Czytasz dzięki

Firmy nie bronią się przed cyberatakami

opublikowano: 05-03-2017, 22:00

Przedsiębiorcy bronią się przed hakerami, wykorzystując technologie z XX w., które nie chronią przed przestępcami z sieci.

W ciągu ostatniego roku 83 proc. firm zanotowało od żadnego do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy, a 6 proc. przedsiębiorstw doświadczyło więcej niż 10 tego typu zajść — wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”.

— Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Organizacje identyfikują bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania, takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa, czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa — mówi Aleksander Ludynia, menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.

— Czasem słyszymy, że danej firmy „cyberataki nie dotyczą”. Warto się wtedy zastanowić, czy tak faktycznie jest, czy też może dana firma jest już ofiarą cyberprzestępców, ale jeszcze o tym nie wie — dodaje Tomasz Dyrda, dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.

Okazuje się, że najsłabszym elementem w kontekście bezpieczeństwa danych firmy nie jest sprzęt, oprogramowanie czy procedury, ale pracownik firmy. Opowiedziało się za tym aż 64 proc. respondentów.

— Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie maili phishingowych — to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT — ostrzega Tomasz Dyrda.

— Pracownicy firm ciągle darzeni są sporym zaufaniem swoich pracodawców. Dodatkowo wiele ataków prowadzonych jest za pomocą przejętych kont administratorów, dlatego także ich działania powinny podlegać szczególnej kontroli i monitorowaniu — dodaje Aleksander Ludynia.

Firmy powinny ponadto dostarczać swoim pracownikom wiedzy na temat bezpieczeństwa w sieci, a także szkolić ich, jak działać, w razie wykrycia zagrożenia. Niestety aż 41 proc. zatrudnionych nie uczestniczyło w żadnych warsztatach na temat cyberzagrożeń, a w prawie jednej trzeciej badanych firm nie ma procedury postępowania w sytuacji ataku hakerów. Mimo nasilającego się zagrożenia ze strony hakerów firmy wciąż polegają na technologii stworzonej w latach 80. Co więcej, zaledwie 7 proc. organizacji posiada system informowania o cyberatakach, działający nieprzerwanie przez cały rok, do którego są podłączone wszystkie istotne systemy teleinformatyczne. Aż 43 proc. przedsiębiorstw nie ma żadnego systemu ostrzegania.

Puls Firmy
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
×
Puls Firmy
autor: Sylwester Sacharczuk
Wysyłany raz w tygodniu
Sylwester Sacharczuk
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

— Firmy ponoszą realne straty i dopiero po takim „zimnym prysznicu” następuje refleksja i próba zrozumienia, w jaki sposób i z kim działać, żeby w przyszłości uniknąć podobnych sytuacji. Jedynie co ósma firma ma zarówno odpowiedni plan oraz zespół i może sprawnie koordynować działania w obliczu zagrożenia — komentuje Grzegorz Idzikowski, menedżer w Dziale Zarządzania Ryzykiem Nadużyć EY. Sposobem na zapobieganie konsekwencji finansowych incydentów bezpieczeństwa może być przeniesienie części ryzyka na ubezpieczyciela.

— W procesie transferu ryzyka sprawdzane są zasady bezpieczeństwa informatycznego, zarządzania ryzykiem i tzw. higiena informatyczna firmy. Mimo że polisa nie jest remedium na wszelkie problemy, ma możliwość zmniejszenia ponoszonych przez firmę konsekwencji. Ubezpieczyciel może bowiem wziąć „na siebie” część ryzyka poprzez pokrywanie kosztów prawników w przypadku roszczeń pokrzywdzonych w związku z ujawnieniem ich danych niezgodnie z przepisami prawa wraz z zapłatą kar administracyjnych nałożonych przez organy regulacyjne, kosztów doradców PR i informatyków śledczych — opowiada Marta Paruch z CHUBB.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane