Z raportu KPMG pt. „Barometr cyberbezpieczeństwa. Na fali, czy w labiryncie regulacji?” wynika, że w minionym roku aż 66 proc. firm odnotowało przynajmniej jeden incydent naruszenia bezpieczeństwa. Natomiast 34 proc. zauważyło wzrost intensywności prób cyberataków. Działalność hakerów stanowi realne zagrożenie dla prowadzonego biznesu, posiadanego budżetu i wizerunku. Jak chronić firmę przed cyberprzestępcami?
- Żaden system czy przedsiębiorstwo nie jest w 100 proc. bezpieczne. Cyberbezpieczeństwo to „wyścig zbrojeń”. Codziennie powstają nowe techniki i sposoby obejścia zabezpieczeń. Każdy pracownik ma realny wpływ na cyberochronę. Świadomość tego to najpotężniejsze narzędzie w walce z hakerami. Warto zdać sobie sprawę, że do największych wycieków danych nie dochodzi zazwyczaj przez złamanie zabezpieczeń, a przez manipulacje lub nieświadomość użytkowników, którzy nieraz na tacy dają bezpośredni dostęp do firmowych systemów. Cyberbezpieczeństwo to proces ciągły i stosunkowo kosztowny. Zakłada nieustanne udoskonalanie zabezpieczeń, dodawanie nowych narzędzi i regularne szkolenie pracowników – podkreśla Łukasz Wątor, dyrektor ds. bezpieczeństwa informacji z firmy 021 Lab.
Zasoby tylko dla wybranych
Jak zabezpieczyć firmę przed cyberatakami? Przede wszystkim należy zadbać o wdrożenie właściwych procedur i korzystać z dostępnych narzędzi bezpieczeństwa. Przedsiębiorcy powinni w tym celu zapewnić regularne aktualizowanie oprogramowania i wykonywanie kopii zapasowych danych. Wskazane jest również uwierzytelnianie dostępu do sieci i baz danych silnym hasłem dostępu, a jeśli to możliwe – warto wdrożyć identyfikację z zastosowaniem metod biometrycznych.
Fundamentalne znaczenie w zapewnieniu cyberbezpieczeństwa w małej firmie odgrywa jednak zasada minimalnych uprawnień. Opiera się ona na założeniu, że dostęp do niektórych zasobów powinien być ograniczony tylko do użytkowników, którzy muszą z nich korzystać z racji wykonywanych obowiązków służbowych. Wdrażając tę zasadę, tworzy się konta zwykłe i uprzywilejowane. Pierwsze z wymienionych to konta podstawowe, z kolei drugie cechują się szerszymi uprawnieniami dostępu i przewidziane są tylko dla wybranej grupy pracowników.
- Wdrożenie zasady najmniejszego uprzywilejowania to jeden ze środków niezbędnych do prawidłowego uwzględnienia ochrony danych, a zarazem utrzymania ich integralności i poufności. Uprawnienia dostępu powinny być zróżnicowane w taki sposób, że dostęp do konkretnych danych ograniczony jest wyłącznie do pracowników, którzy niezbędnie potrzebują konkretnych kategorii zasobów, np. akt pracowniczych, do wykonywania obowiązków – zwraca uwagę Karol Witas, prawnik z kancelarii The Heart.
Przedsiębiorcy powinni pamiętać o jeszcze jednej kwestii. Poziom cyberbezpieczeństwa w firmie zwiększa się wraz ze wzrostem świadomości pracowników dotyczącej zagrożenia cyberatakami i wiedzy, jak korzystać z posiadanych narzędzi ochrony. To powód, dla którego szef powinien regularnie przeprowadzać szkolenia swoich podwładnych, bez względu na to, jaki rodzaj uprawnień dostępu posiadają.
Co zrobić po cyberataku
Aby ochronić firmę przed cyberatakami, zaleca się również przeprowadzanie audytu bezpieczeństwa, który pozwala ocenić skuteczność stosowanych rozwiązań i określić obszary wymagające ulepszeń. Niezbędny jest również plan reagowania na incydenty.
- Jego pierwszym etapem jest identyfikacja potencjalnych zagrożeń dla firmy. Trzeba pamiętać, że chodzi nie tylko o uzyskanie dostępu do poufnych zasobów, ale możliwa jest także utrata danych czy atak mający na celu ich zaszyfrowanie i paraliż całej firmy lub spowodowanie awarii systemu. Kolejnym stadium jest stworzenie prostych procedur zbierania informacji na temat incydentów i szybkiego reagowania na nie oraz szkolenie pracowników. W dalszej kolejności należy zająć się pozostałymi aspektami, takimi jak powołanie zespołu reagowania na zdarzenia i dokumentacja procedur – tłumaczy Łukasz Wątor.
Dodaje, że ważne jest także przygotowanie szablonu komunikacji wewnętrznej i zewnętrznej w przypadku cyberataków. Nie można zapomnieć o symulacjach incydentów, monitorowaniu i aktualizacji planu oraz konsultacjach prawniczych.