W ubiegłym roku trzy na cztery firmy na świecie zostały zaatakowane oprogramowaniem ransomware co najmniej raz, a 26 proc. z nich aż cztery razy - wynika z badania Veeam Data Protection Trends 2024. Na skutek awarii IT z powodu ransomware nie udaje się przedsiębiorstwom odzyskać nawet do 43 proc. danych naruszonych w czasie cyberataku.
– Każda firma powinna więc wprowadzić rozwiązania zarządzania ryzykiem, które pozwolą jej minimalizować zagrożenia i skutki ataku cybernetycznego – mówi Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w firmie Veeam.
Więcej obowiązków
Według niego tego rodzaju działania warto podjąć nawet jeżeli przepisy nie wymagają tego od konkretnego podmiotu. W ostatnich tygodniach wielu przedsiębiorców głowi się np. nad tym, czy będą musieli stosować wytyczne NIS 2. To kolejna dyrektywa unijna dotycząca cyberbezpieczeństwa, która obejmie firmy w Polsce i zacznie obowiązywać już w październiku. Obecną NIS (Network and Information Systems) uchwalono w 2016 r., ale już nie wystarcza w walce z rosnącą skalą zagrożeń. Nowe regulacje mają podnieść cyberodporność firm działających w UE.
– Dlatego rozszerzono grupę podmiotów nimi objętych i określono nowe obowiązki, dotyczące m.in. zabezpieczania łańcucha dostaw czy zwiększania bezpieczeństwa sieci, w tym stosowania mechanizmów szyfrowania w uzasadnionych przypadkach, a także zgłaszania incydentów. Za niedopełnienie tych powinności grożą wysokie kary finansowe – wyjaśnia Tomasz Krajewski.
Firmy będą musiały zgłaszać zdarzenia, które spowodują znaczące zakłócenia w świadczeniu usług, doprowadzą do strat finansowych lub gdy ich konsekwencje odczują osoby trzecie.
– W ciągu 24 godzin od zidentyfikowania takiego zdarzenia trzeba będzie sporządzić wstępne zawiadomienie, a sprawozdanie w ciągu 72 godzin. Po upływie miesiąca należy przygotować kompleksowy raport. Zgłoszenia mają być kierowane do państwowych zespołów reagowania na incydenty, a w niektórych przypadkach do klientów firmy – mówi Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa i VP w WithSecure.
Niektórym przedsiębiorcom sprawia jednak kłopot ustalenie, czy będą podlegali nowym przepisom. W badaniu przeprowadzonym na zlecenie firmy Fortinet przez Biostat 51 proc. respondentów przyznało, że nie wie, czy NIS 2 ich dotyczy. Jak mówi ekspert Veeam, w procesie tzw. samoklasyfikacji firma musi ocenić np. czy należy do kategorii podmiotów podlegających dyrektywie. Dzieli je ona na kluczowe i ważne.
Pierwszą grupę stanowią firmy działające w 11 sektorach o tzw. krytycznym znaczeniu, takich jak transport, usługi finansowe, opieka zdrowotna i przedsiębiorstwa użyteczności publicznej, np. dostawcy energii. Druga grupa, czyli podmioty ważne, obejmuje firmy z siedmiu branż, m.in. produkcji żywności, gospodarowania odpadami, usług pocztowych i kurierskich, a także dostawców usług cyfrowych.
Ciągłość działania
– Zwlekanie z przeprowadzeniem samoklasyfikacji może być kosztowne. Od wejścia w życie krajowej ustawy wprowadzającej NIS 2 przedsiębiorstwa będą miały zaledwie dwa miesiące na zgłoszenie się do rejestru podmiotów ważnych lub kluczowych. Następnie w ciągu pół roku powinny wdrożyć system zarządzania bezpieczeństwem zgodny z dyrektywą, a po kolejnych sześciu miesiącach czeka je pierwszy audyt weryfikujący poprawne wypełnianie przepisów – zwraca uwagę Tomasz Krajewski.
Przyznaje przy tym, że normy NIS 2 mogą wydawać się rygorystyczne, ale zarazem ocenia, że wynikają ze zdroworozsądkowej oceny warunków, w jakich obecnie działają firmy.
– Jedno z postanowień NIS 2 wymaga zapewnienia ciągłości działania w trakcie cyberataku. Chodzi o wdrożenie dobrych praktyk w zarządzaniu danymi, takich jak ich oznaczanie, odpowiednia lokalizacja i bezpieczne przechowywanie, a także tworzenie i regularne aktualizowanie kopii zapasowych. Dzięki temu, gdy dane zostaną zaszyfrowane, skradzione lub zniszczone w wyniku ataku lub awarii, firma może szybko je odzyskać i kontynuować działalność bez przestojów – wyjaśnia przedstawiciel Veeam.
Jak podkreśla, czyste i bezpieczne kopie zapasowe wraz z szybkim czasem odzyskiwania to niezawodny sposób zwiększania odporności danych i ochrony przed cyberatakami. Tymczasem z badania Veeam Ransomware Trends 2024 wynika, że prawie dwie na trzy zaatakowane firmy narażają się na ryzyko ponownego incydentu, ponieważ nie zapewniają odpowiednich warunków bezpiecznego przywracania danych do systemu. Często robią to w środowisku produkcyjnym, w którym wystąpił atak - bez sprawdzenia, czy tamtejsze zasoby nie są zainfekowane.
– To ogromny błąd. Skanowanie backupu powinno odbywać się pod kwarantanną, w tzw. środowisku testowym. Dopiero gdy test wypadnie pomyślnie i firma ma pewność, że kopia zapasowa nie została zainfekowana złośliwym oprogramowaniem, może takie dane bezpiecznie przywrócić do systemu – mówi Tomasz Krajewski.
ABC na początek
Jak mówi ekspert Veeam, plusem dyrektywy NIS 2 jest m.in. to, że zmusza ona przedsiębiorstwa do analizy obecnego stanu cyberbezpieczeństwa i zidentyfikowania obszarów wymagających poprawy.
Natomiast Leszek Tasiemski zwraca uwagę, że dyrektywa obejmie nie tylko podmioty zatrudniające powyżej 50 osób i osiągające ponad 10 mln EUR obrotów rocznie, ale też ich kontrahentów z łańcucha dostaw.
– Dla wielu mniejszych i średnich firm cyberochrona nie była priorytetem. Aby spełnić nowe wymagania, będą musiały dokonać poważnych zmian w dość krótkim czasie. To oznacza inwestycje w produkty i usługi z zakresu bezpieczeństwa systemów i danych, wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo, a także kształtowanie świadomości zagrożeń i wdrażanie procedur zabezpieczających w całym przedsiębiorstwie – mówi ekspert WithSecure.
Według niego podmioty, dla których wymagania NIS 2 nie są jasne, muszą najpierw zidentyfikować krytyczne zasoby, funkcje i procesy. Następnie powinny ocenić swój stan odporności na cyberzagrożenia oraz określić jej docelowy kształt i plan jej osiągnięcia.
– Kluczowe będzie również stworzenie strategii przeciwdziałania zagrożeniom, ich detekcji oraz reakcji na incydenty. Wreszcie niebagatelne znaczenie dla utrzymania zgodności z przepisami ma ciągłe monitorowanie, kontrolowanie i usprawnianie działań – podkreśla Leszek Tasiemski.