Polski biznes nie jest gotowy na cyberataki

Poprawnie jest na poziomie dużych firm. Im mniejsze przedsiębiorstwo, tym bardziej jest bezbronne.

To miał być klasyczny biurowy romans. On i ona pracowali w jednej firmie. On zaprosił ją do znajomych na Facebooku, napisał, że wpadła mu w oko i chciałby ją bliżej poznać. Ona sądziła, że w końcu znalazła przyjazną duszę w korporacyjnym piekiełku. On pokazał jej swój blog, na którym umieszczał napisane przez siebie wiersze oraz zdjęcia. Ona była zachwycona, bo nie sądziła, że w takim miejscu spotka prawdziwego romantyka. Po kilku dniach i wymianie dziesiątek wiadomości na Facebooku on poprosił ją o pomoc i podanie hasła dostępowego do wrażliwych firmowych danych. Podała. Niedługo późniejon przestał odpisywać na wiadomości. Kilka dni później ona spotkała go po raz pierwszy na korytarzu. Zapytała, dlaczego milczy. On zrobił olbrzymie oczy. Nigdy nie miał konta na Facebooku.

Zobacz także

To nie literacka fikcja. To autentyczna historia, która w ubiegłym roku zdarzyła się w dużej polskiej firmie. Świadczy o tym, że minęły czasy, w których hakerami byli pryszczaci nastolatkowie, łamiący po nocach kody i zabezpieczenia. Hakerstwo to obecnie doskonale zorganizowany biznes, który w coraz większym stopniu bazuje na socjotechnice i olbrzymiej liczbie informacji, które o życiu prywatnym umieszczamy w social mediach. Tak też jest w przypadku opisywanej przez „PB” od kilku dni fali ataków hakerów na polskie firmy, korzystających z metody „na prezesa”. Prawdziwego hackerstwa w tym niewiele, procederowizaś bliżej do zwykłego oszustwa.

— Jako ludzie jesteśmy ufni, otwarci i łatwo wchodzimy w relacje. Przestępcy to wykorzystują — mówi Tomasz Sawiak, menedżer w zespole Cyber Security w PwC.

Jego zespół nie tylko doradza, jak przygotować firmę na cyberatak. Dokonuje także pozorowanych ataków (fachowo określanych mianem hybrydowego audytu), które sprawdzają, jak firmy radzą sobie z cyberbezpieczeństwem. Wynika z nich, że w instytucjach finansowych oraz w największych firmach nie jest źle. Zdają sobie sprawę ze skali zagrożenia. Ich świadomość rośnie na pewno także dzięki temu, że ich infrastruktura IT jest co pewien czas atakowana.

— Im mniejszy biznes, tym jednak gorzej. Przedsiębiorcy i menedżerowie, którzy stoją na czele średnich firm, często

nie zdają sobie sprawy ze skali zagrożenia. Tymczasem dziś kwestią jest nie to, czy moja firma będzie celem ataku, ale kiedy on nastąpi — podkreśla Tomasz Sawiak.

Jego zdaniem, w opisywanych na łamach „PB” przypadkach zabrakło odpowiednich procedur, które chroniłyby firmy przed oszustami. Zgadza się z nim Jolanta Majek, szefowa polskiego oddziału firmy Symantec. Najlepszą obroną przed atakamiwykorzystującymi socjotechnikę jest, według niej, szkolenie pracowników i wdrożenie w firmie procedur bezpieczeństwa.

— Obserwujemy rosnące zainteresowanie rozwiązaniami, które chronią firmową pocztę. W grę wchodzi już nie tylko szyfrowanie wiadomości, ale także identyfikacja autora mejla — mówi Jolanta Majek.

Firmy często nie wiedzą o tym, że ich infrastruktura IT jest dziurawa, od dawna spenetrowana przez cyberprzestępców, a wrażliwe dane zostały wystawione na sprzedaż i czekają na kupca.

— O łatwości dostępu do wrażliwych danych świadczy cena na czarnym rynku, jaką płaci się za numer karty kredytowej z danymi osobowymi jej posiadacza. Jeszcze kilka lata temu było to nawet 10 USD, dziś cena spadła do zaledwie kilku centów — podkreśla Jolanta Majek.

Polscy przedsiębiorcy nie tylko nie są dobrze przygotowani na cyberataki, ale także nie interesują się zakupem cyberpolis, które chronią przed ich skutkami. Produkt, który w ofercie ma już siedem towarzystw, sprzedaje się bardzo słabo — takie ubezpieczenie kupiła tylko jedna polska firma: duży bank.

Trzy kroki

Pełne zabezpieczenie firmy przed cyberatakami jest niemożliwe. Na pewno jednak można zminimalizować potencjalne straty i zniechęcić przestępców do podjęcia kolejnej próby. Wprowadzenie odpowiedniego pakietu działań pomoże ograniczyć straty finansowe oraz wizerunkowe.

1 Ludzie

Dla wielu przedsiębiorców IT to komputery, które stoją na biurkach. Tymczasem rozwój technologiczny sprawił, że pod hasłem informatyka kryje się znacznie więcej. Dlatego pierwszym krokiem w odpowiednim zabezpieczeniu firmy przed cyberatakami powinno być zbudowanie wewnętrznego zespołu lub sięgnięcie po zespół zewnętrzny, który zajmie się przygotowaniem firmy na cyberataki i będzie na bieżąco monitorował stan bezpieczeństwa.

2 Wiedza

Ulubioną bronią cyberprzestępców jest socjotechnika. Bazuje ona nie tylko na zaufaniu, ale także na braku wiedzy i świadomości zagrożenia. Odpowiednio przeszkoleni pracownicy mogą ograniczyć skuteczność ataku hakerskiego.

3 Procedury

Przedsiębiorstwo powinno działać według procedur, także w obszarze cyberbezpieczeństwa. Firma powinna przygotować i wdrożyć procedury, które nie tylko będą ją chroniły przed cyberatakami, ale także krok po kroku określały działania w momencie wykrycia ataku. Pomocne mogą być różnego rodzaju certyfikaty, np. ISO 27001.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mariusz Gawrychowski

Polecane

Inspiracje Pulsu Biznesu