Liczba internetowych oszustw finansowych, których celem jest kradzież danych, wciąż rośnie. Cyberprzestępcom coraz częściej pomagają nowe technologie, takie jak np. sztuczna inteligencję (AI). Według NASK w 2024 r. liczba domen sfabrykowanych przez oszustów wzrosła niemal czterokrotnie. KPMG podało, że w 2023 r. incydenty naruszenia bezpieczeństwa odnotowało w Polsce 66 proc. firm. Co dziesiąta zarejestrowała w ciągu roku ponad 30 cyberincydentów. W tej grupie prawie jedną trzecią stanowiły firmy zatrudniające powyżej 250 pracowników. Ataków nie da się uniknąć - a jak należy się przed nimi chronić?
Eksperci podkreślają, że od czasu inwazji Rosji na Ukrainę Polska stała się jednym z krajów najbardziej narażonych na ataki cybernetyczne.
Dlatego największą czujność powinny wykazywać przedsiębiorstwa z sektora gazowego, energetycznego, transportu publicznego i opieki zdrowotnej. Na baczności muszą się mieć także firmy z branż finansowej, technologicznej i przemysłowej.
Ostrożnie z danymi
- Nie można mówić o bezpieczeństwie w jakiejkolwiek branży, ponieważ dane same w sobie stały się towarem. Im więcej danych posiada firma, tym bardziej atrakcyjnym celem staje się dla hakerów. Najskuteczniejszą metodą walki z oszustami jest budowanie świadomości na temat zagrożeń wśród personelu, utrzymanie porządku w danych oraz minimalizowanie zagrożenia poprzez usuwanie nadmiaru danych - podkreśla Paweł Markiewicz z M3M, firmy zajmującej się cyberbezpieczeństwem.
Dodaje, że prewencyjnie warto rozważyć migrację danych do chmury.
Sukces hakerów, jak i nieuczciwych pracowników wykradających dane firmy, często wynika z zaniedbań samego przedsiębiorstwa.
- Wiele organizacji zapomina o konieczności usuwania nadmiaru danych, których nie ma obowiązku, a czasem nawet prawa wykorzystywać. A im mniej danych, tym mniejsze ryzyko ich kradzieży lub utraty - tłumaczy Grzegorz Leśniewski, inspektor ochrony danych osobowych.
Firma zyskuje również oszczędności
Zminimalizowanie liczby danych nie powinno być problemem nawet dla małych firm.
- Najlepsze efekty można uzyskać, gdy połączy się działania manualne ze specjalistycznymi narzędziami IT, które w sposób zautomatyzowany lokalizują i identyfikują dane w systemach IT, a następnie je klasyfikują, co pozwala skutecznie nimi zarządzać. Dzięki temu można odnaleźć dane zduplikowane oraz te, które już nie przydadzą się w dalszej działalności. Jeśli kogoś nie przekonują względy bezpieczeństwa, to powinny przekonać go oszczędności. Mam na myśli nie tylko ewentualne kary czy narażenie się na wyciek. Przechowywanie zbędnych danych po prostu generuje niemałe koszty. Można je zredukować nawet czterokrotnie - uważa Paweł Markiewicz.
Krok 1: poznaj swoje dane
Jednym z największych wyzwań jest określenie, które dane należy zachować, a których trzeba się pozbyć. Każdy przedsiębiorca musi wiedzieć, jakie dane gromadzi, jaki jest ich stopień wrażliwości oraz w jaki sposób są przechowywane i wykorzystywane.
Krok 2: zarządzanie danymi i eliminacja ryzyka
Trzeba pamiętać o tym, że powtarzalne, przestarzałe lub nieistotne dane zwielokrotniają ryzyko. Dodatkowe zagrożenia wiążą się z charakterem danych, ich stanem prawnym, lokalizacją ich przechowywania oraz osobami, które mogą uzyskać do nich dostęp. Warto to sprawdzić.
Krok 3: minimalizacja
Kluczowym procesem jest zarządzanie cyklem życia danych: zrozumienie zasad retencji danych, usuwania nieprawidłowości i konsekwentnego raportowania postępów. Należy wdrożyć politykę retencji danych w praktyce, eliminować nieprawidłowości, a także na bieżąco usuwać dane nadmiarowe oraz ich duplikaty, a także niepotrzebne dane wysokiego ryzyka. Warto pamiętać o tym, aby zarządzać polityką i naruszeniami retencji danych w obrębie jednego interfejsu.
Krok 4: utrzymanie porządku
Należy ustalić, czy zasadnym będzie wykorzystanie do aktualizacji procesu gotowych procedur retencji danych czy raczej należy tworzyć rozwiązania na podstawie własnych doświadczeń. Do dobrych praktyk należą: stosowanie przyjętej polityki retencji danych konsekwentnie i we wszystkich procesach biznesowych, eliminowanie na bieżąco nieprawidłowości zidentyfikowanych w procesie minimalizacji oraz utrzymanie rygoru ciągłości dla procesu minimalizacji danych.
Krok 5: narzędzia monitorujące
Do skutecznego zapobiegania atakom niezbędne jest też wdrożenie adekwatnych narzędzi monitorujących typu oprogramowanie antywirusowe, polityki tworzenia kopii zapasowych oraz programów edukacyjnych budujących świadomość wśród pracowników. Warto rozważyć skorzystanie z pomocy profesjonalistów zarządzających obszarem cyberbezpieczeństwa.
Źródło: M3M