Szefowie, uczcie w firmach czujności i odpowiedzialności za otwarcie cyberprzestępcom drzwi do danych – apelują eksperci. Człowiek to wciąż najsłabsze ogniwo w łańcuchu obrony.
W ponad połowie polskich firm w 2021 r. stwierdzono wzrost podatności na cyberataki, a u 64 proc. zanotowano co najmniej jeden taki incydent, co stanowi wzrost o 10 proc. w porównaniu do 2019 r. – podaje EY. Częściowo jest to rezultat wymuszonego pandemią COVID-19 wdrożenia na szerszą skalę pracy zdalnej, w której od pracowników w większym niż do tej pory stopniu zależy bezpieczeństwo firmowych danych. Na skuteczność działań przestępców wciąż olbrzymi wpływ mają zachowania człowieka – jego czujność i znajomość zagrożeń.
– Pracownicy wciąż pozostają najsłabszym ogniwem w obronie cyberbezpieczeństwa w firmach. Według tegorocznych danych, 25 proc. wszystkich naruszeń było wynikiem ataków socjotechnicznych, a gdy dodamy do tego błędy człowieka i niewłaściwe wykorzystanie uprawnień, to czynnik ludzki przyczynił się do 82 proc. analizowanych naruszeń w ciągu ostatniego roku – podkreśla Aneta Legenza, specjalistka ds. cyberbezpieczeństwa i partner w EY Polska.
Furtką socjosztuczki
Dave Russell, wiceprezes ds. strategii korporacyjnej w firmie Veeam, zwraca uwagę, że według raportu tej firmy w większości przypadków furtką dla cyberprzestępców są właśnie błędy użytkowników firmowych sieci.
– Przestępcy stosują zaawansowane socjotechniki, które mają wzbudzić poczucie zagrożenia i zarazem skłonić do szybkiego działania, zanim zdążymy się zastanowić. Jeśli konto pracownika zostanie przez nich przejęte, to już prosta droga do infiltracji sieci i wykradania czy niszczenia cennych danych – zauważa Dave Russell.
Eksperci jednomyślnie podkreślają, że w obliczu coraz to nowych sztuczek cyberprzestępców należy non stop podnosić poziom świadomości pracowników, ich odporności na ataki i umiejętności wykrycia oszustwa. Zdaniem ekspertki EY Polska dobrą praktyką jest wyznaczenie członka zarządu odpowiedzialnego za system informacyjno-komunikacyjny (ICT). Przy czym wystarczy do tego ogólne rozeznanie, niekoniecznie trzeba mieć fachową i głęboką wiedzę na ten temat.
– Taka osoba odpowiada wobec firmy jak pracownik za monitorowanie ryzyka ICT, czyli np. za pozyskiwanie raportów, zaleceń i ich kierunkowej oceny, przedstawianie zbiorczej informacji – wyjaśnia Aneta Legenza.
Jej zdaniem w dobrze funkcjonującej firmie wręcz konieczne jest wyznaczenie wewnętrznego zakresu współodpowiedzialności za cyberochronę.
– Daje to pracownikom poczucie spokoju. Wiedzą, za co odpowiadają w przypadku wycieku danych, włamania do systemu czy ataków typu ransomware. Wymaga to kompleksowego podejścia, także z uwzględnieniem pracowniczych regulacji Kodeksu pracy – mówi ekspertka EY Polska.
Podpowiada, aby zastosować podział odpowiedzialności - przypisać ją precyzyjnie do stanowisk, biorąc pod uwagę kompetencje pracowników. Powierzając zatrudnionemu mienie, np. laptopa z danymi firmy, warto zawrzeć odrębną pisemną umowę dotyczącą zakresu jego odpowiedzialności.
– Trzeba przy tym wiedzieć, że granice odpowiedzialności pracownika wyznacza trzymiesięczne wynagrodzenie oraz rzeczywista szkoda wyrządzona pracodawcy. Nie obejmuje ona reputacji i strat wizerunkowych, co wydaje się kluczowe z biznesowego punktu widzenia skutków cyberataków – zauważa Aneta Legenza.
Podkreśla, że ściśle określone procedury i standardy ICT mogą różnić się w firmie inwestycyjnej czy zakładzie produkcyjnym, ale ułatwią dochodzenie, czy i za co w danej sytuacji pracownik poniesie odpowiedzialność zgodnie z Kodeksem pracy.
– Według kodeksu pracownik nie odpowiada za szkodę wynikłą w związku z działaniem w granicach dopuszczalnego ryzyka – przypomina ekspertka EY Polska.
Jak ćwiczenia na siłowni
Dave Russell zastrzega, że mechanizmy ochrony przed atakami i ich skutkami nie zadziałają w każdym przypadku.
– Aby zminimalizować ryzyko, wszystkie prośby o dostęp do zasobów powinny być sprawdzane, choćby nawet dotyczyły zaufanych pracowników czy osób z kadry zarządzającej. Model zerowego zaufania, tak zwany Zero Trust, zawsze zakłada naruszenie firmowego systemu i to, że dane są zagrożone. Weryfikowane muszą być tożsamość, lokalizacja, stan urządzenia – nie tylko przez uwierzytelnianie wieloskładnikowe, ale też zmniejszanie uprawnień i ograniczanie dostępu tylko do danych i aplikacji potrzebnych danej osobie w pracy. Takie podejście funkcjonuje od niemal 30 lat. Niemniej badanie CyberRisk Alliance wykazało, że wciąż tylko 35 proc. liderów bezpieczeństwa dobrze zna tę praktykę – zwraca uwagę wiceprezes Veeam.
Przyznaje, że zasady zerowego zaufania mogą być przez pracowników odbierane jako niewygodne, utrudniające i wydłużające pracę. Dlatego priorytetem powinna być otwarta komunikacja, ostrzeganie o zagrożeniach i tłumaczenie korzyści – kierownictwu, specjalistom IT, pracownikom administracji czy HR. Poza tym model Zero Trust powinien być regularnie sprawdzany.
– Cyberbezpieczeństwo jest jak ćwiczenia na siłowni. Tylko systematyczne działania przyniosą efekty. Jeśli zrobisz przerwę, będziesz stopniowo wracać do punktu wyjścia – tłumaczy Dave Russell.
– Nie wystarczy zorganizować szkolenia lub zakupić system e-kursów czy jednorazowo przekazać wiedzę teoretyczną i wskazówki najlepszych praktyk radzenia sobie z cyberzagrożeniami. Jedynie przemyślane, kompleksowe, zaplanowane, regularne i długofalowe działania, będące stałym elementem systemu bezpieczeństwa, dają szansę powodzenia – przyznaje Aneta Legenza.
Podpis: Iwona Jackowska
