzykiem cyberataków, a 43 proc. wymaganiami i presją ze strony regulatorów. Co równie ważne: systemy FDA pomagają pilnować najróżniejsze zasoby firmy, nie tylko cyfrowe. Na przykład w firmach produkcyjnych usprawniają monitorowanie zużycia surowców i półproduktów, wytworzonych wyrobów gotowych i odpadów produkcyjnych. A co, jeśli przedsiębiorstwo uchyla się od takich wdrożeń?
— Najgorszy scenariusz, z którym często się spotykamy, to sytuacja, w której o nieprawidłowościach we własnej firmie zarząd dowiaduje się od organów ścigania — tłumaczy Tomasz Dyrda, dyrektor zarządzający w dziale zarządzania ryzykiem nadużyć EY. Śledcza analiza danych jest dla dużych firm. A w jakie rozwiązania powinny się zbroić maluchy? Bezpłatne lub bardzo tanie, w chmurze obliczeniowej. Tak przynajmniej uważa dyrektor Paweł Dawidek. Zdecydowana większość płatnych rozwiązań — podkreśla — ma swoje darmowe, często bezpieczniejsze odpowiedniki. Jeśli więc ktoś mówi, że nie stać go na ochronę danych, to najwyraźniej nie przywiązuje do tej sfery należytej wagi.